【正文】 development a packet capture and protocol analysis software Abstract： Network packet capture is the precondition for work analysis， through the analysis of the models of work data packet capture in Windows， the structure and function of WinPcap based on NDIS is analyzed and introduced in detail， and how to program on the work adapter and how to capture and analyze the work data packets through WinPcap are realized under the environment of VC ++， the applications of work data capture for work analysis is narrated in detail. Key words： packet capture， data packet， WinPcap 1 1 緒論 課題來源 隨著網(wǎng)絡(luò)技術(shù)的飛速發(fā)展和網(wǎng)絡(luò)時代的到來，互聯(lián)網(wǎng)的影響已經(jīng)滲透到國民經(jīng)濟的各個領(lǐng)域和人民生活的各個方面，全社會對網(wǎng)絡(luò)的依賴程度越來越大，整個世界通過網(wǎng)絡(luò)正在迅速地融為一體，但由于計算機網(wǎng)絡(luò)具有聯(lián)結(jié)形式多樣性、終端分布不均勻性和網(wǎng)絡(luò)的開放性、互聯(lián)性等特征，致使網(wǎng)絡(luò)易受黑客、惡意軟件和其他不軌的攻擊。如何更有效地保護重要的信息數(shù)據(jù)、提高計算機網(wǎng)絡(luò)系統(tǒng)的安全性已經(jīng)成為所有計算機網(wǎng)絡(luò)應(yīng)用必須考慮和必須解決的一個重要問題。 目前美國 75％一 85％的網(wǎng)站都抵擋不住黑客的攻擊，約有 75％的企業(yè)網(wǎng)上信息失竊，其中 25％的企業(yè)損失在 25 萬美元以上．因此了解網(wǎng)絡(luò)面臨的各種威脅，防范和消除這些威脅，實現(xiàn)真正的網(wǎng)絡(luò)安全已經(jīng)成了網(wǎng)絡(luò)發(fā)展中最重要的事情。例如目 2 前使用最廣泛的 TCP/IP 協(xié)議就存在很多安全缺陷，而 FTP、 POP 和 Tel 協(xié)議在本質(zhì)上也是不安全的，從而很多網(wǎng)絡(luò)的攻擊就是針對這些不安全協(xié)議進行的。受攻擊者包括 268 個站點，如麻省理工學(xué)院、美國海軍和空軍、 SUN微系統(tǒng)公司、 IBM、 NASA、 CERFNET 和加拿大、以色列、荷蘭、比利時的一些大學(xué)的機器。例如：冒充域名服務(wù)器的攻 擊，也就是 DNS 欺騙。這些技術(shù)中，數(shù)據(jù)包的捕獲和分析是最首要的手段，它是諸多網(wǎng)絡(luò)安全技術(shù)實現(xiàn)的基礎(chǔ)。用一個形象一些的例子對數(shù)據(jù)包的概念加以說明：我們在郵局郵寄產(chǎn)品時，雖然產(chǎn)品本身帶有自己的包裝盒，但是在郵寄的時候只用產(chǎn)品原包裝盒來包裝顯然是不行的。比如在能上網(wǎng)的情況下，把鼠標移動到任務(wù)欄右下角的網(wǎng)卡圖標上單擊就會彈出一個窗口，如圖 21，就可以看到“發(fā)送：包，收到：包”的提示。正是這種基于 CSMS/CD 的廣播機制，這就給連接在網(wǎng)絡(luò)上的計算機捕獲來自于其他主機的數(shù)據(jù)帶來了可能，即通過對網(wǎng)絡(luò)接口的設(shè)置可以使網(wǎng)卡能夠接收到所有經(jīng)過該機器的數(shù)據(jù)，然后將這些數(shù)據(jù)做相應(yīng)處理并實時分析這些數(shù)據(jù)的內(nèi)容，進而分析網(wǎng)絡(luò)當前狀態(tài)和整體布局。數(shù)據(jù)包常規(guī)的傳輸路徑依次為網(wǎng)卡、設(shè)備驅(qū)動層、數(shù)據(jù)鏈路層、 IP 層、傳輸層、最后到達應(yīng)用程序。這樣一來，針對特定操作系統(tǒng)的捕獲機制對用戶透明，使用戶程序有比較好的可移植性。有時候需要自己生成一些定制的數(shù)據(jù)包或者功能并希望繞開套接字的功能 ,原始套接字（ Raw Socket）就滿足了這樣的要求。原始套接字的作用主要有三個方面： 1）接收發(fā)向本機的 ICMP,IGMP 協(xié)議包 ,或者發(fā)送這些協(xié)議包； 2）接收發(fā)向本機的 IP 包； 3）發(fā)送自定義的 IP 包。它的應(yīng)用包括網(wǎng)絡(luò)統(tǒng)計集合 ,安全監(jiān)聽 ,網(wǎng)絡(luò)調(diào)試等。它提供以下四項功能： 1） 捕獲原始數(shù)據(jù)報 ,包括共享網(wǎng)絡(luò)上各主機發(fā)送 /接收的以及相互之間交換的數(shù)據(jù) 6 報； 2） 在數(shù)據(jù)報發(fā)往應(yīng)用程序之前，按照自定義的規(guī)則將某些特殊的數(shù)據(jù)報過濾掉； 3） 在網(wǎng)絡(luò)上發(fā)送原始的數(shù)據(jù)報； 4） 收集網(wǎng)絡(luò)通信過程中的統(tǒng)計信息。 JPcap 是一個 Java 類集合，它為網(wǎng)絡(luò)數(shù)據(jù)包的捕獲提供接口和系統(tǒng)支持。 WinPcap 的最新版本是 。因此，它不能用于 QoS 調(diào)度程序或個人防火墻。還有一個簡單的監(jiān)聽軟件叫Passwordsniffer，可截獲郵箱用戶名和密碼，還有 ftp 用戶名和密碼，它只能用在 HUB網(wǎng)絡(luò)上。 WinPcap 內(nèi)部結(jié)構(gòu) Winpcap 是針對 Win32 平臺上的抓包和網(wǎng)絡(luò)分析的一個架構(gòu)，它由內(nèi)核級的網(wǎng)絡(luò)組包過濾器（ Netgroup Packet Filter， NPF）、用戶級的動態(tài)鏈接庫 和 等 3個模塊組成 [7]。在 Win95/98/ME 系統(tǒng)中，它以 VXD 文件形式存在，在 Windows NT 和 Windows 2020 系統(tǒng)中，它以 SYS 文件形式存在。不同的 Windows 版本在用戶態(tài)和內(nèi)核態(tài)之間提供互不相同的接口，而 可以屏蔽這些接口區(qū)別，提供一個與系統(tǒng)無關(guān)的 API。 模塊與 Unix 系統(tǒng)下的 BSD 截獲架構(gòu)提供的 Libpcap庫完全兼容。 的函數(shù)調(diào)用會自動調(diào)用 中的低級函數(shù)，并且可能被轉(zhuǎn)換成若干個NPF 系統(tǒng)調(diào)用。根據(jù)以太網(wǎng)數(shù)據(jù)鏈路層的幀格式，網(wǎng)絡(luò)適配器的驅(qū)動程序會自動計算校驗和，并取走幀中的前同步碼和校驗和字段，因此 WinPcap 接收的數(shù)據(jù)包僅僅是其中的幀頭和載荷部分，即捕獲到的是幀結(jié)構(gòu)中的“目標 MAC 地址”、“源 MAC 地址”、“幀類型”、“幀中數(shù)據(jù)”這四部分。我們目前所用的 IP 協(xié)議基本都是 IPv4 版本。由上面也可知 IP首部最小 長度為 20字節(jié)，最大長度為（ 2的 4次方 1） *32/8＝ 60字節(jié)。 未使用： 1位，必須置 0。 標識： 16位，唯一地標識主機發(fā)送的每一份數(shù)據(jù)報。當數(shù)據(jù)報由于長度超過網(wǎng)絡(luò)的 MTU 而必須分片時，這個標識字段的值就被復(fù)制到所有的數(shù)據(jù)報的標識字段中。標志字 段中的最低位記為 MF（ More Fragment）。只有當 DF=0時才允許分片，具體定義如下： 1） 保留位： 1位 ； 2） DF 字段： 1位，取值： 0（允許數(shù)據(jù)報分段）、 1（數(shù)據(jù)報不能分段）； 3） MF 字段： 1位，取值： 0（數(shù)據(jù)包后面沒有包，該包為最后的包）、 1（數(shù)據(jù)包后面有更多的包）。 12 生存時間： 8 位，生存時間字段常用的的英文縮寫是 TTL（ Time To Live），表明是數(shù)據(jù)報在網(wǎng)絡(luò)中的壽命。若數(shù)據(jù)報在路由器消耗的時間小于 1 秒，就把 TTL 值減 1。協(xié)議字段指出此數(shù)據(jù)報攜帶的數(shù)據(jù)是使用何種協(xié)議（上層協(xié)議），以便使目的主機的 IP層知道應(yīng)將數(shù)據(jù)部分上交給哪個處理過程。為了計算一份數(shù)據(jù)報的 IP 檢驗和，首先把檢驗和字段置為 0，然 后對首部中每個 16bit 進行二進制反碼求和（整個首部看成是由一串 16 bit 的字組成），結(jié)果存在檢驗和字段中。 目的 IP 地址： 32 位，數(shù)據(jù)發(fā)往的 IP 主機地址。 長度（ Length）： 2字節(jié)， UDP 用戶數(shù)據(jù)報的總長度，以字 節(jié)為單位。 UDP 數(shù)據(jù)報和 TCP 段都包含一個 12字節(jié)長的偽首部，它是為了計算校驗和而設(shè)置的。 圖 36 TCP 包首部 15 ICMP 數(shù)據(jù)包的封 裝 IP 協(xié)議提供的是面向無連接的服務(wù)，不存在關(guān)于網(wǎng)絡(luò)連接的建立和維護過程，也不包括流量控制與差錯控制功能 ,但需要對網(wǎng)絡(luò)的狀態(tài)有一些了解，因此在網(wǎng)際層提供了因特網(wǎng)控制消息協(xié)議（ Inter control message protocol，簡稱 ICMP）來檢測網(wǎng)絡(luò)，包括路由、擁塞、服務(wù)質(zhì)量等問題。如圖 38 所示。 3） 把 WinPcap 的靜態(tài)鏈接庫 添加到 VC++中，步驟如下：進入 VC++中，選取“工程”按鈕，選取“設(shè)置”，點擊“ LINK”標簽，在“對象 /庫模塊”下添加 。用戶分析部分主要負責界面、數(shù)據(jù)轉(zhuǎn)化與處理、格式化、協(xié)議分析等。 pcap_if_t *d。alldevs, errbuf) == 1) { fprintf(stderr,Error in pcap_findalldevs: %s\n, errbuf)。d=dnext) { printf(%d. %s, ++i, dname)。 return。 void packet_handler(u_char *param, const struct pcap_pkthdr *header, const u_char *pkt_data) { struct tm *ltime。 tcp_header *th。 (pkt_data)。 ih = (ip_header *) (pkt_data +14)。 totallen += 18。 memcpy(amp。(pktUdpHead), uh, sizeof(udp_header))。 } if(int(ihproto) == 1) //如果是 ICMP 包就從解開 ICMP 頭并將其賦給 ich { ich = (icmp_header *)((u_char*)ih + ip_len)。 //IP 頭長， 8bits char szLen[8] = 。 //生命周期， 8bits char proto[8] = 。 //目的 IP， 16bits char srcport[16] = 。 //UDP 檢驗和， 16bits if(pDocGetCount() != 1) { int mycon = pDocGetCount()。 pDCTextOut(0, 2*height, IP 頭長： )。 pDCTextOut(0, 3*height, 服務(wù)類型： )。 pDCTextOut(7*width, 4*height, szLen)。 pDCTextOut(0, 6*height, 分段偏移： )。 pDCTextOut(0, 7*height, 生命期 (S)： )。 sprintf(proto, %d, int(mypacket[mycon].))。 sprintf(checksum, %d, ntohs(mypacket[mycon].))。 pDCTextOut(7*width, 10*height, srcIP)。 if(int(mypacket[mycon].) == 17) //判斷，如果 IP 包頭的協(xié)議字段是 17，表示是 UDP 包 { //從存放在向量中的包頭中讀取并接口 UDP 頭 pDCTextOut(0, 13*height, UDP 頭： )。 pDCTextOut(0, 15*height, 目的端口： )。 sprintf(dramlen, %d, ntohs(mypacket[mycon].))。 pDCTextOut(7*width, 17*height, crc)。 程序功能 程序主界面 主界面如圖 44所示 ： 24 圖 44 程序主界面 第一塊空白區(qū)域是數(shù)據(jù)包列表，第二塊空白區(qū)域顯示數(shù)據(jù)包分析后的結(jié)果，第三塊空白區(qū)域顯示具體的數(shù)據(jù)。如果未勾選任一頂，則默認 3種包都抓取。前 6個字節(jié)是目標 MAC 地址，再接著 6 個字節(jié)是源 MAC 地址，再接著 2 個字節(jié)代表數(shù)據(jù)報類型，如 08 00 代表這是個 IP 報文，之后就是 IP 報文首部了。在對當今網(wǎng)絡(luò)數(shù)據(jù)捕獲和分析的有關(guān)基本實現(xiàn)機理、方法和手段進行分析的基礎(chǔ)上，通過網(wǎng)絡(luò)數(shù)據(jù)包捕獲函數(shù) WinPcap 的工作機理和內(nèi)部架構(gòu)，描述了網(wǎng)絡(luò)數(shù)據(jù)包捕獲和分析程序的層次結(jié)構(gòu)，給出了具體的通過調(diào)用 WinPcap 來捕獲和分析數(shù)據(jù)包的程序的設(shè)計與實現(xiàn)方法以及對數(shù)據(jù)包的具體分析。 29 致謝語 經(jīng)過 2 個多月的時間，大學(xué)里最后一個學(xué)習階段 —— 畢業(yè)設(shè) 計已經(jīng)接近尾聲了。在畢業(yè)設(shè)計的過程中，鄒老師這種認真負責的工作態(tài)度，嚴謹?shù)闹螌W(xué)精神和深厚的理論水平都使我受益匪淺