【正文】 網(wǎng)監(jiān)聽系統(tǒng)的設(shè)計及實現(xiàn) .......................................................................... 20 局域網(wǎng)監(jiān)聽系統(tǒng)的設(shè)計 ................................................................................. 20 功能設(shè)計 ................................................................................................... 20 模塊設(shè)計 ................................................................................................... 21 局域網(wǎng)監(jiān)聽系統(tǒng)程序的實現(xiàn) ......................................................................... 22 數(shù)據(jù)包的捕獲 ........................................................................................... 23 數(shù)據(jù)包的分析 ........................................................................................... 24 網(wǎng)絡(luò)數(shù)據(jù)包流量的統(tǒng)計 ........................................................................... 28 實現(xiàn)過程中的難點和解決 ....................................................................... 28 系統(tǒng)程序運行 ................................................................................................. 29 結(jié) 論 ......................................................................................................................... 32 參 考 文 獻 ............................................................................................................... 33 致 謝 ......................................................................................................................... 341 1 緒論 課題背景 隨 著 Inter 的日益普及， Inter 已經(jīng) 普遍使用于各行各業(yè)，為 資源 共享、信息交流和 分布處理提供 了 良好 的 環(huán)境 。在 網(wǎng)絡(luò)管理 和維護中， 網(wǎng)絡(luò)管理 和維護人員經(jīng)常 使用網(wǎng)絡(luò) 監(jiān)聽技 術(shù) 監(jiān) 測網(wǎng)絡(luò)的實時狀況 、 統(tǒng)計 流量 、分析網(wǎng)絡(luò)訪問等等。 在 網(wǎng)絡(luò)攻擊防護 方面， 通 過數(shù)據(jù)截 獲 及 分析 可以捕 獲 到 穿過 防火墻而進入 網(wǎng)絡(luò) 的不合法數(shù)據(jù)， 監(jiān)控記錄 黑客的入侵進程，保證 網(wǎng)絡(luò)的安全 。網(wǎng)絡(luò)安全由內(nèi)部網(wǎng)絡(luò)安全和外部網(wǎng)絡(luò)安全構(gòu)成，保證外部網(wǎng)絡(luò)的安全性一般都采用在防火墻或者其他網(wǎng)絡(luò)設(shè)備上設(shè)置參數(shù)隔離的方法，對來自外部網(wǎng)絡(luò)的訪問的惡意攻擊進行監(jiān)控，檢測和阻止；保證內(nèi)部網(wǎng)絡(luò)安全主要是跟蹤監(jiān)控網(wǎng)絡(luò)活動，過濾網(wǎng)絡(luò)信息。目前有很多優(yōu)秀的網(wǎng)絡(luò)監(jiān)聽軟件： Sniffit: 由 Lawrence Berkeley Laboratory 開發(fā)的，在 Solaris、 Linux、 SGI等 多種 平臺 上均可 運行的網(wǎng)絡(luò)監(jiān)聽軟件 。使用 NetXRay 還可以設(shè)置許多過濾條件，而且有著 友好的圖形化界面 。 WinPcap: WinPcap 是由 Berkeley 包捕獲庫派生而來的包捕獲庫，在 Windows操作平臺上實現(xiàn)對底層包的截獲過濾。隨著中國信息技術(shù)的發(fā)展，監(jiān)聽系統(tǒng)必將大有用武之地，因此監(jiān)聽技術(shù)的研究勢在必行 。當(dāng)網(wǎng)絡(luò)上的數(shù)據(jù) 以明文的方式傳輸時，便可以 使用網(wǎng)絡(luò) 監(jiān)聽的方法進行 竊聽 。當(dāng)黑客成功地 入侵互聯(lián)網(wǎng) 上的一臺主機，并獲得了 超級 用戶權(quán)限后， 一般還會繼續(xù) 擴展戰(zhàn)果， 入侵網(wǎng)絡(luò) 中其他主機 或者獲取其他主機 的 控制 權(quán)。 以太網(wǎng)監(jiān)聽的原理 以太網(wǎng) (Ether)具有介質(zhì)共享的特性，數(shù)據(jù)是以明文的形式在網(wǎng)絡(luò)上傳輸，當(dāng)網(wǎng)絡(luò)適配器設(shè)置為混雜模式 (Promiscuous)時，由于以太網(wǎng)采用廣播信道爭用和共享傳輸介質(zhì)的方式，使得監(jiān)聽系統(tǒng)能夠連接正常通信的網(wǎng)絡(luò)，并可以捕獲在同一沖突域上傳輸?shù)娜魏我粋€數(shù)據(jù)包。如果是為本地地址，說明該數(shù)據(jù)幀是發(fā)往本機的，接收該數(shù)據(jù)幀，進行數(shù)據(jù)幀的 CRC 校驗，然后上交數(shù)據(jù)幀到 LLC 子層。 直接模式：工作在直接模式下的 網(wǎng)絡(luò)適配器 只能接收目的地址是自己的數(shù)據(jù)幀。 5 WinPcap 的原理 各種網(wǎng)絡(luò)安全應(yīng)用系統(tǒng)均是基于相應(yīng)的網(wǎng)絡(luò)數(shù)據(jù)包截獲函數(shù)開發(fā)而成的。 WinPcap 是集成于Windows 操作系統(tǒng)的設(shè)備驅(qū)動程序，它可以捕獲網(wǎng)卡收到的原始數(shù)據(jù)包，或者往網(wǎng)卡發(fā)送原始數(shù)據(jù)包，同時能夠過濾并且存儲數(shù)據(jù)包。 WinPcap 的結(jié)構(gòu)如圖 所示，主要包括三部分： 內(nèi)核級的包過濾器 (NPF) 在內(nèi)核級的 NPF 是一個經(jīng)過優(yōu)化的內(nèi)核模式驅(qū)動器，并將過濾后的數(shù)據(jù)包原封不動地傳給用戶級模塊。基于 開發(fā)的數(shù)據(jù)包截獲程序可以運行于不同的 Win32 平臺而不必重新進行編譯。所以，程序員既可以直接進入內(nèi)核級調(diào)用 中的低級函數(shù)，也可以調(diào)用由 提供的高級函數(shù)， 功能更強大，程序員使用起來也更方便。通常我們用 模塊來設(shè)計網(wǎng)絡(luò)監(jiān)聽程序，這樣在 Unix 系統(tǒng)下使用 Libpcap 編制的程序，經(jīng)過重新編譯后，就可以在 Win32 平臺上直接運行，可移植性強 。 WinPcap 的優(yōu)點在于： 獨立于主機協(xié)議來發(fā)送和接收原始數(shù)據(jù)包，并且提供了一套標(biāo)準(zhǔn)的與 Lipcap 兼容抓包接口，使得可以快 速移植許多 Unix 平臺下的網(wǎng)絡(luò)分析工具，便于各種網(wǎng)絡(luò)分析工具的開發(fā)。因此，它不能用于個人防火墻或 QOS 調(diào)度程序。正常情況下，主機只接收屬于自己的數(shù)據(jù)包，不與其它主機發(fā)生混亂，這是計算機中的網(wǎng)卡工作的結(jié)果。 9 3 相關(guān)網(wǎng)絡(luò)協(xié)議的分析 網(wǎng)絡(luò)的原理體系結(jié)構(gòu) 網(wǎng)絡(luò)協(xié)議通常分不同層次進行開發(fā)，每一層負責(zé)不同的通信功能。它們?yōu)榫W(wǎng)絡(luò)層提供數(shù)據(jù)傳輸服務(wù)，負責(zé)處理所有的硬件細節(jié)。其中 IP 是 TCP/IP 協(xié)議中最為核心的協(xié)議，所有的TCP、 UDP、 ICMP 及 IGMP 數(shù)據(jù)都以 IP 數(shù)據(jù)包格式傳輸。它所做的工作包括把應(yīng)用程序交給它的數(shù)據(jù)分成合適大小的數(shù)據(jù)段交給下面的網(wǎng)絡(luò)層，確認(rèn)接收到的分組，設(shè)置發(fā)送最后確認(rèn)分組的超時時鐘等。 應(yīng)用層 應(yīng)用層是體系結(jié)構(gòu)中的最高層，它直接為用戶應(yīng)用進程提供服務(wù)。在因特網(wǎng)中的應(yīng)用層協(xié)議很多，如提供萬維網(wǎng)服務(wù)的 HTTP協(xié)議，支持電子郵件的 SMTP 協(xié)議，支持文件傳送的 FTP 協(xié)議等等。根據(jù)幀類型字段可以判斷是哪種數(shù)據(jù)報，比如，如果是 IP 數(shù)據(jù)報，這個字段就被置為 0x0800；如果是 ARP 請求及應(yīng)答，這個字段就被置為 0x0806； 如果是 RARP 請求及應(yīng)答，這個11 字段就被置為 0x8035。 首部長度： 4 位，確定 IP 數(shù)據(jù)包首部字段的長度，基本單位為 4 字節(jié)， IP 首部長度是 20 個字節(jié)。由于該字段長 16 比特，所以 IP 數(shù)據(jù)報最長可達 65535 字節(jié)。相同的標(biāo)識字段的值使分段后的各數(shù)據(jù)包片最后能正確地重裝成原來的數(shù)據(jù)報。如果數(shù)據(jù)包由 于不能被分段而未能被轉(zhuǎn)發(fā)，那么將丟棄該數(shù)據(jù)包并向源點發(fā)送錯誤消息。由于分段到達時可能錯序，所以片偏移字段可以使接收者按照正確的順序重組數(shù)據(jù)包。 協(xié)議類型： 8 位，表示 IP 數(shù)據(jù)包的數(shù)據(jù)部分屬于什么協(xié)議。 通過以上的網(wǎng)絡(luò)層分析在協(xié)議標(biāo)識的第 10 個字節(jié)為 6 時，表示 IP 包的內(nèi)容是一個TCP segment，從而獲得網(wǎng)絡(luò)層 TCP 的數(shù)據(jù)包。 圖 ICMP 數(shù)據(jù)報格式及首部中的各字段首部 ICMP 報文的種類有兩種： ICMP 差錯報告報文和 ICMP 詢問報文。 檢驗和： 16 位，檢驗和字段覆蓋了整個 ICMP 報文。一個 TCP 報文段分為首部和數(shù)據(jù)兩部 分， TCP 數(shù)據(jù)報封裝成一份 IP數(shù)據(jù)報的格式如圖 所示。 16 圖 TCP 數(shù)據(jù)報格式及首部中的各字段 TCP 報文段首部的前 20 個字節(jié)是固定的，后面有 4n字節(jié)是根據(jù)需要而增加的選項（ n 必須是整數(shù)）。這兩個值加上 IP 首部中的源 IP 地址和目的 IP 地址可唯一標(biāo)識運行在一臺主機上的進程。首部長度指定了以 32 位字為單位的報頭長度。它們中的多個可同時被設(shè)置為 1。 檢驗和： 16 位，檢驗和覆蓋了整個的 TCP 首部和 TCP 數(shù)據(jù)。最常用的可選是最長報文長度，通知接收者發(fā)送者愿意接收的最大報文長度。 UDP 首部的各字段格式如圖 所示。 IP 數(shù)據(jù)報長度指的是數(shù)據(jù)報全長，因此 UDP 數(shù)據(jù)報長度是全長減去 IP 首部的長度。數(shù)據(jù)在傳輸過程中，就面臨著數(shù)據(jù)的封裝。 硬件環(huán)境：同一網(wǎng)段的局域網(wǎng)網(wǎng)絡(luò)環(huán)境； 一臺 PC； 一張以太網(wǎng)網(wǎng)卡。 實現(xiàn)對捕獲數(shù)據(jù)的存儲與加載，可以將捕獲到的數(shù)據(jù)存儲在磁盤上，以供分析研究。如圖 所示： 圖 監(jiān)聽系統(tǒng)模塊示意圖 初始化模塊：初始化模塊的主要功能是獲得可用的網(wǎng)卡，設(shè)置用戶選定的網(wǎng)卡的工作模式為混雜模式；并且完成初始化以及啟動 WinPcap 等工作。其中，這里主要實現(xiàn)了對 TCP 包， UDP 包和 ICMP 包的分析。通過對各模塊的設(shè)計有利于在后期的實現(xiàn)過程中對各個功能的把握，這樣能更優(yōu) 的實現(xiàn)網(wǎng)絡(luò)數(shù)據(jù)包的截獲，協(xié)議分析，數(shù)據(jù)包流量的統(tǒng)計，以及數(shù)據(jù)的輸出和保存。緩沖區(qū)由應(yīng)23 用程序動態(tài)分配。數(shù)據(jù)包捕獲功能的實現(xiàn)是基于 WinPcap所提供的 API接口函數(shù)實現(xiàn)的，它可以直接從鏈路層獲取數(shù)據(jù)幀。d。 while((res=pcap_next_ex(pthisadhandle,amp。在具體的實現(xiàn)過程中，每捕獲一個數(shù)據(jù)包就調(diào)用一次協(xié)議分析函數(shù)，實現(xiàn)對數(shù)據(jù)包25 的分析。i6。 SetTimer 函數(shù) 的第一個參數(shù) 是計時器的標(biāo)識， 相當(dāng)于 名字。 實現(xiàn)過程中的難點和解決 過濾機制 網(wǎng)絡(luò)監(jiān)聽軟件首先要解決的就是數(shù)據(jù)包的截獲。可以從以下幾個角度設(shè)置過濾條件： (1) 根據(jù)協(xié)議進行過濾。這可以根據(jù)發(fā)送數(shù)據(jù)包的源 IP 地址，或者是接收數(shù)據(jù)包的目的 IP 地址進行過濾。 (4) 服務(wù)過濾。在本29 系統(tǒng)中主要實現(xiàn)了對 TCP、 UDP、 ICMP 等協(xié)議的分析，對不屬于分析范圍的數(shù)據(jù)包統(tǒng)一用 Other 協(xié)議進行定義。為達到正確顯示數(shù)據(jù)包報頭的信息這一目的，需要對數(shù)據(jù)包報頭的數(shù)據(jù)進行轉(zhuǎn)換。最后將完成的監(jiān)聽程序在共享性的局域網(wǎng)中運行，開始運行界面如圖 ，獲得網(wǎng)卡界面如圖，運行中界面如圖 ，運行結(jié)束界面如圖 。 本論文主要研究工作如下： 分析網(wǎng)絡(luò)監(jiān)聽的技術(shù)原理，給出了系統(tǒng)的總體設(shè)計方案； 實現(xiàn)了基于 WinPcap 網(wǎng)絡(luò)數(shù)據(jù)包的捕獲功能，并在 Windows 平臺下實現(xiàn)了數(shù)據(jù)包的捕獲； 利用 TCP/IP 協(xié)議的分層理論，實現(xiàn)了對數(shù)據(jù)包的分析。本系統(tǒng)還要需要在下面幾方面做進一步的研究和改進，以適應(yīng)新技術(shù)環(huán)境下的要求。沒有實現(xiàn) IP 數(shù)據(jù)包的重組和高層協(xié)議的分析等功能