【正文】 開發(fā)包，在VC++環(huán)境下編寫出了一款簡(jiǎn)單的軟件對(duì)數(shù)據(jù)包信息按TCP協(xié)議類型、UDP 協(xié)議類型和特定IP地址進(jìn)行分類捕獲，捕獲出所需要的敏感信息，并且將捕獲出來(lái)的信息寫入數(shù)據(jù)庫(kù)。因此建立網(wǎng)絡(luò)安全系統(tǒng)是我們現(xiàn)在迫切需求，這項(xiàng)工作對(duì)我們來(lái)說(shuō)具有重大的政治和經(jīng)濟(jì)意義面對(duì)這種形式研究并開發(fā)出一種能方便有效的實(shí)時(shí)監(jiān)視和捕獲可疑網(wǎng)絡(luò)信息的系統(tǒng)迫在眉睫。但同時(shí)某些不法分子利用網(wǎng)絡(luò)的漏洞非法入侵他人的主機(jī)系統(tǒng)，有的利用網(wǎng)絡(luò)盜取他人個(gè)人信息，如網(wǎng)上銀行帳號(hào)密碼等，對(duì)他人財(cái)產(chǎn)安全造成了重大威脅。 information analysis 。另外，還能實(shí)現(xiàn)一些功能，如對(duì)指定的 IP 地址進(jìn)行數(shù)據(jù)包的捕獲，對(duì)捕獲結(jié)果進(jìn)行顯示等。因此，研究并開發(fā)出一種能夠有效地實(shí)時(shí)捕獲網(wǎng)絡(luò)信息的系統(tǒng)具有極其重要的意義。在網(wǎng)絡(luò)技術(shù)發(fā)展與普及的同時(shí)，網(wǎng)絡(luò)安全問(wèn)題引起了人們的廣泛關(guān)注。通過(guò)運(yùn)用 WinPcap 開發(fā)包實(shí)現(xiàn)網(wǎng)絡(luò)數(shù)據(jù)包的捕獲 ，利用 TCP/IP 協(xié)議的封裝理論和自下而上的分析實(shí)現(xiàn)了數(shù)據(jù)包信息的分析，并且將分析出來(lái)的信息存入數(shù)據(jù)庫(kù)。 data capture。全球范圍內(nèi)的網(wǎng)絡(luò)互聯(lián)給人們的生活和工作帶來(lái)了方便，人們正享受網(wǎng)絡(luò)技術(shù)帶給我們美好生活。目前我國(guó)正在進(jìn)行大規(guī)模的現(xiàn)代化經(jīng)濟(jì)建設(shè)，需要使用自己的網(wǎng)絡(luò)和信息安全系統(tǒng)來(lái)保護(hù)自己的網(wǎng)絡(luò)和信息系統(tǒng)，尤其是對(duì)于全國(guó)性大型計(jì)算機(jī)網(wǎng)絡(luò)而言，必須將網(wǎng)絡(luò)安全和信息安全放在非常重要的地位上，而從長(zhǎng)遠(yuǎn)角度看，這只能依靠我們自己解決。 本課題研究的相關(guān)技術(shù)及方法網(wǎng)絡(luò)數(shù)據(jù)捕獲技術(shù)是獲取信息的關(guān)鍵技術(shù)，它通過(guò)監(jiān)聽技術(shù)，過(guò)濾技術(shù)獲取原始數(shù)據(jù)，根據(jù)TCP/IP分層理論進(jìn)行層層拆解，提取相關(guān)協(xié)議中的信息。 Winpcap 簡(jiǎn)介Winpcap（windows packet capture）是 Windows 平臺(tái)下一個(gè)免費(fèi)，公共的網(wǎng)絡(luò)訪問(wèn)系統(tǒng)。也就是說(shuō)，Winpcap不能阻塞、過(guò)濾或控制其他應(yīng)用程序數(shù)據(jù)報(bào)的發(fā)收，它僅僅只是監(jiān)聽共享網(wǎng)絡(luò)上傳送的數(shù)據(jù)報(bào)。它的主要功能是過(guò)濾數(shù)據(jù)包，并把這些數(shù)據(jù)包原封不動(dòng)地傳給用戶態(tài)模塊。事實(shí)上，不同版本的Windows 平臺(tái)在內(nèi)核層模塊和用戶進(jìn)程之間的接口不完全相同。它包括了一些比如過(guò)濾器生成、用戶級(jí)緩沖等其它的高層函數(shù)，增加了比如統(tǒng)計(jì)和包發(fā)送等更高級(jí)的特性。 提供了更加友好、功能更加強(qiáng)大的函數(shù)調(diào)用。Winpcap 結(jié)構(gòu)圖如下： 4 圖 2 NPF device driver2 基于信息捕獲的相關(guān)理論基礎(chǔ) TCP/IP 協(xié)議TCP/IP（Transfer Contrcol/Inter Protocol）傳輸控制協(xié)議/ 網(wǎng)際協(xié)議起源于60年代末美國(guó)政府資助的一個(gè)分組交換網(wǎng)絡(luò)研究項(xiàng)目，到90年代已發(fā)展成為計(jì)算機(jī)之間最常應(yīng)用的組網(wǎng)形式?，F(xiàn)已成為全球互聯(lián)網(wǎng)中的基礎(chǔ)。網(wǎng)絡(luò)層：有時(shí)也稱作互聯(lián)網(wǎng)層，處理分組在網(wǎng)絡(luò)中的活動(dòng)，例如分組的選路。TCP為 兩臺(tái)主機(jī)提供高可靠性的數(shù)據(jù)通信。任何必需的可靠性必須由應(yīng)用層來(lái)提供。 應(yīng)用層關(guān)心的是應(yīng)用程序的細(xì)節(jié)，它不關(guān)心數(shù)據(jù)在網(wǎng)絡(luò)中的傳輸。雖然TCP使用不可靠的IP服務(wù) ，但它卻提供一種可靠的運(yùn)輸層服務(wù)。傳輸層中的TCP、UDP為應(yīng) 用層提供可靠的或不可靠網(wǎng)絡(luò)傳輸?shù)木W(wǎng)絡(luò)傳輸服務(wù)。然后逐個(gè)通過(guò)每一層直到被當(dāng)作一串比特流送入網(wǎng)絡(luò)。通過(guò)以太網(wǎng)傳輸?shù)谋忍亓鞣Q作幀(Frame)。這個(gè)過(guò)程稱作分用（Demultiplexing ），圖6顯示了該過(guò)程是如何發(fā)生的。 IP數(shù)據(jù)報(bào)的首部信息如圖7：圖7 IP數(shù)據(jù)報(bào)格式及首部中的各字段IP各域的含義如下： 版本：當(dāng)前IP協(xié)議的版本號(hào)，本論文采用的版本號(hào)為4。標(biāo)識(shí)：信源主機(jī)賦予每個(gè)IP數(shù)據(jù)報(bào)的唯一標(biāo)識(shí)符號(hào)，用于控制分片及其重組。頭標(biāo)校驗(yàn)和：用于保證頭標(biāo)數(shù)據(jù)的完整性。TCP首部的各字段如圖8所示：IP 首部 TCP 首部 TCP 數(shù)據(jù)IP 數(shù)據(jù)報(bào)TCP 報(bào)文段20 字節(jié) 20 字節(jié)圖 8 TCP 數(shù)據(jù)在 IP 數(shù)據(jù)報(bào)中的封裝TCP協(xié)議頭部信息如下：源端口：發(fā)送端TCP端口號(hào)。頭標(biāo)長(zhǎng)度：以32bit為單 位的段頭標(biāo)長(zhǎng)度，是針對(duì)變長(zhǎng)的“ 選項(xiàng)”域設(shè)計(jì)的。UDP協(xié)議是英文User Datagram Protocol的縮寫，即用戶數(shù)據(jù)報(bào)協(xié)議，主要用來(lái)支持那些需要在計(jì)算機(jī)之間傳輸數(shù)據(jù)的網(wǎng)絡(luò)應(yīng)用。只有校 驗(yàn)和有些不同，除 UDP數(shù)據(jù)報(bào)本身外，它還 覆蓋一個(gè)附加的“偽頭標(biāo)”。而有的人，就利用這些隱患，通過(guò)網(wǎng)絡(luò)來(lái)發(fā)送一些包含色情，反動(dòng)等不良內(nèi)容的信息，達(dá)到擾亂正常社會(huì)秩序的目的。在網(wǎng)絡(luò)入侵取證系統(tǒng)中，對(duì)網(wǎng)絡(luò)上傳送的數(shù)據(jù)包進(jìn)行有效的監(jiān)聽即捕獲包是目前取證的關(guān)鍵技術(shù)，只有進(jìn)行高效的數(shù)據(jù)包捕獲，網(wǎng) 絡(luò)管理員才能對(duì)所捕獲的數(shù)據(jù)進(jìn)行一系列的分析，從而進(jìn)行可靠的網(wǎng)絡(luò)安全管理。所以本軟件需要 設(shè)計(jì)出按TCP 協(xié)議類型和按UDP協(xié)議類 型來(lái)過(guò)濾網(wǎng)絡(luò)中的數(shù)據(jù)。網(wǎng)絡(luò)上數(shù)據(jù)包的捕獲是入侵檢測(cè)系統(tǒng)的基礎(chǔ)，關(guān)鍵是要保證高速的安全管理和低的丟包率。如果不能保證較強(qiáng)的穩(wěn)定性的話，那么軟件對(duì)信息過(guò)濾的效率和功能有很大的局限性，對(duì)數(shù)據(jù)信息過(guò)濾就是失敗的。并且，將這些捕獲 出來(lái)的數(shù)據(jù)包的基本信息存入到數(shù)據(jù)庫(kù)中，提供給網(wǎng)絡(luò)管理員使用和進(jìn)一步的分析。獲程序。return。參數(shù)5為錯(cuò)誤信息緩存。代碼如下//這里創(chuàng)建一個(gè)線程來(lái) 處理數(shù)據(jù)LPDWORD ThID=NULL。struct pcap_pkthdr *header。while((res=pcap_next_ex(m_dlgadhandle,amp。}return 1。從網(wǎng)絡(luò)適配器中捕獲數(shù)據(jù)的為原始數(shù)據(jù)（raw data），這些原始數(shù)據(jù)為 二進(jìn)制格式，必須轉(zhuǎn)化為能比較好明白的格式，這就要求將這些原始數(shù)據(jù)能按照網(wǎng)絡(luò)數(shù)據(jù)傳輸?shù)木唧w格式來(lái)保存，主要為了能較好的讀懂相關(guān)的信息，以便使用者分析。udp* udph。ltime=localtime(amp。//ip 頭int iplen=(ihver_ihl amp。//IP 數(shù)據(jù)包長(zhǎng)度sprintf(TTL,%d,ihttl)。if(ihproto == 6 ) //這里是 TCP 數(shù)據(jù)包{strcpy(proto,TCP)。 //目的端口// sprintf(Sport,%d,tcphsport)。 //TCP 首部長(zhǎng)度sprintf(date,%X,tcphcontent)。 //源端口u_dport = ntohs(udphdport)。 //TCP 首部長(zhǎng)度sprintf(date,%X,udphcontent)。}1．把捕獲到的數(shù)據(jù)包寫入數(shù)據(jù)庫(kù)中的操作：相關(guān)數(shù)據(jù)信息捕獲分析完畢后，接下來(lái)就是對(duì)數(shù)據(jù)的保存。///連接數(shù)據(jù)庫(kù)}catch(__error e)///捕捉異常{ AfxMessageBox(數(shù)據(jù)庫(kù)連接失敗，確認(rèn)數(shù)據(jù)庫(kù) 是否在當(dāng)前路徑下!)。m_pRecordsetOpen(SELECT * FROM 目標(biāo)IP,(),adOpenDynamic,adLockOptimistic,adCmdText)。m_pRecordsetPutCollect(IP 數(shù)據(jù)包長(zhǎng)度, _variant_t(IPDateLength))。m_pRecordsetPutCollect(目的 IP 地址, _variant_t(DIP))。}catch(__error *e){AfxMessageBox(eErrorMessage())。if((TCP 表單)==0){(10,amp。pColumn)。(11,amp。return。} // 讀入庫(kù)中各字段并加入列表框中while(!m_pRecordsetrsEOF){var = m_pRecordsetGetCollect(編號(hào))。 } … 用戶界面模塊根據(jù)上面三個(gè)模塊的分析，直接與用戶相關(guān)聯(lián)的操作有：為Winpcap 指定一個(gè)具體的網(wǎng)絡(luò)適配器，選擇需要過(guò)濾的數(shù)據(jù)類型或者想要過(guò)濾的特定 IP 地址發(fā)送的 TCP 和 UDP 信息?？紤]到用戶使用群的方便、簡(jiǎn)潔，同時(shí) Winpcap 提供了查找網(wǎng)絡(luò)設(shè)備的函數(shù)，故選擇了第二種方式來(lái)實(shí)現(xiàn)本功能。具體界面如下： 21 圖 13 主界面外觀用戶界面第一行為軟件找網(wǎng)卡設(shè)備，設(shè)計(jì)成的是一個(gè)下拉列表，能夠把找到的網(wǎng)卡信息都列出來(lái)。其中，IP 地址 這一欄，默認(rèn)的是本地主機(jī)的 IP 地址。單擊開始按鈕，系 統(tǒng)開始執(zhí)行捕獲相應(yīng)的數(shù)據(jù)包信息，顯示捕獲數(shù)據(jù)包的個(gè)數(shù)，并且將捕獲出來(lái)的信息寫入 ACCESS 數(shù)據(jù)庫(kù)；單擊停止按鈕，系統(tǒng)停止捕獲數(shù)據(jù)包信息，并且斷開與數(shù)據(jù)庫(kù)的連接；單擊顯示數(shù)據(jù)按鈕， 會(huì)彈 出一個(gè)消息框，消息框里有一個(gè)下拉列表，可以選擇用戶想要查看的數(shù)據(jù)庫(kù)中的 3 張不同的表單，選中其中一項(xiàng)，會(huì)將數(shù)據(jù)庫(kù)中的相應(yīng)表中的相應(yīng)列和相應(yīng)項(xiàng)顯示在下面的消息框中；而單擊退出按鈕， 則是退出該軟件。由于使用了開源軟件 Winpcap，使用者在使用本軟件的時(shí)候，需要安裝 Winpcap。在整個(gè)軟件的開發(fā)過(guò)程中，本人經(jīng)歷了對(duì) VC++開發(fā)環(huán)境的熟悉、網(wǎng)絡(luò)基本知識(shí)的進(jìn)一步熟悉、Winpcap 等相關(guān)技術(shù)的學(xué)習(xí)和研究,對(duì)本軟件開發(fā)方案的選擇以及信息捕獲的相關(guān)知識(shí)的學(xué)習(xí)。本軟件也存在一些不盡人意的地方，功能也比較簡(jiǎn)單， 這些都是有待完善的地方。同時(shí)我也發(fā)現(xiàn)了自身的許多不足之處，有待在將來(lái)的工作中進(jìn)一步的學(xué)習(xí)和完善。在此向他表示我最衷心的感謝！感謝我的同學(xué)在課題研究初期給予的幫助，正是因?yàn)樵谒膸椭抡n題才得以很好的展開，有了一個(gè)很好的開端！使我的課題得以順利地完全地達(dá)到了預(yù)期的目標(biāo)，并使論文最終得以順利地完成。[4]陳堅(jiān) ,陳偉 ．Visual c++ 網(wǎng)絡(luò)高級(jí)編程[M]．北京：人民郵電出版社,2022。 28