【正文】 礎(chǔ)，通過對(duì)Windows 操作系統(tǒng)平臺(tái)下網(wǎng)絡(luò)數(shù)據(jù)包捕獲模型的論述，重點(diǎn)對(duì)基于NDIS的優(yōu)秀包捕獲開發(fā)包WinPcap的結(jié)構(gòu)和功能的進(jìn)行了詳細(xì)的介紹和分析，實(shí)現(xiàn)了如何在VC++ 環(huán)境下借助WinPcap提供的各個(gè)接口函數(shù)對(duì)網(wǎng)卡進(jìn)行編程進(jìn)而對(duì)網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行捕獲和分析的方法，突出敘述了數(shù)據(jù)包捕獲在網(wǎng)絡(luò)分析中的應(yīng)用。技術(shù)方面主要側(cè)重于防范外部非法用戶的攻擊，管理方面則側(cè)重于內(nèi)部人為因素的管理。據(jù)IT界企業(yè)團(tuán)體ITAA的調(diào)查顯示，美國90％的IT企業(yè)對(duì)黑客攻擊準(zhǔn)備不足。在通常的網(wǎng)絡(luò)環(huán)境之下，用戶的信息包括口令都是以明文的方式在網(wǎng)上傳輸?shù)?，只要將網(wǎng)絡(luò)接口設(shè)置成監(jiān)聽模式，便可以源源不斷地將網(wǎng)上傳輸?shù)男畔⒔孬@，因此進(jìn)行網(wǎng)絡(luò)監(jiān)聽從而獲得用戶信息并不是一件困難的事情。在這段時(shí)間里，有幾百臺(tái)主機(jī)被泄密。服務(wù)器和用戶之間的數(shù)據(jù)傳送被“中間服務(wù)器”轉(zhuǎn)發(fā)并做了手腳之后，就會(huì)出現(xiàn)很嚴(yán)重的問題。 網(wǎng)絡(luò)數(shù)據(jù)安全的技術(shù)研究為了保證網(wǎng)絡(luò)的安全，防止網(wǎng)絡(luò)攻擊，除了對(duì)信息采用加密技術(shù)之外，還有就是與網(wǎng)絡(luò)協(xié)議相關(guān)的網(wǎng)絡(luò)安全手段，例如防火墻技術(shù)、入侵監(jiān)測技術(shù)、安全掃描技術(shù)、協(xié)議分析技術(shù)和數(shù)據(jù)包生成技術(shù)等。上一層內(nèi)容由下一層的內(nèi)容來傳輸，所以在局域網(wǎng)中，“包”是包含在“幀”里的。包”聽起來非常抽象，那么是不是不可見的呢？通過一定技術(shù)手段，是可以感知到數(shù)據(jù)包的存在的。那么如何捕獲這些數(shù)據(jù)包呢？ 網(wǎng)絡(luò)數(shù)據(jù)包捕獲原理由于目前用的最多的網(wǎng)絡(luò)形式是以太網(wǎng)[2]，在以太網(wǎng)上，數(shù)據(jù)是以被稱為幀的數(shù)據(jù)結(jié)構(gòu)為單位進(jìn)行交換的，而幀（數(shù)據(jù)包）是用被稱為帶碰撞檢測的載波偵聽多址訪問即CSMA/CD（carrier sense multiple access wim collision dctection)的方式發(fā)送的，在這種方法中，發(fā)送到指定地址的幀實(shí)際上是發(fā)送到所有計(jì)算機(jī)的，只是如果網(wǎng)卡檢測到經(jīng)過的數(shù)據(jù)不是發(fā)往自身的，簡單忽略過去而已。不同的操作系統(tǒng)實(shí)現(xiàn)的底層包捕獲機(jī)制可能是不一樣的，但從形式上看大同小異。對(duì)用戶程序而言，包捕獲機(jī)制提供了一個(gè)統(tǒng)一的接口，使用戶程序只需要簡單的調(diào)用若干函數(shù)就能獲得所期望的數(shù)據(jù)包。應(yīng)用程序可以使用它進(jìn)行網(wǎng)絡(luò)通信而不需要知道底層發(fā)生的細(xì)節(jié)。原始套接字可以用來發(fā)送和接收IP層以上的原始數(shù)據(jù)包,比如ICMP,TCP,UDP,而且能夠?qū)W(wǎng)絡(luò)底層的傳輸機(jī)制進(jìn)行控制。同時(shí)LibPcap是一個(gè)獨(dú)立于系統(tǒng)接口的用戶級(jí)的抓包庫,它為底層網(wǎng)絡(luò)監(jiān)聽提供了可移植框架。開發(fā)WinPcap這個(gè)項(xiàng)目的目的在于為Win32應(yīng)用程序提供訪問網(wǎng)絡(luò)底層的能力。目前JPcap在FreeBSD ，Linux RedHat ，Solaris和Microsoft Windows 2000/XP系統(tǒng)上已經(jīng)做過測試，并且支持Ethernet，IPv4，IPv6，ARP/RARP，TCP，UDP，ICMPv4協(xié)議。這個(gè)數(shù)據(jù)包捕獲架構(gòu)是由加州大學(xué)和Lawrence Berkeley實(shí)驗(yàn)室及其投稿者聯(lián)合開發(fā)的，提供了用戶級(jí)BPF過濾；，將BPF過濾增加到內(nèi)核中并增加了內(nèi)核緩存；，該版對(duì)libpcap ，并可支持更多的網(wǎng)絡(luò)類型；2001年1月30日推出了2．2版；2002年3月28日推出了2．3版；2003年1月lO日推出了3．O版，增加了NPF設(shè)備驅(qū)動(dòng)的一些新的特性及優(yōu)化方案。因此，它不能用于QoS調(diào)度程序或個(gè)人防火墻。還有一個(gè)簡單的監(jiān)聽軟件叫Passwordsniffer，可截獲郵箱用戶名和密碼，還有ftp用戶名和密碼，它只能用在HUB網(wǎng)絡(luò)上。 WinPcap內(nèi)部結(jié)構(gòu)Winpcap是針對(duì)Win32平臺(tái)上的抓包和網(wǎng)絡(luò)分析的一個(gè)架構(gòu)，它由內(nèi)核級(jí)的網(wǎng)絡(luò)組包過濾器（Netgroup Packet Filter，NPF）、 3個(gè)模塊組成[7]。在Win95/98/ME系統(tǒng)中，它以VXD文件形式存在，在Windows NT和Windows 2000系統(tǒng)中，它以SYS文件形式存在。、動(dòng)態(tài)驅(qū)動(dòng)器加載以及獲得主機(jī)掩碼及以太網(wǎng)沖突次數(shù)等低級(jí)操作。這樣功能更強(qiáng)，使用也更為方便。 根據(jù)TCP/IP協(xié)議，機(jī)器接收到一個(gè)以太網(wǎng)數(shù)據(jù)包時(shí)，數(shù)據(jù)從協(xié)議棧中由底向上升，同時(shí)去掉各層協(xié)議加上的報(bào)文首部，每層協(xié)議都要檢查報(bào)文首部的協(xié)議表示，以確定數(shù)據(jù)的上層協(xié)議。目前有IPvIPv6。如果選項(xiàng)字段有其它數(shù)據(jù)，則這個(gè)值會(huì)大于5。如果4位TOS子字段均為0，那么就意味著是一般服務(wù)。由于該字段長16比特，所以IP數(shù)據(jù)報(bào)最長可達(dá)65535字節(jié)。但這個(gè)“標(biāo)識(shí)”并不是序號(hào)，因?yàn)镮P是無連接服務(wù)，數(shù)據(jù)報(bào)不存在按序接收的問題。標(biāo)志：3位，但目前只有2位有意義。t Fragment），意思是“不能分片”。片偏移以8個(gè)字節(jié)為偏移單位，這就是說，每個(gè)分片的長度一定是8字節(jié)（64位）的整數(shù)倍。每經(jīng)過一個(gè)路由器時(shí)，就把TTL減去數(shù)據(jù)報(bào)在路由器消耗掉的一段時(shí)間。協(xié)議：8位。ICMP，UDP，TCP在它們各自的首部中均含有同時(shí)覆蓋首部和數(shù)據(jù)檢驗(yàn)和碼。源IP地址：32位，發(fā)送IP的主機(jī)地址。目的端口（Destination Port ）：2字節(jié)，目的端口號(hào)。解決方法是必要時(shí)在最后增加填充字節(jié)0，這只是為了校驗(yàn)和的計(jì)算（也就是說，可能增加的填充字節(jié)不被傳送）。如果不計(jì)任選字段，它通常是20個(gè)字節(jié)。ICMP報(bào)文只是在前4個(gè)字節(jié)有統(tǒng)一的格式，共有類型、代碼和校驗(yàn)和3個(gè)字段。2） 解壓下載的WinPcap開發(fā)包，將Include文件夾里的文件全部復(fù)制到VC目錄下的Include文件夾中，同理復(fù)制開發(fā)包中Lib文件夾中的文件到VC目錄下的Lib文件夾中。其中內(nèi)核部分負(fù)責(zé)從網(wǎng)絡(luò)中捕獲和過濾數(shù)據(jù)，這可以通過調(diào)用WinPcap豐富的接口函數(shù)實(shí)現(xiàn)。include void main() 　　{ pcap_if_t *alldevs。 /*未獲取網(wǎng)卡，返回網(wǎng)卡列表，alldevs指向表頭*/ if (pcap_findalldevs_ex(PCAP_SRC_IF_STRING, NULL, amp。d。 } if(i==0) { printf(\nNo interfaces found! Make sure WinPcap is installed.\n)。return 0。 udp_header *uh。 u_short totallen。 strftime( timestr, sizeof timestr, %H:%M:%S, ltime)。 totallen = ntohs(ihtlen)。 strcpy(pkttimestr, timestr)。 memcpy(amp。(pktTcpHead), th, sizeof(tcp_header))。 } }這里列舉UDP包的分析實(shí)現(xiàn)代碼：char ip_len[8] = 。 //分段偏移，12bits char live[8] = 。 //源IP，16bits char desIP[16] = 。 //UDP長度，16bits char crc[16] = 。 pDCTextOut(7*width, height, 4)。 pDCTextOut(7*width, 2*height, ip_len)。 sprintf(szLen, %d, ntohs(mypacket[mycon].)+18)。 pDCTextOut(7*width, 5*height, identifier)。 pDCTextOut(7*width, 6*height, offset)。 pDCTextOut(0, 8*height, 協(xié)議：)。 pDCTextOut(0, 9*height, 頭校驗(yàn)和：)。 sprintf(srcIP, %d.%d.%d.%d, mypacket[mycon]., mypacket[mycon]., mypacket[mycon]., mypacket[mycon].)。 pDCTextOut(7*width, 11*height, desIP)。 pDCTextOut(7*width, 14*height, srcport)。 pDCTextOut(0, 16*height, UDP長度：)。 sprintf(crc, %d, ntohs(mypacket[mycon].))。 問題的解決上網(wǎng)查找資料后才得知，winpcap ++6環(huán)境下編譯會(huì)出現(xiàn)這兩個(gè)錯(cuò)誤，原因是vc++++99標(biāo)準(zhǔn)，在64位cpu中編譯會(huì)有問題，覆蓋原來的Include和Lib文件夾后重新編譯，錯(cuò)誤提示不再出現(xiàn)。2）包過濾器點(diǎn)擊工具欄上的,彈出如圖46窗口：圖46 包過濾器選擇界面程序會(huì)抓取勾選的數(shù)據(jù)包，可復(fù)選。運(yùn)行結(jié)果如圖47所示：圖47 程序運(yùn)行后的界面圖47所示的包的數(shù)據(jù)，一個(gè)數(shù)字相當(dāng)于4個(gè)比特，一對(duì)數(shù)字就是一個(gè)字節(jié)。5 總結(jié)和展望 本文主要工作這次課題針對(duì)網(wǎng)絡(luò)數(shù)據(jù)包的捕獲和協(xié)議分析進(jìn)行了設(shè)計(jì)并實(shí)現(xiàn)。通過研究這方面的課題，可以更深刻地理解網(wǎng)絡(luò)各層通訊協(xié)議的機(jī)理，也加強(qiáng)了網(wǎng)絡(luò)編程的技巧。畢業(yè)設(shè)計(jì)是一次綜合性的訓(xùn)練，是對(duì)大學(xué)里過去四年學(xué)習(xí)的總結(jié)、應(yīng)用以及檢驗(yàn)。參考文獻(xiàn)[1][M].．[2][3][4][5][6][7]胡曉元,[8] :The Protocals[M].機(jī)械工業(yè)出版社[9]許愛軍,謝娟,