【正文】 出現(xiàn)， 1969 年美國國防部高級研究計(jì)劃局建成的 ARPANET 實(shí)驗(yàn)網(wǎng)開始，計(jì)算機(jī)網(wǎng)絡(luò)在各發(fā)達(dá)國家迅速蓬勃發(fā)展，到今天復(fù)雜的 Intra 和 Inter 網(wǎng)絡(luò)，經(jīng)歷了不同的時期。下面分別介紹。硬件的 sniffer 又稱為網(wǎng)絡(luò)分析儀（協(xié)議分析儀）。如： 1)安捷倫網(wǎng)絡(luò)分析儀系統(tǒng)， 2)Fluke Optiview 綜合網(wǎng)絡(luò)協(xié)議分析儀等。黑客運(yùn)行監(jiān)聽工具暗中監(jiān)視他人的網(wǎng)絡(luò)狀況、竊取明文傳出的密碼和各種數(shù)據(jù)。許多局域網(wǎng)內(nèi)有十幾臺甚至上百臺主機(jī)是通過一個電纜、一個集線器連接在一起的，在協(xié)議的高層或者用戶來看，當(dāng)同一網(wǎng)絡(luò)中的兩臺主機(jī)通信的時候，源主機(jī)將寫有目的的主機(jī)地址的 數(shù)據(jù)包直接發(fā)向目的主機(jī)，或者當(dāng)網(wǎng)絡(luò)中的一臺主機(jī)同外界的主機(jī)通信時，源主機(jī)將寫有目的的主機(jī) IP 地址的數(shù)據(jù)包發(fā)向網(wǎng)關(guān)。在禎頭中，有兩個域分別為只有網(wǎng)絡(luò)接口 才能識別的源主機(jī)和目的主機(jī)的物理地址這是一個 48位的地址，這個 48 位的地址是與 IP 地址相對應(yīng)的，換句話說就是一個 IP 地址也會對應(yīng)一個物理地址。如果局域網(wǎng)是由一條粗網(wǎng)或細(xì)網(wǎng)連接成的，那么數(shù)字信號在電纜上傳輸信號就能夠到達(dá)線路上的每一臺主機(jī)。 WinPcap 為用戶級的數(shù)據(jù)包提供了 Windows 下的一個平臺。 WinPcap 包括三個部分：第一個模塊 NPF(Netgroup Packet Filter)，是一個虛擬設(shè)備驅(qū)動程序文件。 用于解決這些不同。 和 ： 直接映射了內(nèi)核的調(diào)用。由于 Window 操作系統(tǒng)沒有提供可以直接捕獲數(shù)據(jù)包的 API，盡管提供了一些內(nèi)核模塊，但存在著嚴(yán)重的局限性。而且 WinPcap 完全開放，提供源代碼，同時它提供了與 Libpcap 相兼容的函數(shù)接口。 store buffer用于保存從網(wǎng)絡(luò)適配器捕獲的數(shù)據(jù)包， hold bufier 則用于將數(shù)據(jù)包拷貝到用戶的 buffer中。 基于 Visual C++的網(wǎng)絡(luò)監(jiān)聽系統(tǒng) 7 從程序員的角度來看， Libpcap 是主要的部件，它隱藏了應(yīng)用程序和內(nèi)核之間的交互。 (2) WinPcap 的體系結(jié)構(gòu) WinPcap 保留了 BSD Capturing Component 最重要的模塊：一個 Filter Machine、兩種 Burfer 以及提供給用戶的庫。 Winpcap（ windows packet capture）是微軟提供的一個在 Windows 平臺下訪問 網(wǎng)絡(luò)的編程接口。它的功能陜西科技大學(xué)畢業(yè)設(shè)計(jì)說明書 8 是過濾數(shù)據(jù)包，并把這些數(shù)據(jù)包原封不動地傳給用戶態(tài)模塊，這個過程中包括了一些操作系統(tǒng)特有的代碼。調(diào)用 的程序可以運(yùn)行在不同版本的 Windows 平臺上，而無需重新編譯。 Winpcap 主要可以實(shí)現(xiàn)： (a) 捕獲原始數(shù)據(jù)報(bào)，包括在共享網(wǎng)絡(luò)上各主機(jī)發(fā)送 /接收的以及相互之間交換的數(shù)據(jù)包； (b) 在數(shù)據(jù)包發(fā)往應(yīng)用程序之前，按照自定義的規(guī)則將某些特殊的數(shù)據(jù) 包過濾掉； (c) 在網(wǎng)絡(luò)上發(fā)送原始的數(shù)據(jù)包； (d) 收集網(wǎng)絡(luò)通信過程中的統(tǒng)計(jì)信息； WinPcap 的優(yōu)點(diǎn)在于： ，并且提供了一套標(biāo)準(zhǔn)的抓包接口，與 libpcap 兼容，可使得原來許多 UNIX 平臺下的網(wǎng)絡(luò)分析工具可以快速移植，便于開發(fā)各種網(wǎng)絡(luò)分析工具。因此，它不能用于 QoS 調(diào)度程序或個人防火墻。當(dāng)數(shù)據(jù)包還在 NIC driver 的存儲器中時，統(tǒng)計(jì)模式就開始起作用，然后數(shù)據(jù)包被丟棄。運(yùn)用這一原理使信息捕獲系統(tǒng)能夠攔截的我們所要的信息，這是捕獲數(shù)據(jù)包的物理基礎(chǔ)。如果是的話，接收該數(shù)據(jù)幀，進(jìn)行物理數(shù)據(jù)幀的 CRC 校驗(yàn)，然后將數(shù)據(jù)幀提交給 LLC 子層。 (c) 直接模式（ Direct Model） :工作在直接模式下的網(wǎng)卡只接收目地址是自己 Mac地址的幀。 在 windows 情況下捕獲數(shù)據(jù)包的結(jié)構(gòu) 圖 23 捕獲數(shù)據(jù)包的結(jié)構(gòu)圖 陜西科技大學(xué)畢業(yè)設(shè)計(jì)說明書 10 Wndows 下捕獲數(shù)據(jù)包，其中 NDIS 及其特點(diǎn)是： NDIS(Network Driver Interface Specification) 是 Microsoft 和 3Com 公司聯(lián)合制定的網(wǎng)絡(luò)驅(qū)動規(guī)范，并提供了大量的操作函數(shù)。但庫中所提供的各個函數(shù)都是工作在核心模式下的，用戶不宜直接操作，這就需要尋找另外 的接口 。 (d) 然后由 Packet filter 過濾程序決定哪些數(shù)據(jù)包應(yīng)該丟棄，哪些數(shù)據(jù)包應(yīng)該接收，是否需要 將接收到的數(shù)據(jù)拷貝到相應(yīng)的應(yīng)用程序。 (f) 關(guān)閉網(wǎng)卡。 網(wǎng)絡(luò)體系 (Network Architecture):是為了完成計(jì)算機(jī)間的通信合作 ， 把每臺計(jì)算機(jī)互連的功能劃分成有明確定義的層次 ， 并規(guī)定了同層次進(jìn)程通信 的協(xié)議及相鄰之間的 接口 及服務(wù) 。網(wǎng)絡(luò)中計(jì)算機(jī)的 硬件 和軟件存在各種差異 ， 為了保證相互通信及 雙方 能夠正確地接收信息 ， 必須事先形成一種約定 ， 即網(wǎng)絡(luò)協(xié)議 . 協(xié)議 :是為實(shí)現(xiàn)網(wǎng)絡(luò)中的 數(shù)據(jù)交換 而建立的規(guī)則標(biāo)準(zhǔn)或約定 。 IP 數(shù)據(jù)包中含有發(fā)送它的主機(jī)的地址（源地址）和接收它的主機(jī)的地址（目的地址）。對于一些 TCP 和 UDP 的服務(wù)來說，使用了該選項(xiàng)的 IP 包好像是從路徑上的最后一個系統(tǒng)傳遞過來的，而不是來自于它的真實(shí)地點(diǎn)。 TCP 提供的是一種可靠的 數(shù)據(jù)流 服務(wù)，采用 “帶重傳的肯定確認(rèn) ”技術(shù)來實(shí)現(xiàn)傳輸?shù)目煽啃浴?TCP 數(shù)據(jù)包中包括序號和確認(rèn)，所以未按照順序收到的包可以被排序，而損壞的包可以被重傳。 DNS 在某些情況下使用 TCP（發(fā)送和接收 域名 數(shù)據(jù)庫），但使用 UDP 傳送有關(guān)單個主機(jī)的信息。因此， UDP 不被應(yīng)用于那些使用虛電路的面向連接的服務(wù)， UDP 主要用于那些面向查詢 應(yīng)答的服務(wù)，例如 NFS。 ICMP ICMP 與 IP 位于同一層，它被用來傳送 IP 的的控制信息。 PING 是最常用的基于 ICMP 的服務(wù)。因而，這個連接是雙工的，可以用來進(jìn)行讀寫。 (d) 目的端口 目的系統(tǒng)上的連接的端口。這些端口號是 ?廣為人知 ?的，因?yàn)樵诮⑴c特定的主機(jī)或服務(wù)的連接時，需要這些地址和目的地址進(jìn)行通訊。 Inter 的網(wǎng)絡(luò)地址是指連入 Inter 網(wǎng)絡(luò)的計(jì)算機(jī)的地址編號。 目前，在 Inter 里， IP 地址是一個 32 位的二進(jìn)制地址，為了便于記憶，將它們分為 4 組，每組 8 位，由小數(shù)點(diǎn)分開，用四個字節(jié)來表示，而且，用點(diǎn)分開的每個字節(jié)的數(shù)值范圍是 0~255，如 ，這種書寫方法叫做點(diǎn)數(shù)表示法。 A 類網(wǎng)絡(luò)用第一組數(shù)字表示網(wǎng)絡(luò)本身的地址，后面三組數(shù)字作為連接于網(wǎng)絡(luò)上的主機(jī)的地址。 到 也是保留地址，用做表示所有的 IP 地址。 (b) B 類地址 B 類地址的表示范圍為： ~，默認(rèn)網(wǎng)絡(luò)屏蔽為： ；B 類地址分配給一般的中型網(wǎng)絡(luò)。 一個 B 類 IP 地址由 2 個字節(jié)的網(wǎng)絡(luò)地址和 2 個字節(jié)的主機(jī)地址組成，網(wǎng)絡(luò)地址的最高位必須是 “10”，即第一段數(shù)字范圍為 128～ 191。 一個 C 類地址是由 3 個字節(jié)的網(wǎng)絡(luò)地 址和 1 個字節(jié)的主機(jī)地址組成，網(wǎng)絡(luò)地址的最高位必須是 “110”，即第一段數(shù)字范圍為 192～ 223。 IP 地址類別 RFC 1918 內(nèi)部地址范圍 A 類 10． 到 B 類 到 基于 Visual C++的網(wǎng)絡(luò)監(jiān)聽系統(tǒng) 15 C 類 到 使用私有地址將網(wǎng)絡(luò)連至 Inter，需要將私有地址轉(zhuǎn)換為公有地址。 D 類地址范圍： 到 。 連接到 Inter 上的每臺計(jì)算機(jī)，不論其 IP 地址屬于哪類都與網(wǎng)絡(luò)中的其它計(jì)算機(jī)處于平等地位，因?yàn)橹挥?IP 地址才是區(qū)別計(jì)算機(jī)的唯一標(biāo)識。 順便提一下幾類特殊的 IP 地址： (a) 廣播地址目的端為給定網(wǎng)絡(luò)上的所有主機(jī)，一般主機(jī)段為全 1 (b) 單播地址目的端為指定網(wǎng)絡(luò)上的單個主機(jī)地址 (c) 組播地址目的端為同一組內(nèi)的所有主機(jī)地址 (d) 環(huán)回地址 在環(huán)回測試和廣播測試時會使用 網(wǎng)關(guān)地址 若要使兩個完全不同的網(wǎng)絡(luò)（異構(gòu)網(wǎng)）連接在一起，一般使用網(wǎng)關(guān)，在 Inter 中兩個網(wǎng)絡(luò)也要通過一臺稱為網(wǎng)關(guān)的計(jì)算機(jī)實(shí)現(xiàn)互聯(lián)。 在局域網(wǎng)的 IP 地址分配中，子網(wǎng)屏蔽的 “1”部分只要和對應(yīng)的 IP 地址分類規(guī)定的前幾個二進(jìn)制數(shù)一致即可。那要如何決定所使用的子網(wǎng)掩碼， 以二進(jìn)制表示法為 ，變化是在最后一組， 11100000 便是 224，以三個位（ Bit）可表示 2 的 3 次方便是 8 個網(wǎng)絡(luò)編碼 子網(wǎng)掩碼二進(jìn)制表示法可分幾個網(wǎng)絡(luò) 以下使用 將 C 類地址 分成 8 組網(wǎng)絡(luò)編碼，各個網(wǎng)絡(luò)編碼及其廣播 IP 地址及可使用之 IP 地址序號網(wǎng)絡(luò) 編碼廣播可使用之 IP 地址 (a) (b) (c) (d) (e) (f) 陜西科技大學(xué)畢業(yè)設(shè)計(jì)說明書 18 (g) (h) 可驗(yàn) 證所使用的 IP 地址是否如上表所示 其它的子網(wǎng)掩碼所分成的網(wǎng)絡(luò)編碼可自行以上述方法自行推演出來。 主機(jī)地址：在申請 IP 地址或是闡述 TCP/IP 協(xié)議的 IP 地址分類時，用到這個術(shù)語。 (6) 子網(wǎng)劃分 內(nèi)網(wǎng)搭建的術(shù)語 : 網(wǎng)絡(luò)編碼（網(wǎng)絡(luò)號）：經(jīng)過子網(wǎng)劃分后，子網(wǎng)掩碼序列中 “1”對應(yīng)的 IP 地址部分。一個主機(jī)編碼，對應(yīng)一個網(wǎng)域（或網(wǎng)段）的一臺計(jì)算機(jī)。 (7) 協(xié)議測試 全面的測試應(yīng)包括局域網(wǎng)和互聯(lián)網(wǎng)兩個方面，因此應(yīng)從局域網(wǎng)和互聯(lián)網(wǎng)兩個方面測試，以下是在實(shí)際工作中利用命令行測試 TCP/IP 配置步驟： (a) 單擊 “開始 ”/“運(yùn)行 ”，輸入 CMD 按回車，打開命令提示符窗口。 (d) Ping 一個互聯(lián)網(wǎng)地址，看是否有數(shù)據(jù)包傳回，以驗(yàn)證與互聯(lián)網(wǎng)的連接性。在此不展開詳述。 (b) TCP/IP 協(xié)議并不依賴于特定的網(wǎng)絡(luò)傳輸硬件，所以 TCP/IP 協(xié)議能夠集成各種各樣的網(wǎng)絡(luò)。這里是一個簡單的解釋。如果它工作很好，用戶將 接受它。 用 IP 取代專有服務(wù)的需求出現(xiàn)，經(jīng)常是一個用戶要求。 IP 包的間接開銷很小，少于 1%，這樣在成本上非常有競爭性?？梢允褂?NetShell 實(shí)用程序重置 TCP/IP 堆棧，使其恢復(fù)到初次安裝操作系統(tǒng)時的狀態(tài)。 (11) 版本更新 IPV4 IPv4，是 互聯(lián)網(wǎng)協(xié)議 （ Inter Protocol， IP）的第四版，也是第一個被廣泛使用 ，構(gòu)成現(xiàn)今 互聯(lián)網(wǎng)技術(shù) 的基石的協(xié)議。它的最大問題是網(wǎng)絡(luò)地址資源有限，從理論上講，編址 1600 萬個網(wǎng)絡(luò)、 40 億臺主機(jī)。在此，專家提出 IPV6 的互聯(lián)網(wǎng)技術(shù)，也正在推行，但 IPV4 的使用過度到 IPV6 需要很長的一段過度期。到 1989 年聯(lián)網(wǎng)計(jì)算機(jī)數(shù)量突破 10 萬臺，并且同年出現(xiàn)了 的 骨干網(wǎng) 。 與 IPV4 相比， IPV6 具有以下幾個優(yōu)勢： (a) IPv6 具有更大的地址空間。 (c) IPv6 增加了增強(qiáng)的組播（ Multicast）支持以及對流的支持（ Flow Control），這使得網(wǎng)絡(luò)上的多媒體應(yīng)用有了長足發(fā)展的機(jī)會，為 服務(wù)質(zhì)量 （ QoS， Quality of Service）控制提供了良好的網(wǎng)絡(luò)平臺。在使用 IPv6 網(wǎng)絡(luò)中用戶可以對網(wǎng)絡(luò)層的數(shù)據(jù)進(jìn)行加密并對 IP 報(bào)文進(jìn)行校驗(yàn)，極大的增強(qiáng)了網(wǎng)絡(luò)的安全性。每一層均有自己的一套功能集，并與緊鄰的上層和下層交互作用。 陜西科技大學(xué)畢業(yè)設(shè)計(jì)說明書 22 圖 31 OSI 七層模型 (1) 物理層 物理層是 O S I 模型的最低層或第一層，該層包括物理聯(lián)網(wǎng)媒介， 如電纜連接器。盡管物理層不提供糾錯服務(wù)，但它能夠設(shè)定數(shù)據(jù)傳輸速率并監(jiān)測數(shù)據(jù)出錯率。 其中的地址確定了幀將發(fā)送到何處，而糾錯和控制信息則確保幀無差錯到達(dá)。 (4) 傳輸層 傳輸層主要負(fù)責(zé)確保數(shù)據(jù)可靠、順序、無錯地從Ａ點(diǎn)傳輸?shù)剑曼c(diǎn)（Ａ、Ｂ點(diǎn)可能在相同的網(wǎng)絡(luò)段也可能 不在相同的網(wǎng)絡(luò)段上）。 基于 Visual C++的網(wǎng)絡(luò)監(jiān)聽系統(tǒng) 23 (5) 會話層 會話層負(fù)責(zé)在網(wǎng)絡(luò)中的兩節(jié)點(diǎn)之間建立和維持通信。 (7) 應(yīng)用層 O S I 模型的頂端也即第七層是應(yīng)