【正文】 在畢業(yè)設(shè)計(jì)的過(guò)程中，鄒老師這種認(rèn)真負(fù)責(zé)的工作態(tài)度，嚴(yán)謹(jǐn)?shù)闹螌W(xué)精神和深厚的理論水平都使我受益匪淺。在對(duì)當(dāng)今網(wǎng)絡(luò)數(shù)據(jù)捕獲和分析的有關(guān)基本實(shí)現(xiàn)機(jī)理、方法和手段進(jìn)行分析的基礎(chǔ)上，通過(guò)網(wǎng)絡(luò)數(shù)據(jù)包捕獲函數(shù) WinPcap 的工作機(jī)理和內(nèi)部架構(gòu)，描述了網(wǎng)絡(luò)數(shù)據(jù)包捕獲和分析程序的層次結(jié)構(gòu)，給出了具體的通過(guò)調(diào)用 WinPcap 來(lái)捕獲和分析數(shù)據(jù)包的程序的設(shè)計(jì)與實(shí)現(xiàn)方法以及對(duì)數(shù)據(jù)包的具體分析。如果未勾選任一頂，則默認(rèn) 3種包都抓取。 pDCTextOut(7*width, 17*height, crc)。 pDCTextOut(0, 15*height, 目的端口： )。 pDCTextOut(7*width, 10*height, srcIP)。 sprintf(proto, %d, int(mypacket[mycon].))。 pDCTextOut(0, 6*height, 分段偏移： )。 pDCTextOut(0, 3*height, 服務(wù)類(lèi)型： )。 //UDP 檢驗(yàn)和， 16bits if(pDocGetCount() != 1) { int mycon = pDocGetCount()。 //生命周期， 8bits char proto[8] = 。 } if(int(ihproto) == 1) //如果是 ICMP 包就從解開(kāi) ICMP 頭并將其賦給 ich { ich = (icmp_header *)((u_char*)ih + ip_len)。 memcpy(amp。 ih = (ip_header *) (pkt_data +14)。 tcp_header *th。 return。alldevs, errbuf) == 1) { fprintf(stderr,Error in pcap_findalldevs: %s\n, errbuf)。用戶(hù)分析部分主要負(fù)責(zé)界面、數(shù)據(jù)轉(zhuǎn)化與處理、格式化、協(xié)議分析等。如圖 38 所示。 UDP 數(shù)據(jù)報(bào)和 TCP 段都包含一個(gè) 12字節(jié)長(zhǎng)的偽首部，它是為了計(jì)算校驗(yàn)和而設(shè)置的。 目的 IP 地址： 32 位，數(shù)據(jù)發(fā)往的 IP 主機(jī)地址。協(xié)議字段指出此數(shù)據(jù)報(bào)攜帶的數(shù)據(jù)是使用何種協(xié)議（上層協(xié)議），以便使目的主機(jī)的 IP層知道應(yīng)將數(shù)據(jù)部分上交給哪個(gè)處理過(guò)程。 12 生存時(shí)間： 8 位，生存時(shí)間字段常用的的英文縮寫(xiě)是 TTL（ Time To Live），表明是數(shù)據(jù)報(bào)在網(wǎng)絡(luò)中的壽命。標(biāo)志字 段中的最低位記為 MF（ More Fragment）。 標(biāo)識(shí)： 16位，唯一地標(biāo)識(shí)主機(jī)發(fā)送的每一份數(shù)據(jù)報(bào)。由上面也可知 IP首部最小 長(zhǎng)度為 20字節(jié)，最大長(zhǎng)度為（ 2的 4次方 1） *32/8＝ 60字節(jié)。根據(jù)以太網(wǎng)數(shù)據(jù)鏈路層的幀格式，網(wǎng)絡(luò)適配器的驅(qū)動(dòng)程序會(huì)自動(dòng)計(jì)算校驗(yàn)和，并取走幀中的前同步碼和校驗(yàn)和字段，因此 WinPcap 接收的數(shù)據(jù)包僅僅是其中的幀頭和載荷部分，即捕獲到的是幀結(jié)構(gòu)中的“目標(biāo) MAC 地址”、“源 MAC 地址”、“幀類(lèi)型”、“幀中數(shù)據(jù)”這四部分。 模塊與 Unix 系統(tǒng)下的 BSD 截獲架構(gòu)提供的 Libpcap庫(kù)完全兼容。在 Win95/98/ME 系統(tǒng)中，它以 VXD 文件形式存在，在 Windows NT 和 Windows 2020 系統(tǒng)中，它以 SYS 文件形式存在。還有一個(gè)簡(jiǎn)單的監(jiān)聽(tīng)軟件叫Passwordsniffer，可截獲郵箱用戶(hù)名和密碼，還有 ftp 用戶(hù)名和密碼，它只能用在 HUB網(wǎng)絡(luò)上。 WinPcap 的最新版本是 。它提供以下四項(xiàng)功能： 1） 捕獲原始數(shù)據(jù)報(bào) ,包括共享網(wǎng)絡(luò)上各主機(jī)發(fā)送 /接收的以及相互之間交換的數(shù)據(jù) 6 報(bào)； 2） 在數(shù)據(jù)報(bào)發(fā)往應(yīng)用程序之前，按照自定義的規(guī)則將某些特殊的數(shù)據(jù)報(bào)過(guò)濾掉； 3） 在網(wǎng)絡(luò)上發(fā)送原始的數(shù)據(jù)報(bào)； 4） 收集網(wǎng)絡(luò)通信過(guò)程中的統(tǒng)計(jì)信息。原始套接字的作用主要有三個(gè)方面： 1）接收發(fā)向本機(jī)的 ICMP,IGMP 協(xié)議包 ,或者發(fā)送這些協(xié)議包； 2）接收發(fā)向本機(jī)的 IP 包； 3）發(fā)送自定義的 IP 包。這樣一來(lái)，針對(duì)特定操作系統(tǒng)的捕獲機(jī)制對(duì)用戶(hù)透明，使用戶(hù)程序有比較好的可移植性。正是這種基于 CSMS/CD 的廣播機(jī)制，這就給連接在網(wǎng)絡(luò)上的計(jì)算機(jī)捕獲來(lái)自于其他主機(jī)的數(shù)據(jù)帶來(lái)了可能，即通過(guò)對(duì)網(wǎng)絡(luò)接口的設(shè)置可以使網(wǎng)卡能夠接收到所有經(jīng)過(guò)該機(jī)器的數(shù)據(jù)，然后將這些數(shù)據(jù)做相應(yīng)處理并實(shí)時(shí)分析這些數(shù)據(jù)的內(nèi)容，進(jìn)而分析網(wǎng)絡(luò)當(dāng)前狀態(tài)和整體布局。用一個(gè)形象一些的例子對(duì)數(shù)據(jù)包的概念加以說(shuō)明：我們?cè)卩]局郵寄產(chǎn)品時(shí)，雖然產(chǎn)品本身帶有自己的包裝盒，但是在郵寄的時(shí)候只用產(chǎn)品原包裝盒來(lái)包裝顯然是不行的。例如：冒充域名服務(wù)器的攻 擊，也就是 DNS 欺騙。例如目 2 前使用最廣泛的 TCP/IP 協(xié)議就存在很多安全缺陷，而 FTP、 POP 和 Tel 協(xié)議在本質(zhì)上也是不安全的，從而很多網(wǎng)絡(luò)的攻擊就是針對(duì)這些不安全協(xié)議進(jìn)行的。如何更有效地保護(hù)重要的信息數(shù)據(jù)、提高計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全性已經(jīng)成為所有計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用必須考慮和必須解決的一個(gè)重要問(wèn)題。 作者簽名： 指導(dǎo)教師簽名： 日期： 日期： 1 注 意 事 項(xiàng) （論文）的內(nèi)容包括： 1）封面（按教務(wù)處制定的標(biāo)準(zhǔn)封面格式制作） 2）原創(chuàng)性聲明 3）中文摘要（ 300 字左右）、關(guān)鍵詞 4）外文摘要、關(guān)鍵詞 5）目次頁(yè)（附件不統(tǒng)一編入） 6）論文主體部分：引言（或緒論）、正文、結(jié)論 7）參考文獻(xiàn) 8）致謝 9）附錄（對(duì)論文支持必要時(shí)） ：理工類(lèi)設(shè)計(jì)（論文）正文字?jǐn)?shù)不少于 1 萬(wàn)字（不包括圖紙、程序清單等），文科類(lèi)論文正文字?jǐn)?shù)不少于 萬(wàn)字。 畢業(yè)設(shè)計(jì)（論文） 題 目： 網(wǎng)絡(luò)抓包與協(xié)議分析軟件 的設(shè)計(jì)與開(kāi)發(fā) 0 畢業(yè)論文（設(shè)計(jì)）原創(chuàng)性聲明 本人所呈交的畢業(yè)論文（設(shè)計(jì)） 是我在導(dǎo)師的指導(dǎo)下進(jìn)行的研究工作及取得的研究成果。 ：任務(wù)書(shū)、開(kāi)題報(bào)告、外文譯文、譯文原文（復(fù)印件）。 可以這樣來(lái)定義網(wǎng)絡(luò)數(shù)據(jù)安全：所謂網(wǎng)絡(luò)數(shù)據(jù)安全，指的是網(wǎng)絡(luò)系統(tǒng)的硬件、軟件和數(shù)據(jù)信息能夠受到保護(hù)，不會(huì)因?yàn)榕既换驉阂獾脑蚨獾狡茐摹⒏摹⑿孤?，同時(shí)系統(tǒng)能夠連續(xù)、可靠地運(yùn)行，網(wǎng)絡(luò)服務(wù)不被中斷。 1994 年一個(gè)最大的嗅探器 (Sniffer，網(wǎng)絡(luò)數(shù)據(jù)監(jiān)聽(tīng)器 )攻擊被發(fā)現(xiàn)，這次攻擊被人們普遍認(rèn)為是記載中最為嚴(yán)重的一次，攻擊者處于 ，使許多以 FTP、 Tel 或遠(yuǎn)程登陸的主機(jī)系統(tǒng)都受到了危害。它是攻擊者冒充域名服務(wù)器的一種欺騙行為，它主要用于向主機(jī)提供錯(cuò)誤 DNS 信息，當(dāng)用戶(hù)嘗試瀏覽網(wǎng)頁(yè)，例如 IP 地址為 ，網(wǎng)址為 ，而實(shí)際上登錄的確實(shí) IP地址 上的 ，用戶(hù)上網(wǎng)就只能看到攻擊者的主頁(yè)，而不是用戶(hù)想要取得的網(wǎng)站的主頁(yè)了，這個(gè)網(wǎng)址是攻擊者用以竊取網(wǎng)上銀行登錄證書(shū)以及帳號(hào)信息的假冒網(wǎng)址。必須把內(nèi)裝產(chǎn)品的包裝盒放到一個(gè)郵局指定的專(zhuān)用紙箱里，這樣才能夠郵寄。這里，通過(guò)設(shè)置硬路由器的監(jiān)聽(tīng)端口來(lái)捕獲數(shù)據(jù)包的方式不再本文討論范圍內(nèi)。包過(guò)濾機(jī)制是對(duì)所捕獲到的數(shù)據(jù) 包根據(jù)用戶(hù)的要求進(jìn)行篩選，最終只把滿(mǎn)足過(guò)濾條件的數(shù)據(jù)包傳遞給用戶(hù)程序。 LibPcap LibPcap[4]是一個(gè)廣泛應(yīng)用的系統(tǒng)抓包庫(kù)。 JPcap JPcap[6]是一個(gè)能夠捕獲，發(fā)送網(wǎng)絡(luò)數(shù)據(jù)包的 Java 類(lèi)庫(kù)包。 WinPcap 的官方主頁(yè)是，可以在其主頁(yè)上下載這個(gè)軟件及其源代碼，更重要 的是，網(wǎng)站上還有很多開(kāi)發(fā)文檔，對(duì)于利用 WinPcap 作為工具開(kāi)發(fā)網(wǎng)絡(luò)安全軟件的編程人員有很大幫助。著名軟件 tcpdump 及 ids snort 都是基于 libpcap 編寫(xiě)的，此外 Nmap 掃描器也是基于 libpcap 來(lái)捕獲目標(biāo)主機(jī)返回的數(shù)據(jù)包的。該模塊提供了抓取數(shù)據(jù)包以及發(fā)送數(shù)據(jù)包的基本功能，此外還提供了一些高級(jí)功 8 能，如數(shù)據(jù)包過(guò)濾系統(tǒng)和檢測(cè)引擎。它提供了一組功能強(qiáng)大且跨平臺(tái)的函數(shù)，利用這些函數(shù)可以不去關(guān)心適配器和操作系統(tǒng)的類(lèi)型。在這種情況下，要實(shí)現(xiàn)對(duì)數(shù)據(jù)幀的還原，只需要將捕獲的數(shù)據(jù)幀的前 12 個(gè)字節(jié)分別轉(zhuǎn)換為十六進(jìn)制數(shù)據(jù)，就可以清楚地看到 MAC 地址，并通過(guò)對(duì)比本機(jī)的 MAC地址，還可以初步判斷出該數(shù)據(jù)幀是本機(jī)發(fā)送的或是接 收到的。 服務(wù)類(lèi)型： 8 位，其中： 優(yōu)先權(quán)： 3位，設(shè)置了數(shù)據(jù)包的重要性，取值越大數(shù)據(jù)越重要，取值范圍為： 0（正常） 7（網(wǎng)絡(luò)控制）。通常每發(fā)送一份報(bào)文它的值就會(huì)加 1。MF=1 即表示后面“還有分片”的數(shù)據(jù)報(bào)； MF=0 表示這已是若干數(shù)據(jù)報(bào)片中的最后一個(gè)。由發(fā)出數(shù)據(jù)報(bào)的源點(diǎn)設(shè)置這個(gè)字段，其目的是防止無(wú)法交付的數(shù)據(jù)報(bào)無(wú)限制地在因特網(wǎng)中兜圈子，因而白白消耗網(wǎng)絡(luò)資源。協(xié)議可包括 TCP、 UDP、TELNET 等， 1=ICMP,6=TCP,17=UDP。 UDP 數(shù)據(jù)包的封裝 UDP 是一個(gè)簡(jiǎn)單的面向數(shù)據(jù)報(bào)的運(yùn)輸層協(xié)議 [8]，進(jìn)程的每個(gè)輸出操作都正好產(chǎn)生一個(gè) UDP 數(shù)據(jù)報(bào)，并組裝成一份待發(fā)送的 IP 數(shù)據(jù)報(bào)。偽首部包含 IP首部一 些字段，其目的是讓 UDP 兩次檢查數(shù)據(jù)是否已經(jīng)正確到達(dá)目的地（例如， IP 有沒(méi)有接受地址不是本主機(jī)的數(shù)據(jù)報(bào)，以及 IP有沒(méi)有把應(yīng)傳給另一高層的數(shù)據(jù)報(bào)傳送給 UDP）。 圖 38 ICMP報(bào)文的格式 其中類(lèi)型字段表示 ICMP 報(bào)文的類(lèi)型；代碼字段是為了進(jìn)一步區(qū)分某種類(lèi)型的幾種不同情況；校驗(yàn)和字段用來(lái)檢驗(yàn)整個(gè) ICMP 報(bào)文，接著的 4個(gè)字節(jié)的內(nèi)容與 ICMP 的類(lèi)型有關(guān)，再后面是數(shù)據(jù)字段，其長(zhǎng)度取決于 ICMP 的類(lèi)型。實(shí)現(xiàn)流程如圖 41所示。 exit(1)。 } /*不需要網(wǎng)卡列表，釋放空間 */ pcap_freealldevs(alldevs)。 icmp_header *ich。 //從包中解開(kāi) IP 頭并將其賦給 ih ip_len = (ihver_ihl amp。(pktIpHead), ih, sizeof(ip_header))。 memcpy(amp。 //協(xié)議， 8bits char checksum[16] = 。 //讀取存放在向量中的包頭的信息，解開(kāi)包的 IP 頭 pDCTextOut(0, 0, IP 頭 )。 pDCTextOut(7*width, 3*height, mypacket[mycon].)。 sprintf(offset, %d, (char)(ntohs(mypacket[mycon].)) amp。 pDCTextOut(7*width, 8*height, proto)。 pDCTextOut(0, 11*height, 目的地址： )。 sprintf(desport, %d, ntohs(mypacket[mycon].))。 } 23 如此就完成 UDP包的分析并顯示在程序界面上了。 3）開(kāi)始抓包 點(diǎn)擊工具欄 上的 按鈕，就可以開(kāi)始抓包了，點(diǎn)擊 可以停止抓包 。 這次課題取得的工作如下： 1） 基于 WinPcap 捕獲網(wǎng)絡(luò)數(shù)據(jù)包； 2） 對(duì)捕獲取的數(shù)據(jù)包進(jìn)行具體的分析，如本文中例舉的對(duì) UDP 數(shù)據(jù)包的分析； 3）對(duì)網(wǎng)絡(luò)安全或者網(wǎng)絡(luò)流量有個(gè)初步了解，如某主機(jī)在短時(shí)間內(nèi) 發(fā)送了大量數(shù)據(jù)包，可能這主機(jī)感染了病毒；捕獲的數(shù)據(jù)包無(wú)法正確解讀或者在數(shù)據(jù)內(nèi)容的固定位置出現(xiàn)迅雷、 BT、電驢等數(shù)據(jù)包的特征碼，管理員可以采取相應(yīng)的手段進(jìn)行控制。是我今后學(xué)習(xí)的榜樣。 畢業(yè)設(shè)計(jì)是一次綜合性的訓(xùn)練，是對(duì)大學(xué)里過(guò)去四年學(xué)習(xí)的總結(jié)、應(yīng)用以及檢驗(yàn)。 28 5 總結(jié)和展望 本文主要工作 這次課題 針對(duì)網(wǎng)絡(luò)數(shù)據(jù)包的捕獲和協(xié)議分析進(jìn)行了設(shè)計(jì)并實(shí)現(xiàn)。 2）包過(guò)濾器 點(diǎn)擊工具欄 上的 ,彈出如圖 46窗口 ： 圖 46 包過(guò)濾器選擇界面 程序會(huì)抓取勾選的數(shù)據(jù)包，可復(fù)選。 sprintf(crc, %d, ntohs(mypacket[mycon].))。 pDCTextOut(7*width, 14*height, srcport)。 spr