【正文】 再加上平時對嗅探器的有所研究。另一方面，應(yīng)在考慮成本的基礎(chǔ)上盡量采用當(dāng)前主流并先進(jìn)且有良好發(fā)展前途的產(chǎn)品。 3）軟件的易用性 抓包軟件是面相網(wǎng)絡(luò)管理員的，而管理人員對捕獲的數(shù)據(jù)往往需要對捕獲日志進(jìn)行分析。作為軟件的很多數(shù)據(jù)來源，抓包的數(shù)量和時間又影響嗅探軟件對數(shù)據(jù)包的分析活動。能夠通過自定義一些符合 winpcap過濾規(guī)則語法的語句進(jìn)行捕獲特定的數(shù)據(jù)包。 Equation Chapter (Next) Section 1 石河子大學(xué)學(xué)士學(xué)位論文 第三章 需求分析與動畫演示設(shè)計 23 第三章 需求分析與動畫演示設(shè)計 功能需求 經(jīng)過使用一部分網(wǎng)絡(luò)抓包軟件，親自試驗，并參考相關(guān)的文獻(xiàn)及框架的基礎(chǔ)上。包過濾器決定了一個數(shù)據(jù)包是否應(yīng)該被接受，事實上，被 NPF過濾器所過濾掉的數(shù)據(jù)包要比接受的數(shù)據(jù)包多，所以一個高效的數(shù)據(jù)包過濾器對一個嗅探系統(tǒng)是很重要的。圖 216 說明了 NPF在 NDIS棧中的位置。對于高層驅(qū)動，中間層驅(qū)動看起來像是小端口，對于小端口，中間層驅(qū)動看起來像協(xié)議驅(qū)動。網(wǎng)卡驅(qū)動可以是小端口驅(qū)動 (Miniport driver)或完全網(wǎng)卡驅(qū)動 (FullNIC driver)。 2） NDIS(Network Driver Interface Specification)驅(qū)動規(guī)范 圖 214是 Windows環(huán)境下的包捕獲原理圖，其中 NDIS網(wǎng)絡(luò)驅(qū)動器接口規(guī)范是 Windows操作系統(tǒng)網(wǎng)絡(luò)驅(qū)動功能的關(guān)鍵部分，是整個包捕獲架構(gòu)的基礎(chǔ)，它是 Windows中最底端的與連網(wǎng)有關(guān)的軟石河子大學(xué)學(xué)士學(xué)位論文 第二章 網(wǎng)絡(luò)協(xié)議及協(xié)議仿真技術(shù) 20 件，主要是為各種應(yīng)用協(xié)議與網(wǎng)卡之間提供一套接口函數(shù)，上面列舉的 Windows下的數(shù)據(jù)包捕獲解決方案都是以 NDIS為基礎(chǔ)的。 (2)使 用或自行編寫中間層驅(qū)動程序，如 Win2020 SDK中提供了幾個這樣的驅(qū)動程序。如何在源碼不公開的 Windows操作系統(tǒng)下實現(xiàn)一個網(wǎng)絡(luò)嗅探系統(tǒng)，成為很多人關(guān)注的焦點(diǎn)。 void(*) pcap_handler()：接收數(shù)據(jù)包的回調(diào)函數(shù)。所以在這樣的情況下，就需要使用 。 (2)，它是與 Libpcap相兼容的一組用戶級的函數(shù)庫，為Win32平臺提供了一個公共的接口，是一個能用來直接訪問 NPF驅(qū)動程序的 API。 store buffer用于保存從網(wǎng)絡(luò)適配器捕獲的數(shù)據(jù)包，hold buffe則用于將數(shù)據(jù)包拷貝到用戶的 buffer中。 (2)可以捕獲完整的數(shù)據(jù)幀，包括鏈路層幀頭信息 (不包括幀尾的校驗和，網(wǎng)卡在 驗 證校驗和后將自動丟棄校驗和部分，只將前面的數(shù)據(jù)交給上層 )，從而可以全面地分析各種網(wǎng)絡(luò)協(xié)議。例如：遠(yuǎn)程后臺程序被加入到客戶軟件中，我們并不需要另外修改，就能使程序擁有遠(yuǎn)程捕捉的能力。另外，還需要提供向上的用戶級程序接口以方便應(yīng)用程序調(diào)用， WinPcap提供了 ，通過調(diào)用這些接口，用戶程序可以與 NPF交互，利用它所提供的高級特性來捕獲并處理數(shù)據(jù)包。 WinPcap的主要功能在于獨(dú)立于主機(jī)協(xié)議如 TCPIP協(xié)議發(fā)送和接收原始數(shù)據(jù)包，也就是說，WinPcap不能阻塞、過濾或控制其他應(yīng)用程序?qū)?shù)據(jù)報的收發(fā)，它只是繞過系統(tǒng)原有的協(xié)議棧監(jiān)聽網(wǎng)絡(luò)上傳送的數(shù)據(jù)包。具體可從以下幾個方面入手： (1)網(wǎng)卡工作模式 (2)網(wǎng)絡(luò)流量分析 (3)系統(tǒng)資源分析 (4)引誘策略 網(wǎng)絡(luò)嗅探的防御相對網(wǎng)絡(luò)嗅探的實現(xiàn)難度要大得多 ，目前大多數(shù)反監(jiān)聽工具主要采用 DNS檢測、 ARP檢測等方法，而這些方法本身都存在不少缺陷，它們都依賴于目標(biāo)主機(jī)發(fā)出 DNS反向查詢、ARP應(yīng)答包，而很多優(yōu)秀的嗅探器在運(yùn)行時會阻止本機(jī)發(fā)出以上所說的數(shù)據(jù)包，從而使基于以上原理檢測的反嗅探工具都會失效。同時，隨著交換式局域網(wǎng)的流行，網(wǎng)絡(luò)監(jiān)聽也已經(jīng)出現(xiàn)在交換式局域網(wǎng)中，因此，如何有效地檢測和發(fā)現(xiàn)局域網(wǎng)中的嗅探行為并進(jìn) 行相應(yīng)的防范己成為維護(hù)局域網(wǎng)安全非常重要的環(huán)節(jié)。另外，嗅探器一般是部署到網(wǎng)絡(luò)系統(tǒng)的關(guān)鍵位置如路由器和服務(wù)器上面的。但是黑客 們也常通過嗅探器對網(wǎng)絡(luò)進(jìn)行攻擊，網(wǎng)絡(luò)嗅探技術(shù)在給管理員帶來方便的同時，對網(wǎng)絡(luò)信息安全也構(gòu)成了潛在的威脅。 仿真技術(shù)簡介 本課題做的網(wǎng)絡(luò)協(xié)議仿真軟件實際是嗅探器，嗅探器是指運(yùn)行在 TCP/IP協(xié)議、以太網(wǎng)協(xié)議、IPX協(xié)議或者其他協(xié)議的網(wǎng)絡(luò)上，可以獲取網(wǎng)絡(luò)信息流的軟件或硬件，硬件形式的 Sniffer稱為網(wǎng)絡(luò)分析儀，一般都是商業(yè)性的，價格也比較貴。如圖 28所示。 UDP數(shù)據(jù)報和 TCP段都包含一個 12字節(jié)長的偽首部，它是為了計算校驗和而設(shè)置的。 欺騙 UDP包比欺騙 TCP包更容易，因為 UDP沒有建立初始化連接（也可以稱為握手）（因為在兩個系統(tǒng)間沒有虛電路），也就是說，與 UDP相關(guān)的服務(wù)面臨著更大的危險。 面向連接的服務(wù)（例如 Tel、 FTP、 rlogin、 X Windows和 SMTP）需要高度的可靠性，所以它們使用了 TCP。由于接 收方在計算過程中包含了發(fā)送方存在首部中的檢驗和，因此，如果首部在傳輸過程中沒有發(fā)生任何差錯，那么接收方計算的結(jié)果應(yīng)該為全1，如果結(jié)果不是全 1（即檢驗和錯誤），那么 IP就丟棄收到的數(shù)據(jù)報，但是不生成差錯報文，由石河子大學(xué)學(xué)士學(xué)位論文 第二章 網(wǎng)絡(luò)協(xié)議及協(xié)議仿真技術(shù) 7 上層去發(fā)現(xiàn)丟失的數(shù)據(jù)報并進(jìn)行重傳。一般可以理解為經(jīng)過路由器的最大數(shù)目。片偏移指出：較長的分組在分片后，某片在原分組中的相對位置，也就是說，相對用戶數(shù)據(jù)字段的起點(diǎn)，該片從何處開始。在分片和重組技術(shù)中將會用到。利用首部長度字段和總長度字段，就可以知道 I P數(shù)據(jù)報中數(shù)據(jù)內(nèi)容的起始位置和長度。由圖 31可知首部所占字節(jié)數(shù)為（ 4+4+8+16+16+3+13+8+8+16+32+32+0）＝ 160bit，正好是 32bit的 5倍，所以首部長度最小為 5。 IP 確認(rèn)包含一個選項，叫作 IP source routing，可以用來指定一條源地址和目的地址之間的直接路徑。 OSI參考模型在解釋互聯(lián)網(wǎng)絡(luò)通信原理上比較適合， TCP/IP在實用性上面比較好，因而成為了互聯(lián)網(wǎng)絡(luò)協(xié)議的市場標(biāo)準(zhǔn)。 表 22 TCP/IP參考模型 應(yīng)用層 DINS、 FTP、 HTTP、 TELNET、 SMTP、 USENET、 FINGER、 WHOIS、 GOPHER、 IRC、其他 傳輸層 TCP UDP 網(wǎng)絡(luò)層 ICMP IP 網(wǎng)絡(luò)接口層 ARP/RARP 其他協(xié)議 第二層網(wǎng)絡(luò)層：負(fù)責(zé)提供基本的數(shù)據(jù)封包路由功能，讓每一個數(shù)據(jù)包都能夠到達(dá)目的主機(jī)，但不檢查是否被正確接收，如網(wǎng)際協(xié)議 IP。然而， OSI模型僅僅是一個參考模型，并不是實際網(wǎng)絡(luò)中應(yīng)用的模型。 第六章：總結(jié)了本論文的主要工作。為了將抽象的難以理解的網(wǎng)絡(luò)模型框架、協(xié)議原理、網(wǎng)絡(luò)應(yīng)用等專業(yè)知識，用易于理解的通俗易懂的形式將其理解。由于網(wǎng)絡(luò)協(xié)議是抽象的，很多學(xué)生不易理解，所以用仿真軟件的設(shè)計與實現(xiàn)來了解網(wǎng)絡(luò)協(xié)議。 本課題通過對網(wǎng)絡(luò)抓包軟件的實現(xiàn)，來詳細(xì)深入的了解網(wǎng)絡(luò)協(xié)議如何工作， 文 中 首先分析了抓包的原理和 技術(shù) ,并介紹了幾種常見的抓包軟件 ，然后研究了入侵檢測系統(tǒng)中使用的包捕獲技術(shù)，利用 winpcap接字在 windows平臺下實現(xiàn)了一個網(wǎng)絡(luò)抓包軟件程序，具有對數(shù)據(jù)包進(jìn)行拆包、解包等功能，最后通過動畫演示生動形象的描述網(wǎng)絡(luò)協(xié)議如 何運(yùn)行。 [關(guān)鍵詞 ] 網(wǎng)絡(luò)抓包軟件 數(shù)據(jù)包捕獲 數(shù)據(jù)包分析 Winpcap II Network protocol emulation software design and implementation Students： xxxxxxxxxxx Instructor： xxxxxxxxx [Abstract] As the work model and agreement of the abstract, even to the professional understanding will have great difficulty. In order to bring the abstract to understand the work model of the framework agreement, principle, work application and other professional knowledge, in an understandable easytoread formats will be the understanding. Casual personnel to use work protocol emulation software on the work at the same time can be a basic understanding of the agreement, have certain professional knowledge workers better understanding of work protocol principle, learning will bring. This topic through work caught software to realize, to a detailed understanding of how the work protocol, this paper first analyzes the principle and technology of caught, and introduces several mon caught software, and then studied the intrusion detection system used in the packet capture technology, using winpcap meet word in Windows the workbench implements a work caught a software program, has for packet for unpacking, solution package, and other functions, the last through the animation of vivid description work protocol how to run. [Key words] work sniffe 。 本論文采用了 WinPcap驅(qū)動對鏈路層數(shù)據(jù)幀進(jìn)行高效捕獲，并針對四種具體協(xié)議 ARP、 IP、 TCP、UDP進(jìn)行協(xié)議分析。非專業(yè)的人員在使用網(wǎng)絡(luò)協(xié)議仿真軟件的同時可以對網(wǎng)絡(luò)協(xié)議有基本的理解，有一定專業(yè)知識的人員更好的理解網(wǎng)絡(luò)協(xié)議原理、掌握學(xué)習(xí)要領(lǐng)。 石河子大學(xué)學(xué)士學(xué)位論文 第二章 網(wǎng)絡(luò)協(xié)議及協(xié)議仿真技術(shù) 3 第二章 網(wǎng)絡(luò)協(xié)議及協(xié)議仿真技術(shù) 網(wǎng)絡(luò)協(xié)議 OSI 七層參考模型 要使兩臺計算機(jī)進(jìn)行通信，必須讓它們使用同一種“語言”，通信協(xié)議就是兩臺計算機(jī)交換信息所使用的共同語言，它規(guī)定了通信雙方在通信中所應(yīng)共同遵守的規(guī)則，精確地定義了計算機(jī)在相互通信過程中的所有細(xì)節(jié)。實際上應(yīng)用最廣泛的商用網(wǎng)絡(luò)模型是 TCP/IP網(wǎng)絡(luò)參考模型 ，將網(wǎng)絡(luò)劃分為四層，每一個層次上運(yùn)行著不同的協(xié)議和服務(wù) [4]。本層包含 IP 協(xié)議、 RIP協(xié)議 (Routing Information Protocol，路由信息協(xié)議 )，負(fù)責(zé)數(shù)據(jù)的包裝、尋址和路由。 TCP/IP參考模型是在它所解釋的協(xié)議出現(xiàn)很久以后才發(fā)展起來的，并吸取了 OSI模型的經(jīng)驗和教訓(xùn)，比 OSI模型更靈活，這也是 TCP/IP協(xié)議之所以流行的原因。對于一些 TCP和 UDP的服務(wù)來說，使用了該選項的 IP包好像是從路徑上的最后一個系統(tǒng)傳遞過來的，而不是來自于它的真實地點(diǎn)。如果選項字段有其它數(shù)據(jù)，則這個值會大于 5。由于該字段長 16比特，所以 IP數(shù)據(jù)報最長可達(dá) 65535字節(jié)。 標(biāo)志： 3位，但目前只有 2位有意義。片偏移以 8個字節(jié)為偏移單位，這就是說，每個分片的長度一定是 8字節(jié)（ 64位）的整數(shù)倍。 協(xié)議： 8位。 源 IP地址： 32位，發(fā)送 IP的主機(jī)地址。 DNS在某些情況下使用 TCP（發(fā)送和接收 域名 數(shù)據(jù)庫），但使用 UDP傳送有關(guān)單個主機(jī)的信息。 UDP是一個簡單的面向數(shù)據(jù)報的運(yùn)輸層協(xié)議，進(jìn)程的每個輸出操作都正好產(chǎn)生一個 UDP數(shù)據(jù)報，并組裝成一份待發(fā)送的 IP數(shù)據(jù)報。偽首部包含 IP首部一些字段，其目的是讓 UDP兩次檢查數(shù)據(jù)是否已經(jīng)正確到達(dá)目的地（例如， IP有沒有接受地址不是本主機(jī)的數(shù)據(jù)報，以及 IP有沒有把應(yīng)傳給另一高層的數(shù)據(jù)報傳送給 UDP）。 圖 28 ICMP 報文的格式 其中類型字段表示 ICMP報文的類型；代碼字段是為了進(jìn)一步區(qū)分某種類型的幾種不同情況；校驗和字段用來檢驗整個 ICMP報文，接著的 4個字節(jié)的內(nèi)容與 ICMP的類型有關(guān)，再后面是數(shù)據(jù)字段，其長度取決于 ICMP的類型。軟件形式的 Sniffer有很多，其優(yōu)點(diǎn)是價格便宜，易于學(xué)習(xí)使用，缺點(diǎn)是無法抓取網(wǎng)絡(luò)上所有的傳輸，某些情況下也就