【正文】 intf(srcIP, %d.%d.%d.%d, 22 mypacket[mycon]., mypacket[mycon]., mypacket[mycon]., mypacket[mycon].)。 pDCTextOut(0, 8*height, 協(xié)議： )。 pDCTextOut(7*width, 5*height, identifier)。 pDCTextOut(7*width, 2*height, ip_len)。 //UDP 長度， 16bits char crc[16] = 。 //分段偏移， 12bits char live[8] = 。(pktTcpHead), th, sizeof(tcp_header))。 strcpy(pkttimestr, timestr)。 strftime( timestr, sizeof timestr, %H:%M:%S, ltime)。 udp_header *uh。 } if(i==0) { printf(\nNo interfaces found! Make sure WinPcap is installed.\n)。 /*未獲取網(wǎng)卡，返回網(wǎng)卡列表， alldevs 指向表頭 */ if (pcap_findalldevs_ex(PCAP_SRC_IF_STRING, NULL, amp。其中內(nèi)核部分負責從網(wǎng)絡中捕獲和過濾數(shù)據(jù)，這可以通過調(diào)用 WinPcap 豐富的接口函數(shù)實現(xiàn)。 ICMP 報文只是在前 4個字節(jié)有統(tǒng)一的格式，共有類型、代碼和校驗和 3 個字段。解決方法是必要時在最后增加填充字節(jié) 0，這只是為了校驗和的計算（也就是說，可能增加的填充字節(jié)不被傳送）。 源 IP 地址： 32位，發(fā)送 IP 的主機地址 。 協(xié)議： 8位。片偏移以 8個字節(jié)為偏移單位，這就是說，每個分片的長度一定是 8 字節(jié)（ 64 位）的整數(shù)倍。 標志： 3 位，但目前只有 2位有意義。由于該字段長 16比特，所以 IP數(shù)據(jù)報 最長可達 65535 字節(jié)。如果選項字段有其它數(shù)據(jù)，則這個值會大于 5。 標準的數(shù)據(jù)幀分析與還原 根據(jù) TCP/IP 協(xié)議，機器接收到一個以太網(wǎng)數(shù)據(jù)包時，數(shù)據(jù)從協(xié)議棧中由底向上升，同時去掉各層協(xié)議加上的報文 首部，每層協(xié)議都要檢查報文首部的協(xié)議表示，以確定數(shù)據(jù)的上層協(xié)議。 3）高級動態(tài)鏈接庫。 NPF與操作系統(tǒng)有關， WinPcap 開發(fā)組針對不同的 Windows 操作系統(tǒng)提供了不同版本的 NPF。它還可以在使用交換機的網(wǎng)絡上監(jiān)聽，不過要在交換機上裝它的一個軟件。這個數(shù)據(jù)包捕獲架構是由加州大學和 Lawrence Berkeley 實驗室及其投稿者聯(lián)合開發(fā)的，他們在 1999 年 3月 31日推出了 版，提供了用戶級 BPF 過濾；1999 年 8 月 21 日推出了 版，將 BPF 過濾增加到內(nèi)核中并增加了內(nèi)核緩存； 2020年 3月 15 日推出了 版，該版對 libpcap 進行了升級，并可支持更多的網(wǎng)絡類型； 2020 年 1月 30日推出了 2． 2版； 2020 年 3月 28 日推出了 2． 3 版； 2020 年 1 月lO 日推出了 3． O 版，增加了 NPF 設備驅動的一些新的特性及優(yōu)化方案，在 中增加了一些函數(shù)等等功能。開發(fā) WinPcap 這個項目的目的在于為Win32 應用程序提供訪問網(wǎng)絡底層的能力。 原始套接字可以用來發(fā)送和接收 IP 層以上的原始數(shù)據(jù)包 ,比如 ICMP,TCP,UDP,而且能夠對網(wǎng)絡底層的傳輸機制進行控制。對用戶程序而言，包捕獲機制提供了一個統(tǒng)一的接口，使用戶程序只需要簡單的調(diào)用若干函數(shù)就能獲得所期望的數(shù)據(jù)包。 那么如何捕獲這些數(shù)據(jù)包呢？ 網(wǎng)絡數(shù)據(jù)包捕獲原理 由于目前用的最多的網(wǎng)絡形式是以太網(wǎng) [2]，在以太網(wǎng)上，數(shù)據(jù)是以被稱為幀的數(shù)據(jù)結構為單位進行交換的，而幀（數(shù)據(jù)包）是用被稱為帶碰撞檢測的載波偵聽多址訪問即CSMA/CD（ carrier sense multiple access wim collision dctection)的方式發(fā)送的，在這種方法中，發(fā)送到指定地址的幀實際上是發(fā)送到所有計算機的，只是如果網(wǎng)卡檢測到經(jīng)過的數(shù)據(jù)不是發(fā)往自身的，簡單忽略 過去而已。上一層內(nèi)容由下一層的內(nèi)容來傳輸，所以在局域網(wǎng)中，“包”是包含在“幀”里的。服務器和用戶之間的數(shù)據(jù)傳送被“中間服務器”轉發(fā)并做了手腳之后，就會出現(xiàn)很嚴重的問題。在通常的網(wǎng)絡環(huán)境之下，用戶的信息包括口令都是以明文的方式在網(wǎng)上傳輸?shù)?，只要?網(wǎng)絡接口設置成監(jiān)聽模式，便可以源源不斷地將網(wǎng)上傳輸?shù)男畔⒔孬@，因此進行網(wǎng)絡監(jiān)聽從而獲得用戶信息并不是一件困難的事情。技術方面主要側重于防范外部非法用戶的攻擊，管理方面則側重于內(nèi)部人為因素的管理。保密的論文（設計）在解密后適用本規(guī)定。據(jù)我所知， 除文中已經(jīng)注明引用的內(nèi)容外，本論文（設計）不包含其他個人已經(jīng)發(fā)表或撰寫過的研究成果。 、圖表要求： 1）文字通順，語言流暢，書寫字跡工整，打印字體及大小符合要求，無錯別字，不準請他人代寫 2）工程設計類題目的圖紙，要求部分用尺規(guī)繪制，部分用計算機繪制，所有圖紙應符合國家技術標準規(guī)范。但在現(xiàn)實中，絕對安全的網(wǎng)絡是沒有的 [1]。在這件事故中，嗅探器只運行 了 18 個小時。據(jù)統(tǒng)計，目前網(wǎng)絡攻擊手段有數(shù)千種之多；美國商業(yè)雜志《信息周刊》公布的一項調(diào)查報告稱，黑客攻擊和病毒等安全問題在 2020 年就造成了上萬億美元的經(jīng)濟損失，在全球范圍內(nèi)每數(shù)秒鐘就發(fā)生一起針對網(wǎng)絡的不同形式的攻擊事件。這里，產(chǎn)品包裝盒相當于數(shù)據(jù)包，里面放著的產(chǎn)品相當于可用的 數(shù)據(jù)，而專用紙箱就相當于幀，且一個幀中只有一個數(shù)據(jù)包。 從廣義的角度上看，一個包捕獲機制包含三個主要部分：首先是最底層針對特定操作系統(tǒng)的包捕獲機制，然后是最高層針對用戶程序的接口，第三部分是包過濾機制。 5 網(wǎng)絡數(shù)據(jù)包的捕獲方法 原始套接字 套接字 [3]（ Sock）是網(wǎng)絡應用編程接口。 LibPcap 是一種與系統(tǒng)無關 ,采用分組捕獲機制的分組捕獲函數(shù)庫 ,用于訪問數(shù)據(jù)鏈路層 ,它在不同的平臺上采用統(tǒng)一的編程接口 ,使用 LibPcap 編寫的程序可以自由地跨 平臺使用。這個包用到了 LibPcap和原始套接字 API。 WinPcap 提供了四項功能： 1）捕獲原始數(shù)據(jù)報，包括共享網(wǎng)絡上各主機發(fā)送 /接收的以及相互之間交換的數(shù)據(jù)報； 7 2）在數(shù)據(jù)報發(fā)往應用程序之前，按照自定義的規(guī)則將某些特殊的數(shù)據(jù)報過濾掉； 3）在網(wǎng)絡上發(fā)送原始的數(shù)據(jù)報； 4）收集網(wǎng)絡通信過程中的統(tǒng)計信息。 WinPcap 提供給用戶兩個不同級別的編程接口：一個基于 libpcap 的 ，另一 個是較底層的 。 2） 低級動態(tài)鏈接庫。 含有諸如產(chǎn)生過濾器、定義用戶級緩沖以及包注入等高級功能 。 IP 報文的分析與還原 首先來看下 IP數(shù)據(jù)報格式 [8]，如圖 31所示 ： 圖 31 IP數(shù)據(jù)報格式 版本： 4 位，標識 IP版本號。 TOS： 4 位，分別表示最小延時、最大吞吐量、最高可靠性、最小費用。 IP 軟件在存儲器中維持一個計數(shù)器，每產(chǎn)生一個數(shù)據(jù)報，計數(shù)器就加 1，并將此值賦給標識字段。標志字段中間的一位記為 DF（ Don39。最初的設計是以秒作為TTL 的單位。 首部校驗和： 16 位，首部檢驗和字段是根據(jù) IP 首部計算的檢驗和碼，它不對首部后面的數(shù)據(jù)進行計算。 UDP 數(shù)據(jù)報格式有首部和數(shù)據(jù)兩個部分 ，如圖 32： 13 圖 32 UDP數(shù)據(jù)報格式 首部很簡單，共 8字節(jié) ，如圖 33： 圖 33 UDP首部 包括： 源端口（ Source Port）： 2字節(jié)，源端口號。 UDP 數(shù)據(jù)報中的偽首部格式如圖 34所示： 14 圖 34 UDP數(shù)據(jù)報的偽首部格式 TCP 數(shù)據(jù)包的封裝 TCP 數(shù)據(jù)被封裝在一個 IP數(shù)據(jù)報中 [8]，如圖 35所示： 圖 35 TCP數(shù)據(jù)在 IP數(shù)據(jù)報中的封裝 圖 36 顯示 TCP 首部的數(shù)據(jù)格式。 16 4 實現(xiàn)與分析 WinPcap 環(huán)境配置 WinPcap 下載 從 下載 winpcap 的開發(fā)庫 從 下載 winpcap 驅動 WinPcap 配置 1） 安裝 WinPcap 驅動，安裝完成后重啟電腦。 17 圖 41 基于 WinPcap的網(wǎng)絡數(shù)據(jù)捕獲基本流程 簡單地說來就是打開網(wǎng)卡 ,抓包 ,分析包 。 } 18 /*打印列表 */ for(d=alldevs。 } 捕獲數(shù)據(jù)包 /*打開設備 */ if((adhandle=pcap_open (dname, // 設備名 65536,//保證能捕獲到數(shù)據(jù)鏈 路層上的每個數(shù)據(jù)包的全部內(nèi)容 PCAP_OPENFLAG_PROMISCUOUS, // 混雜模式 1000, // 讀取超時時間 NULL, // 遠程機器驗證 errbuf // 錯誤緩沖池 ))==NULL) /* 開始捕獲 */ pcap_loop(adhandle, 0, packet_handler, NULL)。 u_int ip_len。 0xf) * 4。 if(int(ihproto) == 17) //如果是 UDP 包就從解開 UDP 頭并將其賦給 uh { uh = (udp_header *) ((u_char*)ih + ip_len)。(pktIcmpHead), ich, sizeof(icmp_header))。 //首部檢驗和， 16bits char srcIP[16] = 。 21 pDCTextOut(0, height, 版本號： )。 pDCTextOut(0, 4*height, 總長： )。 0x1fff)。 if(int(mypacket[mycon].) == 17) pDCTextOut(8*width, 8*height, (UDP))。 sprintf(desIP, %d.%d.%d.%d, mypacket[mycon]., mypacket[mycon]., mypacket[mycon]., mypacket[mycon].)。 pDCTextOut(7*width, 15*height, desport)。 程序編譯中出現(xiàn)的問題 程序編譯無法通過，錯誤提示如圖 42： 圖 42 WinPcap編譯過程中出現(xiàn)的錯誤 這個 是 WinPcap 開發(fā)包中的庫文件，打開這個文件，查找第 79行代碼如圖 43： 圖 43 79行代碼 并未出現(xiàn)錯誤提示中所說的缺少分號，而且這個庫文件是從官方網(wǎng)站上下載的，別人下載了使用都沒事而只有我無法編譯通過，可能問題是出在自身。 26 程序運行結果 點擊 按鈕開始抓包，未設置過濾器，也就是說 TCP， UDP， ICMP 三種包都抓取。 展望 雖然這個基于 WinPcap 的網(wǎng)絡數(shù)據(jù)捕獲和協(xié)議分析軟件在實際應用中還有些局限性，比如無法對交換機上的數(shù)據(jù)進行捕獲，在網(wǎng)絡流量較大的環(huán)境中抓包率偏低，正常網(wǎng)絡中抓取的數(shù)據(jù)包有可能不完整。 在這里，再次對指導幫助我完成本次設計的鄒老師表示感謝，同時也對所有幫助過我的朋友表示我的感謝，沒有你們的幫助，就沒有這次設計的完成。在此，對鄒老師表示我深深的謝意，感謝他在畢業(yè)設計期間給我的指導和幫助。以圖 47 中顯示的數(shù)據(jù)為例，去掉前 14個字節(jié)后得到圖 48所 示的數(shù)據(jù)： 27 圖 48 去除前 14個字節(jié)后的數(shù)據(jù) 前 20個字節(jié)是 IP 首部，即 45 00 00 4C D0 D9 00 00 40 11 AE 41 0A 0A 7B C4 72 D9 02 DF，根據(jù)前面介紹的 IP 首部格式代入可得到如下： 版本： 4 首部長度： 5X4=20 服務類型： 00，即一般類型 總長度： 00 4C＝ 76 標識： D0 D9=53465 標志： 0 片偏移：