【正文】 dwBufferLen), amp。IPHEADER *pIpHeader 。struct UDPPacketHead*pUDPHead。 pDlg(TRUE) 。sprintf( szErr , Error recv() = %ld , dwErr ) 。//得到源 IP 地址 = pIpHeaderdestIP 。totallen = ntohs(pIpHeadertotal_len)。 }case IPPROTO_TCP: { pTCPHead=(struct TCPPacketHead *)(buf+HdrLen)。 totallen = HdrLen。 totallen = UDP_HEAD_LEN。(index,1,LVIF_TEXT,s1, 0, 0, 0,0)。由圖 47 可以觀察到捕獲模塊能夠?qū)崿F(xiàn)將網(wǎng)絡(luò)接口設(shè)置為混雜模式，同時(shí)捕獲局域網(wǎng)內(nèi)的數(shù)據(jù)包，在這里還可以觀察到網(wǎng)絡(luò)狀態(tài)及網(wǎng)絡(luò)數(shù)據(jù)的流動(dòng)情況，供網(wǎng)絡(luò)分析之用。[4] 劉志祥. Linux 系統(tǒng)安全性研究及其新型 Sniffer 設(shè)計(jì)與實(shí)現(xiàn)[D]. 南昌：南昌大學(xué)[碩士論文], 2022。除非另有說明，本文的工作是原始性工作。s 72hour visafree policy has attracted wide attention from both Chinese and foreign experts and businessmen since it took effect on Sept 1 last year. The program permits citizens from 51 countries and regions including the United States, Australia, Canada and Japan who have valid visas and flight tickets to a third country to spend three days in the city. The capital of Sichuan province is the first city in the western region of China to offer foreign tourists a threeday visa and the fourth nationwide to adopt the policy following Shanghai, Beijing and Guangzhou. Li Zhiyong, deputy dean of the tourism institute at Sichuan University, said the move contributes to a large increase in the number of overseas tourists and raises the city39。s cooperation with Central Asi。除非另有科研合同和其他法律文書的制約，本論文的科研成果屬于成都信息工程學(xué)院。在此向他表示我最衷心的感謝！在論文完成過程中，本人還得到了張仕斌老師和陳偉同學(xué)的熱心幫助，本人向他們表示深深的謝意！最后向在百忙之中評(píng)審本文的各位專家、老師表示衷心的感謝！作者簡(jiǎn)介： 姓 名：鄭 莉 性別：女 出生年月：1985 年 1 月 民族：漢Email：聲 明本論文的工作是 2022 年 2 月至 2022 年 6 月在成都信息工程學(xué)院 系完成的。[2] 鄭莉，++語言程序設(shè)計(jì)（第二版）[M].北京：清華大學(xué)出版社，2022。}m_ctrList 是與列表控件關(guān)聯(lián)的一個(gè)變量，列表控件用于顯示對(duì)數(shù)據(jù)包的分析結(jié)果。 ... 數(shù)據(jù)的顯示在完成了數(shù)據(jù)包的捕獲、分析后，我們使用 AddData 函數(shù)，調(diào)用列表控件變量使分析結(jié)果顯示在界面的列表中，結(jié)果輸出代碼如下：void CIpmonDlg::AddData(CString s0,CString s1, CString s2, CString s3, CString s4, CString s5, CString s6){int index。 (%d,destport)。 HdrLen *= 4。 totallen = ICMP_HEAD_LEN。0xf。 pSource = i_ntoa( ina ) 。如圖 46 所示：數(shù)據(jù)包捕獲模塊數(shù)據(jù)包包頭分析調(diào)用 switch()函數(shù)TCPUDPICMP圖46 數(shù)據(jù)包解析的簡(jiǎn)單流程圖46所示為數(shù)據(jù)包的解析模塊，該模塊對(duì)捕獲的數(shù)據(jù)包進(jìn)行拆包分析，根據(jù)不同的協(xié)議類型分析其IP地址，數(shù)據(jù)包大小，端口號(hào)等，具體代碼實(shí)現(xiàn)如下：UINT threadFunc ( LPVOID p ){ ...iRet = recv( pDlgm_s , buf , sizeof( buf ) , 0 ) 。msg , 0 , WM_CLOSE,WM_CLOSE,PM_NOREMOVE ) ){ closesocket( pDlgm_s ) 。struct TCPPacketHead*pTCPHead。DWORD dwErr 。設(shè)置 SOCK_RAW 為 SIO_RCVALL，以便接收所有的 IP 包：WSAIoctl( m_s, SIO_RCVALL , amp。else{dwErr = WSAGetLastError() 。sprintf( szErr , Error bind() = %ld , dwErr ) 。AfxMessageBox( szErr ) 。sprintf( szErr , Error socket() = %ld , dwErr ) 。 SetDlgItemText(IDC_LOOKUP,開始捕獲!)。在捕獲數(shù)據(jù)包前，首先對(duì)原始套接字進(jìn)行設(shè)置，代碼如下：void CIpmonDlg::OnLookUp() {char szErr [ 50 ] , szHostName[MAX_PATH]。 // 16 位標(biāo)識(shí)符 unsigned short flags。 //16 位校驗(yàn)和WORD UrgPtr。而 TCP 數(shù)據(jù)頭則比較復(fù)雜，以 20 個(gè)固定字節(jié)開始，在固定頭后面還可以有一些長(zhǎng)度不固定的可選項(xiàng)，圖 44 給出 TCP 數(shù)據(jù)段頭的格式組成： 16 位 16 位 源端口 目的端口 順序號(hào) 確認(rèn)號(hào) TCP頭長(zhǎng) （保留）7 位 URG ACK PSH RST SYN FIN 窗口大小 校驗(yàn)和 緊急指針 可選項(xiàng)（0 或更多的 32 位字） 數(shù)據(jù)（可選項(xiàng)） 圖 44 TCP 數(shù)據(jù)段頭格式對(duì)于此 TCP 數(shù)據(jù)段頭的分析在編程實(shí)現(xiàn)中可通過數(shù)據(jù)結(jié)構(gòu) TCPPacketHead來定義： struct TCPPacketHead {WORD SourPort。通過對(duì)這些在低層傳輸?shù)脑夹畔⒌姆治隹梢缘玫接嘘P(guān)網(wǎng)絡(luò)的一些信息。 嗅探器的具體實(shí)現(xiàn)原理嗅探器作為一種網(wǎng)絡(luò)通訊程序，是通過對(duì)網(wǎng)卡的編程來實(shí)現(xiàn)網(wǎng)絡(luò)通訊的，對(duì)網(wǎng)卡的編程是使用通常的套接字（socket）方式來進(jìn)行。此外如果在一個(gè)子網(wǎng)內(nèi)部進(jìn)行嗅探，而子網(wǎng)頂部存在著諸如交換機(jī)這類設(shè)備，由于它能夠阻止廣播，所以就不能夠?qū)ψ泳W(wǎng)內(nèi)其他的機(jī)器進(jìn)行監(jiān)聽，若想要對(duì)此子網(wǎng)進(jìn)行監(jiān)聽，就必須處于與此交換機(jī)同級(jí)的包交換網(wǎng)絡(luò)中。上述三種方法均建立在數(shù)據(jù)包捕獲的基礎(chǔ)上。為了提高入侵檢測(cè)系統(tǒng)（IDS）產(chǎn)品、組件及與其他安全產(chǎn)品之間的互操作性，美國(guó)國(guó)防高級(jí)研究計(jì)劃署（DARPA）和互聯(lián)網(wǎng)工程任務(wù)組（IETF）的入侵檢測(cè)工作組（IDWG）發(fā)起制定了一系列建議草案，從體系結(jié)構(gòu)、API、通信機(jī)制、語言格式等方面規(guī)范 IDS 的標(biāo)準(zhǔn)。入侵者甚至可以利用該主機(jī)為基礎(chǔ)入侵整個(gè)網(wǎng)絡(luò)并留下后門，掩蓋痕跡，完成一次入侵。通過使用網(wǎng)絡(luò)嗅探器可以實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)包的捕獲與分析。只有進(jìn)入了監(jiān)聽模式，才能接受來自客戶機(jī)的連接。函數(shù)socket()可以創(chuàng)建一個(gè)socket對(duì)象，socket()函數(shù)的原型如下：SOCKET socket(int af, int type, int protocol)。socket實(shí)質(zhì)上是提供了進(jìn)程通信的端點(diǎn)。WinPcap包含了一系列以前系統(tǒng)所沒有的創(chuàng)新特性。 數(shù)據(jù)包捕獲機(jī)制的研究縱觀國(guó)內(nèi)外在網(wǎng)絡(luò)嗅探技術(shù)中所使用的包捕獲機(jī)制的方法，大致可歸納為兩類：一類是由操作系統(tǒng)內(nèi)核提供的捕獲機(jī)制；另一類是由應(yīng)用軟件或系統(tǒng)開發(fā)包通過安裝包捕獲驅(qū)動(dòng)程序提供的捕獲機(jī)制，該機(jī)制主要用于Win32平臺(tái)下的開發(fā)。比較知名的被廣泛用于調(diào)試網(wǎng)絡(luò)故障的免費(fèi)sniff工具有:tcpdump(運(yùn)行在FreeBSD、linux、SunOS等系統(tǒng)下)。當(dāng)一個(gè)幀送到組地址時(shí)，組內(nèi)的所有站點(diǎn)都會(huì)收到該幀。，得出結(jié)論。因此，對(duì)網(wǎng)絡(luò)嗅探器的研究具有重要意義。但與此同時(shí)，計(jì)算機(jī)犯罪、黑客攻擊、病毒入侵等惡性事件也頻頻發(fā)生。面向網(wǎng)絡(luò)的加密技術(shù)是指通信協(xié)議加密，它是在通信過程中對(duì)包中的數(shù)據(jù)進(jìn)行加密，包括完整性檢測(cè)、數(shù)字簽名等，這些安全協(xié)議大多采用了諸如 RSA 公鑰密碼算法、DES 分組密碼、MD 系列 Hash 函數(shù)及其它一些序列密碼算法實(shí)現(xiàn)信息安全功能，用于防止黑客對(duì)信息進(jìn)行偽造、冒充和篡改，從而保證網(wǎng)絡(luò)的連通性和可用性不受損害。 計(jì)算機(jī)病毒的防范既是一個(gè)技術(shù)問題，也是一個(gè)管理問題，它采取以“預(yù)防為主，治療為輔”的防范策略將計(jì)算機(jī)病毒的危害降到最小限度。 analyze data capture。畢 業(yè) 設(shè) 計(jì) (論 文 )網(wǎng)絡(luò)嗅探器的設(shè)計(jì)與實(shí)現(xiàn)論文作者姓名：申請(qǐng)學(xué)位專業(yè)：申請(qǐng)學(xué)位類別：指 導(dǎo) 教 師 姓 名 （ 職 稱 ）：論文提交日期：網(wǎng)絡(luò)嗅探器的設(shè)計(jì)與實(shí)現(xiàn)摘 要隨著網(wǎng)絡(luò)技術(shù)的發(fā)展和網(wǎng)絡(luò)應(yīng)用的普及，越來越多的信息資源放在了互聯(lián)網(wǎng)上，網(wǎng)絡(luò)的安全性和可靠性顯得越發(fā)重要。 capture data packet。 對(duì)純數(shù)據(jù)的加密，加密機(jī)制是對(duì)你不愿意讓他人看到的這些數(shù)據(jù)（數(shù)據(jù)的明文）用可靠的加密算法，只要破解者不知道被加密數(shù)據(jù)的密碼，他就不可解讀這些數(shù)據(jù)。(b)面向網(wǎng)絡(luò)的加密技術(shù)。 本課題的研究意義計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，極大的改變了人們傳統(tǒng)的生活和工作模式，越來越多的社會(huì)經(jīng)濟(jì)活動(dòng)開始依賴網(wǎng)絡(luò)來完成，可以說計(jì)算機(jī)網(wǎng)絡(luò)的發(fā)展已經(jīng)成為現(xiàn)代社會(huì)進(jìn)步的一個(gè)重要標(biāo)志。通過網(wǎng)絡(luò)嗅探器對(duì)網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)包進(jìn)行捕獲和分析，獲取所需要的信息，利用對(duì)這些信息進(jìn)行網(wǎng)絡(luò)安全分析。主要工作包括：給出了一個(gè)網(wǎng)絡(luò)嗅探程序的系統(tǒng)框架、數(shù)據(jù)包捕獲程序的設(shè)計(jì)、數(shù)據(jù)包的解析、數(shù)據(jù)的顯示等。以太網(wǎng)幀格式符合 標(biāo)準(zhǔn)，幀中包含目的地址和源地址，目的地址最高位為 0 是普通地址，為 1 時(shí)是組地址。而基于各個(gè)平臺(tái)的很多普通的網(wǎng)絡(luò)監(jiān)聽軟件則在網(wǎng)上可以自由下載。因此，需要將網(wǎng)卡的工作模式設(shè)定為混雜模式，這樣系統(tǒng)內(nèi)核就可以讀到網(wǎng)卡監(jiān)聽到的所有報(bào)文，從而監(jiān)聽器應(yīng)用程序也可以讀到這些報(bào)文。WinPcap(Windows Packet Capture)是Win32上的第一個(gè)用來捕獲數(shù)據(jù)包的開放系統(tǒng)軟件包，它是一種新提出的強(qiáng)有力并且可擴(kuò)展的框架結(jié)構(gòu)。Socket 給程序員提供了一個(gè)高層接口，它的出現(xiàn)使得程序員在編寫網(wǎng)絡(luò)應(yīng)用程序時(shí)只需要調(diào)用函數(shù)，對(duì)網(wǎng)絡(luò)的底層細(xì)節(jié)并不需要精通，因此十分方便。下面我們一一給出重要的socket系統(tǒng)調(diào)用。監(jiān)聽— listen()對(duì)于服務(wù)器來說，在它接受客戶機(jī)的連接之前，首先要監(jiān)聽。 嗅探器的兩面性從事網(wǎng)絡(luò)安全的技術(shù)人員和相當(dāng)一部分準(zhǔn)黑客（指使用現(xiàn)成的黑客軟件進(jìn)行攻擊的人）都知道網(wǎng)絡(luò)嗅探器無論是在網(wǎng)絡(luò)安全還是在黑客攻擊方面均扮演了很重要的角色。他可以自編程序或利用公開的程序進(jìn)行自動(dòng)掃描，然后對(duì)目標(biāo)實(shí)施攻擊，獲得系統(tǒng)控制權(quán)。入侵檢測(cè)技術(shù)與防火墻、PKI 等技術(shù)不同，防火墻、PKI 只是立足于“防” ，而入侵檢測(cè)是對(duì)網(wǎng)絡(luò)系統(tǒng)的運(yùn)行狀態(tài)進(jìn)行監(jiān)視，發(fā)現(xiàn)各種攻擊企圖、攻擊行為或者攻擊結(jié)果，以保證系統(tǒng)資源的機(jī)密性、完整性和可用性。：通過分析已知的入侵模式，用事先定義的規(guī)則描述這些入侵模式，再通過這些已知的行為模式來檢測(cè)當(dāng)前網(wǎng)絡(luò)中是否存在入侵行為。事實(shí)證明嗅探適用于基于廣播包的網(wǎng)絡(luò)，如利用廣播技術(shù)來分發(fā)數(shù)據(jù)包的連通網(wǎng)絡(luò)（或者使用令牌的網(wǎng)絡(luò)，只不過因?yàn)榱钆撇灰欢ń?jīng)過本機(jī)器，所以只能嗅探到網(wǎng)絡(luò)中部分?jǐn)?shù)據(jù)包） 。4 嗅探器的實(shí)現(xiàn)與測(cè)試 利用套接字開發(fā)網(wǎng)絡(luò)嗅探程序的步驟利用套接字開發(fā)網(wǎng)絡(luò)嗅探器程序時(shí)的一般步驟如圖 41 所示：關(guān)閉套接字是開始建立套接字綁定套接字設(shè)置網(wǎng)卡為混雜模式初始化數(shù)據(jù)包接收結(jié)構(gòu)停止接收分析處理數(shù)據(jù)包否開始捕獲顯示分析結(jié)果圖 41 嗅探器工作流程如圖 41 所示，在利用套接字開發(fā)網(wǎng)絡(luò)嗅探器程序時(shí)的一般步驟是：首先，創(chuàng)建原始套接字，并設(shè)置其操作選項(xiàng)；其次將原始套接字綁定到本地網(wǎng)卡地址上；設(shè)置網(wǎng)卡為混雜模式，這樣網(wǎng)卡就可以收到任何在網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)包；在以上條件下開始對(duì)數(shù)據(jù)包進(jìn)行捕獲、分析。但是與其他兩種套接字不同的是，原始套接字此時(shí)捕獲到的數(shù)據(jù)包并不僅僅是單純的數(shù)據(jù)信息，而是包含有 IP 頭、 TCP 頭等信息頭的最原始的