【正文】 無法真正了解網(wǎng)絡的運行情況[2][3]。 一臺計算機和其他計算機進行通訊，一般都需要安裝一塊網(wǎng)卡，嗅探器要想工作，首先要有網(wǎng)卡的支持，由網(wǎng)卡來負責接收和發(fā)送網(wǎng)絡數(shù)據(jù)。網(wǎng)絡嗅探在局域網(wǎng)中的應用比較廣泛，按照嗅探環(huán)境的不同，可以分為共享式網(wǎng)絡嗅探和交換式網(wǎng)絡嗅探。盡管網(wǎng)絡嗅探比較隱蔽不易被發(fā)覺，但仍然可以采用以下幾種方法加以防范。對于一些惡意嗅探，目前還沒有一個一勞永逸的方法，在綜合應用上述方法的同時，還應不斷提高網(wǎng)絡管理人員的安全意識，做到多注意、勤檢查。因此，它不能用于 QoS(Quality of Service)調(diào)度程序或個人防火墻。 2） WinPcap 的新特性與優(yōu)勢 WinPcap除了有強大的數(shù)據(jù)包捕獲功能以外，相比 BSD Capturing Component，它還增加了統(tǒng)計及數(shù)據(jù)包發(fā)送功能，另外還有遠程捕獲的能力。反之亦然，遠程后臺程序必須被安裝和配置在遠程機器上。 (3)可以捕獲從本機發(fā)出的數(shù)據(jù)幀。 二者之間擁有 swap特性：由于 storebuffer比 hold buffer更易被填滿，所以當 store buffer 己滿，而 hold buffer為空的時候， store buffer變成 hold buffer，而之前的 hold buffer變成store buffer，這樣使得用戶的程序和捕獲數(shù)據(jù)包的驅(qū)動完 全分開。 (3)．數(shù)據(jù)包高級驅(qū)動程序 庫，是個更高層的、系統(tǒng)無關的 API，它是對 更高層的封裝。 石河子大學學士學位論文 第二章 網(wǎng)絡協(xié)議及協(xié)議仿真技術 18 圖 213 WinPcap 的體系結(jié)構(gòu) 3） 用到的 WinPcap的主要用戶接口函數(shù)和數(shù)據(jù)結(jié)構(gòu) (1)用戶接口函數(shù)： int pcap_findalldevs()：獲得己連接到本機上所有網(wǎng)卡的列表。 (2)數(shù)據(jù)結(jié)構(gòu) (只列出了數(shù)據(jù)結(jié)構(gòu)的名字 )： 石河子大學學士學位論文 第二章 網(wǎng)絡協(xié)議及協(xié)議仿真技術 19 packetheader：內(nèi)核緩沖池中每個數(shù)據(jù)包的預定結(jié)構(gòu)。微軟贊助了意大利的一家研究院開發(fā)了 WinPcap這個項目，最終導致了 WinPcap的產(chǎn)生。可分為用戶級和內(nèi)核級兩類，其中內(nèi)核級主要包括 NDIS中間層捕獲驅(qū)動程序、 TDI捕獲驅(qū)動程序、 NDIS捕獲鉤子驅(qū)動程序等，并且它們都是利用網(wǎng)絡驅(qū)動實現(xiàn)的；用戶級的則包括 SPI接口， Windows 2020包捕獲過濾接口等。 NDIS是 Microsoft和 3Com公司聯(lián)合制定的網(wǎng)絡驅(qū)動規(guī)范，提供了大量的操作函數(shù)，是一個定義網(wǎng)絡適配器與協(xié)議驅(qū)動之間通信的規(guī)范。小端口驅(qū)動僅僅石河子大學學士學位論文 第二章 網(wǎng)絡協(xié)議及協(xié)議仿真技術 21 實現(xiàn)了管理網(wǎng)卡的必要操作，包括在網(wǎng)卡上發(fā)送和接收數(shù)據(jù) 。一個中間層協(xié)議驅(qū)動可以位于另一個中間層驅(qū)動之上，盡管這種分層可能對系統(tǒng)性能帶來負面影響。 圖 216 NPF 在 NDIS 棧中的位置 基于 WinPcap 的包捕獲過程 基于 WinPcap的包捕獲過程：首先獲取網(wǎng)卡設備列表并選擇要監(jiān)聽的一塊網(wǎng)卡，將其設置為混雜模式，還要設置好過濾器等參數(shù)；然后把網(wǎng)卡上的數(shù)據(jù)包復制到內(nèi)核緩沖區(qū)中；最后通 過上層的調(diào)用，把內(nèi)核緩沖區(qū)中的數(shù)據(jù)包拷貝到用戶緩沖區(qū)中，再交給應用程序?qū)?shù)據(jù)進行加工提取出有用的信息。 NPF數(shù)據(jù)包過濾器的設計較為復雜，因為它不僅要決定數(shù)據(jù)包是否應該被接收，而且還要決定保存的數(shù)據(jù)包的字節(jié)數(shù)。得出一個基本的網(wǎng)絡數(shù)據(jù)包捕獲和分析軟件應該具有一些功能。 需要對數(shù)據(jù)包進行統(tǒng)計，顯示捕捉開始后各類數(shù)據(jù)包的個數(shù)和總數(shù)。在軟件開發(fā)的過程中，必須采用一定的方法保證軟件的準確性。這就石河子大學學士學位論文 第三章 需求分析與動畫演示設計 24 要求軟件提供方便的手段供網(wǎng)絡管理員對數(shù)據(jù)進行導出，備份， 分析等。 6）軟件的響應速度 軟件在日常處理中響應速度為 ，達到及時要求。所以理論上，編寫一個嗅探器是可行的。而這正好與論文作者本科階段的學習方向與學習興趣一致。這一方面通過系統(tǒng)的開放性和可擴充性，不斷改善軟件的功能完成。通過軟件的修補，替換完成軟件的升級和更新?lián)Q代。 由于嗅探器軟件的抓包功能對于整個軟件的功能和性能完成舉足輕重。 支持過濾規(guī)則的腳本編程。 通過本章的介紹，課題組成員加深了對 Windows下數(shù)據(jù)包捕獲原理的理解，及對 WinPcap框架的理解，得到了基于 WinPcap開發(fā)嗅探程序的一般步驟，結(jié)合上面幾章相關知識實現(xiàn)一個網(wǎng)絡數(shù)據(jù)包嗅探器。 在數(shù)據(jù)包捕獲期間， WinPcap的捕獲操作依賴于 2個主要部件 [15]： 第一個就是包過濾器。NPF被看作是一個協(xié)議驅(qū)動，處在與 TCP/IP協(xié)議同一級的位置，它的作用就是使應用程序繞過操作系統(tǒng)的協(xié)議棧實現(xiàn)對原始數(shù)據(jù)包的捕獲。NDIS中間層驅(qū)動的應用很廣泛，不僅僅是個人防火墻，還可以用來實現(xiàn) NAT、 PPP Over Ethemet、VPN以及 VLan[14]。網(wǎng)卡驅(qū)動管理著計算機上的所有網(wǎng)卡，它負責向上提供一個接口，該接口允許上層協(xié)議發(fā)送數(shù)據(jù)包到網(wǎng)絡上，還負責處理中斷，停止啟用網(wǎng)卡，查詢和設置驅(qū)動的運行功能。它可以用來接收或發(fā)送 ICMP協(xié)議包以及 TCP/IP協(xié)議棧不能夠處理的口包，及處理 IP層以上的數(shù)據(jù)包，還可以用來發(fā)送一些自己制定源地址的特殊作用的口包，利用RawSocket來捕獲數(shù) 據(jù)包優(yōu)點是方法簡單，缺點是功能有限，只能捕獲 IP層以上的數(shù)據(jù)包。 (1)使用外界提供的驅(qū)動捕獲程序，如 WinPcap驅(qū)動，這也是本課題所采取的方法。 Windows作為當前最流行的用戶平臺，占據(jù)了絕大多數(shù) PC用戶的桌面。 int pcap datalink()：獲取數(shù)據(jù)鏈路層傳輸類型。 ， 可移植并且系統(tǒng)無關的捕獲 API集合，因此它不可能將驅(qū)動所提供的全部功能都輸出出來。 NPF具有高效和迅速的特點，即使在流量很大的快速局域網(wǎng)中也能正常的進行包捕獲，丟包率小并且占用的系統(tǒng)資源少 [11]。經(jīng)過 BPF的數(shù)據(jù)包被拷貝到 Kemel Buffer中，它分為兩個 buffer： store buffer和 hold buffer。 使用 WinPcap庫相對于其他方法有以下優(yōu)點： (1)函數(shù)調(diào)用簡單。它需要一個遠程后臺程序，由它進行捕獲，并把捕獲到的數(shù)據(jù)發(fā)回，一個本地客戶端會發(fā)送合適的命令并接收捕獲到的數(shù)據(jù)。在利用 WinPcap抓包時，要繞過操 作系統(tǒng)的協(xié)議棧來訪問網(wǎng)絡上傳輸?shù)脑紨?shù)據(jù)包，這就要求 WinPcap的一部分要運行在操作系統(tǒng)核心層，直接與網(wǎng)絡接口驅(qū)動交互，這就是 NPF驅(qū)動要完成的任務，它是依賴于操作系統(tǒng)的。另外，WinPcap的標準抓包接口與 Libpcap兼容，使系統(tǒng)便于向 Unix/Linux平臺移植。 嗅探的防御 雖然絕對安靜的嗅探器在理論上無法發(fā)現(xiàn)，但是根據(jù)嗅探器在工作中對主機系統(tǒng)或網(wǎng)絡通訊的影響，也可從中判斷其是否存在。由于共享式以太網(wǎng)中的監(jiān)聽原理非常簡單，而且又不干擾正常的網(wǎng)絡通信，所以發(fā)生在其中的嗅探行為很難被發(fā)現(xiàn)。對于一個嗅探 器來說，也必須使用特定的網(wǎng)絡協(xié)議如 TCP協(xié)議來分解嗅探到的數(shù)據(jù)，這就要求嗅探器本身提供對這種協(xié)議的解碼支持，只有這樣才能夠進行正確的解碼看到數(shù)據(jù)包里面的數(shù)據(jù)。 嗅探器是網(wǎng)絡管理員用來管理網(wǎng)絡的一種工具，通過嗅探器可監(jiān)視網(wǎng)絡的狀態(tài)、數(shù)據(jù)流動情況以及網(wǎng)絡上傳輸?shù)男畔⒌?。包的封裝過程如圖 29所示： 當數(shù)據(jù)到達網(wǎng)絡另一端的計算機時，又經(jīng)過相反的解包過程：首先，數(shù)據(jù)鏈路 層接收到從另一端計算機發(fā)過來的數(shù)據(jù)幀，并由鏈路層的協(xié)議來讀取數(shù)據(jù)幀的內(nèi)容，對于以太網(wǎng)的數(shù)據(jù)鏈路層幀其中有一個字段是標志上層協(xié)議的，此處我們假設是 IP協(xié)議，鏈路層協(xié)議會把以太網(wǎng)首部和尾部都去掉，然后把數(shù)據(jù)交給上層的網(wǎng)絡層，數(shù)據(jù)經(jīng)過網(wǎng)絡層的處理去掉 IP 首部后交給相應的上層協(xié)議TCP或 UDP去處理，同樣道理， TCP或 UDP協(xié)議經(jīng)過對數(shù)據(jù)的處理后去掉 TCP或 UDP頭部，又把數(shù)據(jù)交給應用層去處理，最終還原成用戶數(shù)據(jù)，這就是數(shù)據(jù)進入?yún)f(xié)議棧時的解封過程，如圖 210所示： 圖 29 數(shù)據(jù)進入?yún)f(xié)議棧時的封裝過程 石河子大學學士學位論文 第二章 網(wǎng)絡協(xié)議及協(xié)議仿真技術 11 圖 210 數(shù)據(jù)進入?yún)f(xié)議棧時的解封過程 數(shù)據(jù)在協(xié)議棧里面的封裝與解封的原理是網(wǎng)絡數(shù)據(jù)包捕獲和進行協(xié)議分析的基礎，本論文所構(gòu)建的數(shù)據(jù)包嗅探器就運用了上述的封裝解封原理，并對所捕獲的數(shù)據(jù)包以協(xié)議樹的形式來顯示包內(nèi)所包含的協(xié)議層次結(jié)構(gòu)，另外，本論文最高只是涉及到傳輸層的 TCP和 UDP協(xié)議的解析，考慮到因特網(wǎng)應用層協(xié)議的繁多，并且有可能涉及到加密與解密等一系列的問題，如果要對應用層協(xié)議進行支持，必須首先去了解掌握這種協(xié)議，然后加入相應的應用層協(xié)議解析模塊，由于涉及到眾多問題，所以本論文目前并不支持應用層協(xié)議的解 析，將留待下一步繼續(xù)研究。 ICMP報文只是在前 4個字節(jié)有統(tǒng)一的格式，共有類型、代碼和校驗和 3個字段。解決方法是必要時在最后增加填充字節(jié) 0，這只是為了校驗和的計算（也就是說，可能增加的填充字節(jié)不被傳送）。使用 UDP的服務包括 NTP（網(wǎng)絡時間協(xié)議）和 DNS（ DNS也使用 TCP）。應用程序輪流將信息送回 TCP層， TCP層便將它們向下傳送到 IP層，設備驅(qū)動程序和物理介質(zhì)，最后到接收方。當收到一份 IP數(shù)據(jù)報后，同樣對首部中每個 16 bit進行二進制反碼的求和。當 TTL值為 0時，就丟棄這個數(shù)據(jù)報。 片偏移： 13位。相同的標識字段的值使分片后的各數(shù)據(jù)報片最后能正確地重裝成為原來的數(shù)據(jù)報。 總長度： 16位，總長度指首部和數(shù)據(jù)之和的長度，以字節(jié)為單位。 首部長度： 4位，度指的是首部占 32bit字的數(shù)目，包括任何選項。也可以這樣說， IP地址 形成了許多服務的認證基礎，這些服務相信數(shù)據(jù)包是從一個有效的主機發(fā)送 來的。 TCP/IP參考模型更側(cè)重于互聯(lián)設備間的數(shù)據(jù)傳送，更注重實用性，而不是嚴格的功能層次劃分。相反，它定義像地址解析協(xié)議 (ARPAddress Resolution Protocol)這樣的協(xié)議，提供 TCP/IP協(xié)議的數(shù)據(jù)結(jié)構(gòu)和實際物理硬件之間的接口。 表 21 OSI七層參考模型 應用層 表示層 會話層 傳輸層 網(wǎng)絡層 數(shù)據(jù)鏈路層 物理層 按照 OSI開放系統(tǒng)互聯(lián)參考模型的觀點，可將網(wǎng)絡系統(tǒng)劃分為 7層結(jié)構(gòu)，每一個層次上運行著不同的協(xié)議和服務，并且上下層之間互相配合，完成網(wǎng)絡數(shù)據(jù)交換的功能。 第五章：對本文所構(gòu)建的 數(shù)據(jù)包嗅探器進行測試，實驗證明系統(tǒng)達到了預期的設計目標。 由于網(wǎng)絡模型和協(xié)議 的抽象性，即使專業(yè)人員對其理解也有很大困難。對這些領域 的協(xié)議和算法的開發(fā)和評價要求人們回答很多設計上的問題。非專業(yè)的人員在使用網(wǎng)絡協(xié)議仿真軟件的同時可以對網(wǎng)絡協(xié)議有基本的理解，有一定專業(yè)知識的人員更好的理解網(wǎng)絡協(xié)議原理、掌握學習要領。 capture data packet 。借助 WinPcap來研究 Windows平臺下的網(wǎng)絡協(xié)議仿真技術是具有現(xiàn)實意義的，這不僅能促進網(wǎng)絡嗅探系統(tǒng)的改進和發(fā)展，還能促進 WinPcap本身的發(fā)展。 任務書 設計時間 （ 1） 第 13周 搜集相關文獻文檔 （ 2） 第 4周 系統(tǒng)功能模塊分析 （ 3） 第 5周 系統(tǒng)技術實現(xiàn)分析 （ 4） 第 613周 程序編寫，系統(tǒng)調(diào)試，相關文檔的撰寫 （ 5） 第 14周 完善系統(tǒng)和對論文的撰寫 （ 6） 第 15周 準備預審和相關畢業(yè)答辯文檔 石河子大學學士學位論文 第一章 緒論 2 （ 7）第 16周 終期答辯 總計 16周 課題分工 徐婷：開題報告、文獻 綜述、論文初稿搜集整理相關文獻資料、需求分析、系統(tǒng)測試 饒冬冬：功能模塊的分析和設計、動畫演示制作、系統(tǒng)調(diào)試修改 共同合作：結(jié)構(gòu)設計、整體模塊設計、系統(tǒng)編寫實現(xiàn) 設計成果 畢業(yè)設計相關文獻及成果清單包括： 可執(zhí)行軟件一份 《開題報告》 《文獻綜述》 《用戶手冊》 《石河子大學信息科學與技術學院 2020畢業(yè)設計論文》 論文組織 下面 是本論文的章節(jié)組織： 第一章：緒論，概括介紹了論文的研究背景、研究目的及意義。我們利用一個共同遵守的通信協(xié)議，從而使 Intemet成為一個允許連接不同類型的計算機和不同操作系統(tǒng)的網(wǎng)絡。 TCP/IP 參考模型 TCP/IP參考模型被稱作因特網(wǎng)分層模型、因特網(wǎng)參考模型 (Intemet Reference Model)，表 22表示了 TCP/IP分層模型的四層。同時還包含網(wǎng)問控制報文協(xié)議 (ICMP Intemet Control Message Protocol)用來提供網(wǎng)絡診斷信息。