【正文】 ...................................................................... 11 網(wǎng)絡體系結構 12 通訊端口 21 4 局域網(wǎng)監(jiān)聽系統(tǒng)的設計及實現(xiàn) ................................................................................... 24 局域網(wǎng)監(jiān)聽系統(tǒng)的設計 27 建立 Socket 網(wǎng)絡的維護和安全的要求也變得越來越高。戰(zhàn)國時代的《墨子》一 書就記載了一種 “聽甕 ”。 課題意義 使用網(wǎng)絡相關知識、 c++的網(wǎng)絡編程技術實現(xiàn)網(wǎng)絡監(jiān)聽系統(tǒng)，旨在培養(yǎng)理論與實踐相結合解決信息安全問題的能力，培養(yǎng)自學能力以及調查研究問題、分析問題、解決問題的能力。 網(wǎng)絡監(jiān)聽技術是用來監(jiān)視網(wǎng)絡的狀態(tài)、數(shù)據(jù)流動情況以及網(wǎng)上傳輸?shù)拿魑男畔⒌鹊男畔⒓夹g，局域網(wǎng)大部分使用以太網(wǎng)協(xié)議，其工作方式是 ：將要發(fā)送的數(shù)據(jù)包發(fā)往網(wǎng)中的所有主機，包中包含著應該接受數(shù)據(jù)包的主機的 IP地址，只有與數(shù)據(jù)包目標地址一致的那臺主機才能接受。網(wǎng)絡正以前所未有的速度進入人類社會，影響和改變著人們的生活方式，思想觀念，對政治、經(jīng)濟軍事等方面都產(chǎn)生了重大的影響，更是本世紀知識經(jīng)濟增長的基礎和保障，因此保證網(wǎng)絡系統(tǒng)穩(wěn)定安全的運行，以促進實現(xiàn)質量的提高，從而保障整個 Inter的健康發(fā)展，有著重要的現(xiàn)實意義。 軟件數(shù)據(jù)截取工具介紹 目前，針對各種不同版本的操作系統(tǒng)都有不同版本的數(shù)據(jù)監(jiān)聽軟件，如 MSDOS平臺上 Gobblor、 Window9x 平臺的 NetXray、 Win2000/xp 平臺下得 Sniffer Pro、 Novell平臺的 EthLoad 以及 UNIX 平臺 Netman 和 Sunsniff 等等。 陜西科技大學畢業(yè)設計說明書 4 2 網(wǎng)絡監(jiān) 聽技術綜述 網(wǎng)絡監(jiān)聽概念 網(wǎng)絡監(jiān)聽 [1]技術是一種與網(wǎng)絡安全性密切相關的技術，它的完整定義是：利用計算機的網(wǎng)絡接口截獲目的地為其它計算機的數(shù)據(jù)報文的一種技術。但這種數(shù)據(jù)包并不能在協(xié)議棧的高層直接發(fā)送出去，要發(fā)送的數(shù)據(jù)包必須從 TCP/IP 協(xié)議的 IP 層交給網(wǎng)絡接口，也就是所說的數(shù)據(jù)鏈路層。再當使用集線器的時候，發(fā)送出去的信 號到達集線器，由集線器再發(fā)向連接 在集線器上的每一條線路。它的功能是過濾數(shù)據(jù)包，并把這些數(shù)據(jù)包原封不動地傳給用戶態(tài)模塊，這個過程中包括了一些操作系統(tǒng)特有的代碼。 提供了更加友好、功能更加強大的函數(shù)調用。 WinPcap 的體系結構 (1) BSD Capturing Component 的體系結構 BSD Capturing Component 是 Unix 下最常用的捕獲數(shù)據(jù)包的驅動，其基本體系結構見圖 21。它為捕獲數(shù)據(jù)包的過程提供了強大而抽象的接口。微軟開發(fā) winpcap 這個項目的目的在于為win32 應用程序提供更開放的訪問網(wǎng)絡底層的能力。 第三個模塊 是不依賴于操作系統(tǒng)的。 WinPcap 的功能與新特性 WinPcap 除了其強大的捕獲數(shù)據(jù)包的功能以外，相比 BSD Capturing Component 還增加了發(fā)送數(shù)據(jù)包的功能：它是在 Win32 平臺上第一個提供標準的一套發(fā)送數(shù)據(jù)包函數(shù)的庫。 以太網(wǎng)是一種總線型的網(wǎng)絡，從邏輯上來看是由一條總線和多個連接在總線上的站點所組成各個站點采用上面提到的 CSMA/CD 協(xié)議 進行信道的爭用和共享。 (d) 混雜模式（ Promiscuous Model） :工作在混雜模式下的網(wǎng)卡接收所有的流過網(wǎng)卡的幀，信包捕獲程序就是在這種模式下運行的。 利用 winpcap 進行網(wǎng)絡數(shù)據(jù)包的捕獲和過濾的設計步驟 (a) 打開網(wǎng)卡，并設為混雜模 式。 基于 Visual C++的網(wǎng)絡監(jiān)聽系統(tǒng) 11 3 相關網(wǎng)絡協(xié)議的分析 網(wǎng)絡體系結構 計算機 的網(wǎng)絡結構可以從網(wǎng)絡體系結構 ， 網(wǎng)絡組織 和網(wǎng)絡配置三個方面來描述 ， 網(wǎng)絡組織是從網(wǎng)絡的 物理結構 和網(wǎng)絡的實現(xiàn)兩方面來描述 計算機網(wǎng)絡 。 網(wǎng)絡協(xié)議三要素 :語法 ， 語義 ， 交換規(guī)則 (或稱時序 /定時關系 )運作機制 。這個 選項是為了測試而存在的，說明了它可以被用來欺騙系統(tǒng)來進行平常是被禁止的連接。 TCP 將它的信息送到更高層的應用程序，例如 Tel 的服務程序和客戶程序。相對于 FTP 或 Tel，這些服務需要交換的信息量較小。 基于 Visual C++的網(wǎng)絡監(jiān)聽系統(tǒng) 13 通訊端口 TCP 和 UDP 服務通常有一個客戶 /服務器 的關系，例如，一個 Tel 服務進程開始在系統(tǒng)上處于空閑狀態(tài)，等待著連接。 端口是一個軟件結構，被客戶程序或服務進程用來發(fā)送和接收信息。所以，在 Inter網(wǎng)絡中，網(wǎng)絡地址唯一地標識一臺計 算機。分配給具有大量主機（直接個人用 戶）而局域網(wǎng) 絡個數(shù)較少的大型網(wǎng)絡。 B 類網(wǎng)絡用第一、二組數(shù)字表 示網(wǎng)絡的地址，后面兩組數(shù)字代表網(wǎng)絡上的主機地址。每個 C 類地址可連接 254 臺主機，Inter有 2097152個 C類地址段（ 32*256*256），有 532676608個地址（ 32*256*256*254）。 D 類地址用于多點播送。這臺計算機能根據(jù)用戶通信目標計算機的 IP 地址，決定是否將用戶發(fā)出的信息送出本地網(wǎng)絡，同時，它還將外界發(fā)送給屬于本地網(wǎng)絡計算機的信息接收過來，它是一個網(wǎng)絡與另一個網(wǎng)絡相聯(lián)的通道。 (4) 子網(wǎng)作用 使用子網(wǎng)是要解決只有一組 C 類地址但需要數(shù)個網(wǎng)絡編碼的問題，并不是解決 IP地址不夠用的問題，因為使用子網(wǎng)反而能使用的 IP 地址會變少，子網(wǎng)通常是使用在跨地域的網(wǎng)絡互聯(lián)之中，兩者之間使用路由器連線，同時也上 Inter，但只申請到一組 C 類 IP 地址，過路由又需不同的網(wǎng)絡，所以此時就 必須使用到子網(wǎng)，當然二網(wǎng)絡間也可以遠程橋接（ Remote Bridge，字面翻譯）連接，那便沒有使用子網(wǎng)的問題。一個網(wǎng)絡編碼，對應一個網(wǎng)域（或網(wǎng)段）。 (b) 首先檢查 IP 地址、子網(wǎng)掩碼、 默認網(wǎng)關 、 DNS 服務器地址是否正確，輸入命令 ipconfig /all，按回車。不過 ，要注意，在使用 ping 命令時，有些公司會在其主機設置丟棄 ICMP 數(shù)據(jù)包，造成你的 ping 命令無法正常返回數(shù)據(jù)包，不防換個網(wǎng)站試試。 IP 傳輸通用數(shù)據(jù)。 IP 替代品過程遍布整個因特網(wǎng)，這使 IP 替代品比最初的專有網(wǎng)絡更加有價值（由陜西科技大學畢業(yè)設計說明書 20 于網(wǎng)絡效應）。具體操作如下： (a) 單擊 開始 運行，輸入 CMD 后單擊 確定 。但采用A、 B、 C 三類編址方式后，可用的網(wǎng)絡地址和主機地址的數(shù)目大打折扣，以至目前的IP 地址已經(jīng)枯竭。因為 IANA 把大片的 地址空間 分配給了一些公司和研究機構， 90 年代 初就有基于 Visual C++的網(wǎng)絡監(jiān)聽系統(tǒng) 21 人擔心 10 年內 IP 地址空間就會不 夠用，并由此導致了 IPv6 的開發(fā)。 (d) IPv6 加入了對自動 配置 （ Auto Configuration）的支持。在頂層，應用層與用戶使用的軟件（如字處理程序或電子表格程序）進行交互。 (2) 數(shù)據(jù)鏈路層 數(shù)據(jù)鏈路層是 O S I 模型的第二層，它控制網(wǎng)絡層與物理層之間的通信。因為如果沒有傳輸層，數(shù)據(jù)將不能被接受方驗證或解釋，所以，傳輸層常被認為是 O S I 模型中最重要的一層。應用層負責對軟件提供接口以使程序能使用網(wǎng)絡服務。表示層管理數(shù)據(jù)的解密與加密，除此之外，表示層協(xié)議還對圖片和文件格式信息進行解碼和編碼。由于網(wǎng)絡層處理路由，而路由器因為連接網(wǎng)絡各段，并智能指導數(shù)據(jù)傳送，因此屬于網(wǎng)絡層。換言之，你提供了一個物理層。 OSI 模型將網(wǎng)絡結構劃分為七層：即物理層、數(shù)據(jù)鏈路層、網(wǎng)絡層、傳輸層、會話層、表示層和應用層。 IPv6 的地址分配一開始就遵循聚類（ Aggregation）的原則，這使得路由器能在路由表中用一條記錄（ Entry）表示一片子網(wǎng)，大大減小了路由器中路由表的長度，提高了路由器轉發(fā)數(shù)據(jù)包的速度。那時只有幾百臺計算機互相聯(lián)網(wǎng)。 傳統(tǒng)的 TCP/IP 協(xié)議基于 IPV4 屬于 第二代互聯(lián)網(wǎng) 技術，核心技術屬于美國。 (10) 協(xié)議重置 如果需要重新安裝 TCP/IP 以使 TCP/IP 堆?；謴蜑樵紶顟B(tài)。 通過一點點的投資 IP 基礎設施逐漸在專有數(shù)據(jù)網(wǎng)絡周邊出現(xiàn)。 (9) 協(xié)議優(yōu)勢 在長期的發(fā)展過程中， IP 逐漸取代其他網(wǎng)絡。 如果你的計算機通過了全部測試，則說明網(wǎng)絡正常，否則網(wǎng)絡可能有不同程度的問題。同時，它 將網(wǎng)絡地址全部確定為網(wǎng)絡編碼。 在申請 IP 地址時，由它表示所申請到的 IP 地址的網(wǎng)絡地址和主機地址。在完整一組 C 類地址中如 子網(wǎng)掩碼 ， 稱之網(wǎng)絡編碼（ Network Number，將 IP 地址和子網(wǎng)掩碼作和），而 是廣播的 IP 地址，所以 這兩者皆不能使用，實際只能使用 等 254 個 IP 地址，這是以 作子網(wǎng)掩碼的結果，而所謂 Sub Msk 尚可將整組 C 類地址分成數(shù)組網(wǎng)絡編碼，這要在子網(wǎng)掩碼上作手腳，若是要將整組 C 類地址分成 2 個網(wǎng)絡編碼那子網(wǎng)掩碼設定為 ，若是要將整組 C 類分成 8 組網(wǎng)絡編碼則子網(wǎng)掩碼要為 ，這是怎么來的，由以上知道網(wǎng)絡編碼是由 IP 地址和子網(wǎng)掩碼作 AND 而來的，而且將子網(wǎng)掩碼以二進制表示法知道是 1 的會保 留，而為 0 的去掉 以上是以 為子網(wǎng)掩碼的結果，網(wǎng)絡編碼是 ，若是使用基于 Visual C++的網(wǎng)絡監(jiān)聽系統(tǒng) 17 作子網(wǎng)掩碼結果便有所不同 此時網(wǎng)絡編碼變成了 ，這便是子網(wǎng)。如果有兩臺計算機的 IP 地址相同，則會引起異?，F(xiàn)象，無論哪臺計算機都將無法正常工作。但這兩類地址用途比較特殊，在這里只是簡單介紹一下： D 類地址不分網(wǎng)絡地址 和主機地址，它的第 1 個字節(jié)的前四位固定為 1110。 C 類網(wǎng)絡用前三組數(shù)字表示網(wǎng)絡的地址，最后一組數(shù)字作為網(wǎng)絡上的主機地址。 A 類地址適用于有大量主機的大型網(wǎng)絡。 (a) A 類地址 陜西科技大學畢業(yè)設計說明書 14 A 類地址的表示范圍為： ~，默認網(wǎng)絡屏蔽為： ； A類地址分配給規(guī)模特別大的網(wǎng)絡使用。就好像每一個住宅都有唯一的門牌一樣，才不至于在傳輸資料時出現(xiàn)混亂。 (c) 源端口 源系統(tǒng)上的連接的端口。另外，如果路徑不可用了， ICMP 可以使TCP 連接 ?體面地 ?終止。 UDP 與 TCP 位于同一層，但它不管數(shù)據(jù)包的順序、錯誤或重發(fā)。TCP 將包排序并進行錯誤檢查，同時實現(xiàn)虛電路間的連接。 IP 確認包含一個選項，叫作 IP source routing，可以用來指定一條源地址和目的地址之間的直接路徑。而將計算機 網(wǎng)絡層 次模型和各層協(xié)議的集合 定義 為計算機網(wǎng)絡體系結構 (Network Architecture)。監(jiān)聽程序可以直接從用戶緩沖區(qū)中讀取捕獲的數(shù)據(jù)包。 NDIS 還支持多種工作模式，支持多處理器，提供一個完備的 NDIS 庫 (Library)。但是，如果將網(wǎng)卡設置為多播傳送模式，它可以接收所有的多播傳送幀，而不論它是不是組內成員。 標準的以太網(wǎng)采用的是持續(xù) CSMA 的方式，正是由于以太網(wǎng)采用這種廣播信道爭用的方式，使得各個站點可以獲得其他站點發(fā)送的數(shù)據(jù)。 Winpcap 的缺點在于：不能阻塞、過濾或控制其他應用程序對數(shù)據(jù)報收發(fā)，它僅僅只是監(jiān)聽 共享網(wǎng)絡上傳送的數(shù)據(jù)。 可以解決這些差異。另外，它們在結構上也有重要的區(qū)別： Netgroup Packet Filter 采用循環(huán) buffer，這樣使得 buffer 空間可以得到充分利用，大大提高了效率。 Userlevel buffer存儲從核心層進來的數(shù)據(jù)包，它可防止用戶 直接訪問內核管理的內存。微軟研究院贊助了意 大利一家開發(fā)機構，為 Win32 平臺底層網(wǎng)絡分析開發(fā)了一套有力而且易擴展的體系結構 —— WinPcap，它可以將 Unix 支持的數(shù)據(jù)包捕獲功能加到 Win32 系統(tǒng)中，陜西科技大學畢業(yè)設計說明書 6 從而彌補了 Windows 操作系統(tǒng)這方面的欠缺。它提供了更加高層、抽象的函數(shù)。 是對