【正文】 ...................................................................... 11 網(wǎng)絡(luò)體系結(jié)構(gòu) 12 通訊端口 21 4 局域網(wǎng)監(jiān)聽(tīng)系統(tǒng)的設(shè)計(jì)及實(shí)現(xiàn) ................................................................................... 24 局域網(wǎng)監(jiān)聽(tīng)系統(tǒng)的設(shè)計(jì) 27 建立 Socket 網(wǎng)絡(luò)的維護(hù)和安全的要求也變得越來(lái)越高。戰(zhàn)國(guó)時(shí)代的《墨子》一 書就記載了一種 “聽(tīng)甕 ”。 課題意義 使用網(wǎng)絡(luò)相關(guān)知識(shí)、 c++的網(wǎng)絡(luò)編程技術(shù)實(shí)現(xiàn)網(wǎng)絡(luò)監(jiān)聽(tīng)系統(tǒng)，旨在培養(yǎng)理論與實(shí)踐相結(jié)合解決信息安全問(wèn)題的能力，培養(yǎng)自學(xué)能力以及調(diào)查研究問(wèn)題、分析問(wèn)題、解決問(wèn)題的能力。 網(wǎng)絡(luò)監(jiān)聽(tīng)技術(shù)是用來(lái)監(jiān)視網(wǎng)絡(luò)的狀態(tài)、數(shù)據(jù)流動(dòng)情況以及網(wǎng)上傳輸?shù)拿魑男畔⒌鹊男畔⒓夹g(shù)，局域網(wǎng)大部分使用以太網(wǎng)協(xié)議，其工作方式是 ：將要發(fā)送的數(shù)據(jù)包發(fā)往網(wǎng)中的所有主機(jī)，包中包含著應(yīng)該接受數(shù)據(jù)包的主機(jī)的 IP地址，只有與數(shù)據(jù)包目標(biāo)地址一致的那臺(tái)主機(jī)才能接受。網(wǎng)絡(luò)正以前所未有的速度進(jìn)入人類社會(huì)，影響和改變著人們的生活方式，思想觀念，對(duì)政治、經(jīng)濟(jì)軍事等方面都產(chǎn)生了重大的影響，更是本世紀(jì)知識(shí)經(jīng)濟(jì)增長(zhǎng)的基礎(chǔ)和保障，因此保證網(wǎng)絡(luò)系統(tǒng)穩(wěn)定安全的運(yùn)行，以促進(jìn)實(shí)現(xiàn)質(zhì)量的提高，從而保障整個(gè) Inter的健康發(fā)展，有著重要的現(xiàn)實(shí)意義。 軟件數(shù)據(jù)截取工具介紹 目前，針對(duì)各種不同版本的操作系統(tǒng)都有不同版本的數(shù)據(jù)監(jiān)聽(tīng)軟件，如 MSDOS平臺(tái)上 Gobblor、 Window9x 平臺(tái)的 NetXray、 Win2000/xp 平臺(tái)下得 Sniffer Pro、 Novell平臺(tái)的 EthLoad 以及 UNIX 平臺(tái) Netman 和 Sunsniff 等等。 陜西科技大學(xué)畢業(yè)設(shè)計(jì)說(shuō)明書 4 2 網(wǎng)絡(luò)監(jiān) 聽(tīng)技術(shù)綜述 網(wǎng)絡(luò)監(jiān)聽(tīng)概念 網(wǎng)絡(luò)監(jiān)聽(tīng) [1]技術(shù)是一種與網(wǎng)絡(luò)安全性密切相關(guān)的技術(shù)，它的完整定義是：利用計(jì)算機(jī)的網(wǎng)絡(luò)接口截獲目的地為其它計(jì)算機(jī)的數(shù)據(jù)報(bào)文的一種技術(shù)。但這種數(shù)據(jù)包并不能在協(xié)議棧的高層直接發(fā)送出去，要發(fā)送的數(shù)據(jù)包必須從 TCP/IP 協(xié)議的 IP 層交給網(wǎng)絡(luò)接口，也就是所說(shuō)的數(shù)據(jù)鏈路層。再當(dāng)使用集線器的時(shí)候，發(fā)送出去的信 號(hào)到達(dá)集線器，由集線器再發(fā)向連接 在集線器上的每一條線路。它的功能是過(guò)濾數(shù)據(jù)包，并把這些數(shù)據(jù)包原封不動(dòng)地傳給用戶態(tài)模塊，這個(gè)過(guò)程中包括了一些操作系統(tǒng)特有的代碼。 提供了更加友好、功能更加強(qiáng)大的函數(shù)調(diào)用。 WinPcap 的體系結(jié)構(gòu) (1) BSD Capturing Component 的體系結(jié)構(gòu) BSD Capturing Component 是 Unix 下最常用的捕獲數(shù)據(jù)包的驅(qū)動(dòng)，其基本體系結(jié)構(gòu)見(jiàn)圖 21。它為捕獲數(shù)據(jù)包的過(guò)程提供了強(qiáng)大而抽象的接口。微軟開(kāi)發(fā) winpcap 這個(gè)項(xiàng)目的目的在于為win32 應(yīng)用程序提供更開(kāi)放的訪問(wèn)網(wǎng)絡(luò)底層的能力。 第三個(gè)模塊 是不依賴于操作系統(tǒng)的。 WinPcap 的功能與新特性 WinPcap 除了其強(qiáng)大的捕獲數(shù)據(jù)包的功能以外，相比 BSD Capturing Component 還增加了發(fā)送數(shù)據(jù)包的功能：它是在 Win32 平臺(tái)上第一個(gè)提供標(biāo)準(zhǔn)的一套發(fā)送數(shù)據(jù)包函數(shù)的庫(kù)。 以太網(wǎng)是一種總線型的網(wǎng)絡(luò)，從邏輯上來(lái)看是由一條總線和多個(gè)連接在總線上的站點(diǎn)所組成各個(gè)站點(diǎn)采用上面提到的 CSMA/CD 協(xié)議 進(jìn)行信道的爭(zhēng)用和共享。 (d) 混雜模式（ Promiscuous Model） :工作在混雜模式下的網(wǎng)卡接收所有的流過(guò)網(wǎng)卡的幀，信包捕獲程序就是在這種模式下運(yùn)行的。 利用 winpcap 進(jìn)行網(wǎng)絡(luò)數(shù)據(jù)包的捕獲和過(guò)濾的設(shè)計(jì)步驟 (a) 打開(kāi)網(wǎng)卡，并設(shè)為混雜模 式。 基于 Visual C++的網(wǎng)絡(luò)監(jiān)聽(tīng)系統(tǒng) 11 3 相關(guān)網(wǎng)絡(luò)協(xié)議的分析 網(wǎng)絡(luò)體系結(jié)構(gòu) 計(jì)算機(jī) 的網(wǎng)絡(luò)結(jié)構(gòu)可以從網(wǎng)絡(luò)體系結(jié)構(gòu) ， 網(wǎng)絡(luò)組織 和網(wǎng)絡(luò)配置三個(gè)方面來(lái)描述 ， 網(wǎng)絡(luò)組織是從網(wǎng)絡(luò)的 物理結(jié)構(gòu) 和網(wǎng)絡(luò)的實(shí)現(xiàn)兩方面來(lái)描述 計(jì)算機(jī)網(wǎng)絡(luò) 。 網(wǎng)絡(luò)協(xié)議三要素 :語(yǔ)法 ， 語(yǔ)義 ， 交換規(guī)則 (或稱時(shí)序 /定時(shí)關(guān)系 )運(yùn)作機(jī)制 。這個(gè) 選項(xiàng)是為了測(cè)試而存在的，說(shuō)明了它可以被用來(lái)欺騙系統(tǒng)來(lái)進(jìn)行平常是被禁止的連接。 TCP 將它的信息送到更高層的應(yīng)用程序，例如 Tel 的服務(wù)程序和客戶程序。相對(duì)于 FTP 或 Tel，這些服務(wù)需要交換的信息量較小。 基于 Visual C++的網(wǎng)絡(luò)監(jiān)聽(tīng)系統(tǒng) 13 通訊端口 TCP 和 UDP 服務(wù)通常有一個(gè)客戶 /服務(wù)器 的關(guān)系，例如，一個(gè) Tel 服務(wù)進(jìn)程開(kāi)始在系統(tǒng)上處于空閑狀態(tài)，等待著連接。 端口是一個(gè)軟件結(jié)構(gòu)，被客戶程序或服務(wù)進(jìn)程用來(lái)發(fā)送和接收信息。所以，在 Inter網(wǎng)絡(luò)中，網(wǎng)絡(luò)地址唯一地標(biāo)識(shí)一臺(tái)計(jì) 算機(jī)。分配給具有大量主機(jī)（直接個(gè)人用 戶）而局域網(wǎng) 絡(luò)個(gè)數(shù)較少的大型網(wǎng)絡(luò)。 B 類網(wǎng)絡(luò)用第一、二組數(shù)字表 示網(wǎng)絡(luò)的地址，后面兩組數(shù)字代表網(wǎng)絡(luò)上的主機(jī)地址。每個(gè) C 類地址可連接 254 臺(tái)主機(jī)，Inter有 2097152個(gè) C類地址段（ 32*256*256），有 532676608個(gè)地址（ 32*256*256*254）。 D 類地址用于多點(diǎn)播送。這臺(tái)計(jì)算機(jī)能根據(jù)用戶通信目標(biāo)計(jì)算機(jī)的 IP 地址，決定是否將用戶發(fā)出的信息送出本地網(wǎng)絡(luò)，同時(shí)，它還將外界發(fā)送給屬于本地網(wǎng)絡(luò)計(jì)算機(jī)的信息接收過(guò)來(lái)，它是一個(gè)網(wǎng)絡(luò)與另一個(gè)網(wǎng)絡(luò)相聯(lián)的通道。 (4) 子網(wǎng)作用 使用子網(wǎng)是要解決只有一組 C 類地址但需要數(shù)個(gè)網(wǎng)絡(luò)編碼的問(wèn)題，并不是解決 IP地址不夠用的問(wèn)題，因?yàn)槭褂米泳W(wǎng)反而能使用的 IP 地址會(huì)變少，子網(wǎng)通常是使用在跨地域的網(wǎng)絡(luò)互聯(lián)之中，兩者之間使用路由器連線，同時(shí)也上 Inter，但只申請(qǐng)到一組 C 類 IP 地址，過(guò)路由又需不同的網(wǎng)絡(luò)，所以此時(shí)就 必須使用到子網(wǎng)，當(dāng)然二網(wǎng)絡(luò)間也可以遠(yuǎn)程橋接（ Remote Bridge，字面翻譯）連接，那便沒(méi)有使用子網(wǎng)的問(wèn)題。一個(gè)網(wǎng)絡(luò)編碼，對(duì)應(yīng)一個(gè)網(wǎng)域（或網(wǎng)段）。 (b) 首先檢查 IP 地址、子網(wǎng)掩碼、 默認(rèn)網(wǎng)關(guān) 、 DNS 服務(wù)器地址是否正確，輸入命令 ipconfig /all，按回車。不過(guò) ，要注意，在使用 ping 命令時(shí)，有些公司會(huì)在其主機(jī)設(shè)置丟棄 ICMP 數(shù)據(jù)包，造成你的 ping 命令無(wú)法正常返回?cái)?shù)據(jù)包，不防換個(gè)網(wǎng)站試試。 IP 傳輸通用數(shù)據(jù)。 IP 替代品過(guò)程遍布整個(gè)因特網(wǎng)，這使 IP 替代品比最初的專有網(wǎng)絡(luò)更加有價(jià)值（由陜西科技大學(xué)畢業(yè)設(shè)計(jì)說(shuō)明書 20 于網(wǎng)絡(luò)效應(yīng)）。具體操作如下： (a) 單擊 開(kāi)始 運(yùn)行，輸入 CMD 后單擊 確定 。但采用A、 B、 C 三類編址方式后，可用的網(wǎng)絡(luò)地址和主機(jī)地址的數(shù)目大打折扣，以至目前的IP 地址已經(jīng)枯竭。因?yàn)?IANA 把大片的 地址空間 分配給了一些公司和研究機(jī)構(gòu)， 90 年代 初就有基于 Visual C++的網(wǎng)絡(luò)監(jiān)聽(tīng)系統(tǒng) 21 人擔(dān)心 10 年內(nèi) IP 地址空間就會(huì)不 夠用，并由此導(dǎo)致了 IPv6 的開(kāi)發(fā)。 (d) IPv6 加入了對(duì)自動(dòng) 配置 （ Auto Configuration）的支持。在頂層，應(yīng)用層與用戶使用的軟件（如字處理程序或電子表格程序）進(jìn)行交互。 (2) 數(shù)據(jù)鏈路層 數(shù)據(jù)鏈路層是 O S I 模型的第二層，它控制網(wǎng)絡(luò)層與物理層之間的通信。因?yàn)槿绻麤](méi)有傳輸層，數(shù)據(jù)將不能被接受方驗(yàn)證或解釋，所以，傳輸層常被認(rèn)為是 O S I 模型中最重要的一層。應(yīng)用層負(fù)責(zé)對(duì)軟件提供接口以使程序能使用網(wǎng)絡(luò)服務(wù)。表示層管理數(shù)據(jù)的解密與加密，除此之外，表示層協(xié)議還對(duì)圖片和文件格式信息進(jìn)行解碼和編碼。由于網(wǎng)絡(luò)層處理路由，而路由器因?yàn)檫B接網(wǎng)絡(luò)各段，并智能指導(dǎo)數(shù)據(jù)傳送，因此屬于網(wǎng)絡(luò)層。換言之，你提供了一個(gè)物理層。 OSI 模型將網(wǎng)絡(luò)結(jié)構(gòu)劃分為七層：即物理層、數(shù)據(jù)鏈路層、網(wǎng)絡(luò)層、傳輸層、會(huì)話層、表示層和應(yīng)用層。 IPv6 的地址分配一開(kāi)始就遵循聚類（ Aggregation）的原則，這使得路由器能在路由表中用一條記錄（ Entry）表示一片子網(wǎng)，大大減小了路由器中路由表的長(zhǎng)度，提高了路由器轉(zhuǎn)發(fā)數(shù)據(jù)包的速度。那時(shí)只有幾百臺(tái)計(jì)算機(jī)互相聯(lián)網(wǎng)。 傳統(tǒng)的 TCP/IP 協(xié)議基于 IPV4 屬于 第二代互聯(lián)網(wǎng) 技術(shù)，核心技術(shù)屬于美國(guó)。 (10) 協(xié)議重置 如果需要重新安裝 TCP/IP 以使 TCP/IP 堆棧恢復(fù)為原始狀態(tài)。 通過(guò)一點(diǎn)點(diǎn)的投資 IP 基礎(chǔ)設(shè)施逐漸在專有數(shù)據(jù)網(wǎng)絡(luò)周邊出現(xiàn)。 (9) 協(xié)議優(yōu)勢(shì) 在長(zhǎng)期的發(fā)展過(guò)程中， IP 逐漸取代其他網(wǎng)絡(luò)。 如果你的計(jì)算機(jī)通過(guò)了全部測(cè)試，則說(shuō)明網(wǎng)絡(luò)正常，否則網(wǎng)絡(luò)可能有不同程度的問(wèn)題。同時(shí)，它 將網(wǎng)絡(luò)地址全部確定為網(wǎng)絡(luò)編碼。 在申請(qǐng) IP 地址時(shí)，由它表示所申請(qǐng)到的 IP 地址的網(wǎng)絡(luò)地址和主機(jī)地址。在完整一組 C 類地址中如 子網(wǎng)掩碼 ， 稱之網(wǎng)絡(luò)編碼（ Network Number，將 IP 地址和子網(wǎng)掩碼作和），而 是廣播的 IP 地址，所以 這兩者皆不能使用，實(shí)際只能使用 等 254 個(gè) IP 地址，這是以 作子網(wǎng)掩碼的結(jié)果，而所謂 Sub Msk 尚可將整組 C 類地址分成數(shù)組網(wǎng)絡(luò)編碼，這要在子網(wǎng)掩碼上作手腳，若是要將整組 C 類地址分成 2 個(gè)網(wǎng)絡(luò)編碼那子網(wǎng)掩碼設(shè)定為 ，若是要將整組 C 類分成 8 組網(wǎng)絡(luò)編碼則子網(wǎng)掩碼要為 ，這是怎么來(lái)的，由以上知道網(wǎng)絡(luò)編碼是由 IP 地址和子網(wǎng)掩碼作 AND 而來(lái)的，而且將子網(wǎng)掩碼以二進(jìn)制表示法知道是 1 的會(huì)保 留，而為 0 的去掉 以上是以 為子網(wǎng)掩碼的結(jié)果，網(wǎng)絡(luò)編碼是 ，若是使用基于 Visual C++的網(wǎng)絡(luò)監(jiān)聽(tīng)系統(tǒng) 17 作子網(wǎng)掩碼結(jié)果便有所不同 此時(shí)網(wǎng)絡(luò)編碼變成了 ，這便是子網(wǎng)。如果有兩臺(tái)計(jì)算機(jī)的 IP 地址相同，則會(huì)引起異?，F(xiàn)象，無(wú)論哪臺(tái)計(jì)算機(jī)都將無(wú)法正常工作。但這兩類地址用途比較特殊，在這里只是簡(jiǎn)單介紹一下： D 類地址不分網(wǎng)絡(luò)地址 和主機(jī)地址，它的第 1 個(gè)字節(jié)的前四位固定為 1110。 C 類網(wǎng)絡(luò)用前三組數(shù)字表示網(wǎng)絡(luò)的地址，最后一組數(shù)字作為網(wǎng)絡(luò)上的主機(jī)地址。 A 類地址適用于有大量主機(jī)的大型網(wǎng)絡(luò)。 (a) A 類地址 陜西科技大學(xué)畢業(yè)設(shè)計(jì)說(shuō)明書 14 A 類地址的表示范圍為： ~，默認(rèn)網(wǎng)絡(luò)屏蔽為： ； A類地址分配給規(guī)模特別大的網(wǎng)絡(luò)使用。就好像每一個(gè)住宅都有唯一的門牌一樣，才不至于在傳輸資料時(shí)出現(xiàn)混亂。 (c) 源端口 源系統(tǒng)上的連接的端口。另外，如果路徑不可用了， ICMP 可以使TCP 連接 ?體面地 ?終止。 UDP 與 TCP 位于同一層，但它不管數(shù)據(jù)包的順序、錯(cuò)誤或重發(fā)。TCP 將包排序并進(jìn)行錯(cuò)誤檢查，同時(shí)實(shí)現(xiàn)虛電路間的連接。 IP 確認(rèn)包含一個(gè)選項(xiàng)，叫作 IP source routing，可以用來(lái)指定一條源地址和目的地址之間的直接路徑。而將計(jì)算機(jī) 網(wǎng)絡(luò)層 次模型和各層協(xié)議的集合 定義 為計(jì)算機(jī)網(wǎng)絡(luò)體系結(jié)構(gòu) (Network Architecture)。監(jiān)聽(tīng)程序可以直接從用戶緩沖區(qū)中讀取捕獲的數(shù)據(jù)包。 NDIS 還支持多種工作模式，支持多處理器，提供一個(gè)完備的 NDIS 庫(kù) (Library)。但是，如果將網(wǎng)卡設(shè)置為多播傳送模式，它可以接收所有的多播傳送幀，而不論它是不是組內(nèi)成員。 標(biāo)準(zhǔn)的以太網(wǎng)采用的是持續(xù) CSMA 的方式，正是由于以太網(wǎng)采用這種廣播信道爭(zhēng)用的方式，使得各個(gè)站點(diǎn)可以獲得其他站點(diǎn)發(fā)送的數(shù)據(jù)。 Winpcap 的缺點(diǎn)在于：不能阻塞、過(guò)濾或控制其他應(yīng)用程序?qū)?shù)據(jù)報(bào)收發(fā)，它僅僅只是監(jiān)聽(tīng) 共享網(wǎng)絡(luò)上傳送的數(shù)據(jù)。 可以解決這些差異。另外，它們?cè)诮Y(jié)構(gòu)上也有重要的區(qū)別： Netgroup Packet Filter 采用循環(huán) buffer，這樣使得 buffer 空間可以得到充分利用，大大提高了效率。 Userlevel buffer存儲(chǔ)從核心層進(jìn)來(lái)的數(shù)據(jù)包，它可防止用戶 直接訪問(wèn)內(nèi)核管理的內(nèi)存。微軟研究院贊助了意 大利一家開(kāi)發(fā)機(jī)構(gòu)，為 Win32 平臺(tái)底層網(wǎng)絡(luò)分析開(kāi)發(fā)了一套有力而且易擴(kuò)展的體系結(jié)構(gòu) —— WinPcap，它可以將 Unix 支持的數(shù)據(jù)包捕獲功能加到 Win32 系統(tǒng)中，陜西科技大學(xué)畢業(yè)設(shè)計(jì)說(shuō)明書 6 從而彌補(bǔ)了 Windows 操作系統(tǒng)這方面的欠缺。它提供了更加高層、抽象的函數(shù)。 是對(duì)