【正文】 于本操作系統(tǒng)上的應(yīng)用程序的接收范圍（根據(jù) Port 端口號），如果所屬范圍正確并且數(shù)據(jù)包合法，操作系統(tǒng)通過端口將數(shù)據(jù)包重構(gòu)成報文（ Segment）送入應(yīng)用程序 。Value)來實(shí)現(xiàn)混雜模式接收數(shù)據(jù)包。在創(chuàng)建了原始套接字后，需要通過 setsockopt()函數(shù)來設(shè)置 IP頭操作選項，然后再通過 bind()函數(shù)將原始套接字綁定到本地網(wǎng)卡。 //16 位源端口 WORD DestPort。 //32 位確認(rèn)號 BYTE HLen。 //4 位首部長度 unsigned char version:4。 //16 位 IP 首部校驗和 unsigned int sourceIP。//獲取主機(jī)名 m_iphostsource = m_ipsource 。 DWORD dwBufferInLen= 1 。 } int rcvtimeo = 5000 。 //inter 協(xié)議簇 = htons(7000)。 } if(SOCKET_ERROR!=WSAIoctl(m_s,SIO_RCVALL , amp。 return 。 前面的工作基本上都是對原始套接字進(jìn)行設(shè)置，在將原始套接字設(shè)置完畢，使其能按預(yù)期目的工作時，就可以通過 recv()函數(shù)從網(wǎng)卡接收數(shù)據(jù)了，接收到的原始數(shù)據(jù)包存放在緩存 區(qū) 中 ，具體的實(shí)現(xiàn) 代碼如下： UINT threadFunc ( LPVOID p ) { CIpmonDlg *pDlg = static_castCIpmonDlg *(p) 。 char szSource [16] , szDest[16] , szErr [ 50 ]。 PeekMessage(amp。 } memset( buf , 0 , sizeof(buf) ) 。 } else if( *buf ) { bufwork = buf 。 strcpy( szDest , pDest ) 。 switch(pIpHeaderproto)//分析包的類型 { case IPPROTO_ICMP: { pICMPHead=(structICMPPacketHead*)(buf+HdrLen)。 destport = ntohs(pTCPHeadDestPort)。 } case IPPROTO_UDP: { pUDPHead=(struct UDPPacketHead *)(buf+HdrLen)。 } } if(pIpHeaderproto == IPPROTO_ICMP) (type:%d code:%d data:%s,pICMPHeadType,pICMPHeadCode,pdata)。 (index,3,LVIF_TEXT,s3, 0, 0, 0,0)。設(shè)計完成后經(jīng)測試能實(shí)現(xiàn)預(yù)期要求的功能。 [6] 劉勝斐 .多 Agent 分布式入侵檢測系統(tǒng)中通信機(jī)制和數(shù)據(jù)分析方法研究 [D].江蘇：南開大學(xué) [碩士論文 ]， 2021。 （ 2）學(xué)?？梢圆捎糜坝?、縮印或其他復(fù)制方式保存學(xué)位論文。s thumbnailshowing like spectators who lined the railings of his lips. Don39。 fore and knew on which side of hunger he stood。s over, expecting Dr. Island to answer from somewhere。 if I pursue you I will not catch you, and if I catch youthrough your own slowness and clumsinessI will not kill y ou, and if I kill you I will not eat you. Nicholas had begun to back away, and at the last。除非另有說明，本文的工作是原始性工作。 [4] 劉志祥 . Linux系統(tǒng)安全性研究及其新型 Sniffer設(shè)計與實(shí)現(xiàn) [D]. 南昌：南昌大學(xué) [碩士論文 ], 2021。由圖 47 可以觀察到捕獲模塊能夠?qū)崿F(xiàn)將網(wǎng)絡(luò)接口設(shè)置為混雜模式，同時捕獲局域網(wǎng)內(nèi)的數(shù)據(jù)包，在這里還可以觀察到網(wǎng)絡(luò)狀態(tài)及網(wǎng)絡(luò)數(shù)據(jù)的流動情況，供網(wǎng)絡(luò)分析之用。 (index,1,LVIF_TEXT,s1, 0, 0, 0,0)。 totallen = UDP_HEAD_LEN。 totallen = HdrLen。 } case IPPROTO_TCP: { pTCPHead=(struct TCPPacketHead *)(buf+HdrLen)。 totallen = ntohs(pIpHeadertotal_len)。//得到源 IP地址 = pIpHeaderdestIP 。 sprintf( szErr , Error recv() = %ld , dwErr ) 。 pDlg(TRUE) 。 struct UDPPacketHead *pUDPHead。 IPHEADER *pIpHeader 。dwBufferLen, sizeof(dwBufferLen), amp。 AfxMessageBox( szErr ) 。 closesocket( m_s ) 。 return 。 closesocket( m_s ) 。 } return 。 SOCKADDR_IN sa。 //8 位生存時間 unsigned char proto。 在網(wǎng)絡(luò)層，還要給 TCP 數(shù)據(jù)包添加一個 IP 數(shù)據(jù)段頭以組成 IP 數(shù)據(jù)報。 //目的端口 DWORD SeqNo。下面先給出結(jié)構(gòu) ，數(shù)據(jù)包的總體結(jié)構(gòu) 如圖 42 所示 ： 數(shù)據(jù)包 IP 頭 TCP 頭（或其他 信息頭） 數(shù)據(jù) 圖 42 數(shù)據(jù)包總體結(jié)構(gòu) 數(shù)據(jù)在從應(yīng)用層到達(dá)傳輸層時，將添加 TCP 數(shù)據(jù)段頭，或是 UDP 數(shù)據(jù)段頭。 而本設(shè)計的要求通過 網(wǎng)絡(luò)嗅探器從網(wǎng)卡接收所有經(jīng)過它的數(shù)據(jù)包， 因此，在該系統(tǒng)中將網(wǎng)卡以混雜模式替代 通常的正常模式 。 當(dāng)數(shù)據(jù)經(jīng)過數(shù)據(jù)鏈路層后，就要通過操作系統(tǒng)協(xié)議棧的審核了，系統(tǒng)協(xié)議棧在 TCP/IP 網(wǎng)絡(luò)模型跨越的層次非常多，它們直接從位于系統(tǒng)的數(shù)據(jù)鏈路層提取數(shù)據(jù)，通過在這一層的開發(fā)環(huán)境中設(shè)置混雜模式，就可以成功的接收從驅(qū)動層來的各種數(shù)據(jù)包。 在這里以誤用檢測方法對入侵檢測的實(shí)現(xiàn)做更詳細(xì)的介紹。 CIDF 提出了一個通用模型， 將入侵檢測系統(tǒng)分成了四大模塊：事件產(chǎn)生器（ Event Generators），事件分析器（ Event Analyzers），響應(yīng)單元（ Response Units）和事件數(shù)據(jù)庫（ Event Database）。 使用嗅探器進(jìn)行網(wǎng)絡(luò)管理主要體現(xiàn)在兩個方面： 通過網(wǎng)絡(luò)嗅探技術(shù)收集到網(wǎng)絡(luò)中傳送的數(shù)據(jù)后對這些數(shù)據(jù)進(jìn)行分析可以幫助 解決在各種網(wǎng)絡(luò)上的性能問題并排除網(wǎng)絡(luò)故障，進(jìn)一步可以產(chǎn)生報表等數(shù)據(jù)分析結(jié)果以更好的支持網(wǎng)絡(luò)的運(yùn)行。可見，嗅探器實(shí)際是一把雙刃劍。 各參數(shù)意義如下： s:進(jìn)行監(jiān)聽的套接字。 af(Address Family)俗稱套接字地址族，如表 。正如打電話之前，雙方必須擁有各自的電話機(jī)一樣。 WinPcap 包 捕獲 機(jī)制 WinPcap的體系結(jié)構(gòu)如圖 21所示 ： 圖 21 Winpcap的體系結(jié)構(gòu) 由 WinPcap體系結(jié)構(gòu)圖可以看出它采用的是分層化的驅(qū)動程序模型， 并包含有三個組件 ： () () WinPcap(Windows Packet Capture)是由微軟資助的一個項目，其核心仍是基于 NDIS的，但它對 NDIS進(jìn)行封裝，它是 Windows平臺下一個免費(fèi) 、 公共的網(wǎng)絡(luò)訪問系統(tǒng)，它為 win32應(yīng)用程序提供訪問網(wǎng)絡(luò)底層的能力 。 BPF由基于 BSD的 Unix系 統(tǒng)內(nèi)核所實(shí)現(xiàn)。 Etherfind, Snooper(運(yùn)行在 SunOS)。為了捕獲網(wǎng)段內(nèi)的所有幀 (以后稱數(shù)據(jù)包 )，可以設(shè)置以太網(wǎng)卡的工作方式，以太網(wǎng)卡通常有正常模式 (normal mode)和混雜模式 (promiscuous mode)兩種工作模式。 Sniffer是利用計算機(jī)的網(wǎng)絡(luò)接口截獲目的地為其他計算機(jī)的數(shù)據(jù)報文的一種工具。 。 嗅探器作為一種網(wǎng)絡(luò)通訊程序，是通過對網(wǎng)卡的編程來實(shí)現(xiàn)網(wǎng)絡(luò)通訊的，對網(wǎng)卡的編程是使用通常的套接字（ socket）方式來進(jìn)行。但加密的有效性完 全取決于所采用的密碼算法，故一般由中央授權(quán)部門研制生產(chǎn)，不能自行采用一些密碼算法用于網(wǎng)絡(luò)中，否則后果不堪設(shè)想。 （ 2） 基于主機(jī)的安全措施 通常利用主機(jī)操作系統(tǒng)提供的訪問權(quán)限，對主機(jī)資源進(jìn)行保護(hù)，這種安全措施往往只局限于主機(jī)本身的安全，而不能對整個網(wǎng)絡(luò)提供安全保證。但是由于計算機(jī)系統(tǒng)中軟硬件的脆弱性和計算機(jī)網(wǎng)絡(luò)的脆弱性以及地理分布的位置、自然環(huán)境、自然破壞以及人為因素的影響，不僅增加了信息存儲、處理的風(fēng)險，也給信息傳送帶來了新的問題。 網(wǎng)絡(luò)嗅探器 具有兩面性，攻擊者可以用它來監(jiān)聽網(wǎng)絡(luò)中數(shù)據(jù)，達(dá)到非法獲得信息的目的，網(wǎng)絡(luò)管理者可以 通過使用嗅探器 捕獲網(wǎng)絡(luò) 中 傳輸?shù)臄?shù)據(jù)包 并對其 進(jìn)行 分析 ， 分析結(jié)果可供網(wǎng)絡(luò)安全分析之用 。本文利用原始套接字在 windows 平臺下實(shí)現(xiàn) 了一個網(wǎng)絡(luò)嗅探器程序，完成了對數(shù)據(jù)包進(jìn)行解包、分析數(shù)據(jù)包的功能。 從目前使用的情況來看，對計算機(jī)網(wǎng)絡(luò)的入侵、威脅和攻擊，基本上可以歸納為以下幾種： 、竊取和破壞 ，造成漏洞 ，造成網(wǎng)絡(luò)癱瘓 網(wǎng)絡(luò)安全機(jī)制及技術(shù) 措施 目前國內(nèi)外維護(hù)網(wǎng)絡(luò)安全的機(jī)制主要有以下幾類： 訪問控制機(jī)制是指 在信息系統(tǒng)中，為檢測和防止未授權(quán)訪問，以及為使授權(quán)訪問正確進(jìn)行所設(shè)計的硬件或軟件功能、操作規(guī)程、管理規(guī)程和它們的各種組合。 它是指利用好的密碼算法對有些敏感數(shù)據(jù)、文件 和程序進(jìn)行加密，并以密文方式存取，以防泄密。審計監(jiān)控是指隨時監(jiān)視用戶在網(wǎng)絡(luò)中的活動，記錄用戶對敏感的數(shù)據(jù)資源的訪問，以便隨時調(diào)查和分析是否遭到黑客的攻擊。顯然，要達(dá)到此目的就不能再讓網(wǎng)卡按通常的正常模式工作，而必須將其設(shè)置為混雜模式。 數(shù)據(jù)包嗅探技術(shù)是實(shí)現(xiàn)入侵檢測的基礎(chǔ)，將數(shù)據(jù)包從共享網(wǎng)絡(luò)線路中捕獲，并將其提取到應(yīng)用程序中 。 而嗅探器也可作為攻擊工具被 黑客所利用為其發(fā)動進(jìn)一步的攻擊提供有價值的信息。如果要進(jìn)行數(shù)據(jù)包捕獲 ，必須利用網(wǎng)卡的混雜模式，獲得經(jīng)過本網(wǎng)段的所有數(shù)據(jù)信息。 Linux支持一種特殊的套接字 ， 即 SockPacket型套接字 。 Windows操作系統(tǒng)沒有提供內(nèi)置的包捕獲機(jī)制。而且包捕獲 驅(qū)動既與網(wǎng)絡(luò)驅(qū)動通信又與用戶應(yīng)用程序通信 ,所以它在 NDIS結(jié)構(gòu)中如同一個協(xié)議驅(qū)動， 對 WindowsNT操作系統(tǒng)中的 NDIS結(jié)構(gòu)中的高端驅(qū)動進(jìn)行編程，這樣編制的程序與上層應(yīng)用程序更容易連接，應(yīng)用程序?qū)︱?qū)動設(shè)置的工作也更方便?？蛻綦S機(jī)申請一個 socket(相當(dāng)于一個想打電話的人可以在任何一臺入網(wǎng)電話上撥號呼叫 )，系統(tǒng)為之分配一個 socket號 。其用于 Linux性能評估的測試工具的設(shè)計與實(shí)現(xiàn)調(diào)用格式為 : bind(sockid, localaddr, addrlen) 總的來說，各種 socket地址數(shù)據(jù)結(jié)構(gòu)包括兩大部分 :地址類型和協(xié)議地址。 如果函數(shù)成功，則返回 0；否則返回 SOCKET_ERROR。 一個入 侵者攻擊網(wǎng)絡(luò)系統(tǒng)可能步驟大體有 :信息收集 ?安全弱點(diǎn)探測和分析?實(shí)施攻擊 ?逃避檢測。通過網(wǎng)絡(luò)嗅探技術(shù)實(shí)現(xiàn)審計跟蹤、攻擊檢測等在網(wǎng)絡(luò)安全問題上具有重要意義。 ：通過分析系統(tǒng)配置，檢查系統(tǒng)是否已經(jīng)或可能被人入侵。 數(shù)據(jù)包嗅探技術(shù)在入侵檢測系統(tǒng)中的應(yīng)用 為了嗅探到網(wǎng)絡(luò)中的任意一個數(shù)據(jù)包，必須 對 物理線路、網(wǎng)卡、操作系統(tǒng)進(jìn)行完全的配合 ，首先從網(wǎng)絡(luò)構(gòu)成上講，嗅探技術(shù)并不是適合所有類型的網(wǎng)絡(luò)，不同傳輸介質(zhì)的網(wǎng)絡(luò)的可監(jiān)聽性是不同的。通過 Socket 的處理，數(shù)據(jù)流（ Bits）已經(jīng)變成了能識別的數(shù)據(jù)結(jié)構(gòu)，最后協(xié)議棧將數(shù)據(jù)信息傳入應(yīng)用層 —— 應(yīng)用程序中。為了讓原始套接字能接受所有的數(shù)據(jù)，還需要通過 WSAIoctl ()來進(jìn)行設(shè)置 。 //16 位目的端口 WORD Len。 //4 位首部長度 BYTE Flag。 //4 位版本號 unsigned char tos。 //32 位源 I