【正文】 頭操作選項(xiàng)，然后再通過 bind()函數(shù)將原始套接字綁定到本地網(wǎng)卡。 //16 位源端口 WORD DestPort。 //32 位確認(rèn)號 BYTE HLen。 //4 位首部長度 unsigned char version:4。 //16 位 IP 首部校驗(yàn)和 unsigned int sourceIP。//獲取主機(jī)名 m_iphostsource = m_ipsource 。 DWORD dwBufferInLen= 1 。 } int rcvtimeo = 5000 。 //inter 協(xié)議簇 = htons(7000)。 } if(SOCKET_ERROR!=WSAIoctl(m_s,SIO_RCVALL , amp。 return 。 前面的工作基本上都是對原始套接字進(jìn)行設(shè)置，在將原始套接字設(shè)置完畢，使其能按預(yù)期目的工作時(shí)，就可以通過 recv()函數(shù)從網(wǎng)卡接收數(shù)據(jù)了，接收到的原始數(shù)據(jù)包存放在緩存 區(qū) 中 ，具體的實(shí)現(xiàn) 代碼如下： UINT threadFunc ( LPVOID p ) { CIpmonDlg *pDlg = static_castCIpmonDlg *(p) 。 char szSource [16] , szDest[16] , szErr [ 50 ]。 PeekMessage(amp。 } memset( buf , 0 , sizeof(buf) ) 。 } else if( *buf ) { bufwork = buf 。 strcpy( szDest , pDest ) 。 switch(pIpHeaderproto)//分析包的類型 { case IPPROTO_ICMP: { pICMPHead=(structICMPPacketHead*)(buf+HdrLen)。 destport = ntohs(pTCPHeadDestPort)。 } case IPPROTO_UDP: { pUDPHead=(struct UDPPacketHead *)(buf+HdrLen)。 } } if(pIpHeaderproto == IPPROTO_ICMP) (type:%d code:%d data:%s,pICMPHeadType,pICMPHeadCode,pdata)。 (index,3,LVIF_TEXT,s3, 0, 0, 0,0)。設(shè)計(jì)完成后經(jīng)測試能實(shí)現(xiàn)預(yù)期要求的功能。 [6] 劉勝斐 .多 Agent 分布式入侵檢測系統(tǒng)中通信機(jī)制和數(shù)據(jù)分析方法研究 [D].江蘇：南開大學(xué) [碩士論文 ]， 2021。 （ 2）學(xué)?？梢圆捎糜坝?、縮印或其他復(fù)制方式保存學(xué)位論文。s eve I was reading the book, and had lost myself in it so pletely, that I fot my usual New Year39。 beaucoup de bruit, peu de fruit: much bruit, little fruit Yet certainly there is use of this quality, in civil affairs. Where there is an opinion, and fame to be created, either of virtue, or greatness, these men are good trumpeters. Again, as Titus Livius noteth, in the case of Antiochus, and the Aetolians。 for all bravery stands upon parisons. They must needs be violent, to make good their own vaunts. Neithe r can they be secret, and therefore not effectual。 the fly sat upon the axletree of the chariot wheel, and said. What a dust do I raise? So are there some vain persons, that whatsoever goeths indeed! They could tell us something worth hearing, if they only knew how to talk. It39。除非另有說明，本文的工作是原始性工作。 [4] 劉志祥 . Linux系統(tǒng)安全性研究及其新型 Sniffer設(shè)計(jì)與實(shí)現(xiàn) [D]. 南昌：南昌大學(xué) [碩士論文 ], 2021。由圖 47 可以觀察到捕獲模塊能夠?qū)崿F(xiàn)將網(wǎng)絡(luò)接口設(shè)置為混雜模式，同時(shí)捕獲局域網(wǎng)內(nèi)的數(shù)據(jù)包，在這里還可以觀察到網(wǎng)絡(luò)狀態(tài)及網(wǎng)絡(luò)數(shù)據(jù)的流動(dòng)情況，供網(wǎng)絡(luò)分析之用。 (index,1,LVIF_TEXT,s1, 0, 0, 0,0)。 totallen = UDP_HEAD_LEN。 totallen = HdrLen。 } case IPPROTO_TCP: { pTCPHead=(struct TCPPacketHead *)(buf+HdrLen)。 totallen = ntohs(pIpHeadertotal_len)。//得到源 IP地址 = pIpHeaderdestIP 。 sprintf( szErr , Error recv() = %ld , dwErr ) 。 pDlg(TRUE) 。 struct UDPPacketHead *pUDPHead。 IPHEADER *pIpHeader 。dwBufferLen, sizeof(dwBufferLen), amp。 AfxMessageBox( szErr ) 。 closesocket( m_s ) 。 return 。 closesocket( m_s ) 。 } return 。 SOCKADDR_IN sa。 //8 位生存時(shí)間 unsigned char proto。 在網(wǎng)絡(luò)層，還要給 TCP 數(shù)據(jù)包添加一個(gè) IP 數(shù)據(jù)段頭以組成 IP 數(shù)據(jù)報(bào)。 //目的端口 DWORD SeqNo。下面先給出結(jié)構(gòu) ，數(shù)據(jù)包的總體結(jié)構(gòu) 如圖 42 所示 ： 數(shù)據(jù)包 IP 頭 TCP 頭（或其他 信息頭） 數(shù)據(jù) 圖 42 數(shù)據(jù)包總體結(jié)構(gòu) 數(shù)據(jù)在從應(yīng)用層到達(dá)傳輸層時(shí)，將添加 TCP 數(shù)據(jù)段頭，或是 UDP 數(shù)據(jù)段頭。 而本設(shè)計(jì)的要求通過 網(wǎng)絡(luò)嗅探器從網(wǎng)卡接收所有經(jīng)過它的數(shù)據(jù)包， 因此，在該系統(tǒng)中將網(wǎng)卡以混雜模式替代 通常的正常模式 。 當(dāng)數(shù)據(jù)經(jīng)過數(shù)據(jù)鏈路層后，就要通過操作系統(tǒng)協(xié)議棧的審核了，系統(tǒng)協(xié)議棧在 TCP/IP 網(wǎng)絡(luò)模型跨越的層次非常多，它們直接從位于系統(tǒng)的數(shù)據(jù)鏈路層提取數(shù)據(jù)，通過在這一層的開發(fā)環(huán)境中設(shè)置混雜模式，就可以成功的接收從驅(qū)動(dòng)層來的各種數(shù)據(jù)包。 在這里以誤用檢測方法對入侵檢測的實(shí)現(xiàn)做更詳細(xì)的介紹。 CIDF 提出了一個(gè)通用模型， 將入侵檢測系統(tǒng)分成了四大模塊：事件產(chǎn)生器（ Event Generators），事件分析器（ Event Analyzers），響應(yīng)單元（ Response Units）和事件數(shù)據(jù)庫（ Event Database）。 使用嗅探器進(jìn)行網(wǎng)絡(luò)管理主要體現(xiàn)在兩個(gè)方面： 通過網(wǎng)絡(luò)嗅探技術(shù)收集到網(wǎng)絡(luò)中傳送的數(shù)據(jù)后對這些數(shù)據(jù)進(jìn)行分析可以幫助 解決在各種網(wǎng)絡(luò)上的性能問題并排除網(wǎng)絡(luò)故障，進(jìn)一步可以產(chǎn)生報(bào)表等數(shù)據(jù)分析結(jié)果以更好的支持網(wǎng)絡(luò)的運(yùn)行?？梢姡崽狡鲗?shí)際是一把雙刃劍。 各參數(shù)意義如下： s:進(jìn)行監(jiān)聽的套接字。 af(Address Family)俗稱套接字地址族，如表 。正如打電話之前，雙方必須擁有各自的電話機(jī)一樣。 WinPcap 包 捕獲 機(jī)制 WinPcap的體系結(jié)構(gòu)如圖 21所示 ： 圖 21 Winpcap的體系結(jié)構(gòu) 由 WinPcap體系結(jié)構(gòu)圖可以看出它采用的是分層化的驅(qū)動(dòng)程序模型， 并包含有三個(gè)組件 ： () () WinPcap(Windows Packet Capture)是由微軟資助的一個(gè)項(xiàng)目，其核心仍是基于 NDIS的，但它對 NDIS進(jìn)行封裝，它是 Windows平臺下一個(gè)免費(fèi) 、 公共的網(wǎng)絡(luò)訪問系統(tǒng)，它為 win32應(yīng)用程序提供訪問網(wǎng)絡(luò)底層的能力 。 BPF由基于 BSD的 Unix系 統(tǒng)內(nèi)核所實(shí)現(xiàn)。 Etherfind, Snooper(運(yùn)行在 SunOS)。為了捕獲網(wǎng)段內(nèi)的所有幀 (以后稱數(shù)據(jù)包 )，可以設(shè)置以太網(wǎng)卡的工作方式，以太網(wǎng)卡通常有正常模式 (normal mode)和混雜模式 (promiscuous mode)兩種工作模式。 Sniffer是利用計(jì)算機(jī)的網(wǎng)絡(luò)接口截獲目的地為其他計(jì)算機(jī)的數(shù)據(jù)報(bào)文的一種工具。 。 嗅探器作為一種網(wǎng)絡(luò)通訊程序，是通過對網(wǎng)卡的編程來實(shí)現(xiàn)網(wǎng)絡(luò)通訊的，對網(wǎng)卡的編程是使用通常的套接字（ socket）方式來進(jìn)行。但加密的有效性完 全取決于所采用的密碼算法，故一般由中央授權(quán)部門研制生產(chǎn)，不能自行采用一些密碼算法用于網(wǎng)絡(luò)中，否則后果不堪設(shè)想。 （ 2） 基于主機(jī)的安全措施 通常利用主機(jī)操作系統(tǒng)提供的訪問權(quán)限，對主機(jī)資源進(jìn)行保護(hù)，這種安全措施往往只局限于主機(jī)本身的安全，而不能對整個(gè)網(wǎng)絡(luò)提供安全保證。但是由于計(jì)算機(jī)系統(tǒng)中軟硬件的脆弱性和計(jì)算機(jī)網(wǎng)絡(luò)的脆弱性以及地理分布的位置、自然環(huán)境、自然破壞以及人為因素的影響，不僅增加了信息存儲、處理的風(fēng)險(xiǎn)，也給信息傳送帶來了新的問題。 網(wǎng)絡(luò)嗅探器 具有兩面性，攻擊者可以用它來監(jiān)聽網(wǎng)絡(luò)中數(shù)據(jù)，達(dá)到非法獲得信息的目的，網(wǎng)絡(luò)管理者可以 通過使用嗅探器 捕獲網(wǎng)絡(luò) 中 傳輸?shù)臄?shù)據(jù)包 并對其 進(jìn)行 分析 ， 分析結(jié)果可供網(wǎng)絡(luò)安全分析之用 。本文利用原始套接字在 windows 平臺下實(shí)現(xiàn) 了一個(gè)網(wǎng)絡(luò)嗅探器程序，完成了對數(shù)據(jù)包進(jìn)行解包、分析數(shù)據(jù)包的功能。 從目前使用的情況來看，對計(jì)算機(jī)網(wǎng)絡(luò)的入侵、威脅和攻擊，基本上可以歸納為以下幾種： 、竊取和破壞 ，造成漏洞 ，造成網(wǎng)絡(luò)癱瘓 網(wǎng)絡(luò)安全機(jī)制及技術(shù) 措施 目前國內(nèi)外維護(hù)網(wǎng)絡(luò)安全的機(jī)制主要有以下幾類： 訪問控制機(jī)制是指 在信息系統(tǒng)中，為檢測和防止未授權(quán)訪問，以及為使授權(quán)訪問正確進(jìn)行所設(shè)計(jì)的硬件或軟件功能、操作規(guī)程、管理規(guī)程和它們的各種組合。 它是指利用好的密碼算法對有些敏感數(shù)據(jù)、文件 和程序進(jìn)行加密，并以密文方式存取，以防泄密。審計(jì)監(jiān)控是指隨時(shí)監(jiān)視用戶在網(wǎng)絡(luò)中的活動(dòng)，記錄用戶對敏感的數(shù)據(jù)資源的訪問，以便隨時(shí)調(diào)查和分析是否遭到黑客的攻擊。顯然，要達(dá)到此目的就不能再讓網(wǎng)卡按通常的正常模式工作，而必須將其設(shè)置為混雜模式。 數(shù)據(jù)包嗅探技術(shù)是實(shí)現(xiàn)入侵檢測的基礎(chǔ)，將數(shù)據(jù)包從共享網(wǎng)絡(luò)線路中捕獲，并將其提取到應(yīng)用程序中 。 而嗅探器也可作為攻擊工具被 黑客所利用為其發(fā)動(dòng)進(jìn)一步的攻擊提供有價(jià)值的信息。如果要進(jìn)行數(shù)據(jù)包捕獲 ，必須利用網(wǎng)卡的混雜模式，獲得經(jīng)過本網(wǎng)段的所有數(shù)據(jù)信息。 Linux支持一種特殊的套接字 ， 即 SockPacket型套接字 。 Windows操作系統(tǒng)沒有提供內(nèi)置的包捕獲機(jī)制。而且包捕獲 驅(qū)動(dòng)既與網(wǎng)絡(luò)驅(qū)動(dòng)通信又與用戶應(yīng)用程序通信 ,所以它在 NDIS結(jié)構(gòu)中如同一個(gè)協(xié)議驅(qū)動(dòng)， 對 WindowsNT操作系統(tǒng)中的 NDIS結(jié)構(gòu)中的高端驅(qū)動(dòng)進(jìn)行編程，這樣編制的程序與上層應(yīng)用程序更容易連接，應(yīng)用程序?qū)︱?qū)動(dòng)設(shè)置的工作也更方便?？蛻綦S機(jī)申請一個(gè) socket(相當(dāng)于一個(gè)想打電話的人可以在任何一臺入網(wǎng)電話上撥號呼叫 )，系統(tǒng)為之分配一個(gè) socket號 。其用于 Linux性能評估的測試工具的設(shè)計(jì)與實(shí)現(xiàn)調(diào)用格式為 : bind(sockid, localaddr, addrlen) 總的來說，各種 socket地址數(shù)據(jù)結(jié)構(gòu)包括兩大部分 :地址類型和協(xié)議地址。 如果函數(shù)成功，則返回 0；否則返回 SOCKET_ERROR。 一個(gè)入 侵者攻擊網(wǎng)絡(luò)系統(tǒng)可能步驟大體有 :信息收集 ?安全弱點(diǎn)探測和分析?實(shí)施攻擊 ?逃避檢測。通過網(wǎng)絡(luò)嗅探技術(shù)實(shí)現(xiàn)審計(jì)跟蹤、攻擊檢測等在網(wǎng)絡(luò)安全問題上具有重要意義。 ：通過分析系統(tǒng)配置，檢查系統(tǒng)是否已經(jīng)或可能被人入侵。 數(shù)據(jù)包嗅探技術(shù)在入侵檢測系統(tǒng)中的應(yīng)用 為了嗅探到網(wǎng)絡(luò)中的任意一個(gè)數(shù)據(jù)包，必須 對 物理線路、網(wǎng)卡、操作系統(tǒng)進(jìn)行完全的配合 ，首先從網(wǎng)絡(luò)構(gòu)成上講，嗅探技術(shù)并不是適合所