【正文】 這個 BPF 驅(qū)動程序進(jìn)行訪問的 API 接口，同時它有一套符合 Libpcap 接口（ UNIX 下的捕獲函數(shù)庫）的函數(shù)庫 。 Ether 中填寫了物理地址的禎從網(wǎng)絡(luò)接口中，也就是從網(wǎng)卡中發(fā)送出去傳送到物理的線路上。在 包頭 中包括有應(yīng)該接收數(shù)據(jù)包的主機的正確地址，因為只有與數(shù)據(jù)包中目標(biāo)地址一致的那臺主機才能接收到信息包，但是當(dāng)主機工作在監(jiān)聽模式下的話不管數(shù)據(jù)包中的目標(biāo)物理地址是什么，主機都將可以接收到。一般的情況下，大型的企業(yè)網(wǎng)絡(luò)都會使用軟硬件結(jié)合的網(wǎng)絡(luò)分析儀。有軟件實現(xiàn)的便攜式終端，也有硬件實現(xiàn)的網(wǎng)絡(luò)分析儀。它對網(wǎng)絡(luò)上的所有數(shù)據(jù)進(jìn)行捕獲，一方面對數(shù)據(jù)包進(jìn)行檢查分析，以便找出我們所關(guān)心的網(wǎng)絡(luò)中潛在的問題，對網(wǎng)絡(luò)故障做出精確定位，幫助管理員解決網(wǎng)絡(luò)的故障和性能問題；另一方面它又是黑客竊聽網(wǎng)絡(luò)的工具，黑客利用數(shù)據(jù)包中攜帶的數(shù)據(jù)直基于 Visual C++的網(wǎng)絡(luò)監(jiān)聽系統(tǒng) 3 接或間接獲取的機密信息。 究其原因，主要是因為這些違規(guī)行為與傳統(tǒng)的攻擊行為不同，對內(nèi)部的違規(guī)行為無法利用攻擊機理和漏洞機理進(jìn)行分析，這就導(dǎo)致了那些抵御外部入侵的產(chǎn)品無用武之地。伴隨著網(wǎng)絡(luò)的發(fā)展，也產(chǎn)生了各種各樣的問題，陜西科技大學(xué)畢業(yè)設(shè)計說明書 2 其中安全問題尤為突出。 網(wǎng)絡(luò)監(jiān)聽與包過濾技術(shù)是網(wǎng)絡(luò)入侵的核心技術(shù)，也是網(wǎng)絡(luò)安全協(xié)議技術(shù)研究的核心技術(shù) .監(jiān)聽技術(shù)最初 是提供給系統(tǒng)管理員用的，主要是對網(wǎng)絡(luò)的狀態(tài)、信息流動和信息內(nèi)容等進(jìn)行監(jiān)視，相應(yīng)的工具被稱為網(wǎng)絡(luò)分析儀 .。遺憾的是，當(dāng)網(wǎng)絡(luò)給人們提供便利的同 時，網(wǎng)絡(luò)技術(shù)的發(fā)展方向似乎都趨向于網(wǎng)絡(luò)的便利性和實用性，因而留下了太多的技術(shù)、管理和基礎(chǔ)設(shè)施的漏洞。 27 截獲數(shù)據(jù)包： 1 課題意義 該系統(tǒng)的基本原理是通過調(diào) 用 WinPcap庫捕獲本地網(wǎng)絡(luò)上的所有數(shù)據(jù)包，然后對數(shù)據(jù)包進(jìn)行協(xié)議分析，從而可以實時地監(jiān)控網(wǎng)絡(luò)。網(wǎng)絡(luò)監(jiān)聽技術(shù)是系統(tǒng)安全領(lǐng)域內(nèi)一個非常敏感的話題，也是一項重要的技術(shù)，具有很強的現(xiàn)實 應(yīng)用背景。 4 WinPcap 的原理 5 WinPcap 的體系結(jié)構(gòu) 27 綁定本機 IP 地址 網(wǎng)絡(luò)監(jiān)聽技術(shù)的起源是網(wǎng)絡(luò)管理員為了診斷網(wǎng)絡(luò)故障的需要，而監(jiān)聽網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)信息。這種 “聽甕 ”是用陶制成的，大肚小口，把它埋在地下，并在甕口蒙上一層薄薄的皮革，人伏在上面就可以傾聽到城外方圓數(shù)十里的動靜。 網(wǎng)絡(luò)監(jiān)聽是數(shù)據(jù)庫安全審 計的最佳手段 ， 長期以來，在保障業(yè)務(wù)連續(xù)性和性能的前提下，最大限度的保障 數(shù)據(jù)庫 安全一直是數(shù)據(jù)庫管理人員、安全管理人員孜孜不倦追求的安全目標(biāo)。但是當(dāng)主機工作在監(jiān)聽模式下，無論數(shù)據(jù)包中的目標(biāo)地址是什么，主機都能接受。局域網(wǎng)中的網(wǎng)絡(luò)數(shù)據(jù)監(jiān)聽，是實現(xiàn)網(wǎng)絡(luò)安全的必要技術(shù)，它的研究和發(fā)展有利于網(wǎng)絡(luò)管理、網(wǎng)絡(luò)故障排除以及網(wǎng)絡(luò)入侵檢測系統(tǒng)的進(jìn)一步發(fā)展。 硬件數(shù)據(jù)截取工具介紹 以上介紹的均是由單純的軟件實現(xiàn)的 sniffer，其功能相對硬件來說還是較為簡單的。網(wǎng)絡(luò)監(jiān)聽器（ sniffer ）原來是提供給網(wǎng)絡(luò)管理員的一類管理工具，使用這組工具可以監(jiān)視網(wǎng)絡(luò)的狀態(tài)、數(shù)據(jù)流動情況以及網(wǎng)絡(luò)上傳出的消息并利用這些消息來排除網(wǎng)絡(luò)故障。網(wǎng)絡(luò)接口不會識別 IP 地址的。 基于 Visual C++的網(wǎng)絡(luò)監(jiān)聽系統(tǒng) 5 當(dāng)連接在同一條電纜或集線器上的主機被邏輯地分為幾個子網(wǎng)的時候，那么要是有一臺主機處于監(jiān)聽模式，它還將可以接收到發(fā)向與自己不在同一個 子網(wǎng) （使用了不同的掩碼、 IP 地址和網(wǎng)關(guān)）的主機的數(shù)據(jù)包，在同一個物理信道上傳輸?shù)乃行畔⒍伎梢员唤邮盏?。第二個模塊 為 win32 平臺提供了一個公共的接口。 WinPcap 的優(yōu)勢提供了一套標(biāo)準(zhǔn)的抓包接口，與 libpcap兼容，可使得原來許多 UNIX 平臺下的網(wǎng)絡(luò)分析工具快速移植過 來便于開發(fā)各種網(wǎng)絡(luò)分析工具，充分考慮了各種性能和效率的優(yōu)化，包括對于 NPF 內(nèi)核層次上的過濾器支持，支持內(nèi)核態(tài)的統(tǒng)計模式，提供了發(fā)送數(shù)據(jù)包的能力。 圖 21 BSD Capturing Component 的體系結(jié)構(gòu) 如圖 21 所示， BSD Capturing Component 由以下幾部分組成： NetWork Tap，它負(fù)責(zé)從 網(wǎng)絡(luò)直接捕獲所有的數(shù)據(jù)包； Berkeley Packet Filter，它用來分析捕獲進(jìn)來的數(shù)據(jù)包；兩種 Buffer：一種工作在核心層，一種工作在用戶層。通過它，可以使用用戶定義的 filter、管理用戶層的 buffer 等。它包括三個部分：參見圖 22。它提供了更加高層、抽象的函數(shù)。需要注意的是， WinPcap 不具備產(chǎn)生數(shù)據(jù)包的能力，發(fā)送的數(shù)據(jù)包需要通過手工或者其它工具來構(gòu)造。每個站點（這里特指計算 機通過的接口卡）網(wǎng)卡來實現(xiàn)這種功能。 網(wǎng)卡的缺省工作模式包含廣播模式和直接模式，即它只接收廣播幀和發(fā)給自己的幀。 (b) 回調(diào)函數(shù) Network Tap 在得到監(jiān)聽命令后，從 網(wǎng)絡(luò)設(shè)備 驅(qū)動程序處收集數(shù)據(jù)包把監(jiān)聽到的數(shù)據(jù)包負(fù)責(zé)傳送給過濾程序。網(wǎng)絡(luò)配置是從網(wǎng)絡(luò)應(yīng)用方面來描述計算機網(wǎng)絡(luò)的布局 ， 硬件 ， 軟件 和和通信線路來描述計算機網(wǎng)絡(luò) 。 IP IP 層接收由更低層（網(wǎng)絡(luò)接口層例如 以太網(wǎng) 設(shè)備驅(qū)動程序）發(fā)來的數(shù)據(jù)包，并把該數(shù)據(jù)包發(fā)送到更高層 TCP 或 UDP 層；相反， IP 層也把從 TCP 或 UDP 層接收來的數(shù)據(jù)包傳送到更低層。那么，許多依靠 IP 源地址做確認(rèn)的服務(wù)將產(chǎn)生問題并且會被非法入侵。應(yīng)用程序輪流將信息送回 TCP 層， TCP 層便將它們向下傳送到 IP 層，設(shè)備驅(qū)動程序和物理介質(zhì)，最后到接收方。使用 UDP 的服務(wù)包括 NTP(網(wǎng)絡(luò)時間協(xié)議 )和 DNS(DNS 也使用 TCP)。用戶使用 Tel 客戶程序與服務(wù)進(jìn)程建立一個連接。一個端口對應(yīng)一個 16 比特的數(shù)。 我們都已經(jīng)知道， Inter 是由幾千萬臺計算機互相連接而成的。例如 IBM 公司的網(wǎng)絡(luò)。 到 是保留地址。 RFC 1918 留出了 3 塊 IP 地址空間（ 1 個 A 類地址段， 16 個 B 類地址段， 256 個 C類地址段）作為私有的內(nèi)部使用的地址。 D 類地址稱為 廣播地址 ，供特殊協(xié)議向選定的節(jié)點發(fā)送信息時用。為了使TCP/IP 協(xié)議能夠?qū)ぶ?，該通道被賦予 一個 IP 地址，這個 IP 地址稱為網(wǎng)關(guān)地址。 (5) 概念區(qū)分 協(xié)議闡述 IP 申請的術(shù)語 IP 申請的術(shù)語 : 網(wǎng)絡(luò)地址：在申請 IP 地址或是闡述 TCP/IP 協(xié)議的 IP 地址分類時，用到這個術(shù)語。包括申請到的網(wǎng)絡(luò)地址的全部和主機地址的部分。此 時顯示了你的網(wǎng)絡(luò)配置，觀查是否正確。 (8) 主要特點 (a)TCP/IP 協(xié)議不依賴于任何特定的計算機硬件或操作系統(tǒng)，提供開放的協(xié)議標(biāo)準(zhǔn)，即使不考慮 Inter， TCP/IP 協(xié)議也獲得了廣泛的支持。數(shù)據(jù)能夠用于任何目的，并且能夠很輕易地取代以前由專有數(shù)據(jù)網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)。 專有網(wǎng)絡(luò)受到壓制。 (b) 在命令行模式輸入命令 sh int ip reset C:\ (其中， 記 錄命令結(jié)果的日志文件，一定要指定，這里指定了 日志文件及完整路徑。 其中 北美 占有 3/4，約 30 億個，而人口最多的亞洲只有不到 4 億個，中國 截止 2020 年 6 月 IPv4 地址數(shù)量達(dá)到 億，落后于 億網(wǎng)民的需求。 IPv6 IPv6 是 Inter Protocol Version 6 的縮寫，其中 Inter Protocol 譯為 “互聯(lián)網(wǎng)協(xié)議 ”。這是對 DHCP 協(xié)議的改進(jìn)和擴展，使得網(wǎng)絡(luò)（尤其是局域網(wǎng)）的管理更加方便和快捷。在 OSI 模型的底端是攜帶信號的網(wǎng)絡(luò)電纜和連接器。它的主要功能是將網(wǎng)絡(luò)層接收到的數(shù)據(jù)分割成特定的可被物理層傳輸?shù)膸鬏攨f(xié)議同時進(jìn)行流量控制或是基于接收方可接收數(shù)據(jù)的快慢程度規(guī)定適當(dāng)?shù)陌l(fā)送速率。應(yīng)用層提供的服務(wù)包括文件傳輸、文件管理以及電子郵件的信息處理 。 (6) 表示層 表示層如同應(yīng)用程序和網(wǎng) 絡(luò)之間的翻譯官，在表示層，數(shù)據(jù)將按照網(wǎng)絡(luò)能理解的方案進(jìn)行格式化；這種格式化也因所使用網(wǎng)絡(luò)的類型不同而不同。網(wǎng)絡(luò)層通過綜合考慮發(fā)送優(yōu)先權(quán)、網(wǎng)絡(luò)擁塞程度、服務(wù)質(zhì)量以及可選路由的花費來決定從一個網(wǎng)絡(luò)中節(jié)點Ａ到另一個網(wǎng)絡(luò)中節(jié)點Ｂ的最佳路徑。在你的桌面 P C 上插入網(wǎng)絡(luò)接口卡，你就建立了計算機連網(wǎng)的基礎(chǔ)。 ISO 創(chuàng)建了一個有助于開發(fā)和理解計 算機的通信模型，即開放系統(tǒng)互連 OSI（模型）。 (b) IPv6 使用更小的 路由表 。 1983 年 TCP/IP 協(xié)議被 ARPA 采用，直至發(fā)展到后來的互聯(lián)網(wǎng)。局域網(wǎng)中最常用的是以太網(wǎng)。 大多數(shù)用戶為了削減開銷，專有網(wǎng)絡(luò)被取消。隧道方式最初可能非常沒有效率，因為電子郵件和聊天只需要很低的帶寬。 (c) 統(tǒng)一的網(wǎng)絡(luò)地址分配方案，使得整個 TCP/IP 設(shè)備在網(wǎng)中都具有惟一的地址 (d) 標(biāo)準(zhǔn)化的高層協(xié)議，可以提供多種可靠的用戶服務(wù)。 (f) 用 nslookup 測試 DNS 解析是否正確，輸入如 nslookup ，查看是否能解析。 子網(wǎng)掩碼：用于子網(wǎng)劃分，它將能夠改變的主機地址分為主機編碼和網(wǎng)絡(luò)編碼的一基于 Visual C++的網(wǎng)絡(luò)監(jiān)聽系統(tǒng) 19 部分。 子網(wǎng)屏蔽：在闡述 TCP/IP 協(xié)議的 IP 地址分類時，用到這個術(shù)語。 (3)子網(wǎng)掩碼 設(shè)定任何網(wǎng)絡(luò)上的任何設(shè)備不管是主機、個人電腦、路由器等皆需要設(shè)定 IP 地址，而跟隨著 IP 地址的是所謂的子網(wǎng)掩碼（ NetMask， Sub Mask），這個子網(wǎng)掩碼主要的目的是由 IP 地址中也能獲得網(wǎng)絡(luò)編碼，也就是說 IP 地址和子網(wǎng)掩碼合作而得到網(wǎng)絡(luò)編碼，如下所示： IP 地址 子網(wǎng)掩碼 AND Network Number 子網(wǎng)掩碼有所謂的默認(rèn)值，如下所示 類 IP 地址范圍 子網(wǎng)掩碼 A 1． B C 在預(yù)設(shè)的子網(wǎng)掩碼（ Net Mask）都只有 255 的值，在談到子網(wǎng)掩碼（ Sub Mask）時這個值便不一定是 255 了。 在 Inter 中，一臺計算機可以有一個或多個 IP 地址，就像一個人可以有多個通信地址一樣，但兩臺或多臺計算機卻不能共享一個 IP 地址。 實際上，還存在著 D 類地址和 E 類地址。 (c) C 類地址 C 類地址的表示范圍為： ~，默認(rèn)網(wǎng)絡(luò)屏蔽為： ；C 類地址分配給小型網(wǎng)絡(luò)，如一般的局域網(wǎng)，它可連接的主機數(shù)量是最少的，采用把所屬的用戶分為若干的網(wǎng)段進(jìn)行管理。每個 A 類地址理論上可連接 16777214256*256*2562；臺主機（ 2 是因為主機中要用去一個網(wǎng)絡(luò)號和一個廣播號）， Inter 有 126 個可用的 A 類地址。一般將 IP 地址按節(jié)點計算機所在網(wǎng)絡(luò)規(guī)模的大小分為 A， B， C 三類，默認(rèn)的網(wǎng)絡(luò)屏蔽是根據(jù) IP 地址中的第一個字段確定的。為了實現(xiàn)各主機間的通信，每臺主機都必須有一個唯一的 網(wǎng)絡(luò)地址 。 (b) 目的 IP 地址 接收包的 IP 地址。 ICMP 的 ?Redirect?信息通知主機通向其他系統(tǒng)的更準(zhǔn)確的路徑，而 ?Unreachable?信息則指出路徑有問題。 UDP 通訊時不需要接收方確認(rèn)，屬于不可靠的傳輸，可能會出丟包現(xiàn)象，實際應(yīng)用中要求在程序員編程驗證。 如果 IP 數(shù)據(jù)包中有已經(jīng)封好的 TCP 數(shù)據(jù)包，那么 IP 將把它們向 ?上 ?傳送到 TCP 層。也可以這樣說， IP 地址 形成了許多服務(wù)的認(rèn)證基礎(chǔ)，這些服務(wù)相信數(shù)據(jù)包是從一個有效的主機發(fā)送來的。 網(wǎng)絡(luò)協(xié)議的分析與實現(xiàn) 網(wǎng)絡(luò)協(xié)議 [3]是計算機網(wǎng)絡(luò)必不可少的 ， 一個完整的計算機網(wǎng)絡(luò)需要有一套復(fù)雜的協(xié)議集合 ， 組織復(fù)雜的 計算機網(wǎng)絡(luò)協(xié)議 的最好方式就是 層次 模型 。然后等待系統(tǒng)緩沖區(qū)滿后，再將數(shù)據(jù)包拷貝到用戶緩沖區(qū)。 NDIS 向上支持多種網(wǎng)絡(luò)協(xié)議，比如 TCP/IP、 NWLink IPX/SPX、NETBEUI 等，向下支持不同廠家生產(chǎn)的多種網(wǎng)卡。 (b) 多播傳送（ MultiCast Model）：多播傳送地址作為目的物理地址的幀可以被組內(nèi)的其它主機同時接收，而組外主機卻接收不到。 網(wǎng)絡(luò)數(shù)據(jù)包捕獲的原理 以太網(wǎng)（ Ether）具有共享介質(zhì)的特征，信息是以明文的形式在網(wǎng)絡(luò)上傳輸，當(dāng)網(wǎng)絡(luò)適配器設(shè)置為監(jiān)聽模式（混雜模式， Promiscuous）時，由于采用以太網(wǎng)廣播信道爭用的方式，使得監(jiān)聽系統(tǒng)與正常通