【正文】 這個 BPF 驅動程序進行訪問的 API 接口，同時它有一套符合 Libpcap 接口（ UNIX 下的捕獲函數(shù)庫）的函數(shù)庫 。 Ether 中填寫了物理地址的禎從網絡接口中，也就是從網卡中發(fā)送出去傳送到物理的線路上。在 包頭 中包括有應該接收數(shù)據包的主機的正確地址，因為只有與數(shù)據包中目標地址一致的那臺主機才能接收到信息包，但是當主機工作在監(jiān)聽模式下的話不管數(shù)據包中的目標物理地址是什么，主機都將可以接收到。一般的情況下，大型的企業(yè)網絡都會使用軟硬件結合的網絡分析儀。有軟件實現(xiàn)的便攜式終端，也有硬件實現(xiàn)的網絡分析儀。它對網絡上的所有數(shù)據進行捕獲，一方面對數(shù)據包進行檢查分析，以便找出我們所關心的網絡中潛在的問題，對網絡故障做出精確定位，幫助管理員解決網絡的故障和性能問題；另一方面它又是黑客竊聽網絡的工具，黑客利用數(shù)據包中攜帶的數(shù)據直基于 Visual C++的網絡監(jiān)聽系統(tǒng) 3 接或間接獲取的機密信息。 究其原因，主要是因為這些違規(guī)行為與傳統(tǒng)的攻擊行為不同，對內部的違規(guī)行為無法利用攻擊機理和漏洞機理進行分析，這就導致了那些抵御外部入侵的產品無用武之地。伴隨著網絡的發(fā)展，也產生了各種各樣的問題，陜西科技大學畢業(yè)設計說明書 2 其中安全問題尤為突出。 網絡監(jiān)聽與包過濾技術是網絡入侵的核心技術，也是網絡安全協(xié)議技術研究的核心技術 .監(jiān)聽技術最初 是提供給系統(tǒng)管理員用的，主要是對網絡的狀態(tài)、信息流動和信息內容等進行監(jiān)視，相應的工具被稱為網絡分析儀 .。遺憾的是，當網絡給人們提供便利的同 時，網絡技術的發(fā)展方向似乎都趨向于網絡的便利性和實用性，因而留下了太多的技術、管理和基礎設施的漏洞。 27 截獲數(shù)據包： 1 課題意義 該系統(tǒng)的基本原理是通過調 用 WinPcap庫捕獲本地網絡上的所有數(shù)據包，然后對數(shù)據包進行協(xié)議分析，從而可以實時地監(jiān)控網絡。網絡監(jiān)聽技術是系統(tǒng)安全領域內一個非常敏感的話題，也是一項重要的技術，具有很強的現(xiàn)實 應用背景。 4 WinPcap 的原理 5 WinPcap 的體系結構 27 綁定本機 IP 地址 網絡監(jiān)聽技術的起源是網絡管理員為了診斷網絡故障的需要，而監(jiān)聽網絡中傳輸?shù)臄?shù)據信息。這種 “聽甕 ”是用陶制成的，大肚小口，把它埋在地下，并在甕口蒙上一層薄薄的皮革，人伏在上面就可以傾聽到城外方圓數(shù)十里的動靜。 網絡監(jiān)聽是數(shù)據庫安全審 計的最佳手段 ， 長期以來，在保障業(yè)務連續(xù)性和性能的前提下，最大限度的保障 數(shù)據庫 安全一直是數(shù)據庫管理人員、安全管理人員孜孜不倦追求的安全目標。但是當主機工作在監(jiān)聽模式下，無論數(shù)據包中的目標地址是什么，主機都能接受。局域網中的網絡數(shù)據監(jiān)聽，是實現(xiàn)網絡安全的必要技術，它的研究和發(fā)展有利于網絡管理、網絡故障排除以及網絡入侵檢測系統(tǒng)的進一步發(fā)展。 硬件數(shù)據截取工具介紹 以上介紹的均是由單純的軟件實現(xiàn)的 sniffer，其功能相對硬件來說還是較為簡單的。網絡監(jiān)聽器（ sniffer ）原來是提供給網絡管理員的一類管理工具，使用這組工具可以監(jiān)視網絡的狀態(tài)、數(shù)據流動情況以及網絡上傳出的消息并利用這些消息來排除網絡故障。網絡接口不會識別 IP 地址的。 基于 Visual C++的網絡監(jiān)聽系統(tǒng) 5 當連接在同一條電纜或集線器上的主機被邏輯地分為幾個子網的時候，那么要是有一臺主機處于監(jiān)聽模式，它還將可以接收到發(fā)向與自己不在同一個 子網 （使用了不同的掩碼、 IP 地址和網關）的主機的數(shù)據包，在同一個物理信道上傳輸?shù)乃行畔⒍伎梢员唤邮盏?。第二個模塊 為 win32 平臺提供了一個公共的接口。 WinPcap 的優(yōu)勢提供了一套標準的抓包接口，與 libpcap兼容，可使得原來許多 UNIX 平臺下的網絡分析工具快速移植過 來便于開發(fā)各種網絡分析工具，充分考慮了各種性能和效率的優(yōu)化，包括對于 NPF 內核層次上的過濾器支持，支持內核態(tài)的統(tǒng)計模式，提供了發(fā)送數(shù)據包的能力。 圖 21 BSD Capturing Component 的體系結構 如圖 21 所示， BSD Capturing Component 由以下幾部分組成： NetWork Tap，它負責從 網絡直接捕獲所有的數(shù)據包； Berkeley Packet Filter，它用來分析捕獲進來的數(shù)據包；兩種 Buffer：一種工作在核心層，一種工作在用戶層。通過它，可以使用用戶定義的 filter、管理用戶層的 buffer 等。它包括三個部分：參見圖 22。它提供了更加高層、抽象的函數(shù)。需要注意的是， WinPcap 不具備產生數(shù)據包的能力，發(fā)送的數(shù)據包需要通過手工或者其它工具來構造。每個站點（這里特指計算 機通過的接口卡）網卡來實現(xiàn)這種功能。 網卡的缺省工作模式包含廣播模式和直接模式，即它只接收廣播幀和發(fā)給自己的幀。 (b) 回調函數(shù) Network Tap 在得到監(jiān)聽命令后，從 網絡設備 驅動程序處收集數(shù)據包把監(jiān)聽到的數(shù)據包負責傳送給過濾程序。網絡配置是從網絡應用方面來描述計算機網絡的布局 ， 硬件 ， 軟件 和和通信線路來描述計算機網絡 。 IP IP 層接收由更低層（網絡接口層例如 以太網 設備驅動程序）發(fā)來的數(shù)據包，并把該數(shù)據包發(fā)送到更高層 TCP 或 UDP 層；相反， IP 層也把從 TCP 或 UDP 層接收來的數(shù)據包傳送到更低層。那么，許多依靠 IP 源地址做確認的服務將產生問題并且會被非法入侵。應用程序輪流將信息送回 TCP 層， TCP 層便將它們向下傳送到 IP 層，設備驅動程序和物理介質，最后到接收方。使用 UDP 的服務包括 NTP(網絡時間協(xié)議 )和 DNS(DNS 也使用 TCP)。用戶使用 Tel 客戶程序與服務進程建立一個連接。一個端口對應一個 16 比特的數(shù)。 我們都已經知道， Inter 是由幾千萬臺計算機互相連接而成的。例如 IBM 公司的網絡。 到 是保留地址。 RFC 1918 留出了 3 塊 IP 地址空間（ 1 個 A 類地址段， 16 個 B 類地址段， 256 個 C類地址段）作為私有的內部使用的地址。 D 類地址稱為 廣播地址 ，供特殊協(xié)議向選定的節(jié)點發(fā)送信息時用。為了使TCP/IP 協(xié)議能夠尋址，該通道被賦予 一個 IP 地址，這個 IP 地址稱為網關地址。 (5) 概念區(qū)分 協(xié)議闡述 IP 申請的術語 IP 申請的術語 : 網絡地址：在申請 IP 地址或是闡述 TCP/IP 協(xié)議的 IP 地址分類時，用到這個術語。包括申請到的網絡地址的全部和主機地址的部分。此 時顯示了你的網絡配置，觀查是否正確。 (8) 主要特點 (a)TCP/IP 協(xié)議不依賴于任何特定的計算機硬件或操作系統(tǒng)，提供開放的協(xié)議標準，即使不考慮 Inter， TCP/IP 協(xié)議也獲得了廣泛的支持。數(shù)據能夠用于任何目的，并且能夠很輕易地取代以前由專有數(shù)據網絡傳輸?shù)臄?shù)據。 專有網絡受到壓制。 (b) 在命令行模式輸入命令 sh int ip reset C:\ (其中， 記 錄命令結果的日志文件，一定要指定，這里指定了 日志文件及完整路徑。 其中 北美 占有 3/4，約 30 億個，而人口最多的亞洲只有不到 4 億個，中國 截止 2020 年 6 月 IPv4 地址數(shù)量達到 億，落后于 億網民的需求。 IPv6 IPv6 是 Inter Protocol Version 6 的縮寫，其中 Inter Protocol 譯為 “互聯(lián)網協(xié)議 ”。這是對 DHCP 協(xié)議的改進和擴展，使得網絡（尤其是局域網）的管理更加方便和快捷。在 OSI 模型的底端是攜帶信號的網絡電纜和連接器。它的主要功能是將網絡層接收到的數(shù)據分割成特定的可被物理層傳輸?shù)膸鬏攨f(xié)議同時進行流量控制或是基于接收方可接收數(shù)據的快慢程度規(guī)定適當?shù)陌l(fā)送速率。應用層提供的服務包括文件傳輸、文件管理以及電子郵件的信息處理 。 (6) 表示層 表示層如同應用程序和網 絡之間的翻譯官，在表示層，數(shù)據將按照網絡能理解的方案進行格式化；這種格式化也因所使用網絡的類型不同而不同。網絡層通過綜合考慮發(fā)送優(yōu)先權、網絡擁塞程度、服務質量以及可選路由的花費來決定從一個網絡中節(jié)點Ａ到另一個網絡中節(jié)點Ｂ的最佳路徑。在你的桌面 P C 上插入網絡接口卡，你就建立了計算機連網的基礎。 ISO 創(chuàng)建了一個有助于開發(fā)和理解計 算機的通信模型，即開放系統(tǒng)互連 OSI（模型）。 (b) IPv6 使用更小的 路由表 。 1983 年 TCP/IP 協(xié)議被 ARPA 采用，直至發(fā)展到后來的互聯(lián)網。局域網中最常用的是以太網。 大多數(shù)用戶為了削減開銷，專有網絡被取消。隧道方式最初可能非常沒有效率，因為電子郵件和聊天只需要很低的帶寬。 (c) 統(tǒng)一的網絡地址分配方案，使得整個 TCP/IP 設備在網中都具有惟一的地址 (d) 標準化的高層協(xié)議，可以提供多種可靠的用戶服務。 (f) 用 nslookup 測試 DNS 解析是否正確，輸入如 nslookup ，查看是否能解析。 子網掩碼：用于子網劃分，它將能夠改變的主機地址分為主機編碼和網絡編碼的一基于 Visual C++的網絡監(jiān)聽系統(tǒng) 19 部分。 子網屏蔽：在闡述 TCP/IP 協(xié)議的 IP 地址分類時，用到這個術語。 (3)子網掩碼 設定任何網絡上的任何設備不管是主機、個人電腦、路由器等皆需要設定 IP 地址，而跟隨著 IP 地址的是所謂的子網掩碼（ NetMask， Sub Mask），這個子網掩碼主要的目的是由 IP 地址中也能獲得網絡編碼，也就是說 IP 地址和子網掩碼合作而得到網絡編碼，如下所示： IP 地址 子網掩碼 AND Network Number 子網掩碼有所謂的默認值，如下所示 類 IP 地址范圍 子網掩碼 A 1． B C 在預設的子網掩碼（ Net Mask）都只有 255 的值，在談到子網掩碼（ Sub Mask）時這個值便不一定是 255 了。 在 Inter 中，一臺計算機可以有一個或多個 IP 地址，就像一個人可以有多個通信地址一樣，但兩臺或多臺計算機卻不能共享一個 IP 地址。 實際上，還存在著 D 類地址和 E 類地址。 (c) C 類地址 C 類地址的表示范圍為： ~，默認網絡屏蔽為： ；C 類地址分配給小型網絡，如一般的局域網，它可連接的主機數(shù)量是最少的，采用把所屬的用戶分為若干的網段進行管理。每個 A 類地址理論上可連接 16777214256*256*2562；臺主機（ 2 是因為主機中要用去一個網絡號和一個廣播號）， Inter 有 126 個可用的 A 類地址。一般將 IP 地址按節(jié)點計算機所在網絡規(guī)模的大小分為 A， B， C 三類，默認的網絡屏蔽是根據 IP 地址中的第一個字段確定的。為了實現(xiàn)各主機間的通信，每臺主機都必須有一個唯一的 網絡地址 。 (b) 目的 IP 地址 接收包的 IP 地址。 ICMP 的 ?Redirect?信息通知主機通向其他系統(tǒng)的更準確的路徑，而 ?Unreachable?信息則指出路徑有問題。 UDP 通訊時不需要接收方確認，屬于不可靠的傳輸，可能會出丟包現(xiàn)象，實際應用中要求在程序員編程驗證。 如果 IP 數(shù)據包中有已經封好的 TCP 數(shù)據包，那么 IP 將把它們向 ?上 ?傳送到 TCP 層。也可以這樣說， IP 地址 形成了許多服務的認證基礎，這些服務相信數(shù)據包是從一個有效的主機發(fā)送來的。 網絡協(xié)議的分析與實現(xiàn) 網絡協(xié)議 [3]是計算機網絡必不可少的 ， 一個完整的計算機網絡需要有一套復雜的協(xié)議集合 ， 組織復雜的 計算機網絡協(xié)議 的最好方式就是 層次 模型 。然后等待系統(tǒng)緩沖區(qū)滿后，再將數(shù)據包拷貝到用戶緩沖區(qū)。 NDIS 向上支持多種網絡協(xié)議，比如 TCP/IP、 NWLink IPX/SPX、NETBEUI 等，向下支持不同廠家生產的多種網卡。 (b) 多播傳送（ MultiCast Model）：多播傳送地址作為目的物理地址的幀可以被組內的其它主機同時接收，而組外主機卻接收不到。 網絡數(shù)據包捕獲的原理 以太網（ Ether）具有共享介質的特征，信息是以明文的形式在網絡上傳輸，當網絡適配器設置為監(jiān)聽模式（混雜模式， Promiscuous）時，由于采用以太網廣播信道爭用的方式，使得監(jiān)聽系統(tǒng)與正常通