【正文】 .................................................................................................... 8 TCP/IP 模型 .............................................................................................................. 8 數(shù)據(jù)包的封裝與分用 .............................................................................................. 9 主要協(xié)議數(shù)據(jù)包格式 ............................................................................................ 10 基于 winpcap 的網(wǎng)絡(luò)數(shù)據(jù)捕獲程序 ................................................................................. 15 獲得本地網(wǎng)絡(luò)驅(qū)動器列表 ..................................................................................... 16 獲得已安裝的網(wǎng)絡(luò)設(shè)備的高級信息 ....................................................................... 17 打開網(wǎng)卡準(zhǔn)備捕獲數(shù)據(jù)包 ..................................................................................... 17 數(shù)據(jù)包的過濾設(shè)定 ............................................................................................... 18 基于 TCP/IP 的協(xié)議分析器設(shè)計 IV 開始捕獲數(shù)據(jù)包 ................................................................................................... 19 數(shù)據(jù)包的分析 ...................................................................................................... 20 第四章 程序的實現(xiàn) ......................................................................................................................... 21 winpcap 的安裝使用方法 ................................................................................................ 22 程序的運行 .................................................................................................................... 23 捕獲程序性能的調(diào)整 ...................................................................................................... 29 第五章 總結(jié)與展望 ......................................................................................................................... 30 總結(jié) ....................................................................................................................... 30 展望 ....................................................................................................................... 30 致謝 ...................................................................................................................... 錯誤 !未定義書簽。 網(wǎng) 絡(luò)分析是一把雙刃劍。所以在 1980 年， James Anderson 先生首先肯定網(wǎng)絡(luò)入侵可以被檢測，并對此作了詳細(xì)的說明；他將具有入侵性質(zhì)的網(wǎng)絡(luò)行為分為三種，分別是外部滲透行為、內(nèi)部滲透行為和不法行為，并且他還提出可以利用審計跟蹤的方法抓根源，也從此揭開了入侵檢測的研究序幕 [2]]。 winpcap開源包 的優(yōu)點在于它有強(qiáng)大的捕獲網(wǎng)絡(luò)數(shù)據(jù)包的功能 ， 它能夠 利用底層驅(qū)動實現(xiàn)對 本 機(jī) 數(shù)據(jù)鏈路層 的訪問，并可監(jiān)測 所有數(shù)據(jù)包 的傳輸 ， 而且，winpcap可以實時處理這些數(shù)據(jù)包，只需系統(tǒng)有下達(dá)相關(guān)的要求 即 可 。也闡述了程序性能方面可實現(xiàn)的改進(jìn)。 混雜模式 網(wǎng)卡能夠接收所有 流過本機(jī)網(wǎng)卡的數(shù)據(jù)包 ， 不管該數(shù)據(jù) 是 傳給 誰的。 交換式的網(wǎng)絡(luò)數(shù)據(jù)捕獲 交換環(huán)境下的以太網(wǎng) 其實就是 使用交換機(jī)來連接各網(wǎng)絡(luò)結(jié)點 的網(wǎng)絡(luò) 。這樣一來，不僅使網(wǎng) 絡(luò)安全程序的開發(fā)過程簡化，而且也提高了程序的性能與穩(wěn)定性。網(wǎng)絡(luò)數(shù)據(jù)包捕獲函數(shù)庫winpcap 便是如此，本次設(shè)計主要調(diào)用 winpcap 開源庫 。數(shù)據(jù)包的捕獲過程依賴于下列兩個組件 [6]： 1) 數(shù)據(jù)包過濾器 數(shù)據(jù)包過濾器決定是否將到來的數(shù)據(jù)包接收并復(fù)制到一個應(yīng)用程序中。 2. 動態(tài)鏈接庫模塊 是一個動態(tài)鏈接庫，并提供了一些低層的函數(shù)，用來實現(xiàn)以下功能： 基于 TCP/IP 的協(xié)議分析器設(shè)計 7 ? 安 裝、 啟動、設(shè)置和停止 NPF 設(shè)備驅(qū)動程序； ? 設(shè)置 NPF 驅(qū)動程序 實現(xiàn)數(shù)據(jù)包的 發(fā)送和接收； ? 獲取已連接 的網(wǎng)絡(luò)適配器列表； ? 獲取適配器的不同列表的所有地址信息； ? 查詢 /設(shè)置一個低層的適配器參數(shù)。一般情況下， 能自動調(diào)用 的函數(shù)，所以程序員可以直接使用 動態(tài)鏈接庫的函數(shù)。 5) pcap_next_ex；用于從一個網(wǎng)絡(luò)適配器設(shè)備或從一個脫機(jī)文件中讀取一個數(shù)據(jù)包。在因特網(wǎng)中的應(yīng)用層協(xié)議很多，幾乎各種不同的 TCP/IP 實現(xiàn)都會提供下面這些通用的應(yīng)用程序： ? Tel 遠(yuǎn)程登錄。 4) 網(wǎng)絡(luò)接口層通常包括操作系統(tǒng)中的設(shè)備驅(qū)動程序和計算機(jī)中對應(yīng)的網(wǎng)絡(luò)接口卡。而 IP 數(shù)據(jù)報需要在以太網(wǎng)上傳輸，所以要將其封裝成以太網(wǎng)幀，通過以太網(wǎng)傳輸?shù)谋忍亓骶涂梢酝ㄟ^物理介質(zhì)發(fā)送數(shù)據(jù)了。由于 標(biāo)準(zhǔn)規(guī)定的類型字段的有效值均大于 數(shù)據(jù)的最大長度 1500，所以，可以根據(jù)這個來判斷接收到的以太網(wǎng)幀是否為常用的 RFC894 的封裝格式。 該標(biāo)識 存儲在 IP 數(shù)據(jù)結(jié)構(gòu)的協(xié)議 域，分別是用數(shù)值 1 表示 ICMP 協(xié)議， 數(shù)值 2 表示 IGMP 協(xié)議， 數(shù)值 6 表示 TCP協(xié)議， 數(shù)值 17 表示 UDP 協(xié)議。 ? ACK：確認(rèn)序號有效。我們可以通過端口號來判斷應(yīng)用層的協(xié)議類型。 方 法U R L版 本C R L F? ? ? ? ?C R L F:值實 體 主 體 （ 通 常 不 用 ）首 部 字 段 名C R L F:值首 部 字 段 名C R L F請 求 行 圖 310 HTTP 的請求報文結(jié)構(gòu) 版 本 狀 態(tài) 碼 短 語C R L F? ? ? ? ?C R L F:值實 體 主 體 （ 有 些 響 應(yīng) 報 文 不 用 ）首 部 字 段 名C R L F:值首 部 字 段 名C R L F狀 態(tài) 行 圖 311 HTTP 的響應(yīng)報文結(jié)構(gòu) 基于 TCP/IP 的協(xié)議分析器設(shè)計 15 表 33 HTTP 請求報文的一些方法 7) FTP 文件傳輸命令 FTP 采用一系列簡單的協(xié)議來完成文件傳輸?shù)母鞣N任務(wù)，在發(fā)送命令時總是在命令的最后加上一個回車換行符。 PASS 向遠(yuǎn)程系統(tǒng)發(fā)送用戶的密碼，該命令在 USER 后使用。其中，數(shù)據(jù)包具體的捕獲過程如圖 312 所示。 bpf_u_int32 flags。 } // 輸出網(wǎng)卡信息 for (i=0, d=alldevs。其結(jié)構(gòu)如下所示： Struct pcap_addr { Struct pcap_addr *next。部分程序如下所示： 打開網(wǎng)卡準(zhǔn)備捕獲數(shù)據(jù)包 庫為打開與關(guān)閉網(wǎng)絡(luò)適配器提供了下列函數(shù) ： pcap_open 函數(shù)用于打開一個通用的數(shù)據(jù)捕獲源（包括本地主句、遠(yuǎn)程主機(jī)、文件三種類型），以便進(jìn)行捕獲或發(fā)送操作。 return 1。 winpcap 的過濾器是以符合標(biāo)準(zhǔn)語法的語句為基礎(chǔ)，它包含一個過濾表達(dá)式。若只想捕獲基于 IP 協(xié)議的數(shù)據(jù)報，可編寫過濾表達(dá)式 char packet_filter[]=“ IP” 。 Break。打 開適配器后，就可以對數(shù)據(jù)包進(jìn)行捕獲了。在這種情況下， 使用非回調(diào)函數(shù) pcap_next_ex 會更好一些。 開 始 解 析計 算 數(shù) 據(jù) 幀 的 類 型 值A(chǔ) R P 協(xié) 議解 析R A R P 協(xié) 議 I P v 6 協(xié) 議 I P 協(xié) 議 解 析0 x 0 8 0 6 0 x 8 0 3 5 0 x 8 6 d d 0 x 0 8 0 0檢 測 上 一 層 協(xié) 議 類 型I C M P 協(xié) 議解 析I G M P協(xié) 議T C P 協(xié) 議解 析U D P 協(xié) 議解 析類 型 值 = 1 類 型 值 = 2 類 型 值 = 6類 型 值 = 1 7檢 測 端 口 號F T P 協(xié) 議分 析D N S 協(xié) 議 S M T P 協(xié) 議H T T P 協(xié) 議分 析端 口 號 = 2 1端 口 號 = 5 3 端 口 號 = 2 5 端 口 號 = 8 0解 析 以 太 網(wǎng) 幀判 斷 以 太 網(wǎng) 幀 格 式E t h e r n e t V 2 . 0 圖 313 協(xié)議解析流程 在該解析過程中，要注意一些數(shù)據(jù)結(jié)構(gòu)體的定義，本系統(tǒng)中要分析的協(xié)議的數(shù)據(jù)報結(jié)構(gòu)體定義要求對于結(jié)構(gòu)體中的成員數(shù)據(jù)類型要定義到位。 圖 314 客戶端的登錄設(shè)置界面基于 TCP/IP 的協(xié)議分析器設(shè)計 22 第四章 程序的實現(xiàn) Winpcap 的安裝使用方法 1) 下載 Winpcap 驅(qū)動程序安裝包和程序員開發(fā)包 winpcap develop’s packet。這些文件分布于 C 的編譯器，并且包含了 Windows 的一些 socket 函數(shù)。 圖 41 本機(jī)網(wǎng)卡信息 圖中顯示的本機(jī)所有已連接網(wǎng)卡的詳細(xì)信息，看起來非常直觀。也就是說，在捕獲數(shù)據(jù)包時，系統(tǒng)會受到銳捷軟件的影響，從而降低了系統(tǒng)捕獲數(shù)據(jù)包的實時性。圖 46 顯示的本機(jī)在 13:17 分以匿名形式登錄校園 FTP 服務(wù)網(wǎng)站，站點地址為 用戶進(jìn)程 向遠(yuǎn)程 FTP服務(wù)器發(fā)送用戶名及登錄密碼。 圖 411 UDP 數(shù)據(jù)包的判斷分析 對 ICMP 協(xié)議的 分析 結(jié)合了 ICMP 的一個重要應(yīng)用就是分組網(wǎng)間探測 PING，用來測試兩個主機(jī)之間的連通性 。 還可以對程序做以下調(diào)整： 1) 調(diào)整 使用 pcap_next_ex()函數(shù)，這個函數(shù)只有 被調(diào)用了 才會開始捕獲數(shù)據(jù)包，在一定程度上改善網(wǎng)絡(luò)。而基于Windows 平臺的 winpcap 函數(shù)庫以完成底層的功能驅(qū)動為基礎(chǔ)，簡化了編程者實現(xiàn)數(shù)據(jù)包的捕獲和協(xié)議的分析工作難度。如此一來，不僅可以實現(xiàn)網(wǎng)絡(luò)的管理和維護(hù)，還 可以防止網(wǎng)絡(luò)遭到非法入侵和破壞。 2) pcap_open()函數(shù)中的讀操作等待時間可按需調(diào)整。同時，系統(tǒng)程序捕獲到的差錯報文分析如圖 413 所示。登錄FTP 網(wǎng)站后，可隨后完成一些操作。系統(tǒng)程序有設(shè)計程序分鐘，該時鐘與本機(jī)上的時鐘同步。本程序利用文件讀寫函數(shù) freopen()將運行結(jié)果寫到記事本 中，便于用戶讀取信息。 而且要使用 winpcap 開源包，所以需要添加幾個預(yù)處理定義。 2) 配置 Microsoft Visual C++的 開發(fā)環(huán)境 要使用 Microsoft Visual C++創(chuàng)建一個可以使用 的應(yīng)用程序，需要按照以下步驟完成基 本配置 [16]： ? 在每個使用了庫的源程序中，將 頭文件包含進(jìn)來。基于 TCP/IP 的協(xié)議分析器設(shè)計 21 該函數(shù)可以返回一個以 主機(jī)字節(jié)順序表達(dá)的數(shù)，那么這個數(shù)就可以被 C 程序所識別，以完成數(shù)據(jù)