【正文】 .................................................................................................... 8 TCP/IP 模型 .............................................................................................................. 8 數(shù)據(jù)包的封裝與分用 .............................................................................................. 9 主要協(xié)議數(shù)據(jù)包格式 ............................................................................................ 10 基于 winpcap 的網(wǎng)絡(luò)數(shù)據(jù)捕獲程序 ................................................................................. 15 獲得本地網(wǎng)絡(luò)驅(qū)動(dòng)器列表 ..................................................................................... 16 獲得已安裝的網(wǎng)絡(luò)設(shè)備的高級(jí)信息 ....................................................................... 17 打開(kāi)網(wǎng)卡準(zhǔn)備捕獲數(shù)據(jù)包 ..................................................................................... 17 數(shù)據(jù)包的過(guò)濾設(shè)定 ............................................................................................... 18 基于 TCP/IP 的協(xié)議分析器設(shè)計(jì) IV 開(kāi)始捕獲數(shù)據(jù)包 ................................................................................................... 19 數(shù)據(jù)包的分析 ...................................................................................................... 20 第四章 程序的實(shí)現(xiàn) ......................................................................................................................... 21 winpcap 的安裝使用方法 ................................................................................................ 22 程序的運(yùn)行 .................................................................................................................... 23 捕獲程序性能的調(diào)整 ...................................................................................................... 29 第五章 總結(jié)與展望 ......................................................................................................................... 30 總結(jié) ....................................................................................................................... 30 展望 ....................................................................................................................... 30 致謝 ...................................................................................................................... 錯(cuò)誤 !未定義書(shū)簽。 網(wǎng) 絡(luò)分析是一把雙刃劍。所以在 1980 年， James Anderson 先生首先肯定網(wǎng)絡(luò)入侵可以被檢測(cè)，并對(duì)此作了詳細(xì)的說(shuō)明；他將具有入侵性質(zhì)的網(wǎng)絡(luò)行為分為三種，分別是外部滲透行為、內(nèi)部滲透行為和不法行為，并且他還提出可以利用審計(jì)跟蹤的方法抓根源，也從此揭開(kāi)了入侵檢測(cè)的研究序幕 [2]]。 winpcap開(kāi)源包 的優(yōu)點(diǎn)在于它有強(qiáng)大的捕獲網(wǎng)絡(luò)數(shù)據(jù)包的功能 ， 它能夠 利用底層驅(qū)動(dòng)實(shí)現(xiàn)對(duì) 本 機(jī) 數(shù)據(jù)鏈路層 的訪問(wèn)，并可監(jiān)測(cè) 所有數(shù)據(jù)包 的傳輸 ， 而且，winpcap可以實(shí)時(shí)處理這些數(shù)據(jù)包，只需系統(tǒng)有下達(dá)相關(guān)的要求 即 可 。也闡述了程序性能方面可實(shí)現(xiàn)的改進(jìn)。 混雜模式 網(wǎng)卡能夠接收所有 流過(guò)本機(jī)網(wǎng)卡的數(shù)據(jù)包 ， 不管該數(shù)據(jù) 是 傳給 誰(shuí)的。 交換式的網(wǎng)絡(luò)數(shù)據(jù)捕獲 交換環(huán)境下的以太網(wǎng) 其實(shí)就是 使用交換機(jī)來(lái)連接各網(wǎng)絡(luò)結(jié)點(diǎn) 的網(wǎng)絡(luò) 。這樣一來(lái)，不僅使網(wǎng) 絡(luò)安全程序的開(kāi)發(fā)過(guò)程簡(jiǎn)化，而且也提高了程序的性能與穩(wěn)定性。網(wǎng)絡(luò)數(shù)據(jù)包捕獲函數(shù)庫(kù)winpcap 便是如此，本次設(shè)計(jì)主要調(diào)用 winpcap 開(kāi)源庫(kù) 。數(shù)據(jù)包的捕獲過(guò)程依賴(lài)于下列兩個(gè)組件 [6]： 1) 數(shù)據(jù)包過(guò)濾器 數(shù)據(jù)包過(guò)濾器決定是否將到來(lái)的數(shù)據(jù)包接收并復(fù)制到一個(gè)應(yīng)用程序中。 2. 動(dòng)態(tài)鏈接庫(kù)模塊 是一個(gè)動(dòng)態(tài)鏈接庫(kù)，并提供了一些低層的函數(shù)，用來(lái)實(shí)現(xiàn)以下功能： 基于 TCP/IP 的協(xié)議分析器設(shè)計(jì) 7 ? 安 裝、 啟動(dòng)、設(shè)置和停止 NPF 設(shè)備驅(qū)動(dòng)程序； ? 設(shè)置 NPF 驅(qū)動(dòng)程序 實(shí)現(xiàn)數(shù)據(jù)包的 發(fā)送和接收； ? 獲取已連接 的網(wǎng)絡(luò)適配器列表； ? 獲取適配器的不同列表的所有地址信息； ? 查詢(xún) /設(shè)置一個(gè)低層的適配器參數(shù)。一般情況下， 能自動(dòng)調(diào)用 的函數(shù)，所以程序員可以直接使用 動(dòng)態(tài)鏈接庫(kù)的函數(shù)。 5) pcap_next_ex；用于從一個(gè)網(wǎng)絡(luò)適配器設(shè)備或從一個(gè)脫機(jī)文件中讀取一個(gè)數(shù)據(jù)包。在因特網(wǎng)中的應(yīng)用層協(xié)議很多，幾乎各種不同的 TCP/IP 實(shí)現(xiàn)都會(huì)提供下面這些通用的應(yīng)用程序： ? Tel 遠(yuǎn)程登錄。 4) 網(wǎng)絡(luò)接口層通常包括操作系統(tǒng)中的設(shè)備驅(qū)動(dòng)程序和計(jì)算機(jī)中對(duì)應(yīng)的網(wǎng)絡(luò)接口卡。而 IP 數(shù)據(jù)報(bào)需要在以太網(wǎng)上傳輸，所以要將其封裝成以太網(wǎng)幀，通過(guò)以太網(wǎng)傳輸?shù)谋忍亓骶涂梢酝ㄟ^(guò)物理介質(zhì)發(fā)送數(shù)據(jù)了。由于 標(biāo)準(zhǔn)規(guī)定的類(lèi)型字段的有效值均大于 數(shù)據(jù)的最大長(zhǎng)度 1500，所以，可以根據(jù)這個(gè)來(lái)判斷接收到的以太網(wǎng)幀是否為常用的 RFC894 的封裝格式。 該標(biāo)識(shí) 存儲(chǔ)在 IP 數(shù)據(jù)結(jié)構(gòu)的協(xié)議 域，分別是用數(shù)值 1 表示 ICMP 協(xié)議， 數(shù)值 2 表示 IGMP 協(xié)議， 數(shù)值 6 表示 TCP協(xié)議， 數(shù)值 17 表示 UDP 協(xié)議。 ? ACK：確認(rèn)序號(hào)有效。我們可以通過(guò)端口號(hào)來(lái)判斷應(yīng)用層的協(xié)議類(lèi)型。 方 法U R L版 本C R L F? ? ? ? ?C R L F:值實(shí) 體 主 體 （ 通 常 不 用 ）首 部 字 段 名C R L F:值首 部 字 段 名C R L F請(qǐng) 求 行 圖 310 HTTP 的請(qǐng)求報(bào)文結(jié)構(gòu) 版 本 狀 態(tài) 碼 短 語(yǔ)C R L F? ? ? ? ?C R L F:值實(shí) 體 主 體 （ 有 些 響 應(yīng) 報(bào) 文 不 用 ）首 部 字 段 名C R L F:值首 部 字 段 名C R L F狀 態(tài) 行 圖 311 HTTP 的響應(yīng)報(bào)文結(jié)構(gòu) 基于 TCP/IP 的協(xié)議分析器設(shè)計(jì) 15 表 33 HTTP 請(qǐng)求報(bào)文的一些方法 7) FTP 文件傳輸命令 FTP 采用一系列簡(jiǎn)單的協(xié)議來(lái)完成文件傳輸?shù)母鞣N任務(wù)，在發(fā)送命令時(shí)總是在命令的最后加上一個(gè)回車(chē)換行符。 PASS 向遠(yuǎn)程系統(tǒng)發(fā)送用戶(hù)的密碼，該命令在 USER 后使用。其中，數(shù)據(jù)包具體的捕獲過(guò)程如圖 312 所示。 bpf_u_int32 flags。 } // 輸出網(wǎng)卡信息 for (i=0, d=alldevs。其結(jié)構(gòu)如下所示： Struct pcap_addr { Struct pcap_addr *next。部分程序如下所示： 打開(kāi)網(wǎng)卡準(zhǔn)備捕獲數(shù)據(jù)包 庫(kù)為打開(kāi)與關(guān)閉網(wǎng)絡(luò)適配器提供了下列函數(shù) ： pcap_open 函數(shù)用于打開(kāi)一個(gè)通用的數(shù)據(jù)捕獲源（包括本地主句、遠(yuǎn)程主機(jī)、文件三種類(lèi)型），以便進(jìn)行捕獲或發(fā)送操作。 return 1。 winpcap 的過(guò)濾器是以符合標(biāo)準(zhǔn)語(yǔ)法的語(yǔ)句為基礎(chǔ)，它包含一個(gè)過(guò)濾表達(dá)式。若只想捕獲基于 IP 協(xié)議的數(shù)據(jù)報(bào)，可編寫(xiě)過(guò)濾表達(dá)式 char packet_filter[]=“ IP” 。 Break。打 開(kāi)適配器后，就可以對(duì)數(shù)據(jù)包進(jìn)行捕獲了。在這種情況下， 使用非回調(diào)函數(shù) pcap_next_ex 會(huì)更好一些。 開(kāi) 始 解 析計(jì) 算 數(shù) 據(jù) 幀 的 類(lèi) 型 值A(chǔ) R P 協(xié) 議解 析R A R P 協(xié) 議 I P v 6 協(xié) 議 I P 協(xié) 議 解 析0 x 0 8 0 6 0 x 8 0 3 5 0 x 8 6 d d 0 x 0 8 0 0檢 測(cè) 上 一 層 協(xié) 議 類(lèi) 型I C M P 協(xié) 議解 析I G M P協(xié) 議T C P 協(xié) 議解 析U D P 協(xié) 議解 析類(lèi) 型 值 = 1 類(lèi) 型 值 = 2 類(lèi) 型 值 = 6類(lèi) 型 值 = 1 7檢 測(cè) 端 口 號(hào)F T P 協(xié) 議分 析D N S 協(xié) 議 S M T P 協(xié) 議H T T P 協(xié) 議分 析端 口 號(hào) = 2 1端 口 號(hào) = 5 3 端 口 號(hào) = 2 5 端 口 號(hào) = 8 0解 析 以 太 網(wǎng) 幀判 斷 以 太 網(wǎng) 幀 格 式E t h e r n e t V 2 . 0 圖 313 協(xié)議解析流程 在該解析過(guò)程中，要注意一些數(shù)據(jù)結(jié)構(gòu)體的定義，本系統(tǒng)中要分析的協(xié)議的數(shù)據(jù)報(bào)結(jié)構(gòu)體定義要求對(duì)于結(jié)構(gòu)體中的成員數(shù)據(jù)類(lèi)型要定義到位。 圖 314 客戶(hù)端的登錄設(shè)置界面基于 TCP/IP 的協(xié)議分析器設(shè)計(jì) 22 第四章 程序的實(shí)現(xiàn) Winpcap 的安裝使用方法 1) 下載 Winpcap 驅(qū)動(dòng)程序安裝包和程序員開(kāi)發(fā)包 winpcap develop’s packet。這些文件分布于 C 的編譯器，并且包含了 Windows 的一些 socket 函數(shù)。 圖 41 本機(jī)網(wǎng)卡信息 圖中顯示的本機(jī)所有已連接網(wǎng)卡的詳細(xì)信息，看起來(lái)非常直觀。也就是說(shuō)，在捕獲數(shù)據(jù)包時(shí)，系統(tǒng)會(huì)受到銳捷軟件的影響，從而降低了系統(tǒng)捕獲數(shù)據(jù)包的實(shí)時(shí)性。圖 46 顯示的本機(jī)在 13:17 分以匿名形式登錄校園 FTP 服務(wù)網(wǎng)站，站點(diǎn)地址為 用戶(hù)進(jìn)程 向遠(yuǎn)程 FTP服務(wù)器發(fā)送用戶(hù)名及登錄密碼。 圖 411 UDP 數(shù)據(jù)包的判斷分析 對(duì) ICMP 協(xié)議的 分析 結(jié)合了 ICMP 的一個(gè)重要應(yīng)用就是分組網(wǎng)間探測(cè) PING，用來(lái)測(cè)試兩個(gè)主機(jī)之間的連通性 。 還可以對(duì)程序做以下調(diào)整： 1) 調(diào)整 使用 pcap_next_ex()函數(shù)，這個(gè)函數(shù)只有 被調(diào)用了 才會(huì)開(kāi)始捕獲數(shù)據(jù)包，在一定程度上改善網(wǎng)絡(luò)。而基于Windows 平臺(tái)的 winpcap 函數(shù)庫(kù)以完成底層的功能驅(qū)動(dòng)為基礎(chǔ)，簡(jiǎn)化了編程者實(shí)現(xiàn)數(shù)據(jù)包的捕獲和協(xié)議的分析工作難度。如此一來(lái)，不僅可以實(shí)現(xiàn)網(wǎng)絡(luò)的管理和維護(hù)，還 可以防止網(wǎng)絡(luò)遭到非法入侵和破壞。 2) pcap_open()函數(shù)中的讀操作等待時(shí)間可按需調(diào)整。同時(shí)，系統(tǒng)程序捕獲到的差錯(cuò)報(bào)文分析如圖 413 所示。登錄FTP 網(wǎng)站后，可隨后完成一些操作。系統(tǒng)程序有設(shè)計(jì)程序分鐘，該時(shí)鐘與本機(jī)上的時(shí)鐘同步。本程序利用文件讀寫(xiě)函數(shù) freopen()將運(yùn)行結(jié)果寫(xiě)到記事本 中，便于用戶(hù)讀取信息。 而且要使用 winpcap 開(kāi)源包，所以需要添加幾個(gè)預(yù)處理定義。 2) 配置 Microsoft Visual C++的 開(kāi)發(fā)環(huán)境 要使用 Microsoft Visual C++創(chuàng)建一個(gè)可以使用 的應(yīng)用程序，需要按照以下步驟完成基 本配置 [16]： ? 在每個(gè)使用了庫(kù)的源程序中，將 頭文件包含進(jìn)來(lái)?；?TCP/IP 的協(xié)議分析器設(shè)計(jì) 21 該函數(shù)可以返回一個(gè)以 主機(jī)字節(jié)順序表達(dá)的數(shù)，那么這個(gè)數(shù)就可以被 C 程序所識(shí)別，以完成數(shù)據(jù)