【正文】 不是組內(nèi)成員 . (3)直接模式 (DirectModel):工作在直接模式下的網(wǎng)卡只接收目地址是自己 Mac 地址的幀 . XXXX 大學(xué) 2021 屆畢業(yè)論文（設(shè)計(jì)） 18 (4)混雜模式 (PromiscuouSModel):工作在混雜模式下的網(wǎng)卡接收所有的流過(guò)網(wǎng)卡的幀 ,數(shù)據(jù)包捕獲程序就是在這種模式下運(yùn)行的 . 基于 Windows 的數(shù)據(jù)包捕獲方案 1)使用原 始套接字 (raw socket)機(jī)制 .方法簡(jiǎn)單 ,但功能有限 ,只能捕獲較高層的數(shù)據(jù)包 .在創(chuàng)建了原始套 ,需要通過(guò) setsockopt()函數(shù)來(lái)設(shè)置 IP 頭后任選項(xiàng) ,然后再通過(guò) bind()函數(shù)將原始套接字綁定到本地網(wǎng)卡 .為了讓原始套接字能接受所有的數(shù)據(jù) ,還需要通過(guò)ioctlsocket()來(lái)進(jìn)行設(shè)置 ,而且還可以指定是否親自處理 IP 頭 .至此 ,實(shí)際就可以開始對(duì)網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行監(jiān)聽了 ,對(duì)數(shù)據(jù)包的獲取仍像流式套接字或數(shù)據(jù)報(bào)套接字那樣通過(guò) recv()函數(shù)來(lái)完成 .但是與其他兩種套接字不同的是 ,原始套接字此時(shí)捕獲到的數(shù)據(jù)包并不僅僅是單純的數(shù)據(jù)信息 ,而是包含有 IP 頭 /TCP 頭等信息頭的最原始的數(shù)據(jù)信息 ,這些信息保留了它在網(wǎng)絡(luò)傳輸時(shí)的原貌 .通過(guò)對(duì)這些在低層傳輸?shù)脑夹畔⒌姆治隹梢缘玫? 有關(guān)網(wǎng)絡(luò)的一些信息 .由于這些數(shù)據(jù)經(jīng)過(guò)了網(wǎng)絡(luò)層和傳輸層的打包 ,因此需要根據(jù)其附加的幀頭對(duì)數(shù)據(jù)包進(jìn)行分析 . 2)直接連接調(diào)用 NDIS 庫(kù)函數(shù) ,這種方法功能非常強(qiáng)大 ,但是比較危險(xiǎn) ,很可能導(dǎo)致系統(tǒng)崩潰和網(wǎng)絡(luò)癱瘓 . 3)使用或者自行編寫中間層驅(qū)動(dòng)程序 ,這是微軟公司推薦使用的一種方法 ,微軟提供的win2021 DDK中也提供了幾個(gè)這樣的驅(qū)動(dòng)程序 .在具體的實(shí)現(xiàn)方式上可分析 用戶級(jí)和內(nèi)核級(jí)兩類 .其中內(nèi)核級(jí)主要是 TDI 捕獲過(guò)濾驅(qū)動(dòng)程序 ,NDIS 中間層捕獲過(guò)濾驅(qū)動(dòng)程序 ,NDIS 捕獲過(guò)濾鉤子 (Hook)驅(qū)動(dòng)程序等 ,它們都是利用網(wǎng)絡(luò)驅(qū)動(dòng)來(lái)實(shí)現(xiàn)的 .而用戶級(jí)的包括 SPI 接口 ,Windows2021 包捕獲過(guò)濾接口等 . 4)使用第三方捕獲組件或者庫(kù)比如 WinPcap 自帶的庫(kù)函數(shù)實(shí)現(xiàn)網(wǎng)絡(luò)數(shù)據(jù)的捕獲 ,從而為數(shù)據(jù)包協(xié)議的分析打下基礎(chǔ) . 協(xié)議分析技術(shù) 網(wǎng)絡(luò)協(xié)議分析 每一個(gè)網(wǎng)絡(luò)數(shù)據(jù)包都是基于一個(gè)網(wǎng)絡(luò)協(xié)議產(chǎn)生的，所以分析網(wǎng)絡(luò)數(shù)據(jù)包必定要分析其協(xié)議的內(nèi)容。 MAC（ 介質(zhì)訪問控制 ， Media Access Controller） 設(shè)備驅(qū)動(dòng) 封裝了所有的 NIC 硬件 實(shí)現(xiàn)，這樣一來(lái)所有的使用相同介質(zhì)的 NIC 就可以通過(guò)通用的編程接口被訪問。不同的操作系統(tǒng)實(shí)現(xiàn)的底層包捕獲機(jī)制可能是不一樣的，但從形式上看大同小異。同理，正確的使用網(wǎng)絡(luò)監(jiān)聽技術(shù)也可以發(fā)現(xiàn)入侵并對(duì)入侵者進(jìn)行追蹤定位，在對(duì)網(wǎng)絡(luò)XXXX 大學(xué) 2021 屆畢業(yè)論文（設(shè)計(jì)） 15 犯罪進(jìn)行偵查取證時(shí)獲取有關(guān)犯罪行為的重要信息，成 為打擊網(wǎng)絡(luò)犯罪的有力手段。當(dāng)使用集線器時(shí)，由集線器再發(fā)向連接在集線器上的每一條線路，數(shù)字信號(hào)也能到達(dá)連接在 集線器上的每一臺(tái)主機(jī)。網(wǎng)絡(luò)監(jiān)聽可以在網(wǎng)上的任何一個(gè)位置實(shí)施，如局域網(wǎng)中的一臺(tái)XXXX 大學(xué) 2021 屆畢業(yè)論文（設(shè)計(jì)） 14 主機(jī)、網(wǎng)關(guān)上或遠(yuǎn)程網(wǎng)的調(diào)制解調(diào)器之間等 。 ④域名系統(tǒng) (domain name system,DNS)。當(dāng)互聯(lián)網(wǎng)絡(luò)層將接收到的字節(jié)段傳送給傳輸段傳送給傳輸 時(shí)，傳輸層再將多個(gè)字節(jié)段還原成字節(jié)流傳送到應(yīng)用層。 TCP/IP 參考模型中網(wǎng)絡(luò)層協(xié)議是 IP（ Inter Protrol）協(xié)議。 （ 2）網(wǎng)際層： 在 TCP/IP 參考模型中，互聯(lián)網(wǎng)絡(luò)層是參考模型的第二層，它相當(dāng)于 OSI參考模型網(wǎng)絡(luò)層的無(wú)連接網(wǎng)絡(luò)服務(wù)。 模型簡(jiǎn)介 OSI(Open System Interconnect)七層模型即開 放式系統(tǒng)互聯(lián)參考模型，是一種框架性的設(shè)計(jì)方法通過(guò)七個(gè)層次的結(jié)構(gòu)模型使不同的系統(tǒng)不同的網(wǎng)絡(luò)之間實(shí)現(xiàn)可靠的通訊，因此其最主要的功能就是幫助不同類型的主機(jī)實(shí)現(xiàn)數(shù)據(jù)傳輸。 網(wǎng)絡(luò)監(jiān)聽（嗅探）技術(shù)是一種在對(duì)方未察覺的情況下，捕獲其通信報(bào)文的技術(shù)。 網(wǎng)絡(luò)監(jiān)聽（嗅探）技術(shù) 的出現(xiàn)已經(jīng)有較長(zhǎng)一段時(shí)間了，因?yàn)?Unix 類系統(tǒng)內(nèi)核提供了對(duì)網(wǎng)絡(luò)嗅探很 好 的支 持，而 Windows 內(nèi)核卻沒有，導(dǎo)致 Unix 類系統(tǒng)下的網(wǎng)絡(luò)嗅探產(chǎn)品比Windows 下的多。但是，隨著網(wǎng)絡(luò)技術(shù)的快速發(fā)展與逐漸普及，網(wǎng)絡(luò)監(jiān)聽更多的被一些懷有惡意的人作為截獲網(wǎng)絡(luò)數(shù)據(jù)、非法獲取用戶賬號(hào)和密碼等機(jī)密信息的手段 。 WinPcap。 本文對(duì) Windows 下基于 WinPcap 的網(wǎng)絡(luò)監(jiān)測(cè)與協(xié)議分析技術(shù)進(jìn)行了深入的研究，詳細(xì)的研究了WinPcap 的框架，得出了基于 WinPcap 驅(qū)動(dòng)開發(fā)的一般過(guò)程，最后實(shí)現(xiàn)了一個(gè)數(shù)據(jù)包捕獲解析器CapturePacket。程序中網(wǎng)絡(luò)監(jiān)聽的目標(biāo)是 TCP/IP協(xié)議中的 ARP、 IP、 TCP、 UDP甲種協(xié)議，以 Windows XP操作系統(tǒng)為平臺(tái)，在 Visual C++環(huán)境下使用 WinPcap驅(qū)動(dòng)從 TCP/IP協(xié)議棧的數(shù)據(jù)鏈路層捕獲原始數(shù)據(jù)包， 并從中提取出以上四種協(xié)議及數(shù)據(jù)包的數(shù)據(jù)。 protocol。網(wǎng)絡(luò)監(jiān)聽和數(shù)據(jù)包捕獲技術(shù)在給管理員帶來(lái)方便的同時(shí)，對(duì)網(wǎng)絡(luò)信息安全也潛在地構(gòu)成了威脅?，F(xiàn)在已經(jīng)有一些 Unix 下的嗅探器被移植到了 Windows 下，目前比較 流行的網(wǎng)絡(luò)嗅探器有： Tcpdump、 Windump、 Sniffit、 Dsniff、 Sniffer Pro、 Ettercp、 LinSniffer，Ngrep、 ESniffer、 Ethereal(WireShark)等網(wǎng)絡(luò)監(jiān)聽工具。因?yàn)橐蕴W(wǎng)采用廣播方式，所以在某 個(gè)以太網(wǎng)中可以監(jiān)聽到所有的數(shù)據(jù)包。 雖然目前沒有按照這種模型實(shí)現(xiàn)的網(wǎng)絡(luò)協(xié)議，但是這種模型對(duì)于理解網(wǎng)絡(luò)協(xié)議內(nèi)部的架構(gòu)很有幫助，為學(xué)習(xí)網(wǎng)絡(luò)協(xié)議及功能提供了很好的參考模型。互聯(lián)網(wǎng)絡(luò)層負(fù)責(zé)將源主機(jī)的報(bào)文分組發(fā)送到 目的主機(jī)，源主機(jī)與目的主機(jī)可以在一個(gè)網(wǎng)上，也可以在不同的網(wǎng)上。 IP 協(xié)議是一種不可靠、無(wú)連接的數(shù)據(jù)報(bào)傳送服務(wù)的協(xié)議，它提供的是一種“盡力而為（ best－ effort）”的服務(wù)， IP 協(xié)議的協(xié)議數(shù)據(jù)單元是 IP分組。 TCP 協(xié)議同時(shí)要完成流量控制功能，協(xié)調(diào)收發(fā)雙方的發(fā)送與接收速度，達(dá)到正確傳輸?shù)哪康摹? ⑤簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議 (simple work management protocol,SNMP)。 在局域網(wǎng)實(shí)現(xiàn)網(wǎng)絡(luò)監(jiān)聽的基本原理 對(duì)于目前很流行的以太網(wǎng)，其工作方式是：將要發(fā)送的數(shù)據(jù)包 廣播到局域網(wǎng) 所有主機(jī)，數(shù)據(jù) 包中包含著應(yīng)該接收數(shù)據(jù)包主機(jī)的正確地址，只有與數(shù)據(jù)包中目標(biāo)地址一致的那臺(tái)主機(jī)才能接收。當(dāng)數(shù)字信號(hào)到達(dá)一臺(tái)主機(jī)的網(wǎng)絡(luò)接口時(shí)，正常情況下，網(wǎng)絡(luò)接口讀入數(shù)據(jù)幀，進(jìn)行檢查，如果數(shù)據(jù)幀中攜帶的物理地址是自己的或者是廣播地址，則將數(shù)據(jù)幀交給上層協(xié)議軟件，也就是 IP 層軟件，否則就將這個(gè)幀丟棄。 監(jiān)聽的實(shí)施 ：使用共享介質(zhì)的以太網(wǎng)，實(shí)施監(jiān)聽僅需在監(jiān)聽主機(jī)直接運(yùn)行監(jiān)聽程序即可。數(shù)據(jù)包常規(guī)的傳輸路徑依次為網(wǎng)卡、設(shè)備驅(qū)動(dòng)層、數(shù)據(jù)鏈路層、 IP層、傳輸層，最后到達(dá)應(yīng)用層。 NDIS 同時(shí)也提供一個(gè)函 數(shù)庫(kù)（又時(shí)也稱作 wrapper），這個(gè)庫(kù)中的函數(shù)可以被 MAC 驅(qū)動(dòng)調(diào)用，也可以被高層的協(xié)議（例如 TCP/IP）驅(qū)動(dòng)調(diào)用。由于網(wǎng) 絡(luò)數(shù)據(jù)通信上要在相互公開協(xié)議的前提下對(duì)等進(jìn)行的，所以對(duì)數(shù)據(jù)包進(jìn)行協(xié)議的分析在原理上是可行的?，F(xiàn)在最常用的 MAC 幀是 V2格式，這也是本課題所要研究的格式。 WinPcap 的整體結(jié)構(gòu)分為三個(gè)相對(duì)獨(dú)立的部分 :網(wǎng)絡(luò)組包過(guò)濾器 (Netgroup Packet Filter,NPF)、 低級(jí)動(dòng)態(tài)鏈接庫(kù) ()和高級(jí)動(dòng)態(tài)鏈接庫(kù) ()。s Pack,分別找到 LIB 和 Include 目錄。 如圖 15 所示： XXXX 大學(xué) 2021 屆畢業(yè)論文（設(shè)計(jì)） 27 圖 15 數(shù)據(jù)包捕獲流程 示范圖 系統(tǒng)詳細(xì)設(shè)計(jì) 網(wǎng)卡捕獲模塊 我們用 WinPcap 來(lái)開發(fā)應(yīng)用程序，首先就要獲得這臺(tái)計(jì)算機(jī)上所有的網(wǎng)卡信息，此功能 通過(guò) pcap_findalldevs()函數(shù)來(lái)實(shí)現(xiàn)，它返回一個(gè) pcap_if 結(jié)構(gòu)的鏈表，每個(gè) pcap_if結(jié)構(gòu)含有一個(gè)網(wǎng)卡適配器的信息。m_pDev != NULL。amp。 (廣播地址 : %s,temp)。 } else { (子網(wǎng)掩碼 : 空 ,hSubItem)。 (root,TVE_EXPAND)。我們只是對(duì)一些特定的服務(wù)或端口的通信感興趣，如我們想監(jiān)聽 FTP 服務(wù)的 21 端口，或Http 服務(wù)的 80端口，這就需要我們?cè)O(shè)定一定的過(guò)濾規(guī)則，把一些價(jià)值不大的包都過(guò)濾掉，只留下我們想看到的數(shù)據(jù)包，這就是數(shù)據(jù)包過(guò)濾模塊的作用。 int pcap_setfilter(pcap_t *p,//表示已經(jīng)建立的捕獲會(huì)話包柄 struct bpf_program *fp//編譯后的 NPF 能識(shí)別的過(guò)濾規(guī)則 ) 一些基礎(chǔ)的過(guò)濾規(guī)則如下： (1)站過(guò)濾：只允許來(lái)自一臺(tái)主機(jī)或者服務(wù)器的數(shù)據(jù)。修飾詞有 3種不同的類型，分別為類型、方向和協(xié)議。所以 pcap_loop()會(huì)在一段時(shí)間內(nèi)，阻塞網(wǎng)絡(luò)的利用。每收到一個(gè)新的數(shù)據(jù)包就會(huì)去調(diào)用這個(gè)函數(shù)實(shí)現(xiàn)特定的功能。方向修飾詞表示數(shù)據(jù)的傳輸方向：有 src、 dst,可以根據(jù)需要進(jìn)行組合。 (3)服務(wù)過(guò)濾：根據(jù)端口號(hào)來(lái)選擇特定數(shù)據(jù)包。 pcap_pile()接收一個(gè)高層布爾過(guò)濾表達(dá)式字符串，并翻譯成能被過(guò)濾引擎讀懂的低級(jí)二進(jìn)抽碼。 // return TRUE unless you set the focus to a control // EXCEPTION: OCX Property Pages should return FALSE } void CAdapaterSelection::OnOK() { // TODO: Add extra validation here if(m_pDev == NULL) { MessageBox(請(qǐng)雙擊選擇網(wǎng)卡 !)。amp。 } else { (廣播地址 : 無(wú) ,hSubItem)。 (IP 地址 : %s,temp)。 CString strText。其中 name 和 description 這兩欺項(xiàng)分別包含了相應(yīng)網(wǎng)卡的名稱和描述，使我們更清楚的了解網(wǎng)卡的信息，增加了易讀性。當(dāng)中 Show Directories for 可以指定相應(yīng)的文件目錄 ++環(huán)境配置。 XXXX 大學(xué) 2021 屆畢業(yè)論文（設(shè)計(jì)） 22 是內(nèi)核級(jí) 、 低層次的包過(guò)濾動(dòng)態(tài)鏈接庫(kù) , 通過(guò)它直接映射到 Windows 系統(tǒng)內(nèi)核的調(diào)用 ,使應(yīng)用程序可以運(yùn)行在不同的 Windows 系統(tǒng)中 ,通過(guò)調(diào)用可直接訪問 NPF 驅(qū)動(dòng)程序的 API,接收或發(fā)送網(wǎng)絡(luò)數(shù)據(jù)包 。 在系統(tǒng)開發(fā)的過(guò)程中涉及到不少技術(shù)，如 WinPcap、 VC++編程、 MFC 編程。本論文在研究的 WinPcap 不但能夠捕獲網(wǎng)絡(luò)上的數(shù)據(jù)包，還由于其本身就是基于 BPF包過(guò)濾機(jī)制的，所以它們同樣具有數(shù)據(jù)包的過(guò)濾功能。 XXXX 大學(xué) 2021 屆畢業(yè)論文（設(shè)計(jì)） 17 圖 7NDIS 驅(qū)動(dòng)程序結(jié)構(gòu)圖 示范圖 網(wǎng)卡的工作模式 以太網(wǎng)是一種總線型的網(wǎng)絡(luò)，從邏輯上來(lái)看是由一條總線和多個(gè)連接在總線上的節(jié)點(diǎn)所組成，各個(gè)節(jié)點(diǎn)采用上面提到的 CSMA/CD 協(xié)議進(jìn)行信息的爭(zhēng)用和共享。對(duì)用戶程序而言，包捕獲機(jī)制提供了一個(gè)統(tǒng)一的接口，使用戶程序只需要簡(jiǎn)單的調(diào)用若干函數(shù)就能獲得所期望的數(shù)據(jù)包。這樣交換機(jī)就會(huì)退化式作在 HUB 的廣播方式下。 然而，當(dāng)主機(jī)工作在監(jiān)聽模式下，所有的數(shù)據(jù)幀都將被交給上層協(xié)議軟件處理。 在因特網(wǎng)上有很多使用以太網(wǎng)協(xié)議的局域網(wǎng)，許多主機(jī)通過(guò)電纜、集線器連在一起。包的封裝過(guò)程如圖 4所示： XXXX 大學(xué) 2021 屆畢業(yè)論文（設(shè)計(jì)） 12 圖 4 數(shù)據(jù)進(jìn)入?yún)f(xié)議棧時(shí)的封裝過(guò)程 示范圖 當(dāng)數(shù)據(jù)到達(dá)網(wǎng)絡(luò)另一端的計(jì)算機(jī)時(shí)，又經(jīng)過(guò)相反的解包過(guò)程：首先，數(shù)據(jù)鏈路層接收到從另一端計(jì)算機(jī)發(fā)過(guò) 來(lái)的數(shù)據(jù)幀，并由鏈路層的協(xié)議來(lái)讀取數(shù)據(jù)幀的見容，對(duì)于以太網(wǎng)的數(shù)據(jù)鏈路層幀其中有一個(gè)字段是標(biāo)志上層協(xié)議的，此處我們假設(shè)是 IP 協(xié)議，鏈路層協(xié)議會(huì)把以太網(wǎng)首部和尾部都去掉，然后把數(shù)據(jù)交給上層的網(wǎng)絡(luò)層，數(shù)據(jù)經(jīng)過(guò)網(wǎng)絡(luò)層處理去掉 IP首部后交給相應(yīng)的上層協(xié)議 TCP 或 UDP 去處理，同樣道理， TCP 或 UDP 協(xié)議經(jīng)過(guò)對(duì)數(shù)據(jù)的處理后去年 TCP或 UDP 頭部，又把數(shù)據(jù)交給應(yīng)用層去處理，最終還原成用戶數(shù)據(jù)，這就是數(shù)據(jù)進(jìn)入?yún)f(xié)議時(shí)的解封過(guò)程，如圖 5 所示： XXXX 大學(xué) 2021 屆畢業(yè)論文（設(shè)計(jì)） 13 圖 5 數(shù)據(jù)進(jìn)入?yún)f(xié)議時(shí)的解封過(guò)程 示范圖 數(shù)據(jù)在協(xié)議棧里面的封裝與解封的原理是網(wǎng) 絡(luò)數(shù)據(jù)包捕獲和進(jìn)行協(xié)議分析的基礎(chǔ)，本文所研究的基于協(xié)議分析的網(wǎng)絡(luò)監(jiān)測(cè)系統(tǒng)就是運(yùn)用了上述的封裝解封原理，并對(duì)所捕獲的數(shù)據(jù)包以協(xié)議樹的形式來(lái)顯示包內(nèi)所包含的協(xié)議層次結(jié)構(gòu)，另外，本文最高只涉及到傳輸層的 TCP 和 UDP協(xié)議的解析，考慮到因特網(wǎng)應(yīng)用層協(xié)議繁多，并且可能涉及到加密與解密等問題，如果要對(duì)應(yīng)用層協(xié)議進(jìn)行支持，必須首先掌握這些協(xié)議，然后加入相應(yīng)的應(yīng)用層協(xié)議解析模塊，所以本系統(tǒng)并不支持應(yīng)用層協(xié)議的解析，將待下一步研究。 （ 4）應(yīng)用