【正文】 信的網(wǎng)絡(luò)能夠并聯(lián)連接，并可以捕獲任何一個(gè)在同一基于 Visual C++的網(wǎng)絡(luò)監(jiān)聽系統(tǒng) 9 沖突域上傳輸?shù)臄?shù)據(jù)包。 ，提供了發(fā)送數(shù)據(jù)包的能力。不同版本的 Windows系統(tǒng)都有自己的內(nèi)核模塊和用戶 層模塊。虛擬機(jī)的效率成為獲得好的效率的關(guān)鍵。這樣使得用戶的程序和捕獲數(shù)據(jù)包的驅(qū)動(dòng)完全分開。由于這些局限，使得 Windows 平臺(tái)下的網(wǎng)絡(luò)安全和分析工具無論在數(shù)量上，還是質(zhì)量上都與 Unix 下有很大的差距。 第三個(gè)模塊 是不依賴于操作系統(tǒng)的。底層的包捕獲驅(qū)動(dòng)程序?qū)嶋H為一個(gè) 協(xié)議 網(wǎng)絡(luò)驅(qū)動(dòng)程序，通過對 NDIS 中函數(shù)的調(diào)用為 Win9 Win9WinNT、和 Win2000 提供一類似于 UNIX 系統(tǒng)下 Berkeley Packet Filter 的捕獲和發(fā)送原始數(shù)據(jù)包的能力。而發(fā)向網(wǎng)絡(luò)外的禎中繼攜帶的就是網(wǎng)關(guān)的物理地址。 網(wǎng)絡(luò)監(jiān)聽的原理 Ether（ 以太網(wǎng) ，它是由 施樂公司 發(fā)明的一種比較流行的局域網(wǎng)技術(shù)，它包含一條所有計(jì)算機(jī)都連接到其上的一條電纜，每臺(tái)計(jì)算機(jī)需要一種叫接口板的硬件才能連接到以太網(wǎng)）協(xié)議的工作方式是將要發(fā)送的 數(shù)據(jù)包發(fā)往連接在一起的所有主機(jī)。各種產(chǎn)品的功能會(huì)略有差異，有的只能針對一種協(xié)議，有的可以分析多種協(xié)議。到目前為止，可以進(jìn)行網(wǎng)絡(luò)數(shù)據(jù)監(jiān)聽的工具從軟件到硬件，從有線網(wǎng)到無線網(wǎng)，可以說是應(yīng)有盡有。網(wǎng)絡(luò)監(jiān)聽工具在這種需求下孕育而 生。但是，通過對諸多安全事件的處理、分析，調(diào)查人員發(fā)現(xiàn)企業(yè)內(nèi)部人員造成的違規(guī)事件占了較大比例。 由于互聯(lián)網(wǎng)的發(fā)展，整個(gè)世界經(jīng)濟(jì)正在迅速融為一體，而整個(gè)國家猶如一部巨大的網(wǎng)絡(luò)機(jī)器，計(jì)算機(jī)網(wǎng)絡(luò)已經(jīng)成為國家的經(jīng)濟(jì)基礎(chǔ)和命脈。在這樣的一個(gè)迫切需要網(wǎng)絡(luò)安全的信息社會(huì)里，積極的研究和探索網(wǎng)絡(luò)安全問題是一件非常有意義的事情，通過研究網(wǎng)絡(luò)監(jiān)聽系統(tǒng)來進(jìn)行具體的網(wǎng)絡(luò)安全研究工作是非常必要的。了解網(wǎng)絡(luò)面臨的各種威脅，防范和消除這些威脅，實(shí)現(xiàn)真正的網(wǎng)絡(luò)安全已成了網(wǎng)絡(luò)發(fā)展中最重要的事情。 12 UDP 9 利用 winpcap 進(jìn)行網(wǎng)絡(luò)數(shù)據(jù)包的捕獲和過濾的設(shè)計(jì)步驟 8 網(wǎng)絡(luò)數(shù)據(jù)包捕獲的原理 文中結(jié)合該軟件包的結(jié)構(gòu)與功能對包捕獲原理進(jìn)行了詳細(xì)的分析，并介紹了其在網(wǎng)絡(luò)安全監(jiān)控系統(tǒng)中的應(yīng)用。網(wǎng)絡(luò)監(jiān)聽是網(wǎng)絡(luò)監(jiān)測、負(fù)載分析等管理活動(dòng)常用的方法，同時(shí)也是黑客非法竊取信息的手段。 2 軟件數(shù)據(jù)截取工具介紹 6 WinPcap 的功能與新特性 8 在 windows 情況下捕獲數(shù)據(jù)包的結(jié)構(gòu) 11 TCP 28 致 謝 ................................................................................................................................ 31 參考文獻(xiàn) .......................................................................................................................... 32 附錄 .................................................................................................................................. 33 基于 Visual C++的網(wǎng)絡(luò)監(jiān)聽系統(tǒng) 1 1 引言 由于互聯(lián)網(wǎng)的發(fā)展，整個(gè)世界經(jīng)濟(jì)正在迅速地融為一體，而整個(gè)國家猶如一部巨大的網(wǎng)絡(luò)機(jī)器。一般的做法是在一 定的網(wǎng)段上安裝網(wǎng)絡(luò)監(jiān)視系統(tǒng)或網(wǎng)絡(luò)分析儀來獲取網(wǎng)絡(luò)上的數(shù)據(jù)包進(jìn)行分析，以便找出錯(cuò)誤的原因，解決網(wǎng)絡(luò)的故障。到了唐代，又出現(xiàn)了一種 “地聽 ”器 ， 能清晰地聽到 30 里外的馬蹄聲。 數(shù)據(jù)庫系統(tǒng) 作為三大 基礎(chǔ)軟件 之一并不是在計(jì)算機(jī)誕生的時(shí)候就同時(shí)產(chǎn)生的，隨著信息技術(shù) 的發(fā)展，傳統(tǒng)文件系統(tǒng)已經(jīng)不能滿足人們的需要， 1961年，美國 通用電氣公司成功開發(fā)了世界上第一個(gè)數(shù)據(jù)庫系統(tǒng) IDS(Integrated Data Store)，奠定了數(shù)據(jù)庫的基礎(chǔ)。研究網(wǎng)絡(luò)監(jiān)聽系統(tǒng)對于網(wǎng)絡(luò)信息監(jiān)管與信息安全有著重要意義。因而它未來的發(fā)展將在局域網(wǎng)中發(fā)揮著舉足輕重的作用，對于維護(hù)整個(gè)網(wǎng)絡(luò)的安全和性能穩(wěn)定有著直接的影響。下面將介紹相應(yīng)的由硬件實(shí)現(xiàn)的 sniffer。不幸的是由于網(wǎng)絡(luò)監(jiān)聽能有效的截獲網(wǎng)絡(luò)上的數(shù)據(jù)，它也成為了黑客使用最多的法。在網(wǎng)絡(luò)接口由 IP 層來的帶有 IP 地址的數(shù)據(jù)包又增加了一部分以太禎的禎頭的信息。 WinPcap 的原理 winpcap 簡介 WinPcap [2]是由伯克利分組捕獲庫派生而來的分組捕獲庫，它是在 Windows 操作平臺(tái)上來實(shí)現(xiàn)對底層包的截取過濾。不同版本的 Windows 系統(tǒng) 都有自己的內(nèi)核模塊和用戶層模塊。 WinPcap 的出現(xiàn)具有一定的必然性。經(jīng)過 Berkeley Packet Filter 的數(shù)據(jù)包被拷貝到 Kernel Buffer 中，它分為兩個(gè) buffer： store buffer 和 hold buffer。但是 Libpcap 并不能夠發(fā)送數(shù)據(jù)包或者統(tǒng)計(jì)數(shù)據(jù)包。 圖 22 Winpcap 結(jié)構(gòu)圖 第一個(gè)模塊 NPF(Netgroup Packet Filter)，是一個(gè)虛擬設(shè)備驅(qū)動(dòng)程序文件。Winpcap 的實(shí)質(zhì)是用了我們后面說的 NDIS，將自己注冊為一個(gè)協(xié)議處理驅(qū)動(dòng)來實(shí)現(xiàn)網(wǎng)絡(luò)數(shù)據(jù)包的截獲。而且 WinPcap 還實(shí)現(xiàn)了統(tǒng)計(jì)模式的工作方式：它不需要把數(shù)據(jù)包傳送到應(yīng)用程序，避免了大量的數(shù)據(jù)包拷貝操作。網(wǎng)卡主要的工作是完成對于總線當(dāng)前狀態(tài)的探測，確定是否進(jìn)行數(shù)據(jù)的傳送，判斷每個(gè)物理數(shù)據(jù)幀目的地是否為本站地址，如果不匹配，則說明不是發(fā)送到本站的而將它丟棄。如果采用混雜 模式，一個(gè)站點(diǎn)的網(wǎng)卡將接受同一網(wǎng)絡(luò)內(nèi)所有站點(diǎn)所發(fā)送的數(shù)據(jù)包這樣就可以到達(dá)對于網(wǎng)絡(luò)信息監(jiān)視捕獲的目的。 (c) 當(dāng) Packet filter 監(jiān)聽到有數(shù)據(jù)包到達(dá)時(shí)， NDIS 中間驅(qū)動(dòng)程序首先調(diào)用分組驅(qū)動(dòng)程序，該程序?qū)?shù)據(jù)傳遞給每一個(gè)參與進(jìn)程的分組過濾程序。網(wǎng)絡(luò)體系結(jié)構(gòu)是從功能 上 來描述計(jì)算機(jī)網(wǎng)絡(luò)結(jié)構(gòu) 。 IP 數(shù)據(jù)包是不可靠的，因?yàn)?IP 并沒有做任何事情來確認(rèn)數(shù)據(jù)包是按順序發(fā) 送的或者沒有被破壞。 陜西科技大學(xué)畢業(yè)設(shè)計(jì)說明書 12 TCP TCP 是面向連接的通信協(xié)議，通過 三次握手 建立連接，通訊完成時(shí)要拆除連接，由于 TCP 是面向連接的所以只能用于點(diǎn)對點(diǎn)的通訊。 面向連接的服務(wù)（例如 Tel、 FTP、 rlogin、 X Windows 和 SMTP）需要高度的可靠性，所以它們使用了 TCP。 欺騙 UDP 包比欺騙 TCP 包更容易，因?yàn)?UDP 沒有建立初始化連接 (也可以稱為握手 )(因?yàn)樵趦蓚€(gè)系統(tǒng)間沒有虛電路 )，也就是說，與 UDP 相關(guān)的服務(wù)面臨著更大的危險(xiǎn)?？蛻舫绦蛳蚍?wù)進(jìn)程寫入信息，服務(wù)進(jìn)程讀出信息并發(fā)出響應(yīng)，客戶程序讀出響應(yīng)并向用戶報(bào)告。服務(wù)進(jìn)程通常使用一個(gè)固定的端口，例如， SMTP 使用 2 Xwindows使用 6000。而我們要確認(rèn)網(wǎng)絡(luò)上的每一臺(tái)計(jì)算機(jī)，靠的就是能唯一標(biāo)識(shí)該計(jì)算機(jī)的網(wǎng)絡(luò)地址，這個(gè)地址就叫做 IP（ Inter Protocol 的簡寫）地址，即用 Inter 協(xié)議語言表示的地址。 到 是保留地址，用做循環(huán)測試用的。如果你的 IP 地址是自動(dòng)獲取 IP 地址，而你在網(wǎng)絡(luò)上又沒有找到可用的 DHCP 服務(wù)器，這時(shí)你將會(huì)從 到 中臨時(shí)獲得一個(gè) IP 地址。在這個(gè)范圍內(nèi)的 IP 地址不能被路由到 Inter骨干網(wǎng)上； Inter 路由器將丟棄該私有地址。 E 類地址保留給將來使用。 (1) 注意事項(xiàng) 內(nèi)部地址和外部地址在局域網(wǎng)的 IP 地址分配中，并沒有區(qū)別，都可以使用。它表示 IP 地址的代碼序列中不可更加需要改變的部分。 主機(jī)編碼（主機(jī)號）：經(jīng)過子網(wǎng)劃分后，子網(wǎng)掩碼序列中 “0”對應(yīng)的 IP 地址部分。 (c) 輸入 ping ，觀查網(wǎng)卡是否能轉(zhuǎn)發(fā)數(shù)據(jù)，如果出現(xiàn) “Request timed out”，表明配置差錯(cuò)或網(wǎng)絡(luò)有問題。所以 TCP/IP 協(xié)議成為一種聯(lián)合各種硬件和軟件的實(shí)用系統(tǒng)。下面是一個(gè)普通的過程： 一個(gè)專有的網(wǎng)絡(luò)開發(fā)出來用于特定目的。許多用戶開始維護(hù)使用 IP 替代品的復(fù)制品。 ) 運(yùn)行結(jié)果可以查看 C:\ （咨詢中可根據(jù)用戶實(shí)際操作情況提供） 運(yùn)行此命令的結(jié)果與刪除并重新安裝 TCP/IP 協(xié)議的效果相同。雖然用 動(dòng)態(tài) IP 及 Nat 地址轉(zhuǎn)換等技術(shù)實(shí)現(xiàn)了一些緩沖，但 IPV4 地址枯竭已經(jīng)成為不爭的事實(shí)。IPv6 是 IETF（互聯(lián)網(wǎng)工程任務(wù)組， Inter Engineering Task Force）設(shè)計(jì)的用于替代現(xiàn)行版本 IP 協(xié)議（ IPv4）的下一代 IP 協(xié)議。 (e) IPv6 具有更高的安全性?？偟恼f來，在頂端與底端之間的每一層均能確保數(shù)據(jù)以一種可讀、無錯(cuò)、排序正確的格式被發(fā)送。幀是用來移動(dòng)數(shù)據(jù)的結(jié)構(gòu)包，它不僅包括原始（未加工）數(shù)據(jù)，或稱“有效荷載”，還包括發(fā)送方和接收方的網(wǎng)絡(luò)地址以及糾錯(cuò)和控制信息。除此之外，傳輸層按照網(wǎng)絡(luò)能處理的最大尺寸將較長的數(shù)據(jù)包進(jìn)行強(qiáng)制分割。 陜西科技大學(xué)畢業(yè)設(shè)計(jì)說明書 24 4 局域網(wǎng)監(jiān)聽系統(tǒng)的設(shè)計(jì)及實(shí)現(xiàn) 局域網(wǎng)監(jiān)聽系統(tǒng)的設(shè)計(jì) 功能設(shè)計(jì) 系統(tǒng)的主要功能結(jié)構(gòu)如下圖 41 所示 圖 41 功能結(jié)構(gòu)圖 模塊設(shè)計(jì) 根據(jù)軟件所需要實(shí)現(xiàn)的功能，將軟件系統(tǒng)劃分為以下。會(huì)話層的功能包括：建立通信鏈接，保持會(huì)話過程通信鏈接的暢通，同步兩個(gè)節(jié)點(diǎn)之間的對話，決定通信是否被中斷以及通信中斷時(shí)決定從何處重新發(fā)送。 (3) 網(wǎng)絡(luò)層 即 O S I 模型的第三層，其主要功能是將網(wǎng)絡(luò)地址翻譯成對應(yīng)的物理地址，并決定如何將數(shù)據(jù)從發(fā)送方路由到接收方。物理層的協(xié)議產(chǎn)生并檢測電壓以便發(fā)送和接收攜帶數(shù)據(jù)的信號。 OSI 模型 在 20 世紀(jì) 80 年代早期， ISO 開始致力于制定一套普遍適用的規(guī)范集合，以使得全球范圍的計(jì)算機(jī)平臺(tái)可進(jìn)行開放式通信。 IPv4 中規(guī)定 IP 地址長度為 32，即有 2^321（符號 ^表示升冪，下同）個(gè)地址；而 IPv6 中 IP 地址的長度為 128，即有 2^1281 個(gè)地址。 傳統(tǒng)的 TCP/IP 協(xié)議基于電話寬帶以及以太網(wǎng)的電器特性而制定的，其分包原則與檢驗(yàn)占用了數(shù)據(jù)包很大的一部分比例造成了傳輸效率低，現(xiàn)在網(wǎng)絡(luò)正向著全 光纖網(wǎng)絡(luò) 和超高速以太網(wǎng)方向發(fā)展， TCP/IP 協(xié)議不能滿足其發(fā)展需要。 1981 年 Jon Postel 在 RFC791 中定義了 IP， Ipv4可以運(yùn)行在各種各樣的底層網(wǎng)絡(luò)上，比如端對端的串行數(shù)據(jù)鏈路（ PPP 協(xié)議和 SLIP 協(xié)議 ) ，衛(wèi)星鏈路等等。人們開發(fā)了一種 能夠?qū)?IP 帶到專有網(wǎng)絡(luò)上的大部分用戶的不昂貴的傳輸媒介。 為了便利提供 IP 服務(wù)，經(jīng)常用于訪問電子郵件或者聊天，通常以某種方式通過專有網(wǎng)絡(luò)隧道實(shí)現(xiàn)。用戶能夠使用以太網(wǎng)（ Ether）、令牌環(huán)網(wǎng)（ Token Ring Network）、撥號線路（ Dialup line）、 網(wǎng)以及所有的網(wǎng)絡(luò)傳輸硬件。 (e) Ping 一個(gè)局域網(wǎng)地址，觀查與它的連通性。包括申請到主機(jī)地址的部分。它表示 IP 地址的代碼序列中能夠根據(jù)需要來改變的部分。 (2) 子網(wǎng)劃分 若公司不上 Inter，那一定不會(huì)煩惱 IP 地址的問題，因?yàn)榭梢匀我馐褂盟械?IP地址，不管是 A 類或是 B 類，這個(gè)時(shí)候不會(huì)想到要用子網(wǎng)，但若是上 Inter 那 IP 地陜西科技大學(xué)畢業(yè)設(shè)計(jì)說明書 16 址便彌足珍貴了，目前全球一陣 Inter 熱 ， IP 地址已經(jīng)愈來愈少了，而所申請的 IP 地址目前也 趨飽和，而且只有經(jīng)申請的 IP 地址能在 Inter 使用，但對某些公司只能申請到一個(gè) C 類的 IP 地址，但又有多個(gè)點(diǎn)需要使用，那這時(shí)便需要使用到子網(wǎng)，這就需要考慮子網(wǎng)的劃分，下面簡介子網(wǎng)的原理及如何規(guī)劃。所以，以上 IP 地址的分類只適用于網(wǎng)絡(luò)分類。這個(gè)轉(zhuǎn)換過程稱為網(wǎng)絡(luò)地址轉(zhuǎn)換（ Network