【正文】 信的網絡能夠并聯(lián)連接，并可以捕獲任何一個在同一基于 Visual C++的網絡監(jiān)聽系統(tǒng) 9 沖突域上傳輸?shù)臄?shù)據包。 ，提供了發(fā)送數(shù)據包的能力。不同版本的 Windows系統(tǒng)都有自己的內核模塊和用戶 層模塊。虛擬機的效率成為獲得好的效率的關鍵。這樣使得用戶的程序和捕獲數(shù)據包的驅動完全分開。由于這些局限，使得 Windows 平臺下的網絡安全和分析工具無論在數(shù)量上，還是質量上都與 Unix 下有很大的差距。 第三個模塊 是不依賴于操作系統(tǒng)的。底層的包捕獲驅動程序實際為一個 協(xié)議 網絡驅動程序，通過對 NDIS 中函數(shù)的調用為 Win9 Win9WinNT、和 Win2000 提供一類似于 UNIX 系統(tǒng)下 Berkeley Packet Filter 的捕獲和發(fā)送原始數(shù)據包的能力。而發(fā)向網絡外的禎中繼攜帶的就是網關的物理地址。 網絡監(jiān)聽的原理 Ether（ 以太網 ，它是由 施樂公司 發(fā)明的一種比較流行的局域網技術，它包含一條所有計算機都連接到其上的一條電纜，每臺計算機需要一種叫接口板的硬件才能連接到以太網）協(xié)議的工作方式是將要發(fā)送的 數(shù)據包發(fā)往連接在一起的所有主機。各種產品的功能會略有差異，有的只能針對一種協(xié)議，有的可以分析多種協(xié)議。到目前為止，可以進行網絡數(shù)據監(jiān)聽的工具從軟件到硬件，從有線網到無線網，可以說是應有盡有。網絡監(jiān)聽工具在這種需求下孕育而 生。但是，通過對諸多安全事件的處理、分析，調查人員發(fā)現(xiàn)企業(yè)內部人員造成的違規(guī)事件占了較大比例。 由于互聯(lián)網的發(fā)展，整個世界經濟正在迅速融為一體，而整個國家猶如一部巨大的網絡機器，計算機網絡已經成為國家的經濟基礎和命脈。在這樣的一個迫切需要網絡安全的信息社會里，積極的研究和探索網絡安全問題是一件非常有意義的事情，通過研究網絡監(jiān)聽系統(tǒng)來進行具體的網絡安全研究工作是非常必要的。了解網絡面臨的各種威脅，防范和消除這些威脅，實現(xiàn)真正的網絡安全已成了網絡發(fā)展中最重要的事情。 12 UDP 9 利用 winpcap 進行網絡數(shù)據包的捕獲和過濾的設計步驟 8 網絡數(shù)據包捕獲的原理 文中結合該軟件包的結構與功能對包捕獲原理進行了詳細的分析，并介紹了其在網絡安全監(jiān)控系統(tǒng)中的應用。網絡監(jiān)聽是網絡監(jiān)測、負載分析等管理活動常用的方法，同時也是黑客非法竊取信息的手段。 2 軟件數(shù)據截取工具介紹 6 WinPcap 的功能與新特性 8 在 windows 情況下捕獲數(shù)據包的結構 11 TCP 28 致 謝 ................................................................................................................................ 31 參考文獻 .......................................................................................................................... 32 附錄 .................................................................................................................................. 33 基于 Visual C++的網絡監(jiān)聽系統(tǒng) 1 1 引言 由于互聯(lián)網的發(fā)展，整個世界經濟正在迅速地融為一體，而整個國家猶如一部巨大的網絡機器。一般的做法是在一 定的網段上安裝網絡監(jiān)視系統(tǒng)或網絡分析儀來獲取網絡上的數(shù)據包進行分析，以便找出錯誤的原因，解決網絡的故障。到了唐代，又出現(xiàn)了一種 “地聽 ”器 ， 能清晰地聽到 30 里外的馬蹄聲。 數(shù)據庫系統(tǒng) 作為三大 基礎軟件 之一并不是在計算機誕生的時候就同時產生的，隨著信息技術 的發(fā)展，傳統(tǒng)文件系統(tǒng)已經不能滿足人們的需要， 1961年，美國 通用電氣公司成功開發(fā)了世界上第一個數(shù)據庫系統(tǒng) IDS(Integrated Data Store)，奠定了數(shù)據庫的基礎。研究網絡監(jiān)聽系統(tǒng)對于網絡信息監(jiān)管與信息安全有著重要意義。因而它未來的發(fā)展將在局域網中發(fā)揮著舉足輕重的作用，對于維護整個網絡的安全和性能穩(wěn)定有著直接的影響。下面將介紹相應的由硬件實現(xiàn)的 sniffer。不幸的是由于網絡監(jiān)聽能有效的截獲網絡上的數(shù)據，它也成為了黑客使用最多的法。在網絡接口由 IP 層來的帶有 IP 地址的數(shù)據包又增加了一部分以太禎的禎頭的信息。 WinPcap 的原理 winpcap 簡介 WinPcap [2]是由伯克利分組捕獲庫派生而來的分組捕獲庫，它是在 Windows 操作平臺上來實現(xiàn)對底層包的截取過濾。不同版本的 Windows 系統(tǒng) 都有自己的內核模塊和用戶層模塊。 WinPcap 的出現(xiàn)具有一定的必然性。經過 Berkeley Packet Filter 的數(shù)據包被拷貝到 Kernel Buffer 中，它分為兩個 buffer： store buffer 和 hold buffer。但是 Libpcap 并不能夠發(fā)送數(shù)據包或者統(tǒng)計數(shù)據包。 圖 22 Winpcap 結構圖 第一個模塊 NPF(Netgroup Packet Filter)，是一個虛擬設備驅動程序文件。Winpcap 的實質是用了我們后面說的 NDIS，將自己注冊為一個協(xié)議處理驅動來實現(xiàn)網絡數(shù)據包的截獲。而且 WinPcap 還實現(xiàn)了統(tǒng)計模式的工作方式：它不需要把數(shù)據包傳送到應用程序，避免了大量的數(shù)據包拷貝操作。網卡主要的工作是完成對于總線當前狀態(tài)的探測，確定是否進行數(shù)據的傳送，判斷每個物理數(shù)據幀目的地是否為本站地址，如果不匹配，則說明不是發(fā)送到本站的而將它丟棄。如果采用混雜 模式，一個站點的網卡將接受同一網絡內所有站點所發(fā)送的數(shù)據包這樣就可以到達對于網絡信息監(jiān)視捕獲的目的。 (c) 當 Packet filter 監(jiān)聽到有數(shù)據包到達時， NDIS 中間驅動程序首先調用分組驅動程序，該程序將數(shù)據傳遞給每一個參與進程的分組過濾程序。網絡體系結構是從功能 上 來描述計算機網絡結構 。 IP 數(shù)據包是不可靠的，因為 IP 并沒有做任何事情來確認數(shù)據包是按順序發(fā) 送的或者沒有被破壞。 陜西科技大學畢業(yè)設計說明書 12 TCP TCP 是面向連接的通信協(xié)議，通過 三次握手 建立連接，通訊完成時要拆除連接，由于 TCP 是面向連接的所以只能用于點對點的通訊。 面向連接的服務（例如 Tel、 FTP、 rlogin、 X Windows 和 SMTP）需要高度的可靠性，所以它們使用了 TCP。 欺騙 UDP 包比欺騙 TCP 包更容易，因為 UDP 沒有建立初始化連接 (也可以稱為握手 )(因為在兩個系統(tǒng)間沒有虛電路 )，也就是說，與 UDP 相關的服務面臨著更大的危險?？蛻舫绦蛳蚍者M程寫入信息，服務進程讀出信息并發(fā)出響應，客戶程序讀出響應并向用戶報告。服務進程通常使用一個固定的端口，例如， SMTP 使用 2 Xwindows使用 6000。而我們要確認網絡上的每一臺計算機，靠的就是能唯一標識該計算機的網絡地址，這個地址就叫做 IP（ Inter Protocol 的簡寫）地址，即用 Inter 協(xié)議語言表示的地址。 到 是保留地址，用做循環(huán)測試用的。如果你的 IP 地址是自動獲取 IP 地址，而你在網絡上又沒有找到可用的 DHCP 服務器，這時你將會從 到 中臨時獲得一個 IP 地址。在這個范圍內的 IP 地址不能被路由到 Inter骨干網上； Inter 路由器將丟棄該私有地址。 E 類地址保留給將來使用。 (1) 注意事項 內部地址和外部地址在局域網的 IP 地址分配中，并沒有區(qū)別，都可以使用。它表示 IP 地址的代碼序列中不可更加需要改變的部分。 主機編碼（主機號）：經過子網劃分后，子網掩碼序列中 “0”對應的 IP 地址部分。 (c) 輸入 ping ，觀查網卡是否能轉發(fā)數(shù)據，如果出現(xiàn) “Request timed out”，表明配置差錯或網絡有問題。所以 TCP/IP 協(xié)議成為一種聯(lián)合各種硬件和軟件的實用系統(tǒng)。下面是一個普通的過程： 一個專有的網絡開發(fā)出來用于特定目的。許多用戶開始維護使用 IP 替代品的復制品。 ) 運行結果可以查看 C:\ （咨詢中可根據用戶實際操作情況提供） 運行此命令的結果與刪除并重新安裝 TCP/IP 協(xié)議的效果相同。雖然用 動態(tài) IP 及 Nat 地址轉換等技術實現(xiàn)了一些緩沖，但 IPV4 地址枯竭已經成為不爭的事實。IPv6 是 IETF（互聯(lián)網工程任務組， Inter Engineering Task Force）設計的用于替代現(xiàn)行版本 IP 協(xié)議（ IPv4）的下一代 IP 協(xié)議。 (e) IPv6 具有更高的安全性?？偟恼f來，在頂端與底端之間的每一層均能確保數(shù)據以一種可讀、無錯、排序正確的格式被發(fā)送。幀是用來移動數(shù)據的結構包，它不僅包括原始（未加工）數(shù)據，或稱“有效荷載”，還包括發(fā)送方和接收方的網絡地址以及糾錯和控制信息。除此之外，傳輸層按照網絡能處理的最大尺寸將較長的數(shù)據包進行強制分割。 陜西科技大學畢業(yè)設計說明書 24 4 局域網監(jiān)聽系統(tǒng)的設計及實現(xiàn) 局域網監(jiān)聽系統(tǒng)的設計 功能設計 系統(tǒng)的主要功能結構如下圖 41 所示 圖 41 功能結構圖 模塊設計 根據軟件所需要實現(xiàn)的功能，將軟件系統(tǒng)劃分為以下。會話層的功能包括：建立通信鏈接，保持會話過程通信鏈接的暢通，同步兩個節(jié)點之間的對話，決定通信是否被中斷以及通信中斷時決定從何處重新發(fā)送。 (3) 網絡層 即 O S I 模型的第三層，其主要功能是將網絡地址翻譯成對應的物理地址，并決定如何將數(shù)據從發(fā)送方路由到接收方。物理層的協(xié)議產生并檢測電壓以便發(fā)送和接收攜帶數(shù)據的信號。 OSI 模型 在 20 世紀 80 年代早期， ISO 開始致力于制定一套普遍適用的規(guī)范集合，以使得全球范圍的計算機平臺可進行開放式通信。 IPv4 中規(guī)定 IP 地址長度為 32，即有 2^321（符號 ^表示升冪，下同）個地址；而 IPv6 中 IP 地址的長度為 128，即有 2^1281 個地址。 傳統(tǒng)的 TCP/IP 協(xié)議基于電話寬帶以及以太網的電器特性而制定的，其分包原則與檢驗占用了數(shù)據包很大的一部分比例造成了傳輸效率低，現(xiàn)在網絡正向著全 光纖網絡 和超高速以太網方向發(fā)展， TCP/IP 協(xié)議不能滿足其發(fā)展需要。 1981 年 Jon Postel 在 RFC791 中定義了 IP， Ipv4可以運行在各種各樣的底層網絡上，比如端對端的串行數(shù)據鏈路（ PPP 協(xié)議和 SLIP 協(xié)議 ) ，衛(wèi)星鏈路等等。人們開發(fā)了一種 能夠將 IP 帶到專有網絡上的大部分用戶的不昂貴的傳輸媒介。 為了便利提供 IP 服務，經常用于訪問電子郵件或者聊天，通常以某種方式通過專有網絡隧道實現(xiàn)。用戶能夠使用以太網（ Ether）、令牌環(huán)網（ Token Ring Network）、撥號線路（ Dialup line）、 網以及所有的網絡傳輸硬件。 (e) Ping 一個局域網地址，觀查與它的連通性。包括申請到主機地址的部分。它表示 IP 地址的代碼序列中能夠根據需要來改變的部分。 (2) 子網劃分 若公司不上 Inter，那一定不會煩惱 IP 地址的問題，因為可以任意使用所有的 IP地址，不管是 A 類或是 B 類，這個時候不會想到要用子網，但若是上 Inter 那 IP 地陜西科技大學畢業(yè)設計說明書 16 址便彌足珍貴了，目前全球一陣 Inter 熱 ， IP 地址已經愈來愈少了，而所申請的 IP 地址目前也 趨飽和，而且只有經申請的 IP 地址能在 Inter 使用，但對某些公司只能申請到一個 C 類的 IP 地址，但又有多個點需要使用，那這時便需要使用到子網，這就需要考慮子網的劃分，下面簡介子網的原理及如何規(guī)劃。所以，以上 IP 地址的分類只適用于網絡分類。這個轉換過程稱為網絡地址轉換（ Network