【正文】 ......................................................................12 第 2 章 捕獲基礎(chǔ)及 LIBPCAP 介紹 ........................................................................................................12 ...................................................................................................................12 致 謝 ..............................................................................................................................................................48 摘 要 隨著計(jì)算機(jī)技術(shù)的發(fā)展，網(wǎng)絡(luò)的應(yīng)用迅速普及，網(wǎng)絡(luò)已日益成為生活中不可或缺 的工具。 西 南 交 通 大 學(xué) 本科畢業(yè)設(shè)計(jì) (論文 ) 網(wǎng)絡(luò)嗅探器開發(fā) 年 級(jí) :2020 級(jí) 學(xué) 號(hào) :20209306 姓 名 :；李飛 專 業(yè) :計(jì)算機(jī) 科學(xué)與技術(shù) 指導(dǎo)老師 :劉捷 2020 年 6 月西南交通大學(xué)本科畢業(yè)設(shè)計(jì) (論文 ) 第 I 頁 院 系 計(jì)算機(jī)與通信工程系 專 業(yè) 計(jì)算機(jī)科學(xué)與技術(shù) 年 級(jí) 2020 姓 名 李飛 題 目 網(wǎng)絡(luò)嗅探器開發(fā) 指導(dǎo)教師 評(píng) 語 指導(dǎo)教師 （簽章） 評(píng) 閱 人 評(píng) 語 評(píng)閱人 （簽章） 成績 答辯委員會(huì)主任 （簽章） 年 月 日 畢業(yè)設(shè)計(jì)（論文）任務(wù)書 班級(jí) 2020 級(jí)計(jì)算機(jī) 網(wǎng)絡(luò)工程 1 班 學(xué)生姓名 李飛 學(xué)號(hào) 20209306 發(fā)題日期： 2020 年 2 月 26 日 完成日期： 2020 年 6 月 8 日 題 目 網(wǎng)絡(luò)嗅探器開發(fā) 本論文的目的、意義 當(dāng)前 嗅探 產(chǎn)業(yè)已成為 IT 產(chǎn)業(yè)的重要領(lǐng)域，作為業(yè)余休閑娛樂的方式之一， 盜號(hào) 受到人們的喜愛，而 嗅探器的開發(fā) 開發(fā)也成為一個(gè)重要的專業(yè)計(jì)算機(jī)領(lǐng)域。同時(shí)，網(wǎng)絡(luò)的安全性與可靠性日益受到人們的重視，安全性指的是網(wǎng)絡(luò)上的信息不被泄露、更改和破壞，可靠性指的是網(wǎng)絡(luò)系統(tǒng)能夠連續(xù)、可靠地運(yùn)行，網(wǎng)絡(luò)服務(wù)不被中斷。最后，具體分析了目的在于網(wǎng)絡(luò)數(shù)據(jù)包捕獲和分析的程序的層次結(jié)構(gòu)，給出了具體的通過調(diào)用 Winpcap 來捕獲和分析數(shù)據(jù)包的程序的設(shè)計(jì)與實(shí)現(xiàn)方法，并通過編程實(shí)現(xiàn)了基于 winpcap 的網(wǎng)絡(luò)數(shù)據(jù)捕獲和分析系統(tǒng)。 So it is significative to research the technology of capturing monitoring and analyzing of work data. This paper is focus on the technology capturing and analyzing of work data。網(wǎng)絡(luò)安全涉及的內(nèi)容既有技術(shù)方面的問題，也有管理方面的問題，兩方面相互補(bǔ)充，缺一不可。 網(wǎng)絡(luò)數(shù)據(jù)安全相關(guān)理論與技術(shù) 網(wǎng)絡(luò)攻擊的 技術(shù)前提 計(jì)算機(jī)網(wǎng)絡(luò)的核心是網(wǎng)絡(luò)協(xié)議，所以研究協(xié)議與網(wǎng)絡(luò)安全的關(guān)系就是至關(guān)重要的。 另外，這些協(xié)議的安全驗(yàn)證方式也是有弱點(diǎn)的，就是很 容易受到 “中間服務(wù)器 ”方式的攻擊。正是這種基于 CSM/CD 的廣播機(jī)制，這就給連接在網(wǎng)絡(luò)上的計(jì)算機(jī)捕獲來自于其他主機(jī)的數(shù)據(jù)帶來了可能，即通過對(duì)網(wǎng)絡(luò)接口的設(shè)置可以使網(wǎng)卡能夠接收到所有經(jīng)過該機(jī)器的數(shù)據(jù)，然后將這些數(shù)據(jù)做相應(yīng)處理并實(shí)時(shí)分析這些數(shù)據(jù)的內(nèi)容，進(jìn)而分析網(wǎng)絡(luò)當(dāng)前狀態(tài)和整體布局。這樣一來，針對(duì)特定操作系統(tǒng)的捕獲機(jī)制對(duì)用戶透明，使用戶程序有比較好的可移植性。方法簡單，但功能有限，只能捕獲較高層的數(shù)據(jù)包。在具體的實(shí)現(xiàn)方式上可分為用戶級(jí)和內(nèi)核級(jí)兩類。 (2)在數(shù)據(jù)包發(fā)往應(yīng)用程序之前，按照自定義的規(guī)則將某些特殊的數(shù)據(jù)包過濾掉 : (3)在網(wǎng)絡(luò)上發(fā)送原始的數(shù)據(jù)包； (4)收集網(wǎng)絡(luò)通信過程中的統(tǒng)計(jì)信息。 大部分情況下，過濾規(guī)則是上面基本規(guī)則的組合。本文要研究的 Libpcap 和 Winpcap 不但能夠捕獲網(wǎng)絡(luò)上的數(shù)據(jù)包，還由于其本身就是基于 BPF 包過濾機(jī)制 的，所以它們同樣具有數(shù)據(jù)包的過濾功能。 國內(nèi)外研究有關(guān)現(xiàn)狀 當(dāng)今網(wǎng)絡(luò)安全的研究 從廣義的網(wǎng)絡(luò)安全角度來講，近來國內(nèi)外的研究主要集中在密碼理論與技術(shù)、安全協(xié)議理論與技術(shù)、安全體系結(jié)構(gòu)理論與技術(shù)等方面。隨著各種有效方法及思想的不斷涌現(xiàn)，這一領(lǐng)域在理論上正在走向成熟。以 Abadi 為代表的美國數(shù)據(jù)設(shè)備公司系統(tǒng)研究中心等等。所以 sniffer 技術(shù)本身就是一把雙刃劍，它們同時(shí)被網(wǎng)絡(luò)管理員和黑客在熟練地使用，既可以作為網(wǎng)絡(luò)故障的診斷工具，也可以作為黑客嗅探和監(jiān)聽的工具。 還有一些比協(xié)議分析儀更高層次的網(wǎng)絡(luò)性能測(cè)試工具，站在應(yīng)用層的角度使用一些基準(zhǔn)流量對(duì)網(wǎng)絡(luò)系統(tǒng)的性能進(jìn)行分析，代表性的軟件是 Ganymede software 公司的 Chariot 軟件。對(duì)于今后網(wǎng)絡(luò)數(shù)據(jù)的監(jiān)測(cè)和分析方案 (比如對(duì)無線網(wǎng)絡(luò)和交換環(huán)境捕獲和分析 )，本文也在最后部分做了相應(yīng)的闡述和預(yù)測(cè)。 (2)多播傳送 (Multi Cast Model)一多播傳送地址作為目的物理地址的幀可以被組內(nèi)的其它主機(jī)同時(shí)接收，而組外主機(jī)卻接收不到。這樣，將一臺(tái)主機(jī)的網(wǎng)卡設(shè)置成混雜模式，它將接受同一網(wǎng)絡(luò)內(nèi)所有主機(jī)所發(fā)送的數(shù)據(jù)包，該主機(jī)就可以捕獲到所有流經(jīng)其網(wǎng)卡的數(shù)據(jù)包和幀，這樣就可以到達(dá)對(duì)于網(wǎng)絡(luò)信息監(jiān)視捕獲的目的。 (2)如果根節(jié)點(diǎn)交換機(jī)沒有這種功能，那么可以在根節(jié)點(diǎn)上方添加一臺(tái)集線器，集線器一個(gè)端口連接交換機(jī)，另外一個(gè)端口就可以連接運(yùn)行 Sniffer 的主機(jī) 。這就使網(wǎng)絡(luò)開發(fā)人員能夠忽略網(wǎng)絡(luò)底層細(xì)節(jié)的實(shí)現(xiàn)，從而專注于程序本身具體功能的設(shè)計(jì)與開發(fā)。 (4)網(wǎng)絡(luò)入侵檢測(cè)函數(shù)庫 Libnids。包過濾機(jī)制是對(duì)所捕獲到的數(shù)據(jù)包根據(jù)用戶的要求進(jìn)行篩選，最終只把滿足過濾 條件的數(shù)據(jù)包傳遞給用戶程序。 的功能 簡單地說， Libpcap 的最主要功能就是捕捉為了數(shù)據(jù)網(wǎng)絡(luò)包。 Libpcap 使用了 BPF(BerkeleypaeketFilter)捕獲機(jī)制，可以對(duì)數(shù)據(jù)包進(jìn)行定制的過濾，由于它工作在操作系統(tǒng)的內(nèi)核層面并且在內(nèi)核中使用了緩存機(jī)制，所以效率非常高。 圖 Libpcap 原理圖 principle of Libpcap 對(duì)開放源代碼的 Libpcap 程序進(jìn)行分析，可以得到它的功能執(zhí)行過程及相關(guān)的分類結(jié)構(gòu)如下 : (l)初始化 :這部分的功能包括打開設(shè)備、讀取設(shè)備，設(shè)置過濾器部分。另外，Libpcap 還 支 持 脫 機(jī) 方 式 監(jiān) 聽 ， 在 ，有兩個(gè)函數(shù) :pcap_open_offiine()和 pcap_offiine_read()。 用于將過濾規(guī)則字符串編譯成一個(gè) BPF 內(nèi)核過濾程序。這個(gè)數(shù)據(jù)包捕獲架構(gòu)是由加州大學(xué)和 Lawrence Berkeley 實(shí)驗(yàn)室及其投稿者聯(lián)合開發(fā)的。 winpcap 的官方主頁是 ，可以在其主頁上下載這個(gè)軟 第 19 頁 共 27 頁 件及其源代碼，更重要的是，網(wǎng)站上還有很多開發(fā)文檔，對(duì)于利用 Winpcap作為工具開發(fā)網(wǎng)絡(luò)安全軟件的編程人員有很大幫助。 2)網(wǎng)絡(luò)監(jiān)控 。 Sniffit 一 windows 平臺(tái)下的嗅探器?？梢酝ㄟ^圖形界面瀏覽這些數(shù)據(jù)，可以查看網(wǎng)絡(luò)通訊數(shù)據(jù)包中每一層的詳細(xì)內(nèi)容 。 這都?xì)w功于 Ethereal 良好的設(shè)計(jì)結(jié)構(gòu)。 NDIS 還支持多種工作模式，支持多處理器，提供一個(gè)完備的 NDIS 庫 (Library)。 NDIS 支持三種類型的網(wǎng)絡(luò)驅(qū)動(dòng)類型 : (l)網(wǎng)絡(luò)接口卡或 NIC 驅(qū)動(dòng)困 (Network interface card or NIC drivers)。例如，中間層驅(qū)動(dòng)可以將LAN 協(xié)議轉(zhuǎn)換成 ATM 協(xié)議。 圖 NDIS 驅(qū)動(dòng)程序結(jié)構(gòu) construction of NDIS diver program BPF 研究 Winpcap是 BPF模型和 Libpcap函數(shù)庫在 windows平臺(tái)下網(wǎng)絡(luò)數(shù)據(jù)包捕 獲和網(wǎng)絡(luò)狀態(tài)分析的一種體系結(jié)構(gòu)，這個(gè)體系結(jié)構(gòu)是由一個(gè)核心的包過濾驅(qū)動(dòng)程序 NPF，一個(gè)底層的動(dòng)態(tài)連接庫和一個(gè)高層的獨(dú)立于系統(tǒng)的動(dòng)態(tài)連接庫組成。如果有進(jìn)程用 BPF 進(jìn)行網(wǎng)絡(luò)端口監(jiān)聽，網(wǎng)卡驅(qū)動(dòng)程序會(huì)先調(diào)用 BPF，復(fù)制一份數(shù)據(jù) 給 BPF 過濾器相關(guān)的緩沖區(qū)中，過濾器則根據(jù)用戶定義的過應(yīng)用層 協(xié)議驅(qū)動(dòng)程序 中間驅(qū)動(dòng)程序 網(wǎng)卡驅(qū)動(dòng) 網(wǎng)卡 NDIS 第 23 頁 共 27 頁 濾規(guī)則決定是否接收此數(shù)據(jù)包。如果這個(gè)數(shù)據(jù)包是發(fā)給本機(jī)的，驅(qū)動(dòng)程序會(huì)再把它提交給系統(tǒng)的協(xié)議棧，然后返回。所以，對(duì) Winpcap 的研究就要從過濾引擎 NPF 開始，而 NPF 是在 BPF 的基礎(chǔ)上開發(fā)出來的， NPF中保留了 BPF核心 BSD的最重要的模塊，所以，有必要