【正文】 ........................ 12 入侵檢測(cè)的 實(shí)現(xiàn) 與嗅探器的關(guān)系 ..................................... 13 數(shù)據(jù)包嗅探技術(shù)在入侵檢測(cè)系統(tǒng)中的應(yīng)用 ............................. 13 4 嗅探器的實(shí)現(xiàn)與測(cè)試 ...................................................... 14 ..................................... 14 嗅探器的具體實(shí)現(xiàn)原理 ................................................. 15 數(shù)據(jù)包捕獲 程序設(shè)計(jì) ................................................... 17 數(shù)據(jù)包 的解析 ......................................................... 17 數(shù)據(jù)的顯示 .......................................................... 21 嗅探器的測(cè)試 ......................................................... 24 結(jié) 論 .................................................................. 24 參考文獻(xiàn) .................................................................. 25 致 謝 .................................................................. 26 聲 明 .................................................................. 27 1 引言 網(wǎng)絡(luò)安全 的現(xiàn)狀 計(jì)算機(jī)網(wǎng)絡(luò)安全 的問題 隨著各種新的網(wǎng)絡(luò)技術(shù)的不斷出現(xiàn)、應(yīng)用和發(fā)展，計(jì)算機(jī)網(wǎng)絡(luò)的應(yīng)用越來越廣泛，其作用也越來越重要。 因此，對(duì)于能夠分析、診斷 網(wǎng)絡(luò)，測(cè)試網(wǎng)絡(luò) 性能 與安全性的工具軟件的需求也越來越迫切 。 關(guān)鍵詞： 網(wǎng)絡(luò)嗅探器；數(shù)據(jù)包捕獲；數(shù)據(jù)包分析；原始 套接字 Design and Realization of Network Sniffer Abstract Along with the development of work technologies and the popularization of work applications, more and more information resources are put on inter. The work security and reliability bee important increasingly. Therefore, the demand of the software tools which could analyze, diagnosis and test work performance or security are more and more pressing. Network sniffer has two sides. An attacker can use it to monitor work data, to achieve the purpose for obtaining information illegally, while work managers can use it to capture and analyze the data which transmitted on work. The result of analysis can be used to analyze the work security. This thesis briefly analyzed the technology of work sniffer, and researched the capture mechanism of work data packets such as winpcap and raw socket. This paper first analyzed the theory and the harm of sniffer, introduced several mon sniffers, and then researched the capture technology which used in the intrusion detection system. The thesis uses raw sockets on windows platform to realize one sniffer which can plete unpack and analyze data packet. Key words: work sniffer。 身份鑒別技術(shù)是讓驗(yàn)證者相信正在與之通 信的另一方就是所聲稱的那個(gè)實(shí)體，其目的是防止偽裝。其優(yōu)點(diǎn)在于實(shí)現(xiàn)相對(duì)簡(jiǎn)單，不需要對(duì)網(wǎng)絡(luò)數(shù)據(jù)所經(jīng)過的網(wǎng)絡(luò)的安全性提出特殊的要求。這些都是保障網(wǎng)絡(luò)安全的重要手段。 本文通過對(duì) 網(wǎng)絡(luò)嗅探器對(duì)網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)包的捕獲與分析 功能的進(jìn)一步了解，做到知己知彼。 。 嗅探器實(shí)現(xiàn)基礎(chǔ) 以太網(wǎng) 數(shù)據(jù) 幀是一組數(shù)字脈沖，它們?cè)趥鬏斀橘|(zhì)上進(jìn)行傳輸，從而實(shí)現(xiàn)信息 的傳遞。 常見的 sniffer sniff網(wǎng)絡(luò)分析儀有專用硬件和軟件的產(chǎn)品，尖端的網(wǎng)絡(luò)分析儀產(chǎn)品可以找出一般網(wǎng)絡(luò)接口檢測(cè)不到的錯(cuò)誤 :中等商業(yè)市場(chǎng)的網(wǎng)絡(luò)分析儀產(chǎn)品往往是帶有特定軟件的便攜計(jì)算機(jī) 。 在這種套接字下 ， 應(yīng)用程序可以讀到網(wǎng)卡傳遞給系統(tǒng)的全部報(bào)文 ， 一般情況下 ， 網(wǎng)卡只將那些目的地址是自身的報(bào)文傳遞給系統(tǒng)內(nèi)核。它只提供了數(shù)量很少并且功能有限的 API 調(diào)用。 如圖 22所示 ： 圖 22 包捕獲驅(qū)動(dòng)在 NDIS中所處位置 套接字包捕獲機(jī)制 上世紀(jì) 80 年代初 ，加利福尼亞大學(xué) Berkeley 分校在 UNIX 操作系統(tǒng)下實(shí)現(xiàn)了 TCP/IP 協(xié)議，它們?yōu)?TCP/IP 網(wǎng)絡(luò)通信開 發(fā)了一個(gè)應(yīng)用程序接口（ API），這個(gè) API 稱為 socket（套接字）接口。服務(wù)器擁有全局公認(rèn)的 socket(在 LINUX中， /etc/services用于存儲(chǔ)全局公認(rèn)的 socket號(hào) )，任何客戶都可以向它發(fā)出連接請(qǐng)求和信息請(qǐng)求。網(wǎng)絡(luò)協(xié)議地址又包括主機(jī)地址和端口號(hào)。 當(dāng)客戶機(jī)和服務(wù)器的連接建立起來后，用函數(shù) send()和 recv()來進(jìn)行數(shù)據(jù)傳輸。入侵者會(huì)利用公開的協(xié)議和工具，收集目標(biāo)網(wǎng)絡(luò)中各個(gè)主機(jī)系統(tǒng)的相關(guān)信息，入侵者會(huì)探測(cè)目標(biāo)網(wǎng)絡(luò)上的各個(gè)主機(jī)，以尋找該系統(tǒng)的安全漏洞及安全弱點(diǎn)。 3 入侵檢測(cè)系統(tǒng)與嗅探器 入侵檢測(cè)概念 建立入侵檢測(cè)系統(tǒng)是網(wǎng)絡(luò)安全的一個(gè)重要工作，通過學(xué)習(xí)，對(duì) 入侵檢測(cè)系統(tǒng)有了一定的了解，下面對(duì)入侵檢測(cè)技術(shù)做一個(gè)總體介紹。 ：通過歷史數(shù)據(jù)定義用戶正常活動(dòng)的模型，當(dāng)檢測(cè)到與所建立的正常模型有差異的行為發(fā)生時(shí)，認(rèn)為可能有入侵行為的發(fā)生。一般來說，以太網(wǎng)被監(jiān)聽的可能性比較高，因?yàn)橐蕴W(wǎng)是一個(gè)廣播型的網(wǎng)絡(luò)，在一個(gè)標(biāo)準(zhǔn)的以太網(wǎng)子網(wǎng)上，多臺(tái)計(jì)算機(jī)通過一條線路互聯(lián)，且任何時(shí)刻，電纜上只有一個(gè)數(shù)據(jù)包存在，為了保證多臺(tái)計(jì)算機(jī)能 共 享 同 一 線 路 ， 以 太 網(wǎng) 使 用 了 CSMA/CD（ Carrier Sense MultipleAccess/Collision Detection)載波偵聽多路訪問 /沖突檢測(cè) ,這樣一來，共享線路上的所有以太網(wǎng)卡及相關(guān)設(shè) 備總是處于對(duì)線路上的信號(hào)進(jìn)行監(jiān)聽的狀態(tài)中 ,這使得每一臺(tái)機(jī)器都能夠探知并接受線路上的數(shù)據(jù)流。最終，所有的數(shù)據(jù)變成可以識(shí)別的文字、符號(hào)出現(xiàn)在機(jī)器的視頻輸出上。至此，實(shí)際就可以開始 對(duì)網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行嗅探了，對(duì)數(shù)據(jù)包的獲取仍象流式套接字或數(shù)據(jù)報(bào)套接字那樣通過recv()函數(shù)來完成。 //16 位長(zhǎng)度 WORD ChkSum。 //6 位標(biāo)志位 WORD WndSize。 // 8 位 服務(wù)類型 unsigned short total_len。 //32 位目的 IP 地址 }IPHEADER； 數(shù)據(jù)包捕獲 程序設(shè)計(jì) 根據(jù)前面的設(shè)計(jì)思路， 本文在 windows 平臺(tái)下實(shí)現(xiàn)了一個(gè)嗅探器程序，開發(fā)工具使用 visual C++。 if( 0 == m_threadID ) { SetDlgItemText(IDC_LOOKUP,停止捕獲 ! )。 m_s = socket( AF_INET , SOCK_RAW , IPPROTO_IP ) 。rcvtimeo , sizeof(rcvtimeo) ) == SOCKET_ERROR)//設(shè)置工作模式 { dwErr = WSAGetLastError() 。 //socket(本機(jī) )地址 if (bind(m_s,(PSOCKADDR)amp。dwBufferLen, sizeof(dwBufferLen), amp。 使用 pHost = gethostbyname(szHostName)獲取本地 IP 地址 把原始套接字 m_s 綁定到本地網(wǎng)卡地址上，具體格式如下： bind(m_s,(PSOCKADDR)amp。 MSG msg 。 int HdrLen, totallen。 pDlgm_threadID = GetCurrentThreadId() 。//接收數(shù)據(jù) ...... 數(shù)據(jù)包 的解析 數(shù)據(jù)包被捕獲后 然后就可以根據(jù)前面對(duì) IP 數(shù)據(jù)段頭、 TCP 數(shù)據(jù)段頭的結(jié)構(gòu)描述而對(duì)捕獲的數(shù)據(jù)包進(jìn)行分析 。 WORD iLen = ntohs(pIpHeadertotal_len) 。 strProto = get_proto_name( pIpHeaderproto )。 strDestPort = 。 (%d,destport)。 destport = ntohs(pUDPHeadDestPort)。 (%d,totallen)。 (index,5,LVIF_TEXT,s5, 0, 0, 0,0)。 通過對(duì)該課題的研究，讓我對(duì)嗅探技術(shù)有了進(jìn)一步的了解，對(duì)其兩面性在網(wǎng)絡(luò)中產(chǎn)生的影響有了更深的認(rèn)識(shí)，為了打破以上局限性，還需要結(jié)合已學(xué)知識(shí)對(duì)網(wǎng)絡(luò)嗅探技術(shù)方面的知識(shí)作進(jìn)一步的學(xué)習(xí)。 [8] 孫晶艷 .面向校園網(wǎng)的網(wǎng) 絡(luò)監(jiān)聽技術(shù)研究 [D].黑龍江：哈爾濱工業(yè)大學(xué) [碩士論文 ]，2021。 （ 4）學(xué)?？稍试S學(xué)位論文被查閱或借閱。t know what that is! The journey of the witches on broomsticks is well enough known that journey is taken on St. John39。 as if a man that negotiates between two pr。 but we have a wild journey, also which is national and modern, and that is the journey to Amack on the night of the New Year. All indifferent poets and poetesses, musicians, newspaper writers, and artistic notabilities, I mean those who are no good, ride in the New Year39。 除非另有科研合同和其他法律文書的制約，本論文的科研成果屬于成都信息工程學(xué)院。在此向他表示我最衷心的感謝！ 在論文完成過程中，本人還得到了張仕斌老師和陳偉同學(xué)的熱心幫助，本人向他們表示深深的謝意！ 最后向在百忙之中評(píng)審本文的各位專家、老師表示衷心的感謝！ 作者簡(jiǎn)介： 姓 名：鄭 莉 性別：女 出生年月： 1985 年 1 月 民族： 漢 Email： 聲 明 本論文的工作是 2021 年 2 月至 2021 年 6 月在成都信息工程學(xué)院 系完成的。 [2] 鄭莉，董淵 .C++語(yǔ)言程序設(shè)計(jì)（第二版） [M].北京：清華大學(xué)出版社， 2021。 } m_ctrList 是與列表控件 關(guān)聯(lián)的一個(gè)變量，列表控件用于顯示對(duì)數(shù)據(jù)包的分析結(jié)果。 ... 數(shù)據(jù)的顯示 在完成了數(shù)據(jù)包的捕獲、分析后，我們使用 AddData 函數(shù)，調(diào)用列表控件變量使分析結(jié)果顯