【正文】 層： 在 TCP/IP 參考模型中，應(yīng)用層是參考模型的最高層。傳輸層的主要目的是在互聯(lián)網(wǎng)中源主機(jī)與目的主機(jī)的對(duì)等實(shí)體間建立用于會(huì)話(huà)的端到端連接。 ①處理來(lái)自傳輸層的分組發(fā)送請(qǐng)求。 TCP/IP 各層協(xié)議關(guān)系圖 如圖 3所示： 圖 3TCP/IP 參考模型各層協(xié)議關(guān)系 示范圖 TCP/IP 四層模型的四個(gè)協(xié)議層分別完成以下的功能： （ 1） 網(wǎng)絡(luò)接口層： 在 TCP/IP 參考模型中， 網(wǎng)絡(luò)接口層 是參考模型的最 底 層 ,它負(fù)責(zé)通過(guò)網(wǎng)絡(luò)發(fā)送和接收 IP 數(shù)據(jù)報(bào)。雖然這些監(jiān)聽(tīng)（嗅探）軟件可能被黑客利用，但是我們不能因?yàn)檫@個(gè)原因就不去研究網(wǎng)絡(luò)監(jiān)測(cè)和分析技術(shù)，我們可以利用這些技術(shù)對(duì)黑客入侵活動(dòng)及其它網(wǎng)絡(luò)犯罪行為進(jìn)行調(diào)查取證。而現(xiàn)在有了 WinPcap 驅(qū)動(dòng)開(kāi)發(fā)工具包的支持，使在 Windows 下開(kāi)發(fā)網(wǎng)絡(luò)監(jiān)測(cè)程序方便了很多，并且網(wǎng)絡(luò)監(jiān)聽(tīng)分析工具對(duì)于網(wǎng)絡(luò)安全也起到越來(lái)越大的作用，所以開(kāi)發(fā) Windows 下適用于普通用戶(hù) 及企業(yè)用戶(hù) 的基于圖形用戶(hù)界面的網(wǎng)絡(luò)監(jiān)測(cè)工具是很有現(xiàn)實(shí)意義的，基于以上原因提出了選擇了本課題。 由 操 作 系 統(tǒng) 內(nèi)核 提 供 的捕 獲 機(jī) 制主 要 有 以下 四 種 ： BPF(Berkeley Packet Filter),DLPI(Data Link Provider Interface),NIT(Network Interface XXXX 大學(xué) 2021 屆畢業(yè)論文（設(shè)計(jì)） 7 Tap),SOCK_PACKET 套接口。 研究 背景 隨著 計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的快速發(fā)展 ， 網(wǎng)絡(luò)己成為人們生活中的必備工具 ， 計(jì)算機(jī)網(wǎng)絡(luò)在政治、經(jīng)濟(jì)、軍事、社會(huì)生活等各個(gè)領(lǐng)域正發(fā)揮著日益重要的作用 ， 人們對(duì)計(jì)算機(jī)網(wǎng) 絡(luò)的依賴(lài)也大增強(qiáng)，一些網(wǎng)絡(luò)新業(yè)務(wù)如電子商務(wù)、移動(dòng)支付等，這些都對(duì)網(wǎng)絡(luò)安全提出 了較高的 要求。（ 2）實(shí)現(xiàn)了自定義包過(guò)濾規(guī)則，可以同時(shí)綁定主機(jī)、協(xié)議和端口，能有針對(duì)性地監(jiān)聽(tīng)某些類(lèi)型的數(shù)據(jù)包，并且能以協(xié)議樹(shù)的形式顯示協(xié)議的層次。 論文作者： XXX （簽字） 時(shí)間： 2021 年 06 月 05 日 畢業(yè)論文版權(quán)使用授權(quán)書(shū) 本畢業(yè)論文 《 基于協(xié)議分析的網(wǎng)絡(luò)監(jiān)測(cè)系統(tǒng)研究與實(shí)現(xiàn) 》 是本人 在校期間所完成學(xué)業(yè)的組成部分，是在指導(dǎo)教師 的指導(dǎo)下 獨(dú)立 完成的，因此，本人特授權(quán) 山東中醫(yī)藥大學(xué) 將本畢業(yè)論文的全部或部分內(nèi)容編入 《山東中醫(yī)藥大學(xué)本科生優(yōu)秀畢業(yè)論文集》（非正式出版） 。 關(guān)鍵詞： 數(shù)據(jù)包捕獲； WinPcap；協(xié)議分析； TCP/IP 協(xié)議； VC++ ABSTRACT The technology of work Sniffer and Analysis is the base of many work safety softwares, and it is also the base of work Analysis. Some of the existing technologies such as firewall, protocol analysis software packet sniffer to capture the premise, so relevant to the study packet capture and analysis techniques to ensure the safe operation of the work is of great significance. On Windows, the WinPcapbased work monitor and protocol analyzer technology indepth study, a detailed study of the WinPcap framework, e to a general process of development based on the WinPcap driver, and finally to achieve a packet capture parser CapturePacket. Program work listener39。所以當(dāng)我們?cè)谙硎芫W(wǎng)絡(luò)所帶來(lái)的方便和快捷的同時(shí)，也要認(rèn)識(shí)到網(wǎng)絡(luò)安 全所面臨的嚴(yán)峻考驗(yàn)。 WinPcap 是一個(gè)基于 Win32 的開(kāi)源的包捕獲驅(qū)動(dòng)架構(gòu)，它彌補(bǔ)了 Windows 系統(tǒng)內(nèi)核提供很少包捕獲接口的劣勢(shì)，可以直接捕獲到 鏈路層的數(shù)據(jù)幀。 網(wǎng)絡(luò)監(jiān)聽(tīng)和 分析技術(shù)是很多網(wǎng)絡(luò)安全技術(shù)實(shí)現(xiàn)的基礎(chǔ)，也是實(shí)現(xiàn)網(wǎng)絡(luò)入侵的核心手段，同時(shí)是設(shè)計(jì)網(wǎng)絡(luò)分析軟件的基礎(chǔ)，現(xiàn)有的一些技術(shù)如防火墻、入侵監(jiān)測(cè)、安全掃描、協(xié)議分析等的實(shí)現(xiàn)都是以數(shù)據(jù)包的嗅探捕獲為前提的，通過(guò)深入的分析捕獲的數(shù)據(jù)包，可以得到網(wǎng)絡(luò)中的數(shù)據(jù)流量，觀察網(wǎng)絡(luò)的狀態(tài)及網(wǎng)絡(luò)上傳輸?shù)男畔⒌?，這樣就可以分析網(wǎng)絡(luò)的性能及排除網(wǎng)絡(luò)故障。在本論文的程序開(kāi)發(fā)過(guò)程中涉及到較多方面，如協(xié)議分析， MFC 編程，對(duì) WinPcap 驅(qū)動(dòng)框架的理解，這些工作在很大程序上加深了自己對(duì)網(wǎng)絡(luò)安全的理解。當(dāng)這種物理網(wǎng)被用作傳送 IP 數(shù)據(jù)包的通道時(shí)，我們就可以認(rèn)為是這一層的內(nèi)容。在接收到其他主機(jī)發(fā)送的數(shù)據(jù)報(bào)之后，檢查目的地址，如需要轉(zhuǎn)發(fā)，則選擇發(fā)送路徑，轉(zhuǎn)發(fā)出去；如目的地址為本結(jié)點(diǎn) IP 地址，則除去抱頭，將分組交送傳輸層處理。 ①傳輸控制協(xié)議（ transmission control protocol,TCP） TCP 協(xié)議是一種可靠的面向連接的協(xié)議，它允許將一臺(tái)主機(jī)的字節(jié)流 (byte stream)無(wú)差錯(cuò)的傳送到目的主機(jī)。 ②文件傳送協(xié)議 (file transfer protocol,FTP)。 網(wǎng)絡(luò)監(jiān)聽(tīng)技術(shù)本來(lái)是提供給網(wǎng)絡(luò)安全管理人員進(jìn)行管理的工具，可以用來(lái)監(jiān)視網(wǎng)絡(luò)的狀態(tài)、數(shù)據(jù)流動(dòng)情況以及網(wǎng)絡(luò)上傳輸?shù)男畔⒌?。在幀頭中有兩個(gè)域，分別為只有網(wǎng)絡(luò)接口才能識(shí)別的源主機(jī)和目的主機(jī)的物理地址，這是一個(gè)與 IP 地址相對(duì)應(yīng)的 48位的地址。另外，現(xiàn)在網(wǎng)絡(luò)中使用的大部分協(xié)議都是很早設(shè)計(jì)的，許多協(xié)議的實(shí)現(xiàn)都是基于一種非常友好的、通信的雙方充分信任的基礎(chǔ)之上，許多信息以明文發(fā)送。正是這種基于 CSMA/CD 的廣播機(jī)制，這就給連接在網(wǎng)絡(luò)上的計(jì)算機(jī)捕獲來(lái)自于其他主機(jī)的數(shù)據(jù)帶來(lái)了可能，即通過(guò)對(duì)網(wǎng)絡(luò)接口的設(shè)置可以 使網(wǎng)卡能夠接收到所有經(jīng)過(guò)該機(jī)器的數(shù)據(jù)，然后將這些數(shù)據(jù)做相應(yīng)處理并實(shí)時(shí)分析這些數(shù)據(jù)的內(nèi)容，進(jìn)而分析網(wǎng)絡(luò)當(dāng)前狀態(tài)和整體布局。 XXXX 大學(xué) 2021 屆畢業(yè)論文（設(shè)計(jì)） 16 網(wǎng)絡(luò)數(shù)據(jù)捕獲程序結(jié)構(gòu) 圖 6 數(shù)據(jù)包捕獲程序 示范圖 其中 NDIS 是 Network Driver Interface Specification，即 網(wǎng)絡(luò)驅(qū)動(dòng)接口規(guī)范 。當(dāng)用戶(hù)發(fā)送一個(gè)數(shù)據(jù)包時(shí)，這些數(shù)據(jù)包就會(huì)發(fā)送到LAN 上所有可用的機(jī)器，網(wǎng)卡主要的工作是完成對(duì)于總線當(dāng) 前狀態(tài)的探測(cè)，確定是否進(jìn)行數(shù)據(jù)的傳送，判斷每個(gè)物理數(shù)據(jù)幀目的地是否為本機(jī)地址，如果不匹配，則說(shuō)明不是發(fā)送到本機(jī)的包而將它丟棄。 協(xié)議 的數(shù)據(jù) 段格式 捕獲后的數(shù)據(jù)幀經(jīng)過(guò)解析才能得到想要的信息，如作為網(wǎng)絡(luò)監(jiān)聽(tīng)所需要的數(shù)據(jù)幀的源地址，目的地址，協(xié)議類(lèi)型等信息。 總的來(lái)說(shuō) ,WinPcap提供了以下 4個(gè)功能 :1 捕獲原始數(shù)據(jù)包 ,無(wú)論它是發(fā)往某臺(tái)機(jī)器的 ,還是在其他設(shè)備 (共享媒介 )上進(jìn)行交換的 。如果是 false,數(shù)據(jù)包將被丟棄 .NPF 數(shù)據(jù)包過(guò)濾器更復(fù)雜一些 ,因?yàn)樗粌H決定數(shù)據(jù)包是否應(yīng)該被保存 ,而且還決定要保存的字節(jié)數(shù) .被 NPF 驅(qū)動(dòng)采用的過(guò)濾系統(tǒng)來(lái)源于 BSD Packet Filter(BPF),一個(gè)虛擬處理器可以執(zhí)行偽匯編寫(xiě)的用戶(hù)級(jí)過(guò)濾程序 . 應(yīng)用程序采用用戶(hù)自定義的過(guò)濾器并使用 將它們編譯進(jìn) BPF 程序 .然后 ,應(yīng)用程序使用 BIOCSETF IOCTL 寫(xiě)入核心態(tài)的過(guò)濾器 .這樣 ,對(duì)于每一個(gè)到來(lái)的數(shù)據(jù)包該程序都將被執(zhí)行 ,而滿(mǎn)足條件的數(shù)據(jù)包將被接收 .與傳統(tǒng)解決方案不同 ,NPF 不解釋 (interpret)過(guò)濾器 ,而是執(zhí)行 (execute)它 .由于性能的原因 ,在使用過(guò)濾器前 ,NPF提供一個(gè) JIT編譯器將它轉(zhuǎn)化成本地的 80x86 函數(shù) .當(dāng)一個(gè)數(shù)據(jù)包被捕獲 ,NPF 調(diào)用這個(gè) 本地函數(shù)而不是調(diào)用過(guò)濾器解釋器 ,這使得處理過(guò)程相當(dāng)快 . 2)循環(huán)緩沖區(qū) (Buffer).NPF 的循環(huán)緩沖區(qū)用來(lái)保存數(shù)據(jù)包以免丟失 (如果一個(gè)包符合過(guò)濾器的要求 ,就被復(fù)制到循環(huán)緩沖區(qū) ).一個(gè)保存在緩沖區(qū)中的數(shù)據(jù)包有一個(gè)頭 ,它包含了一些主要的信息 ,例如時(shí)間戳和數(shù)據(jù)包的大小 ,注意 :它不是協(xié)議頭 .另外 ,循環(huán)緩沖區(qū)以隊(duì)列插入的方式來(lái)保存數(shù)據(jù)包 ,提高數(shù)據(jù)的存儲(chǔ)效率 .程序員可以以組的方式將數(shù)據(jù)包從NPF 緩沖和貝到應(yīng)用程序 ,這樣就提高了性能 ,因?yàn)樗档土俗x的次數(shù) .如果一個(gè)數(shù)據(jù)包到來(lái)的時(shí)候緩沖區(qū)已經(jīng)滿(mǎn)了 ,那么該數(shù)據(jù)包將被丟棄 ,這時(shí)就發(fā)生了丟包現(xiàn)象 . 3)Network Tap 是一個(gè)用于探聽(tīng)網(wǎng)絡(luò)中所有數(shù)據(jù)流的函數(shù) . 4)數(shù)據(jù)統(tǒng)計(jì) 為了提高數(shù)據(jù)處理的速度 ,WinPcap 將統(tǒng)計(jì)和監(jiān)聽(tīng)功能移到內(nèi)核中 ,這樣避免了將任何數(shù)據(jù)都傳遞給用戶(hù) .WinPcap通過(guò)使用從 NPF中得到的過(guò)濾器來(lái)執(zhí)行一個(gè)內(nèi)核級(jí)的可編統(tǒng)計(jì)模塊 ,這使其變成一個(gè)強(qiáng)大的分級(jí)引擎 ,而不只是個(gè)簡(jiǎn)單的包過(guò)濾器 .應(yīng)用程序可以構(gòu)造這個(gè)模塊來(lái)監(jiān)聽(tīng)網(wǎng)絡(luò)活動(dòng)的任意方面 (例如 :網(wǎng)絡(luò)負(fù)荷 /兩臺(tái)主機(jī)間的流量 /每秒 web 請(qǐng)求的次數(shù)等 ),并在預(yù)定的時(shí)間間隔內(nèi)接收內(nèi)核傳來(lái)的數(shù)據(jù) . 統(tǒng)計(jì)模式避免了負(fù)值數(shù)據(jù)包 并且執(zhí)行 0copy 機(jī)制 (當(dāng)包仍存放在 NIC(網(wǎng)絡(luò)接口卡 )驅(qū)動(dòng)的內(nèi)在中時(shí)開(kāi)始進(jìn)行統(tǒng)計(jì) ,隨后丟棄這個(gè)包 ).而且 ,環(huán)境轉(zhuǎn)換的次數(shù)可以保持最低 ,這是因?yàn)榻Y(jié)果通過(guò)一次系統(tǒng)調(diào)用就可以返回給用戶(hù) .它不需要緩沖區(qū) (內(nèi)核或用戶(hù) ),因此當(dāng)監(jiān)聽(tīng)開(kāi)始時(shí)不用為它分配內(nèi)存 .可見(jiàn) ,統(tǒng)計(jì)模式是一種很有效的網(wǎng)絡(luò)監(jiān)聽(tīng)方式 ,在高速網(wǎng)絡(luò)中利用 lipcap 來(lái)工作也沒(méi)任何問(wèn)題 . WinPcap 為程序員提供了一套系統(tǒng)調(diào)用和高層函數(shù)來(lái)進(jìn)行網(wǎng)絡(luò)監(jiān)聽(tīng) ,這使得已經(jīng)知道libcap API 的程序員能很容易使用 . XXXX 大學(xué) 2021 屆畢業(yè)論文（設(shè)計(jì)） 24 5)構(gòu)造數(shù)據(jù)包 BPF 和 NPF 都提供了構(gòu)造包的函 數(shù) ,使用戶(hù)可以將原始數(shù)據(jù)包發(fā)送到網(wǎng)絡(luò)中 ,然而 ,Unix程序員一般不用 libpcap 提供的這些函數(shù) ,因?yàn)樵?Unix 平臺(tái)上 ,應(yīng)用程序可以使用原始套接字來(lái)發(fā)送偽造的數(shù)據(jù)包 .在 Windows 環(huán)境下 ,只有 Windows2021 提供了原始套接字 ,而且非常有限 .因此在 Windows環(huán)境下 ,WinPcap就成為首選的構(gòu)造數(shù)據(jù)包的函數(shù)庫(kù) ,它提供了一套標(biāo)準(zhǔn)穩(wěn)定的函數(shù) .另外 ,NPF 增加了一些新的函數(shù) ,這些函數(shù)可以使數(shù)據(jù)包通過(guò)一次用戶(hù)和內(nèi)核模式之間的轉(zhuǎn)換就發(fā)送幾次 .數(shù)據(jù)復(fù)制到內(nèi)核中 ,然后通過(guò)調(diào)用一次 NDIS 將包發(fā)送到網(wǎng)絡(luò)中 . 盡管 WinPcap 提供了一套新的函數(shù)來(lái)開(kāi)發(fā)這些特性 ,但它沒(méi)有提供那些強(qiáng)大的創(chuàng)建數(shù)據(jù)包的抽象函數(shù) ,這需要通過(guò)其它現(xiàn)有的工具來(lái)實(shí)現(xiàn) .程序員可以利用著名的 Lib Packet Assembly Library 的 Windows 版本實(shí)現(xiàn) ,這個(gè)函數(shù)庫(kù)增加了數(shù)據(jù)包結(jié)構(gòu)層并在WinPcap 上構(gòu)造數(shù)據(jù)包 . 系統(tǒng)開(kāi)發(fā)環(huán)境 本系統(tǒng)開(kāi)發(fā)和運(yùn)行環(huán)境為 Windows XP 操作系統(tǒng) ，開(kāi)發(fā)過(guò)程中使用的工具是 Visual C++,驅(qū)動(dòng)和驅(qū)動(dòng)開(kāi)發(fā)包為最新版 WinPcap_4_1_2,WinPcap 驅(qū)動(dòng)在 VC++ 環(huán)境中的設(shè)置 方法如下： 1. 到 下載安裝包 和 Developer39。 其中數(shù)據(jù)包列表顯示捕獲到的數(shù)據(jù)包的基本信息，包括編號(hào)、時(shí)間戳、源網(wǎng)卡地址、目的網(wǎng)卡地址、長(zhǎng)度、協(xié)議、 源端口、源 IP 地址、目的地址、目的地址等；協(xié)議樹(shù)顯示的是協(xié)議樹(shù)視圖，展示了捕獲數(shù)據(jù)包協(xié)議解析后的結(jié)構(gòu)；數(shù)據(jù)包內(nèi)容顯示模塊顯示數(shù)據(jù)包的 16 進(jìn)制表示及數(shù)據(jù)的 ASCII 編碼表示。 if(pcap_findalldevs(amp。 (strText,hSubItem)。 } if(m_pDevaddresses != NULL amp。 m_pDevaddressesmask!=NULL) { iptos(((struct sockaddr_in *)m_pDevaddressesmask),temp)。 (strText,hSubItem)。 return。 int pcap_pile(pcap_t* p,//表示已經(jīng)建立的捕獲會(huì)話(huà)句柄 XXXX 大學(xué) 2021 屆畢業(yè)論文（設(shè)計(jì)） 31 struct bpf_program * fp,//存放編譯以后的 NPF 過(guò)濾規(guī)則 char * str,//規(guī)則表達(dá)式格式的過(guò)濾規(guī)則 int optimize， //制定優(yōu)化選項(xiàng) bpf_u_int32 mask//網(wǎng)絡(luò)掩碼 ) pcap_setfilter()把編譯好的過(guò)濾規(guī)則與 NPF 核心驅(qū)動(dòng)進(jìn)行綁定，使捕獲和內(nèi)核驅(qū)動(dòng)相并聯(lián)。 該系統(tǒng) 的過(guò)濾模塊可以同時(shí)對(duì)站、協(xié)議和服務(wù)端口進(jìn)行設(shè)置過(guò)濾，如： Src host and udp and port 8000。另外還有一些特殊的原主關(guān)鍵字，如 gateway、 broadcast、 less 等和數(shù)學(xué)表達(dá)式，我們可能通過(guò) and、 or 和 not連接原語(yǔ)來(lái)組建更復(fù)雜的過(guò)濾