【正文】 ls which could analyze, diagnosis and test work performance or security are more and more pressing. Network sniffer has two sides. An attacker can use it to monitor work data, to achieve the purpose for obtaining information illegally, while work managers can use it to capture and analyze the data which transmitted on work. The result of analysis can be used to analyze the work security.This thesis briefly analyzed the technology of work sniffer, and researched the capture mechanism of work data packets such as winpcap and raw socket. This paper first analyzed the theory and the harm of sniffer, introduced several mon sniffers, and then researched the capture technology which used in the intrusion detection system. The thesis uses raw sockets on windows platform to realize one sniffer which can plete unpack and analyze data packet.Key words: work sniffer。因此，對于能夠分析、診斷網(wǎng)絡(luò)，測試網(wǎng)絡(luò)性能與安全性的工具軟件的需求也越來越迫切。 raw sockets目 錄論文總頁數(shù)：25 頁1 引言 ........................................................................1 網(wǎng)絡(luò)安全的現(xiàn)狀 ..........................................................1 計算機網(wǎng)絡(luò)安全的問題 ................................................1 網(wǎng)絡(luò)安全機制及技術(shù)措施 ..............................................1 本課題的研究意義 ........................................................2 本文研究的內(nèi)容 ..........................................................32 網(wǎng)絡(luò)嗅探器的基本原理 ........................................................3 網(wǎng)絡(luò)嗅探器概述 ..........................................................3 嗅探器實現(xiàn)基礎(chǔ) ..........................................................3 常見的 sniffer ..........................................................4 數(shù)據(jù)包捕獲機制的研究 ....................................................4 WinPcap 包捕獲機制 ..................................................5 套接字包捕獲機制 ....................................................6 嗅探器的兩面性 ..........................................................8 sinffer 的危害 ......................................................8 通過網(wǎng)絡(luò)嗅探進行網(wǎng)絡(luò)管理 ............................................93 入侵檢測系統(tǒng)與嗅探器 ........................................................9 入侵檢測概念 ............................................................9 入侵檢測的實現(xiàn)與嗅探器 .................................................10 入侵檢測的實現(xiàn)與嗅探器的關(guān)系 .......................................11 數(shù)據(jù)包嗅探技術(shù)在入侵檢測系統(tǒng)中的應(yīng)用 ...............................114 嗅探器的實現(xiàn)與測試 .........................................................12 利用套接字開發(fā)網(wǎng)絡(luò)嗅探程序的步驟 .......................................12 嗅探器的具體實現(xiàn)原理 ...................................................13 數(shù)據(jù)包捕獲程序設(shè)計 .....................................................15 數(shù)據(jù)包的解析 ...........................................................15 數(shù)據(jù)的顯示 .............................................................19 嗅探器的測試 ...........................................................22結(jié) 論 .....................................................................23參考文獻 .....................................................................23致 謝 .....................................................................24聲 明 .....................................................................251 引言 網(wǎng)絡(luò)安全的現(xiàn)狀 計算機網(wǎng)絡(luò)安全的問題隨著各種新的網(wǎng)絡(luò)技術(shù)的不斷出現(xiàn)、應(yīng)用和發(fā)展，計算機網(wǎng)絡(luò)的應(yīng)用越來越廣泛，其作用也越來越重要。針對以上機制的網(wǎng)絡(luò)安全技術(shù)措施主要有：（1）防火墻技術(shù) 防火墻是指一種將內(nèi)部網(wǎng)和公眾網(wǎng)絡(luò)分開的方法，它實際上是一種隔離技術(shù)，是在兩個網(wǎng)絡(luò)通信是執(zhí)行的一種訪問控制手段，它能允許用戶“同意”的人和數(shù)據(jù)進入網(wǎng)絡(luò)，同時將用戶“不同意”的人和數(shù)據(jù)拒之門外，最大限度地阻止網(wǎng)絡(luò)中的黑客來訪自己的網(wǎng)絡(luò)，防止他們更改、復(fù)制和毀壞自己的重要信息。加密技術(shù)是網(wǎng)絡(luò)信息最基本、最核心的技術(shù)措施。因此，信息安全已越來越受到世界各國的重視。 本文研究的內(nèi)容本文的研究主要圍繞以下幾個方面進行。2 網(wǎng)絡(luò)嗅探器的基本原理 網(wǎng)絡(luò)嗅探器概述網(wǎng)絡(luò)嗅探器又稱為網(wǎng)絡(luò)監(jiān)聽器，簡稱為 Sniffer 子系統(tǒng)，放置于網(wǎng)絡(luò)節(jié)點處，對網(wǎng)絡(luò)中的數(shù)據(jù)幀進行捕獲的一種被動監(jiān)聽手段，是一種常用的收集有用數(shù)據(jù)的方法，這些數(shù)據(jù)可以是用戶的賬號和密碼，可以是一些商用機密數(shù)據(jù)等等。如果將它送到一個普通地址，一般情況下，只有一個站點收到這個幀，但是，以太網(wǎng)是以廣播方式發(fā)送幀的，也即這個幀會傳播到其所在網(wǎng)段內(nèi)的所有站點，只不過該站點不會接收目的地址不為本機地址的幀。Nfswatch(運行在HPUX、 Irix、SunOS)。操作系統(tǒng)提供的捕獲機制主要有四種：BPF(Berkeley packet Filter)，DLPI (Data Link Provider Interface)，NIT(Network Interface Tap), Sock Packet類型套接口。本文將對目前比較流行的WinPcap軟件包提供的捕獲機制進行簡單介紹。進程通信之前，雙方首先必須各自創(chuàng)建一個端點，否則是沒有辦法建立聯(lián)系并相互通信的。創(chuàng)建一個socket實際上是向系統(tǒng)申請一個屬于自己的socket號。這一點可以通過listen()函數(shù)來實現(xiàn)，它的原型如下：int listen(SOCKET s, int backlog)。此分析結(jié)果可供網(wǎng)絡(luò)安全分析之用，也可為黑客所利用為其發(fā)動進一步的攻擊提供有價值的信息。 通過網(wǎng)絡(luò)嗅探進行網(wǎng)絡(luò)管理在合理的網(wǎng)絡(luò)中，網(wǎng)絡(luò)嗅探器的存在對系統(tǒng)管理員是致關(guān)重要的，系統(tǒng)管理員通過 sniffer 可以診斷出大量的不可見模糊問題，這些問題涉及兩臺乃至多臺計算機之間的異常通訊有些甚至牽涉到各種的協(xié)議，借助于 sniffer 系統(tǒng)管理員可以方便的確定出多少的通訊量屬于哪個網(wǎng)絡(luò)協(xié)議、占主要通訊協(xié)議的主機是哪一臺、大多數(shù)通訊目的地是哪臺主機、報文發(fā)送占用多少時間、或者相互主機的報文傳送間隔時間等等，這些信息為管理員判斷網(wǎng)絡(luò)問題、管理網(wǎng)絡(luò)區(qū)域提供了非常寶貴的信息。DARPA 提出的建議是公共入侵檢測框架（CIDF） ，最早由加州大學戴維斯分校安全室主持起草工作。 入侵檢測的實現(xiàn)與嗅探器 入侵檢測的實現(xiàn)由四部分組成：數(shù)據(jù)包嗅探解析部分、數(shù)據(jù)行為檢測部分、算法部分和掃描檢測部分。例如從路由器到某一子網(wǎng)的共享網(wǎng)絡(luò)中安裝一個 hub，在將監(jiān)聽機器和子網(wǎng)交換機用此 hub 連接起來，這樣，就能夠?qū)Υ俗泳W(wǎng)進行監(jiān)聽了，另一種辦法就是在交換機上給監(jiān)聽機器做端口映射，指明讓它接受經(jīng)過交換機的所有數(shù)據(jù)包。但是，通常的套接字程序只能響應(yīng)與自己硬件地址相匹配的或是以廣播形式發(fā)出的數(shù)據(jù)幀，對于其他形式的數(shù)據(jù)幀比如已到達網(wǎng)絡(luò)接口但卻不是發(fā)給此地址的數(shù)據(jù)幀，網(wǎng)絡(luò)接口在驗證投遞地址并非自身地址之后將不引起響應(yīng)，也就是說應(yīng)用程序無法收取到達的數(shù)據(jù)包。由于這些數(shù)據(jù)經(jīng)過了網(wǎng)絡(luò)層和傳輸層的打包，因此需要根據(jù)其附加的幀頭對數(shù)據(jù)包進行分析。 //源端口WORD DestPort。 //16 位緊急數(shù)據(jù)偏移量}。 //3 位標志位 unsigned char ttl。DWORD dwErr 。(FALSE) 。AfxMessageBox( szErr ) 。closesocket( m_s ) 。AfxMessageBox( szErr ) 。sprintf( szErr , Error WSAIoctl = %ld , dwErr ) 。dwBufferInLen, sizeof(dwBufferInLen), amp。 char *pSource , *pDest 。struct ICMPPacketHead *pICMPHead。//關(guān)閉套接字 pDlgm_threadID = 0 。//接收數(shù)據(jù)if( iRet == SOCKET_ERROR ){dwErr = WSAGetLastError() 。 strcpy( szSource , pSource ) 。HdrLen *= 4。 break。 pdata=((BYTE *)pTCPHead)+HdrLen。 pdata=((BYTE *)pUDPHead)+UDP_HEAD_LEN。index = (0,s0)。 嗅探器的測試網(wǎng)絡(luò)嗅探器程序設(shè)計完成后，在 Windows 平臺下進行運行調(diào)試，修改錯誤，使其能完成捕獲數(shù)據(jù)包和分析數(shù)據(jù)包的功能，并將解析結(jié)果在 MFC 界面顯示出來，如圖 47 所示：圖 47 分析結(jié)果在界面中的顯示情況網(wǎng)絡(luò)嗅探器能完成預(yù)期的要求，進行數(shù)據(jù)包截獲、分析，顯示出分析結(jié)果。[3] 張仕斌，譚三，易勇，[M].北京：清華大學出版社，2022。文中除了特別加以標注地方外，不包含他人已經(jīng)發(fā)表或撰寫過的研究成果，也不包含為獲得成都信息工程學院或其他教學機構(gòu)的學位或證書而使用過的材料。特此聲明！ 作者簽名： 年 月 日12Visafree policy brings Chengdu biz, tourism boost. Making national headlines several times, Chengdu