【正文】 Address Translation， NAT），通常使用路由器來執(zhí)行NAT 轉(zhuǎn)換。每個(gè) B 類地址可連接 65534(2^162，因?yàn)橹鳈C(jī)號的各位不能同時(shí)為 0， 1）臺主機(jī)， Inter 有 16383(2^141）個(gè) B 類地址（因?yàn)?B 類網(wǎng)絡(luò)地址 是不指派的，而可以指派的最小地址為 [COME06]）。 一個(gè) A 類 IP 地址 由 1 字節(jié) （每個(gè)字節(jié)是 8 位）的網(wǎng)絡(luò)地址和 3 個(gè)字節(jié)主機(jī)地址組成，網(wǎng)絡(luò)地址的最高位必須是 “0”，即第一段數(shù)字范圍為 1～ 127。 地址分類 IP 地址 [5]可確認(rèn)網(wǎng)絡(luò)中的任何一個(gè)網(wǎng)絡(luò)和計(jì)算機(jī)，而要識別其它網(wǎng)絡(luò)或其中的計(jì)算機(jī)，則是根據(jù)這些 IP 地址的分類來確定的。 IP 地址 在 Inter 上連接的所有計(jì)算機(jī)，從大型機(jī)到微型計(jì)算機(jī)都是以獨(dú)立的身份出現(xiàn)，我們稱它為主機(jī)。 兩個(gè)系統(tǒng)間的多重 Tel 連接是如何相互確認(rèn)并協(xié)調(diào)一致呢？ TCP 或 UDP 連接唯一地使用每個(gè)信息中的如下四項(xiàng)進(jìn)行確認(rèn)： (a) 源 IP 地址 發(fā)送包的 IP 地址。它主要是用來提供有關(guān)通向目的地址的路徑信息。 UDP UDP 是面 向無連接的通訊協(xié)議， UDP 數(shù)據(jù)包括目的端口號和源端口號信息，由于通訊不需要連接，所以可以實(shí)現(xiàn)廣播發(fā)送。 TCP 還采用一種稱為 “滑動窗口 ”的方式進(jìn)行流量控制，所謂窗口實(shí)際表示接收能力，用以限制發(fā)送方的發(fā)送速度。 高層的 TCP 和 UDP 服務(wù)在接收數(shù)據(jù)包時(shí)，通常假設(shè)包中的源地址是有效的。 網(wǎng)絡(luò)體系結(jié)構(gòu) :是指用分層 研究方法 定義的網(wǎng)絡(luò)各層的功能 ， 各層協(xié)議和接口的集合 。 (e) 通過分組過濾器后，將數(shù)據(jù)未過濾掉的數(shù)據(jù)包提交給核心緩沖區(qū)。它為上層的 協(xié)議 驅(qū)動提供服務(wù)，屏蔽了下層各種網(wǎng)卡的差別。 網(wǎng)卡具有如下的幾種工作模式： (a) 廣播模式（ Broad Cast Model） :它的物理地址（ MAC）地址是 0Xffffff 的幀為廣播幀，工作在廣播模式的網(wǎng)卡接收廣播幀。統(tǒng)計(jì)模式是一種非常高效的、用來監(jiān)測網(wǎng)絡(luò)的方法，即使在高速的局域網(wǎng)等有大量數(shù)據(jù)包流動的網(wǎng)絡(luò)環(huán)境中，它依然可工作得很好 。 ，包括對于 NPF 內(nèi)核層次上的過濾器支持。 第二個(gè)模塊 為 win32 平臺提供了一個(gè)公共的接口。但是， WinPcap 與 BSD 捕獲數(shù)據(jù)包有一些本質(zhì)的區(qū)別 ：filtering 過程開始于用戶層定義的一個(gè) Filter，例如 port=21， WinPcap 把它編譯成一個(gè)偽指令，偽指令被傳到核心層，核心層通過一個(gè)虛擬機(jī)開始抓取所有的數(shù)據(jù)包，并通過偽指令來判斷是否保留數(shù)據(jù)包。二者之間擁有 swap 特性：由于 store buffer 比 hold buffer 更易被填滿，所以當(dāng) store buffer 已滿，而 hold buffer 為空的時(shí)候， store buffer 變成 hold buffer，而之前的 hold buffer變成 store buffer。例如： IP Filter Driver只運(yùn)行在 Windows2000 下，且僅支持 IP 協(xié)議。調(diào)用 的程序可以運(yùn)行在不同版本的 Windows 平臺上，而無需重新編譯。 WinPcap 是 BPF 模型和 Libpcap 函數(shù)庫在 Windows 平臺下網(wǎng)絡(luò)數(shù)據(jù)包捕獲和網(wǎng)絡(luò)狀態(tài)分析的一種體系結(jié)構(gòu)，這個(gè)體系結(jié)構(gòu)是由一個(gè)核心的包過濾驅(qū)動程序，一個(gè)底層的動態(tài)連接庫 和一個(gè)高層的獨(dú)立于系統(tǒng)的函數(shù)庫 Libpcap 組成。對于作為網(wǎng)關(guān)的主機(jī)，由于它連接了多個(gè)網(wǎng)絡(luò)，它也就同時(shí)具備有很多個(gè) IP 地址，在每個(gè)網(wǎng)絡(luò)中它都有一個(gè)。網(wǎng)絡(luò)監(jiān)聽不僅在共享式局域網(wǎng)中實(shí)現(xiàn)，而 且還可以在交換式局域網(wǎng)中實(shí)現(xiàn)。目前的網(wǎng)絡(luò)分析儀的技術(shù)已經(jīng)非常的成熟，產(chǎn)品也非常的多樣。伴隨著網(wǎng)絡(luò)的出現(xiàn)，對網(wǎng)絡(luò)數(shù)據(jù)截取的工 具，像 sniffer 也就隨之而產(chǎn)生了。在這種情況下，計(jì)算機(jī)網(wǎng)絡(luò)的設(shè)計(jì)，維護(hù)的難度日益增加，因此人們迫切需要能夠分析，診斷與測試網(wǎng)絡(luò)功能的工具軟件。 如今，數(shù)據(jù)庫系統(tǒng)在企業(yè)管理等領(lǐng)域已經(jīng)具有非常廣泛的應(yīng)用，如、賬號管理、訪問控制、安全審計(jì)、防病毒、評估加固等多個(gè)方面，常見的安全產(chǎn)品如 UTM、 入侵檢測 、漏洞掃描等產(chǎn)品為保障 數(shù)據(jù)庫系統(tǒng)的正常運(yùn)行起到了重要作用。貝爾發(fā)明有線電話以后，這些使用了幾千年的原始竊 聽器，才漸漸退隱出了間諜舞臺。目前，很多黑客也利用網(wǎng)絡(luò)監(jiān)聽來獲取一些明文傳送的信息，達(dá)到竊取信息的目的。伴隨著網(wǎng)絡(luò)的發(fā)展，也產(chǎn)生了各種各樣的問題，其中安全問題尤為突出。 27 系統(tǒng)程序運(yùn)行 13 IP 地址 4 網(wǎng)絡(luò)監(jiān)聽的原理 3 2 網(wǎng)絡(luò)監(jiān)聽技術(shù)綜述 ........................................................................................................ 4 網(wǎng)絡(luò)監(jiān)聽概念 2 研究現(xiàn)狀 數(shù)據(jù)包捕獲技術(shù)是設(shè)計(jì)網(wǎng)絡(luò)分析軟件的基礎(chǔ)，而 WinPcap 則是 Windows 系統(tǒng)中實(shí)現(xiàn)的一個(gè)優(yōu)秀的包捕獲架構(gòu)。網(wǎng)絡(luò)監(jiān)聽工具通過網(wǎng)絡(luò)傳輸介質(zhì)的共享特性實(shí)現(xiàn)抓包，獲得當(dāng)前網(wǎng)絡(luò)的使用狀況，為網(wǎng)絡(luò)管理員對網(wǎng)絡(luò)中的信息進(jìn)行實(shí)時(shí)的監(jiān)測、分析提供一個(gè)合適的工具；同時(shí)也讓黑客截獲本網(wǎng)段的一些敏感信息，威脅網(wǎng)絡(luò)安全。11 IP 13 地址分類 15 OSI 模型 24 IV 功能設(shè)計(jì) 24 局域網(wǎng)監(jiān)聽系統(tǒng)程序的實(shí)現(xiàn) 27 設(shè)置為混雜模式 計(jì)算機(jī)網(wǎng)絡(luò)已經(jīng)成為國家的經(jīng)濟(jì)基礎(chǔ)和命脈。一些網(wǎng)絡(luò)管理人員也利用截取網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)監(jiān)聽網(wǎng)絡(luò)數(shù)據(jù)流量，來實(shí)現(xiàn)一定的流量計(jì)費(fèi)功能。自從 1876年 英國 青年亞 經(jīng)過幾十年的發(fā)展和實(shí)際應(yīng)用，技術(shù)越來越成熟和完善，代表產(chǎn)品有 甲骨文公司 的 Oracle、IBM公司的 DB 微軟公司 的 MSSQL Server等等。 研究現(xiàn)狀 當(dāng)今計(jì)算機(jī)網(wǎng)絡(luò)及通訊技術(shù)的廣泛應(yīng)用，促使 Inter的迅速發(fā)展，給我們帶來 了巨大的社會和經(jīng)濟(jì)效益。 從早期的計(jì)算機(jī)網(wǎng)絡(luò)出現(xiàn)， 1969 年美國國防部高級研究計(jì)劃局建成的 ARPANET 實(shí)驗(yàn)網(wǎng)開始，計(jì)算機(jī)網(wǎng)絡(luò)在各發(fā)達(dá)國家迅速蓬勃發(fā)展，到今天復(fù)雜的 Intra 和 Inter 網(wǎng)絡(luò)，經(jīng)歷了不同的時(shí)期。硬件的 sniffer 又稱為網(wǎng)絡(luò)分析儀（協(xié)議分析儀）。黑客運(yùn)行監(jiān)聽工具暗中監(jiān)視他人的網(wǎng)絡(luò)狀況、竊取明文傳出的密碼和各種數(shù)據(jù)。在禎頭中，有兩個(gè)域分別為只有網(wǎng)絡(luò)接口 才能識別的源主機(jī)和目的主機(jī)的物理地址這是一個(gè) 48位的地址，這個(gè) 48 位的地址是與 IP 地址相對應(yīng)的，換句話說就是一個(gè) IP 地址也會對應(yīng)一個(gè)物理地址。 WinPcap 為用戶級的數(shù)據(jù)包提供了 Windows 下的一個(gè)平臺。 用于解決這些不同。由于 Window 操作系統(tǒng)沒有提供可以直接捕獲數(shù)據(jù)包的 API，盡管提供了一些內(nèi)核模塊，但存在著嚴(yán)重的局限性。 store buffer用于保存從網(wǎng)絡(luò)適配器捕獲的數(shù)據(jù)包， hold bufier 則用于將數(shù)據(jù)包拷貝到用戶的 buffer中。 (2) WinPcap 的體系結(jié)構(gòu) WinPcap 保留了 BSD Capturing Component 最重要的模塊：一個(gè) Filter Machine、兩種 Burfer 以及提供給用戶的庫。它的功能陜西科技大學(xué)畢業(yè)設(shè)計(jì)說明書 8 是過濾數(shù)據(jù)包，并把這些數(shù)據(jù)包原封不動地傳給用戶態(tài)模塊，這個(gè)過程中包括了一些操作系統(tǒng)特有的代碼。 Winpcap 主要可以實(shí)現(xiàn)： (a) 捕獲原始數(shù)據(jù)報(bào)，包括在共享網(wǎng)絡(luò)上各主機(jī)發(fā)送 /接收的以及相互之間交換的數(shù)據(jù)包； (b) 在數(shù)據(jù)包發(fā)往應(yīng)用程序之前，按照自定義的規(guī)則將某些特殊的數(shù)據(jù) 包過濾掉； (c) 在網(wǎng)絡(luò)上發(fā)送原始的數(shù)據(jù)包； (d) 收集網(wǎng)絡(luò)通信過程中的統(tǒng)計(jì)信息； WinPcap 的優(yōu)點(diǎn)在于： ，并且提供了一套標(biāo)準(zhǔn)的抓包接口，與 libpcap 兼容，可使得原來許多 UNIX 平臺下的網(wǎng)絡(luò)分析工具可以快速移植，便于開發(fā)各種網(wǎng)絡(luò)分析工具。當(dāng)數(shù)據(jù)包還在 NIC driver 的存儲器中時(shí)，統(tǒng)計(jì)模式就開始起作用，然后數(shù)據(jù)包被丟棄。如果是的話，接收該數(shù)據(jù)幀，進(jìn)行物理數(shù)據(jù)幀的 CRC 校驗(yàn)，然后將數(shù)據(jù)幀提交給 LLC 子層。 在 windows 情況下捕獲數(shù)據(jù)包的結(jié)構(gòu) 圖 23 捕獲數(shù)據(jù)包的結(jié)構(gòu)圖 陜西科技大學(xué)畢業(yè)設(shè)計(jì)說明書 10 Wndows 下捕獲數(shù)據(jù)包，其中 NDIS 及其特點(diǎn)是： NDIS(Network Driver Interface Specification) 是 Microsoft 和 3Com 公司聯(lián)合制定的網(wǎng)絡(luò)驅(qū)動規(guī)范，并提供了大量的操作函數(shù)。 (d) 然后由 Packet filter 過濾程序決定哪些數(shù)據(jù)包應(yīng)該丟棄，哪些數(shù)據(jù)包應(yīng)該接收，是否需要 將接收到的數(shù)據(jù)拷貝到相應(yīng)的應(yīng)用程序。 網(wǎng)絡(luò)體系 (Network Architecture):是為了完成計(jì)算機(jī)間的通信合作 ， 把每臺計(jì)算機(jī)互連的功能劃分成有明確定義的層次 ， 并規(guī)定了同層次進(jìn)程通信 的協(xié)議及相鄰之間的 接口 及服務(wù) 。 IP 數(shù)據(jù)包中含有發(fā)送它的主機(jī)的地址（源地址）和接收它的主機(jī)的地址（目的地址）。 TCP 提供的是一種可靠的 數(shù)據(jù)流 服務(wù)，采用 “帶重傳的肯定確認(rèn) ”技術(shù)來實(shí)現(xiàn)傳輸?shù)目煽啃浴?DNS 在某些情況下使用 TCP（發(fā)送和接收 域名 數(shù)據(jù)庫），但使用 UDP 傳送有關(guān)單個(gè)主機(jī)的信息。 ICMP ICMP 與 IP 位于同一層，它被用來傳送 IP 的的控制信息。因而，這個(gè)連接是雙工的，可以用來進(jìn)行讀寫。這些端口號是 ?廣為人知 ?的，因?yàn)樵诮⑴c特定的主機(jī)或服務(wù)的連接時(shí)，需要這些地址和目的地址進(jìn)行通訊。 目前，在 Inter 里， IP 地址是一個(gè) 32 位的二進(jìn)制地址，為了便于記憶，將它們分為 4 組，每組 8 位，由小數(shù)點(diǎn)分開，用四個(gè)字節(jié)來表示，而且，用點(diǎn)分開的每個(gè)字節(jié)的數(shù)值范圍是 0~255，如 ，這種書寫方法叫做點(diǎn)數(shù)表示法。 到 也是保留地址，用做表示所有的 IP 地址。 一個(gè) B 類 IP 地址由 2 個(gè)字節(jié)的網(wǎng)絡(luò)地址和 2 個(gè)字節(jié)的主機(jī)地址組成，網(wǎng)絡(luò)地址的最高位必須是 “10”，即第一段數(shù)字范圍為 128～ 191。 IP 地址類別 RFC 1918 內(nèi)部地址范圍 A 類 10． 到 B 類 到 基于 Visual C++的網(wǎng)絡(luò)監(jiān)聽系統(tǒng) 15 C 類 到 使用私有地址將網(wǎng)絡(luò)連至 Inter，需要將私有地址轉(zhuǎn)換為公有地址。 連接到 Inter 上的每臺計(jì)算機(jī)，不論其 IP 地址屬于哪類都與網(wǎng)絡(luò)中的其它計(jì)算機(jī)處于平等地位，因?yàn)橹挥?IP 地址才是區(qū)別計(jì)算機(jī)的唯一標(biāo)識。 在局域網(wǎng)的 IP 地址分配中，子網(wǎng)屏蔽的 “1”部分只要和對應(yīng)的 IP 地址分類規(guī)定的前幾個(gè)二進(jìn)制數(shù)一致即可。 主機(jī)地址：在申請 IP 地址或是闡述 TCP/IP 協(xié)議的 IP 地址分類時(shí)，用到這個(gè)術(shù)語。一個(gè)主機(jī)編碼，對應(yīng)一個(gè)網(wǎng)域（或網(wǎng)段）的一臺計(jì)算機(jī)。 (d) Ping 一個(gè)互聯(lián)網(wǎng)地址，看是否有數(shù)據(jù)包傳回，以驗(yàn)證與互聯(lián)網(wǎng)的連接性。 (b) TCP/IP 協(xié)議并不依賴于特定的網(wǎng)絡(luò)傳輸硬件，所以 TCP/IP 協(xié)議能夠集成各種各樣的網(wǎng)絡(luò)。如果它工作很好，用戶將 接受它。 IP 包的間接開銷很小，少于 1%，這樣在成本上非常有競爭性。 (11) 版本更新 IPV4 IPv4，是 互聯(lián)網(wǎng)協(xié)議 （ Inter Protocol， IP）的第四版，也是第一個(gè)被廣泛使用 ，構(gòu)成現(xiàn)今 互聯(lián)網(wǎng)技術(shù) 的基石的協(xié)議。在此，專家提出 IPV6 的互聯(lián)網(wǎng)技術(shù)，也正在推行，但 IPV4 的使用過度到 IPV6 需要很長的一段過度期。 與 IPV4 相比， IPV6 具有以下幾個(gè)優(yōu)勢： (a) IPv6 具有更大的地址空間。在使用 IPv6 網(wǎng)絡(luò)中用戶可以對網(wǎng)絡(luò)層的數(shù)據(jù)進(jìn)行加密并對 IP 報(bào)文進(jìn)行校驗(yàn)，極大的增強(qiáng)了網(wǎng)絡(luò)的安全性。 陜西科技大學(xué)畢業(yè)設(shè)計(jì)說明書 22 圖 31 OSI 七層模型 (1) 物理層 物理層是 O S I 模型的最低層或第一層，該層包括物理聯(lián)網(wǎng)媒介， 如電纜連接器。 其中的地址確定了幀將發(fā)送到何處，而糾錯(cuò)和控制信息則確保幀無差錯(cuò)到達(dá)。 基于 Visual C++的網(wǎng)絡(luò)監(jiān)聽系統(tǒng) 23 (5) 會話層 會話層負(fù)責(zé)在網(wǎng)絡(luò)中的兩節(jié)點(diǎn)之間建立和維持