【正文】 基于 Visual C++的網(wǎng)絡(luò)監(jiān)聽系統(tǒng) 23 (5) 會(huì)話層 會(huì)話層負(fù)責(zé)在網(wǎng)絡(luò)中的兩節(jié)點(diǎn)之間建立和維持通信。 陜西科技大學(xué)畢業(yè)設(shè)計(jì)說明書 22 圖 31 OSI 七層模型 (1) 物理層 物理層是 O S I 模型的最低層或第一層，該層包括物理聯(lián)網(wǎng)媒介， 如電纜連接器。 與 IPV4 相比， IPV6 具有以下幾個(gè)優(yōu)勢(shì)： (a) IPv6 具有更大的地址空間。 (11) 版本更新 IPV4 IPv4，是 互聯(lián)網(wǎng)協(xié)議 （ Inter Protocol， IP）的第四版，也是第一個(gè)被廣泛使用 ，構(gòu)成現(xiàn)今 互聯(lián)網(wǎng)技術(shù) 的基石的協(xié)議。如果它工作很好，用戶將 接受它。 (d) Ping 一個(gè)互聯(lián)網(wǎng)地址，看是否有數(shù)據(jù)包傳回，以驗(yàn)證與互聯(lián)網(wǎng)的連接性。 主機(jī)地址：在申請(qǐng) IP 地址或是闡述 TCP/IP 協(xié)議的 IP 地址分類時(shí)，用到這個(gè)術(shù)語(yǔ)。 連接到 Inter 上的每臺(tái)計(jì)算機(jī)，不論其 IP 地址屬于哪類都與網(wǎng)絡(luò)中的其它計(jì)算機(jī)處于平等地位，因?yàn)橹挥?IP 地址才是區(qū)別計(jì)算機(jī)的唯一標(biāo)識(shí)。 一個(gè) B 類 IP 地址由 2 個(gè)字節(jié)的網(wǎng)絡(luò)地址和 2 個(gè)字節(jié)的主機(jī)地址組成，網(wǎng)絡(luò)地址的最高位必須是 “10”，即第一段數(shù)字范圍為 128～ 191。 目前，在 Inter 里， IP 地址是一個(gè) 32 位的二進(jìn)制地址，為了便于記憶，將它們分為 4 組，每組 8 位，由小數(shù)點(diǎn)分開，用四個(gè)字節(jié)來表示，而且，用點(diǎn)分開的每個(gè)字節(jié)的數(shù)值范圍是 0~255，如 ，這種書寫方法叫做點(diǎn)數(shù)表示法。因而，這個(gè)連接是雙工的，可以用來進(jìn)行讀寫。 DNS 在某些情況下使用 TCP（發(fā)送和接收 域名 數(shù)據(jù)庫(kù)），但使用 UDP 傳送有關(guān)單個(gè)主機(jī)的信息。 IP 數(shù)據(jù)包中含有發(fā)送它的主機(jī)的地址（源地址）和接收它的主機(jī)的地址（目的地址）。 (d) 然后由 Packet filter 過濾程序決定哪些數(shù)據(jù)包應(yīng)該丟棄，哪些數(shù)據(jù)包應(yīng)該接收，是否需要 將接收到的數(shù)據(jù)拷貝到相應(yīng)的應(yīng)用程序。如果是的話，接收該數(shù)據(jù)幀，進(jìn)行物理數(shù)據(jù)幀的 CRC 校驗(yàn)，然后將數(shù)據(jù)幀提交給 LLC 子層。 Winpcap 主要可以實(shí)現(xiàn)： (a) 捕獲原始數(shù)據(jù)報(bào)，包括在共享網(wǎng)絡(luò)上各主機(jī)發(fā)送 /接收的以及相互之間交換的數(shù)據(jù)包； (b) 在數(shù)據(jù)包發(fā)往應(yīng)用程序之前，按照自定義的規(guī)則將某些特殊的數(shù)據(jù) 包過濾掉； (c) 在網(wǎng)絡(luò)上發(fā)送原始的數(shù)據(jù)包； (d) 收集網(wǎng)絡(luò)通信過程中的統(tǒng)計(jì)信息； WinPcap 的優(yōu)點(diǎn)在于： ，并且提供了一套標(biāo)準(zhǔn)的抓包接口，與 libpcap 兼容，可使得原來許多 UNIX 平臺(tái)下的網(wǎng)絡(luò)分析工具可以快速移植，便于開發(fā)各種網(wǎng)絡(luò)分析工具。 (2) WinPcap 的體系結(jié)構(gòu) WinPcap 保留了 BSD Capturing Component 最重要的模塊：一個(gè) Filter Machine、兩種 Burfer 以及提供給用戶的庫(kù)。由于 Window 操作系統(tǒng)沒有提供可以直接捕獲數(shù)據(jù)包的 API，盡管提供了一些內(nèi)核模塊，但存在著嚴(yán)重的局限性。 WinPcap 為用戶級(jí)的數(shù)據(jù)包提供了 Windows 下的一個(gè)平臺(tái)。黑客運(yùn)行監(jiān)聽工具暗中監(jiān)視他人的網(wǎng)絡(luò)狀況、竊取明文傳出的密碼和各種數(shù)據(jù)。 從早期的計(jì)算機(jī)網(wǎng)絡(luò)出現(xiàn)， 1969 年美國(guó)國(guó)防部高級(jí)研究計(jì)劃局建成的 ARPANET 實(shí)驗(yàn)網(wǎng)開始，計(jì)算機(jī)網(wǎng)絡(luò)在各發(fā)達(dá)國(guó)家迅速蓬勃發(fā)展，到今天復(fù)雜的 Intra 和 Inter 網(wǎng)絡(luò)，經(jīng)歷了不同的時(shí)期。經(jīng)過幾十年的發(fā)展和實(shí)際應(yīng)用，技術(shù)越來越成熟和完善，代表產(chǎn)品有 甲骨文公司 的 Oracle、IBM公司的 DB 微軟公司 的 MSSQL Server等等。一些網(wǎng)絡(luò)管理人員也利用截取網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)監(jiān)聽網(wǎng)絡(luò)數(shù)據(jù)流量，來實(shí)現(xiàn)一定的流量計(jì)費(fèi)功能。 24 IV 功能設(shè)計(jì) 15 OSI 模型 11 IP網(wǎng)絡(luò)監(jiān)聽工具通過網(wǎng)絡(luò)傳輸介質(zhì)的共享特性實(shí)現(xiàn)抓包，獲得當(dāng)前網(wǎng)絡(luò)的使用狀況，為網(wǎng)絡(luò)管理員對(duì)網(wǎng)絡(luò)中的信息進(jìn)行實(shí)時(shí)的監(jiān)測(cè)、分析提供一個(gè)合適的工具；同時(shí)也讓黑客截獲本網(wǎng)段的一些敏感信息，威脅網(wǎng)絡(luò)安全。 3 2 網(wǎng)絡(luò)監(jiān)聽技術(shù)綜述 ........................................................................................................ 4 網(wǎng)絡(luò)監(jiān)聽概念 伴隨著網(wǎng)絡(luò)的發(fā)展，也產(chǎn)生了各種各樣的問題，其中安全問題尤為突出。貝爾發(fā)明有線電話以后，這些使用了幾千年的原始竊 聽器，才漸漸退隱出了間諜舞臺(tái)。在這種情況下，計(jì)算機(jī)網(wǎng)絡(luò)的設(shè)計(jì)，維護(hù)的難度日益增加，因此人們迫切需要能夠分析，診斷與測(cè)試網(wǎng)絡(luò)功能的工具軟件。目前的網(wǎng)絡(luò)分析儀的技術(shù)已經(jīng)非常的成熟，產(chǎn)品也非常的多樣。對(duì)于作為網(wǎng)關(guān)的主機(jī)，由于它連接了多個(gè)網(wǎng)絡(luò)，它也就同時(shí)具備有很多個(gè) IP 地址，在每個(gè)網(wǎng)絡(luò)中它都有一個(gè)。調(diào)用 的程序可以運(yùn)行在不同版本的 Windows 平臺(tái)上，而無需重新編譯。二者之間擁有 swap 特性：由于 store buffer 比 hold buffer 更易被填滿，所以當(dāng) store buffer 已滿，而 hold buffer 為空的時(shí)候， store buffer 變成 hold buffer，而之前的 hold buffer變成 store buffer。 第二個(gè)模塊 為 win32 平臺(tái)提供了一個(gè)公共的接口。統(tǒng)計(jì)模式是一種非常高效的、用來監(jiān)測(cè)網(wǎng)絡(luò)的方法，即使在高速的局域網(wǎng)等有大量數(shù)據(jù)包流動(dòng)的網(wǎng)絡(luò)環(huán)境中，它依然可工作得很好 。它為上層的 協(xié)議 驅(qū)動(dòng)提供服務(wù)，屏蔽了下層各種網(wǎng)卡的差別。 網(wǎng)絡(luò)體系結(jié)構(gòu) :是指用分層 研究方法 定義的網(wǎng)絡(luò)各層的功能 ， 各層協(xié)議和接口的集合 。 TCP 還采用一種稱為 “滑動(dòng)窗口 ”的方式進(jìn)行流量控制，所謂窗口實(shí)際表示接收能力，用以限制發(fā)送方的發(fā)送速度。它主要是用來提供有關(guān)通向目的地址的路徑信息。 IP 地址 在 Inter 上連接的所有計(jì)算機(jī)，從大型機(jī)到微型計(jì)算機(jī)都是以獨(dú)立的身份出現(xiàn)，我們稱它為主機(jī)。 一個(gè) A 類 IP 地址 由 1 字節(jié) （每個(gè)字節(jié)是 8 位）的網(wǎng)絡(luò)地址和 3 個(gè)字節(jié)主機(jī)地址組成，網(wǎng)絡(luò)地址的最高位必須是 “0”，即第一段數(shù)字范圍為 1～ 127。這個(gè)轉(zhuǎn)換過程稱為網(wǎng)絡(luò)地址轉(zhuǎn)換（ Network Address Translation， NAT），通常使用路由器來執(zhí)行NAT 轉(zhuǎn)換。 (2) 子網(wǎng)劃分 若公司不上 Inter，那一定不會(huì)煩惱 IP 地址的問題，因?yàn)榭梢匀我馐褂盟械?IP地址，不管是 A 類或是 B 類，這個(gè)時(shí)候不會(huì)想到要用子網(wǎng)，但若是上 Inter 那 IP 地陜西科技大學(xué)畢業(yè)設(shè)計(jì)說明書 16 址便彌足珍貴了，目前全球一陣 Inter 熱 ， IP 地址已經(jīng)愈來愈少了，而所申請(qǐng)的 IP 地址目前也 趨飽和，而且只有經(jīng)申請(qǐng)的 IP 地址能在 Inter 使用，但對(duì)某些公司只能申請(qǐng)到一個(gè) C 類的 IP 地址，但又有多個(gè)點(diǎn)需要使用，那這時(shí)便需要使用到子網(wǎng)，這就需要考慮子網(wǎng)的劃分，下面簡(jiǎn)介子網(wǎng)的原理及如何規(guī)劃。包括申請(qǐng)到主機(jī)地址的部分。用戶能夠使用以太網(wǎng)（ Ether）、令牌環(huán)網(wǎng)（ Token Ring Network）、撥號(hào)線路（ Dialup line）、 網(wǎng)以及所有的網(wǎng)絡(luò)傳輸硬件。人們開發(fā)了一種 能夠?qū)?IP 帶到專有網(wǎng)絡(luò)上的大部分用戶的不昂貴的傳輸媒介。 傳統(tǒng)的 TCP/IP 協(xié)議基于電話寬帶以及以太網(wǎng)的電器特性而制定的，其分包原則與檢驗(yàn)占用了數(shù)據(jù)包很大的一部分比例造成了傳輸效率低，現(xiàn)在網(wǎng)絡(luò)正向著全 光纖網(wǎng)絡(luò) 和超高速以太網(wǎng)方向發(fā)展， TCP/IP 協(xié)議不能滿足其發(fā)展需要。 OSI 模型 在 20 世紀(jì) 80 年代早期， ISO 開始致力于制定一套普遍適用的規(guī)范集合，以使得全球范圍的計(jì)算機(jī)平臺(tái)可進(jìn)行開放式通信。 (3) 網(wǎng)絡(luò)層 即 O S I 模型的第三層，其主要功能是將網(wǎng)絡(luò)地址翻譯成對(duì)應(yīng)的物理地址，并決定如何將數(shù)據(jù)從發(fā)送方路由到接收方。 陜西科技大學(xué)畢業(yè)設(shè)計(jì)說明書 24 4 局域網(wǎng)監(jiān)聽系統(tǒng)的設(shè)計(jì)及實(shí)現(xiàn) 局域網(wǎng)監(jiān)聽系統(tǒng)的設(shè)計(jì) 功能設(shè)計(jì) 系統(tǒng)的主要功能結(jié)構(gòu)如下圖 41 所示 圖 41 功能結(jié)構(gòu)圖 模塊設(shè)計(jì) 根據(jù)軟件所需要實(shí)現(xiàn)的功能，將軟件系統(tǒng)劃分為以下。幀是用來移動(dòng)數(shù)據(jù)的結(jié)構(gòu)包，它不僅包括原始（未加工）數(shù)據(jù)，或稱“有效荷載”，還包括發(fā)送方和接收方的網(wǎng)絡(luò)地址以及糾錯(cuò)和控制信息。 (e) IPv6 具有更高的安全性。雖然用 動(dòng)態(tài) IP 及 Nat 地址轉(zhuǎn)換等技術(shù)實(shí)現(xiàn)了一些緩沖，但 IPV4 地址枯竭已經(jīng)成為不爭(zhēng)的事實(shí)。許多用戶開始維護(hù)使用 IP 替代品的復(fù)制品。所以 TCP/IP 協(xié)議成為一種聯(lián)合各種硬件和軟件的實(shí)用系統(tǒng)。 主機(jī)編碼（主機(jī)號(hào)）：經(jīng)過子網(wǎng)劃分后，子網(wǎng)掩碼序列中 “0”對(duì)應(yīng)的 IP 地址部分。 (1) 注意事項(xiàng) 內(nèi)部地址和外部地址在局域網(wǎng)的 IP 地址分配中，并沒有區(qū)別，都可以使用。在這個(gè)范圍內(nèi)的 IP 地址不能被路由到 Inter骨干網(wǎng)上； Inter 路由器將丟棄該私有地址。 到 是保留地址，用做循環(huán)測(cè)試用的。服務(wù)進(jìn)程通常使用一個(gè)固定的端口，例如， SMTP 使用 2 Xwindows使用 6000。 欺騙 UDP 包比欺騙 TCP 包更容易，因?yàn)?UDP 沒有建立初始化連接 (也可以稱為握手 )(因?yàn)樵趦蓚€(gè)系統(tǒng)間沒有虛電路 )，也就是說，與 UDP 相關(guān)的服務(wù)面臨著更大的危險(xiǎn)。 陜西科技大學(xué)畢業(yè)設(shè)計(jì)說明書 12 TCP TCP 是面向連接的通信協(xié)議，通過 三次握手 建立連接，通訊完成時(shí)要拆除連接，由于 TCP 是面向連接的所以只能用于點(diǎn)對(duì)點(diǎn)的通訊。網(wǎng)絡(luò)體系結(jié)構(gòu)是從功能 上 來描述計(jì)算機(jī)網(wǎng)絡(luò)結(jié)構(gòu) 。如果采用混雜 模式，一個(gè)站點(diǎn)的網(wǎng)卡將接受同一網(wǎng)絡(luò)內(nèi)所有站點(diǎn)所發(fā)送的數(shù)據(jù)包這樣就可以到達(dá)對(duì)于網(wǎng)絡(luò)信息監(jiān)視捕獲的目的。而且 WinPcap 還實(shí)現(xiàn)了統(tǒng)計(jì)模式的工作方式：它不需要把數(shù)據(jù)包傳送到應(yīng)用程序，避免了大量的數(shù)據(jù)包拷貝操作。 圖 22 Winpcap 結(jié)構(gòu)圖 第一個(gè)模塊 NPF(Netgroup Packet Filter)，是一個(gè)虛擬設(shè)備驅(qū)動(dòng)程序文件。經(jīng)過 Berkeley Packet Filter 的數(shù)據(jù)包被拷貝到 Kernel Buffer 中，它分為兩個(gè) buffer： store buffer 和 hold buffer。不同版本的 Windows 系統(tǒng) 都有自己的內(nèi)核模塊和用戶層模塊。在網(wǎng)絡(luò)接口由 IP 層來的帶有 IP 地址的數(shù)據(jù)包又增加了一部分以太禎的禎頭的信息。下面將介紹相應(yīng)的由硬件實(shí)現(xiàn)的 sniffer。研究網(wǎng)絡(luò)監(jiān)聽系統(tǒng)對(duì)于網(wǎng)絡(luò)信息監(jiān)管與信息安全有著重要意義。到了唐代，又出現(xiàn)了一種 “地聽 ”器 ， 能清晰地聽到 30 里外的馬蹄聲。 28 致 謝 ................................................................................................................................ 31 參考文獻(xiàn) .......................................................................................................................... 32 附錄 .................................................................................................................................. 33 基于 Visual C++的網(wǎng)絡(luò)監(jiān)聽系統(tǒng) 1 1 引言 由于互聯(lián)網(wǎng)的發(fā)展，整個(gè)世界經(jīng)濟(jì)正在迅速地融為一體，而整個(gè)國(guó)家猶如一部巨大的網(wǎng)絡(luò)機(jī)器。 6 WinPcap 的功能與新特性 文中結(jié)合該軟件包的結(jié)構(gòu)與功能對(duì)包捕獲原理進(jìn)行了詳細(xì)的分析，并介紹了其在網(wǎng)絡(luò)安全監(jiān)控系統(tǒng)中的應(yīng)用。 9 利用 winpcap 進(jìn)行網(wǎng)絡(luò)數(shù)據(jù)包的捕獲和過濾的設(shè)計(jì)步驟 在這樣的一個(gè)迫切需要網(wǎng)絡(luò)安全