【正文】 統(tǒng)下的網(wǎng)絡(luò)嗅探產(chǎn)品比Windows 下的多。 模型簡介 OSI(Open System Interconnect)七層模型即開 放式系統(tǒng)互聯(lián)參考模型，是一種框架性的設(shè)計方法通過七個層次的結(jié)構(gòu)模型使不同的系統(tǒng)不同的網(wǎng)絡(luò)之間實現(xiàn)可靠的通訊，因此其最主要的功能就是幫助不同類型的主機(jī)實現(xiàn)數(shù)據(jù)傳輸。 TCP/IP 參考模型中網(wǎng)絡(luò)層協(xié)議是 IP（ Inter Protrol）協(xié)議。 ④域名系統(tǒng) (domain name system,DNS)。當(dāng)使用集線器時，由集線器再發(fā)向連接在集線器上的每一條線路，數(shù)字信號也能到達(dá)連接在 集線器上的每一臺主機(jī)。不同的操作系統(tǒng)實現(xiàn)的底層包捕獲機(jī)制可能是不一樣的，但從形式上看大同小異。 網(wǎng)卡具有如下的幾種工作模式： (1)廣播模式 (BroadCastModel):它的物理地址 (MAC)地址是以 0xffffff 的幀為廣播幀 ,工作在廣播模式的網(wǎng)卡接收廣播幀 . (2)多播傳送 (MultiCastModel):多播傳送地址作為目的物理地址的幀可以被組內(nèi)的其它主機(jī)同時接收 ,而組外主機(jī)卻接收不到 .但是 ,如果將網(wǎng)卡設(shè)置為多播傳送模式 ,它可以接收所有的多播傳送幀 ,而不論它是不是組內(nèi)成員 . (3)直接模式 (DirectModel):工作在直接模式下的網(wǎng)卡只接收目地址是自己 Mac 地址的幀 . XXXX 大學(xué) 2021 屆畢業(yè)論文（設(shè)計） 18 (4)混雜模式 (PromiscuouSModel):工作在混雜模式下的網(wǎng)卡接收所有的流過網(wǎng)卡的幀 ,數(shù)據(jù)包捕獲程序就是在這種模式下運(yùn)行的 . 基于 Windows 的數(shù)據(jù)包捕獲方案 1)使用原 始套接字 (raw socket)機(jī)制 .方法簡單 ,但功能有限 ,只能捕獲較高層的數(shù)據(jù)包 .在創(chuàng)建了原始套 ,需要通過 setsockopt()函數(shù)來設(shè)置 IP 頭后任選項 ,然后再通過 bind()函數(shù)將原始套接字綁定到本地網(wǎng)卡 .為了讓原始套接字能接受所有的數(shù)據(jù) ,還需要通過ioctlsocket()來進(jìn)行設(shè)置 ,而且還可以指定是否親自處理 IP 頭 .至此 ,實際就可以開始對網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行監(jiān)聽了 ,對數(shù)據(jù)包的獲取仍像流式套接字或數(shù)據(jù)報套接字那樣通過 recv()函數(shù)來完成 .但是與其他兩種套接字不同的是 ,原始套接字此時捕獲到的數(shù)據(jù)包并不僅僅是單純的數(shù)據(jù)信息 ,而是包含有 IP 頭 /TCP 頭等信息頭的最原始的數(shù)據(jù)信息 ,這些信息保留了它在網(wǎng)絡(luò)傳輸時的原貌 .通過對這些在低層傳輸?shù)脑夹畔⒌姆治隹梢缘玫? 有關(guān)網(wǎng)絡(luò)的一些信息 .由于這些數(shù)據(jù)經(jīng)過了網(wǎng)絡(luò)層和傳輸層的打包 ,因此需要根據(jù)其附加的幀頭對數(shù)據(jù)包進(jìn)行分析 . 2)直接連接調(diào)用 NDIS 庫函數(shù) ,這種方法功能非常強(qiáng)大 ,但是比較危險 ,很可能導(dǎo)致系統(tǒng)崩潰和網(wǎng)絡(luò)癱瘓 . 3)使用或者自行編寫中間層驅(qū)動程序 ,這是微軟公司推薦使用的一種方法 ,微軟提供的win2021 DDK中也提供了幾個這樣的驅(qū)動程序 .在具體的實現(xiàn)方式上可分析 用戶級和內(nèi)核級兩類 .其中內(nèi)核級主要是 TDI 捕獲過濾驅(qū)動程序 ,NDIS 中間層捕獲過濾驅(qū)動程序 ,NDIS 捕獲過濾鉤子 (Hook)驅(qū)動程序等 ,它們都是利用網(wǎng)絡(luò)驅(qū)動來實現(xiàn)的 .而用戶級的包括 SPI 接口 ,Windows2021 包捕獲過濾接口等 . 4)使用第三方捕獲組件或者庫比如 WinPcap 自帶的庫函數(shù)實現(xiàn)網(wǎng)絡(luò)數(shù)據(jù)的捕獲 ,從而為數(shù)據(jù)包協(xié)議的分析打下基礎(chǔ) . 協(xié)議分析技術(shù) 網(wǎng)絡(luò)協(xié)議分析 每一個網(wǎng)絡(luò)數(shù)據(jù)包都是基于一個網(wǎng)絡(luò)協(xié)議產(chǎn)生的，所以分析網(wǎng)絡(luò)數(shù)據(jù)包必定要分析其協(xié)議的內(nèi)容。3 將原始數(shù)據(jù)包通過網(wǎng)絡(luò)發(fā)送出動 4 收集并統(tǒng)計網(wǎng)絡(luò)流量信息 .這些功能需要借助安裝在 win32 內(nèi)核中的網(wǎng)絡(luò)設(shè)備驅(qū)動程序和若干動態(tài)鏈接庫才能實現(xiàn) .然而 ,WinPcap 有其應(yīng)用的局限性 :它不能阻止 /過濾或操縱同一機(jī)器上的其他應(yīng)用程序的通訊 ,它僅僅能簡單的 監(jiān)視 在網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)包 .所以 ,它不能提供類似網(wǎng)絡(luò)流量控制 、服務(wù)質(zhì) 量高度和個人防火墻之類的支持 。 XXXX 大學(xué) 2021 屆畢業(yè)論文（設(shè)計） 26 圖 14 系統(tǒng)主界面 示范圖 系統(tǒng)數(shù)據(jù)包捕獲流程設(shè)計 首先，調(diào)用 pcap_findalldevs()函數(shù)查找可用的網(wǎng)卡并通過它來獲得網(wǎng)卡的詳細(xì)信息，用 pcap_open_live()函數(shù)打開網(wǎng)絡(luò)設(shè)備，建立捕獲會話，然后用 pcap_pile()編譯過濾器，編譯過濾規(guī)則形成內(nèi)核過濾碼，傳遞給 pcap_setfilter()使過濾器生效，調(diào)用pcap_loop()捕獲數(shù)據(jù)包并進(jìn)行協(xié)議分析，最后調(diào)用 pcap_close()釋放資源， 關(guān) 閉并返回，這就是基于 WinPcap 的數(shù)據(jù) 包 捕獲流程。 } if(m_pDevaddresses != NULL amp。 (strText,hSubItem)。 數(shù)據(jù)包過濾模塊 經(jīng)過以上的工作，我們已經(jīng)捕獲到了數(shù)據(jù)包，但是捕獲到的數(shù)據(jù)包的數(shù)量是很大的。原主通常由標(biāo)識和標(biāo)識前的多個修飾詞組成。對于這個 模 塊 本 文選 用 的 是 pcap_loop() 函 數(shù)， 而 沒 有選 用 pcap_dispatch()函數(shù)，pcap_dispatch()函數(shù)一般用于比較復(fù)雜的程序中，對于此模塊來說， pcap_loop()就可以滿足需求了。 (4)通用過濾：從數(shù)據(jù)包中某一特定位置開始，選擇具有某些共同數(shù)據(jù)特征的數(shù)據(jù)包。 return。 } if(m_pDevaddresses!=NULL amp。 HTREEITEM hSubItem = (m_pDevname,root)。 Project=Settings=Link=Object/Library Modules 里面添加需要的 LIB. ( ) 系統(tǒng)實現(xiàn)界面 網(wǎng)卡選擇界面 雙擊網(wǎng)卡名稱顯示每個網(wǎng)卡的具體信息，點(diǎn)擊確定綁定網(wǎng)卡。下面將詳細(xì)講述： 簡介 WinPcap 是由意大利人 Fulvio Risso 和 Loris Degioanni 等人提出并實現(xiàn)的 [1],在Windows 平臺上實現(xiàn)對底層數(shù)據(jù)包的捕獲和過濾 。每個節(jié)點(diǎn)通過網(wǎng)卡來實現(xiàn)這種功能。 偽裝：通過偽裝其他主機(jī)的 MAC 地址，從而獲取發(fā)往其他主機(jī)的數(shù)據(jù)包。當(dāng)同一網(wǎng)絡(luò)中的兩臺主機(jī)通信的時候，源主機(jī)將寫有目的的主機(jī)地址的數(shù)據(jù)包直接發(fā)向目的主機(jī)。應(yīng)用層包括了所有的高層協(xié)議，并且總是不斷有新的協(xié)議加入。在收到分組發(fā)送請求之后，將分組裝入 IP數(shù)據(jù)報，XXXX 大學(xué) 2021 屆畢業(yè)論文（設(shè)計） 11 填充抱頭，選擇發(fā)送路徑，然后將數(shù)據(jù)報發(fā)送到相應(yīng)的網(wǎng)絡(luò)輸出線。 XXXX 大學(xué) 2021 屆畢業(yè)論文（設(shè)計） 8 本論文采用了 WinPcap 驅(qū)動對鏈路層數(shù)據(jù)幀進(jìn)行捕獲，并針對 TCP、 UDP、 ARP、 IP 進(jìn)行協(xié)議分析。其中 BPF 由基于 BSD 的 Unix 系統(tǒng)內(nèi)核所實現(xiàn)， Linux 系統(tǒng)內(nèi)核則實現(xiàn)了 SOCK_PACKET 的包捕獲機(jī)制。（ 3）以太網(wǎng)鏈路層幀的截獲和分析，并實現(xiàn)對ARP、 IP、 TCP、 UDP四種協(xié)議的支持。（ 4）實現(xiàn)對捕獲數(shù)據(jù)的十六進(jìn)制及 ASCII碼顯示。從性能上看， BPF 比 DLPI 及 NIT 效率要高的多，而 SOCK_PACKET 最差。借助 WinPcap 來研究 Windows 平臺下的網(wǎng)絡(luò)監(jiān)聽技術(shù)是具有 現(xiàn)實意義，這不僅能促進(jìn)網(wǎng)絡(luò)監(jiān)測系統(tǒng)的改進(jìn)和發(fā)展，還能促進(jìn) WinPcap 本身的發(fā)展。 ②處理接收的數(shù)據(jù)報。目前，應(yīng)用層協(xié)議主要有以下幾種： ①遠(yuǎn)程登錄協(xié)議（ Tel） 。但這種數(shù)據(jù)包不能在 IP 層直接發(fā)送，必須從 TCP/IP 協(xié)議的 IP 層交給網(wǎng)絡(luò)接口，也就是數(shù)據(jù)鏈路層，而網(wǎng)絡(luò)接口是不會識別 IP 地址的，因此在網(wǎng)絡(luò)接口數(shù)據(jù)包又增加了一部分以太幀頭的信息。 數(shù)據(jù)捕獲技術(shù) 網(wǎng)絡(luò)數(shù)據(jù)捕獲原理 由于目前用的最多的局域網(wǎng)形式是以太網(wǎng)，在以太網(wǎng)上數(shù)據(jù)是以幀為單位進(jìn)行交換的，而數(shù)據(jù)幀是用被稱為帶碰撞檢測的載波偵聽多址訪問即 CSMA/CD（ carrier sense multiple access with collision detection） 的方式發(fā)送的，在這種方法中，發(fā)送到指定地址的幀實際上是發(fā)送到所有計算機(jī)的，只是如果網(wǎng)卡檢測到經(jīng)過的數(shù)據(jù)不是發(fā)往自身的，簡單忽略過去而已。每一個在局域網(wǎng)（ LAN）節(jié)點(diǎn)上的主機(jī)都有其硬件地址（ MAC 地址），這些地址唯一地 表示了網(wǎng)絡(luò)上的主機(jī)。 WinPcap 能訪問網(wǎng)絡(luò)中的原始數(shù)據(jù)包 ,即沒有被操作系統(tǒng)利用網(wǎng)絡(luò)協(xié)議處理過后數(shù)據(jù)包 .它的主要思想來自于 UNIX 系統(tǒng)中著名的BSD 包捕獲結(jié)構(gòu) ,具有良好 的結(jié)構(gòu)和性能 。 如圖 13 所示： XXXX 大學(xué) 2021 屆畢業(yè)論文（設(shè)計） 25 圖 13 網(wǎng)卡綁定 示范圖 系統(tǒng)主界面 系統(tǒng)主界面分成五部分， 如圖 14 所示 ，分別是數(shù)據(jù)包列表、協(xié)議樹顯示、數(shù)據(jù)包內(nèi)容顯示、數(shù)據(jù)包統(tǒng)計、過濾規(guī)則設(shè)定模塊。 if(m_pDevdescription != NULL) { (網(wǎng)卡描述信息 : %s,m_pDevdescription)。amp。 } if(m_pDevaddresses == NULL) { MessageBox(網(wǎng)卡不可用 !)。 大多數(shù)情況下，過濾規(guī)則是上面基本規(guī)則的組合。捕獲到數(shù)據(jù)包，先將其存儲到內(nèi)存。 過濾表達(dá)式由一個或多個原主（ primitive）組成。 } MessageBox(網(wǎng)卡綁定成功 !)。 (子網(wǎng)掩碼 : %s,temp)。 } else { (網(wǎng)卡描述信息 : 空 ,hSubItem)。 數(shù)據(jù)包統(tǒng)計模塊顯示數(shù)據(jù)包的統(tǒng)計結(jié)果，這樣可以很方便的顯示在整個包捕獲過程中捕獲的 TCP、 UDP、ARP 及其他包的數(shù)量及其變化 ；過濾規(guī)則可以設(shè)定你想得到的數(shù)據(jù)包，如 TCP 或 UDP 等 。2 在數(shù)據(jù)包發(fā)送給某應(yīng)用程序前 ,根據(jù)用戶的規(guī)則過濾數(shù)據(jù)包 。如果是的話，接收該數(shù)據(jù)幀，進(jìn)行物理數(shù)據(jù)幀的 CRC 檢驗，然后將數(shù)據(jù)幀提交給 LLC孜孜以求。 從廣義的角度上看，一個包捕獲 機(jī)制包含三個主要部分：首先是最底層針對特定操作系統(tǒng)的包捕獲機(jī)制，然后是最高層針對程序的接口，第三部分是包過濾機(jī)制。 傳輸數(shù)據(jù)時，包含物理地址的幀從網(wǎng)絡(luò)接口 (網(wǎng)卡 )發(fā)送到物理的線路上，如果局域網(wǎng)是由一條粗纜或細(xì)纜連接而成，則數(shù)字信號在電纜上傳輸，能夠到達(dá)線路上的每一臺主機(jī)。 ③簡單郵件傳送協(xié)議 (simple mail transfer protocol,SMTP)。 ③處理互聯(lián)的路徑、流程與擁塞問題。 二、設(shè)計理論依據(jù) 網(wǎng)絡(luò)協(xié)議 TCP/IP TCP/IP 協(xié)議是整個因特網(wǎng)運(yùn)行的基礎(chǔ)，本節(jié)首先會介紹一下 OSI 七層模型和 TCP/IP四層模型，然后將著重分析研究數(shù)據(jù)包在 TCP/IP 網(wǎng)絡(luò)傳輸過程中封裝與解封的過程，這也是網(wǎng)絡(luò)數(shù)據(jù)包捕獲和分析的基礎(chǔ)?；?WinPcap 開發(fā)的監(jiān)聽程序具有很好的移植性，可以很容易的移植到 Unix 系統(tǒng)上，所以在 Windows 系統(tǒng)上基于WinPcap 來開發(fā)網(wǎng)絡(luò)監(jiān)測軟件的一種很選擇。s goal is to ARP in TCP / IP protocol, the IP, the TCP, the UDP Type A agreement, the Windows XP operating system platform, the Visual C + + environment using the WinPcap driver from the TCP / IP protocol stack, the data link layer to capture the original packet, and extracted from the above four protocols and packet data. Proved by testing in a real environment, This system can be efficiently monitored and set the filter conditions of the packet, and displays the protocol of each packet, the source IP address, destination IP address, XXXX 大學(xué) 2021 屆畢業(yè)論文（設(shè)計） 4 packet length and packet data and other content that can help work administrators to analyze work data has a certain practical value, mainly in the following areas: (1) First, to achieve freedom of choice on all NICs on the machine. (2) to achieve a custom packet filtering rules, you can also bind to the host, protocol and port can monitor certain types of packets and can show the level of