【正文】 r； //廣播地址 Struct sockaddr *dstaddr； //目的地址 }； 此數(shù)據(jù)結(jié)構(gòu)描述的是網(wǎng)絡(luò)接口的地址。第二步是對所獲取的數(shù)據(jù)包文進行分析和統(tǒng)計或是其他操作，篩選出我們所需要的信息。 實質(zhì)是主要實現(xiàn)一個網(wǎng)絡(luò)實時監(jiān)聽的功能，然后將捕捉到的數(shù)據(jù)包保存下來以便進一步的分析使用。inum)。 //關(guān)閉抓包 過程 return 0。 pcap_if_t ** alldevs：返回一個 pcap_if 結(jié)構(gòu)的鏈表。 網(wǎng)絡(luò)數(shù)據(jù)包分析 模塊 的 實現(xiàn) 網(wǎng)絡(luò) 數(shù)據(jù) 包 分析模塊的設(shè)計思想是將 WinPcap 捕獲到的數(shù)據(jù)對應(yīng) 網(wǎng)絡(luò)數(shù)據(jù)包的格式進行初始化，取得具體的值，并輸出到界面。 //服務(wù)類型 type of service int m_nPrecedence。 //選項內(nèi)容 int m_nDataLength。 //吞吐量 CString GetReliability()。//源端口 int m_nDestPort。 unsigned char *m_pData。//窗口大小 CString GetCheckSum()。 public: CUDPPacket()。 //arp 的總數(shù) long m_lOtherCount。 陜西理工學院畢業(yè)設(shè)計 第 20 頁 共 65 頁 圖 選中查看數(shù)據(jù)包圖 如圖 所示，為軟件導出數(shù)據(jù)信息的過程。 陜西理工學院畢業(yè)設(shè)計 第 22 頁 共 65 頁 參考文獻 [1]（美） Andrew 著，嚴偉，潘愛民譯 .計算機網(wǎng)絡(luò)（第 5 版） .清華大學出版社 .2021. [2] Stevens,尤晉元譯 .UNIX 環(huán)境高級編程 (第 2 版 ).人民郵電出版社 .2021. [3] Stevens,楊繼張譯 .UNIX 網(wǎng)絡(luò)編程 (卷 1:套接字聯(lián)網(wǎng) API(第 3 版 )).人民郵電出版社 .2021. [4] Stevens,范建華譯 .TCP/IP 詳解 (卷 1:協(xié)議 ).機械工業(yè)出版社 .2021. [5] Stevens,陸雪瑩譯 .TCP/IP 詳解 (卷 2:實現(xiàn) ).機械工業(yè)出版社 .2021. [6]諸葛建偉，陳霖，許偉林等譯著 .Wireshark 數(shù)據(jù)包分析實戰(zhàn)（第 2 版） .人民郵電出版社 .2021. [7]艾翔 .網(wǎng)絡(luò)數(shù)據(jù)包分析系統(tǒng)的設(shè)計與實現(xiàn) [J].商品與質(zhì)量 .2021,S7:135136. [8]高凱 ,趙登攀 .一種網(wǎng)絡(luò)數(shù)據(jù)包分析軟件的開發(fā)與設(shè)計 [J].電子世界 .2021,18:144. [9]劉達明 .基于網(wǎng)絡(luò)數(shù)據(jù)包分析技術(shù)的研究 [D].吉林大學。 圖 設(shè)置網(wǎng)卡圖 如圖 所示，為軟件進行抓包的過程，中部列表項顯示的是在這一時段捕獲的所有數(shù)據(jù)包，而右下角的統(tǒng)計量顯示的是這些數(shù)據(jù)包的類型和數(shù)量。 CArrayconst u_char *,const u_char * m_pktDatas。//校驗和 unsigned int m_uDataLen。//用于建立連接 CString GetFIN()。//選項長度 unsigned char *m_pOptions。 TCP協(xié)議分析 類的設(shè)計 TCP 協(xié)議 提供全雙工和可靠交付的服務(wù) ， 該協(xié)議主要用于在主機間建立一個虛擬連接，以實現(xiàn)高可靠性的數(shù)據(jù)包交換。 //優(yōu)先級 CString GetDelay()。 //目的 IP 地址 int m_nOptLength。 //版本 int m_nHeaderLength。 （ 3） IDS 中的應(yīng)用：隨著分布式網(wǎng)絡(luò)的發(fā)展，入侵檢測是成為維護網(wǎng)絡(luò)安全的必不可少的一環(huán)，人侵檢測系統(tǒng)的基礎(chǔ)離不開對網(wǎng)絡(luò)數(shù)據(jù)包的解析，只有對網(wǎng)絡(luò)上所運行的數(shù)據(jù)包 陜西理工學院畢業(yè)設(shè)計 第 14 頁 共 65 頁 有了深刻的認識和掌握，才能夠發(fā)現(xiàn)和阻止攻擊行為，以達到保護網(wǎng)絡(luò)的目的。 This pointer keeps the 陜西理工學院畢業(yè)設(shè)計 第 13 頁 共 65 頁 information required to authenticate the RPCAP connection to the remote 的資料，驗證 RPCAP 連接到遠程主機。 pcap_loop(adhandle,1, packet_handler, (unsigned char *)dumpfile)。 } （ 3） 選擇網(wǎng)卡 一般的情況下都會檢測到至少兩塊網(wǎng)卡，所以我們要選擇我們正在使用的網(wǎng)卡設(shè)備。 總體設(shè)計流程圖如圖 所示 啟 動 程 序選 擇 網(wǎng) 卡啟 動 監(jiān) 聽不 停 的 通 過 p c a p . l o o p 抓 包 ， 通 過 調(diào) 用 各P a c k e t 類 來 解 析 報 文 的 包增 加 相 應(yīng) 的 包 類 型 計 數(shù) （ t c p 或 u d p ） ， 將捕 獲 到 的 包 的 分 析 結(jié) 果 插 入 l i s t 中 。 void pcap_dump(u_char *user,const struct pcap_pkthdr *h,const u_char *sp) 此函數(shù)的功能是向文件中寫入網(wǎng)絡(luò)數(shù)據(jù)包內(nèi)容。使用 進行數(shù)據(jù)包捕獲的編程與使用 Libpcap 一樣簡單。它是提供給開發(fā)者的一個接口，使用它就可以調(diào)用Winpcap 的函數(shù)，它是一個較低層的開發(fā)接口。因而，這個連接是雙工的，可以用來進行讀寫。應(yīng)用程序輪流將信息送回 TCP 層， TCP 層便將它們向下傳送到 IP 層，設(shè)備驅(qū)動程序和物理介質(zhì)，最后到接收方。 互連網(wǎng)絡(luò)層：負責提供基本的數(shù)據(jù)封包傳送功能，讓每一塊數(shù)據(jù)包都能夠到達目的主機（但不檢查是否被正確接收），如網(wǎng)際協(xié)議（ IP）。 通過以上步驟通過實現(xiàn)數(shù)據(jù)包的捕獲、數(shù)據(jù)包信息的解析、 流量的監(jiān)控以及數(shù)據(jù)的導出。 所以真正想要找到一款操作簡單使用方便的數(shù)據(jù)包捕獲軟件并不容易。采用的是 Winpcap（ Windows Packet Capture）來實現(xiàn)的抓包 功能。所以嘗試選擇了這個課題。 課題研究的內(nèi)容 由上所述，加強對網(wǎng)絡(luò)中數(shù)據(jù)包傳輸?shù)谋O(jiān)管，已經(jīng)越發(fā)顯得重要。這 7 層是 :物理層、數(shù)據(jù)鏈路層、網(wǎng)絡(luò)層、傳輸層、會話層、表示層和應(yīng)用層。那么，許多依靠 IP 源地址做確認的服務(wù)將產(chǎn)生問題并且會被非法入侵。另外，如果路徑不可用了， ICMP 可以使 TCP 連接 ?體面地 ‘終止。 Winpcap 的組成 Winpcap 包括三部分內(nèi)容。使用它可以跟內(nèi)核打交道，它是開發(fā)者與內(nèi)核交互的一個很好的接口。 （ 3） 數(shù)據(jù)包捕獲函數(shù) ： int pcap_loop(pcap_t *p,int t,pcap_handler callback,u_char *user) 此函數(shù)是循環(huán)捕獲網(wǎng)絡(luò)數(shù)據(jù)包，直到遇到錯誤或者滿足退出條件。每個模型中按對應(yīng)的數(shù)據(jù)包類型構(gòu)造分析算法，完成對本類型數(shù)據(jù)包的 具體解析工作。 int pcap_findalldevs_ex ( char * source, struct pcap_rmtauth * auth, pcap_if_t ** alldevs, char * errbuf ) （ 2） 打印網(wǎng)卡列表 for(d=alldevs。 /* 釋放設(shè)備列表 */ return 1。 char *name：指向一個字符串提供的名稱裝置傳遞給 pcap_open_live ( )。 此函數(shù)功能將數(shù)據(jù)報存儲到堆文件 。 CUDPPacket 類 構(gòu)造函數(shù) CUDPPacket(unsigned char *buf,int buflen)，實現(xiàn)通過調(diào)用已獲取的 UDP 包數(shù)據(jù)，分析 UDP 包中的各項參數(shù)。 //分段偏移 fragment offset int m_nTTL。 int GetDataLength()。 //選項長度 CString GetOptions()。//用于建立連接 bool m_bFIN。//頭部長 CString GetURG()。 UDP協(xié)議分析 類的設(shè)計 UDP 協(xié)議 是一個無連接協(xié)議，傳輸數(shù)據(jù)之前源端和終端不建立連接，也不使用擁塞 控制、不保證可靠交付。 private: CString GetInt(int nNumm,char *pData = NULL,bool nFlag =true)。 （ 3） 左下角數(shù)據(jù)包樹形欄，主要功能是將所選中的數(shù)據(jù)包的數(shù)據(jù)鏈路層、網(wǎng)絡(luò)層、傳輸層這三層的各類信息，同個樹形表的形式顯示出來，方便具體查看。 （ 2） 成果和不足 在設(shè)計中 我 主要是完成了對于網(wǎng)卡信息的獲取 和 網(wǎng)絡(luò)數(shù)據(jù)包捕獲 與分析等 功能的實現(xiàn)，其中參考了一些網(wǎng)絡(luò)上的教程和書籍，通過閱讀和實踐來修改 和 學習，最終通過掃描可用網(wǎng)絡(luò)接口 并打開網(wǎng)卡接口來獲取到網(wǎng)卡的信息，然后再通過更改設(shè)置網(wǎng)卡的混雜模式后調(diào)用Winpcap 中的 函數(shù) 來實現(xiàn)對于網(wǎng)絡(luò)數(shù)據(jù)包的捕獲并且分析顯示出來。實際涉及到生產(chǎn)的設(shè)計是嚴謹?shù)摹⒖茖W的、有根據(jù)的、完整的。 bool createXML(CString strFileName)。 CString GetTotalLen()。//數(shù)據(jù)長度 CString GetData()。 CString GetDestPort()。//為 1 表示使用緊急指針 bool m_bACK。 //還有進一步的分段 CString GetFragOffSet()。 public: CString GetProtocol()。 //總長 total length int m_nIdentification。 這幾種類根據(jù)控制層控制，從抓包開始到結(jié)束，一直重復(fù)調(diào)用，分門別類的處理各自相應(yīng)數(shù)據(jù)包，并通過主界面顯示。 當我們完成了設(shè)備列表的使用，我們要調(diào)用 pcap_freealldevs() 函數(shù)將其占用的內(nèi)存資源釋放。 struct pcap_addr *addresses。 i inum1 。網(wǎng)卡的缺省工作模式包含廣播模式和直接模式，即它只接收廣播幀和發(fā)給自己的幀。 第四：調(diào) 用庫函數(shù)， pcap_loop（），并同時指定其回調(diào)函數(shù)，所指定的回調(diào)函數(shù)其實就是數(shù)據(jù)包分析過程。 （ 1） 網(wǎng)絡(luò)接口函數(shù) ： int pcap_findalldevs（ pcap_if_t **alldevsp,char *errbuf）； 陜西理工學院畢業(yè)設(shè)計 第 8 頁 共 65 頁 此函數(shù)的功能是查找機器的所有可用網(wǎng)絡(luò)接口，用一個鏈表返回。 圖 NPF 的結(jié)構(gòu) 圖 中的箭頭標識網(wǎng)絡(luò)數(shù)據(jù)包的流動方向，并且可以看到 NPF 是工作在內(nèi)核層的。 Winpcap 給程序員提供了一套標準的網(wǎng)絡(luò)數(shù)據(jù)包捕獲的編程接口，并且與 Libpcap 兼容，增加了從 linux 到 windows 平臺的可移植性。 欺騙 UDP 包比欺騙 TCP 包更容易，因為 UDP 沒有建立初始化連接（也可以稱為握手）（因為在兩個系統(tǒng)間沒有虛電路），也就是說，與 UDP 相關(guān)的服務(wù)面臨著更大的危險。也可以這樣說， IP 地址形成了許多服務(wù)的認證基礎(chǔ)，這些服務(wù)相信數(shù)據(jù)包是從一個有效的主機發(fā)送來的。 TCP/IP 定義了電子設(shè)備（比如計算機）如何連入因特網(wǎng)，以及數(shù)據(jù)如何在它們之間傳輸?shù)臉藴?。伴隨著網(wǎng)絡(luò)帶來的便利，網(wǎng)絡(luò)安全問題也越來越受到人們的關(guān)注和重視。 而為了實現(xiàn)將抓包獲取的數(shù)據(jù)進行解析并展現(xiàn)出來，本次畢 業(yè) 設(shè) 計 還要通過 C++編程將其編寫成為軟件，以便于操作運用，能讓獲取的數(shù)據(jù)包數(shù)據(jù)進行解析后，在界面中顯示出來，方便查看數(shù)據(jù)包各類信息，以及進一步的進行一些對應(yīng)操作，達到我們解析數(shù)據(jù)包的目的，并可在日后能添加新功能，加強對數(shù)據(jù)包的分析能力。因此，對網(wǎng)絡(luò)的監(jiān)控與管理勢在必行，而想要監(jiān)控和管理網(wǎng)絡(luò)，首先就要獲取網(wǎng)絡(luò)中所傳輸?shù)母黝愋畔?，才能進一步得進行監(jiān)控和管理，可以說數(shù)據(jù)包的捕獲是對網(wǎng)絡(luò)監(jiān)控與管理的前提，所以研究并開發(fā)出一種能夠有效地實時捕獲網(wǎng)絡(luò)信息的系統(tǒng)具有極其重要的意義。我總是在一些比較著名的軟件下載網(wǎng)站上獲取一些比較受好評的軟件來使用，然后從中選擇適合自己的。下面我將簡單的介紹一下 TC