【正文】 的信息社會(huì)里，積極的研究和探索網(wǎng)絡(luò)安全問題是一件非常有意義的事情，通過研究網(wǎng)絡(luò)監(jiān)聽系統(tǒng)來進(jìn)行具體的網(wǎng)絡(luò)安全研究工作是非常必要的。但是，通過對(duì)諸多安全事件的處理、分析，調(diào)查人員發(fā)現(xiàn)企業(yè)內(nèi)部人員造成的違規(guī)事件占了較大比例。到目前為止，可以進(jìn)行網(wǎng)絡(luò)數(shù)據(jù)監(jiān)聽的工具從軟件到硬件，從有線網(wǎng)到無線網(wǎng)，可以說是應(yīng)有盡有。 網(wǎng)絡(luò)監(jiān)聽的原理 Ether（ 以太網(wǎng) ，它是由 施樂公司 發(fā)明的一種比較流行的局域網(wǎng)技術(shù)，它包含一條所有計(jì)算機(jī)都連接到其上的一條電纜，每臺(tái)計(jì)算機(jī)需要一種叫接口板的硬件才能連接到以太網(wǎng)）協(xié)議的工作方式是將要發(fā)送的 數(shù)據(jù)包發(fā)往連接在一起的所有主機(jī)。底層的包捕獲驅(qū)動(dòng)程序?qū)嶋H為一個(gè) 協(xié)議 網(wǎng)絡(luò)驅(qū)動(dòng)程序，通過對(duì) NDIS 中函數(shù)的調(diào)用為 Win9 Win9WinNT、和 Win2000 提供一類似于 UNIX 系統(tǒng)下 Berkeley Packet Filter 的捕獲和發(fā)送原始數(shù)據(jù)包的能力。由于這些局限，使得 Windows 平臺(tái)下的網(wǎng)絡(luò)安全和分析工具無論在數(shù)量上，還是質(zhì)量上都與 Unix 下有很大的差距。虛擬機(jī)的效率成為獲得好的效率的關(guān)鍵。 ，提供了發(fā)送數(shù)據(jù)包的能力。 (b) 多播傳送（ MultiCast Model）：多播傳送地址作為目的物理地址的幀可以被組內(nèi)的其它主機(jī)同時(shí)接收，而組外主機(jī)卻接收不到。然后等待系統(tǒng)緩沖區(qū)滿后，再將數(shù)據(jù)包拷貝到用戶緩沖區(qū)。也可以這樣說， IP 地址 形成了許多服務(wù)的認(rèn)證基礎(chǔ)，這些服務(wù)相信數(shù)據(jù)包是從一個(gè)有效的主機(jī)發(fā)送來的。 UDP 通訊時(shí)不需要接收方確認(rèn)，屬于不可靠的傳輸，可能會(huì)出丟包現(xiàn)象，實(shí)際應(yīng)用中要求在程序員編程驗(yàn)證。 (b) 目的 IP 地址 接收包的 IP 地址。一般將 IP 地址按節(jié)點(diǎn)計(jì)算機(jī)所在網(wǎng)絡(luò)規(guī)模的大小分為 A， B， C 三類，默認(rèn)的網(wǎng)絡(luò)屏蔽是根據(jù) IP 地址中的第一個(gè)字段確定的。 (c) C 類地址 C 類地址的表示范圍為： ~，默認(rèn)網(wǎng)絡(luò)屏蔽為： ；C 類地址分配給小型網(wǎng)絡(luò)，如一般的局域網(wǎng)，它可連接的主機(jī)數(shù)量是最少的，采用把所屬的用戶分為若干的網(wǎng)段進(jìn)行管理。 在 Inter 中，一臺(tái)計(jì)算機(jī)可以有一個(gè)或多個(gè) IP 地址，就像一個(gè)人可以有多個(gè)通信地址一樣，但兩臺(tái)或多臺(tái)計(jì)算機(jī)卻不能共享一個(gè) IP 地址。 子網(wǎng)屏蔽：在闡述 TCP/IP 協(xié)議的 IP 地址分類時(shí)，用到這個(gè)術(shù)語(yǔ)。 (f) 用 nslookup 測(cè)試 DNS 解析是否正確，輸入如 nslookup ，查看是否能解析。隧道方式最初可能非常沒有效率，因?yàn)殡娮余]件和聊天只需要很低的帶寬。局域網(wǎng)中最常用的是以太網(wǎng)。 (b) IPv6 使用更小的 路由表 。在你的桌面 P C 上插入網(wǎng)絡(luò)接口卡，你就建立了計(jì)算機(jī)連網(wǎng)的基礎(chǔ)。 (6) 表示層 表示層如同應(yīng)用程序和網(wǎng) 絡(luò)之間的翻譯官，在表示層，數(shù)據(jù)將按照網(wǎng)絡(luò)能理解的方案進(jìn)行格式化；這種格式化也因所使用網(wǎng)絡(luò)的類型不同而不同。傳輸協(xié)議同時(shí)進(jìn)行流量控制或是基于接收方可接收數(shù)據(jù)的快慢程度規(guī)定適當(dāng)?shù)陌l(fā)送速率。在 OSI 模型的底端是攜帶信號(hào)的網(wǎng)絡(luò)電纜和連接器。 IPv6 IPv6 是 Inter Protocol Version 6 的縮寫，其中 Inter Protocol 譯為 “互聯(lián)網(wǎng)協(xié)議 ”。 (b) 在命令行模式輸入命令 sh int ip reset C:\ (其中， 記 錄命令結(jié)果的日志文件，一定要指定，這里指定了 日志文件及完整路徑。數(shù)據(jù)能夠用于任何目的，并且能夠很輕易地取代以前由專有數(shù)據(jù)網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)。此 時(shí)顯示了你的網(wǎng)絡(luò)配置，觀查是否正確。 (5) 概念區(qū)分 協(xié)議闡述 IP 申請(qǐng)的術(shù)語(yǔ) IP 申請(qǐng)的術(shù)語(yǔ) : 網(wǎng)絡(luò)地址：在申請(qǐng) IP 地址或是闡述 TCP/IP 協(xié)議的 IP 地址分類時(shí)，用到這個(gè)術(shù)語(yǔ)。 D 類地址稱為 廣播地址 ，供特殊協(xié)議向選定的節(jié)點(diǎn)發(fā)送信息時(shí)用。 到 是保留地址。 我們都已經(jīng)知道， Inter 是由幾千萬(wàn)臺(tái)計(jì)算機(jī)互相連接而成的。用戶使用 Tel 客戶程序與服務(wù)進(jìn)程建立一個(gè)連接。應(yīng)用程序輪流將信息送回 TCP 層， TCP 層便將它們向下傳送到 IP 層，設(shè)備驅(qū)動(dòng)程序和物理介質(zhì)，最后到接收方。 IP IP 層接收由更低層（網(wǎng)絡(luò)接口層例如 以太網(wǎng) 設(shè)備驅(qū)動(dòng)程序）發(fā)來的數(shù)據(jù)包，并把該數(shù)據(jù)包發(fā)送到更高層 TCP 或 UDP 層；相反， IP 層也把從 TCP 或 UDP 層接收來的數(shù)據(jù)包傳送到更低層。 (b) 回調(diào)函數(shù) Network Tap 在得到監(jiān)聽命令后，從 網(wǎng)絡(luò)設(shè)備 驅(qū)動(dòng)程序處收集數(shù)據(jù)包把監(jiān)聽到的數(shù)據(jù)包負(fù)責(zé)傳送給過濾程序。每個(gè)站點(diǎn)（這里特指計(jì)算 機(jī)通過的接口卡）網(wǎng)卡來實(shí)現(xiàn)這種功能。它提供了更加高層、抽象的函數(shù)。通過它，可以使用用戶定義的 filter、管理用戶層的 buffer 等。 WinPcap 的優(yōu)勢(shì)提供了一套標(biāo)準(zhǔn)的抓包接口，與 libpcap兼容，可使得原來許多 UNIX 平臺(tái)下的網(wǎng)絡(luò)分析工具快速移植過 來便于開發(fā)各種網(wǎng)絡(luò)分析工具，充分考慮了各種性能和效率的優(yōu)化，包括對(duì)于 NPF 內(nèi)核層次上的過濾器支持，支持內(nèi)核態(tài)的統(tǒng)計(jì)模式，提供了發(fā)送數(shù)據(jù)包的能力。 基于 Visual C++的網(wǎng)絡(luò)監(jiān)聽系統(tǒng) 5 當(dāng)連接在同一條電纜或集線器上的主機(jī)被邏輯地分為幾個(gè)子網(wǎng)的時(shí)候，那么要是有一臺(tái)主機(jī)處于監(jiān)聽模式，它還將可以接收到發(fā)向與自己不在同一個(gè) 子網(wǎng) （使用了不同的掩碼、 IP 地址和網(wǎng)關(guān)）的主機(jī)的數(shù)據(jù)包，在同一個(gè)物理信道上傳輸?shù)乃行畔⒍伎梢员唤邮盏?。網(wǎng)絡(luò)監(jiān)聽器（ sniffer ）原來是提供給網(wǎng)絡(luò)管理員的一類管理工具，使用這組工具可以監(jiān)視網(wǎng)絡(luò)的狀態(tài)、數(shù)據(jù)流動(dòng)情況以及網(wǎng)絡(luò)上傳出的消息并利用這些消息來排除網(wǎng)絡(luò)故障。局域網(wǎng)中的網(wǎng)絡(luò)數(shù)據(jù)監(jiān)聽，是實(shí)現(xiàn)網(wǎng)絡(luò)安全的必要技術(shù)，它的研究和發(fā)展有利于網(wǎng)絡(luò)管理、網(wǎng)絡(luò)故障排除以及網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的進(jìn)一步發(fā)展。 網(wǎng)絡(luò)監(jiān)聽是數(shù)據(jù)庫(kù)安全審 計(jì)的最佳手段 ， 長(zhǎng)期以來，在保障業(yè)務(wù)連續(xù)性和性能的前提下，最大限度的保障 數(shù)據(jù)庫(kù) 安全一直是數(shù)據(jù)庫(kù)管理人員、安全管理人員孜孜不倦追求的安全目標(biāo)。網(wǎng)絡(luò)監(jiān)聽技術(shù)的起源是網(wǎng)絡(luò)管理員為了診斷網(wǎng)絡(luò)故障的需要，而監(jiān)聽網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)信息。 27 綁定本機(jī) IP 地址 5 WinPcap 的體系結(jié)構(gòu) 網(wǎng)絡(luò)監(jiān)聽技術(shù)是系統(tǒng)安全領(lǐng)域內(nèi)一個(gè)非常敏感的話題，也是一項(xiàng)重要的技術(shù)，具有很強(qiáng)的現(xiàn)實(shí) 應(yīng)用背景。遺憾的是，當(dāng)網(wǎng)絡(luò)給人們提供便利的同 時(shí)，網(wǎng)絡(luò)技術(shù)的發(fā)展方向似乎都趨向于網(wǎng)絡(luò)的便利性和實(shí)用性，因而留下了太多的技術(shù)、管理和基礎(chǔ)設(shè)施的漏洞。伴隨著網(wǎng)絡(luò)的發(fā)展，也產(chǎn)生了各種各樣的問題，陜西科技大學(xué)畢業(yè)設(shè)計(jì)說明書 2 其中安全問題尤為突出。它對(duì)網(wǎng)絡(luò)上的所有數(shù)據(jù)進(jìn)行捕獲，一方面對(duì)數(shù)據(jù)包進(jìn)行檢查分析，以便找出我們所關(guān)心的網(wǎng)絡(luò)中潛在的問題，對(duì)網(wǎng)絡(luò)故障做出精確定位，幫助管理員解決網(wǎng)絡(luò)的故障和性能問題；另一方面它又是黑客竊聽網(wǎng)絡(luò)的工具，黑客利用數(shù)據(jù)包中攜帶的數(shù)據(jù)直基于 Visual C++的網(wǎng)絡(luò)監(jiān)聽系統(tǒng) 3 接或間接獲取的機(jī)密信息。一般的情況下，大型的企業(yè)網(wǎng)絡(luò)都會(huì)使用軟硬件結(jié)合的網(wǎng)絡(luò)分析儀。 Ether 中填寫了物理地址的禎從網(wǎng)絡(luò)接口中，也就是從網(wǎng)卡中發(fā)送出去傳送到物理的線路上。它提供了更加高層、抽象的函數(shù)。 Userlevel buffer存儲(chǔ)從核心層進(jìn)來的數(shù)據(jù)包，它可防止用戶 直接訪問內(nèi)核管理的內(nèi)存。 可以解決這些差異。 標(biāo)準(zhǔn)的以太網(wǎng)采用的是持續(xù) CSMA 的方式，正是由于以太網(wǎng)采用這種廣播信道爭(zhēng)用的方式，使得各個(gè)站點(diǎn)可以獲得其他站點(diǎn)發(fā)送的數(shù)據(jù)。 NDIS 還支持多種工作模式，支持多處理器，提供一個(gè)完備的 NDIS 庫(kù) (Library)。而將計(jì)算機(jī) 網(wǎng)絡(luò)層 次模型和各層協(xié)議的集合 定義 為計(jì)算機(jī)網(wǎng)絡(luò)體系結(jié)構(gòu) (Network Architecture)。TCP 將包排序并進(jìn)行錯(cuò)誤檢查，同時(shí)實(shí)現(xiàn)虛電路間的連接。另外，如果路徑不可用了， ICMP 可以使TCP 連接 ?體面地 ?終止。就好像每一個(gè)住宅都有唯一的門牌一樣，才不至于在傳輸資料時(shí)出現(xiàn)混亂。 A 類地址適用于有大量主機(jī)的大型網(wǎng)絡(luò)。但這兩類地址用途比較特殊，在這里只是簡(jiǎn)單介紹一下： D 類地址不分網(wǎng)絡(luò)地址 和主機(jī)地址，它的第 1 個(gè)字節(jié)的前四位固定為 1110。在完整一組 C 類地址中如 子網(wǎng)掩碼 ， 稱之網(wǎng)絡(luò)編碼（ Network Number，將 IP 地址和子網(wǎng)掩碼作和），而 是廣播的 IP 地址，所以 這兩者皆不能使用，實(shí)際只能使用 等 254 個(gè) IP 地址，這是以 作子網(wǎng)掩碼的結(jié)果，而所謂 Sub Msk 尚可將整組 C 類地址分成數(shù)組網(wǎng)絡(luò)編碼，這要在子網(wǎng)掩碼上作手腳，若是要將整組 C 類地址分成 2 個(gè)網(wǎng)絡(luò)編碼那子網(wǎng)掩碼設(shè)定為 ，若是要將整組 C 類分成 8 組網(wǎng)絡(luò)編碼則子網(wǎng)掩碼要為 ，這是怎么來的，由以上知道網(wǎng)絡(luò)編碼是由 IP 地址和子網(wǎng)掩碼作 AND 而來的，而且將子網(wǎng)掩碼以二進(jìn)制表示法知道是 1 的會(huì)保 留，而為 0 的去掉 以上是以 為子網(wǎng)掩碼的結(jié)果，網(wǎng)絡(luò)編碼是 ，若是使用基于 Visual C++的網(wǎng)絡(luò)監(jiān)聽系統(tǒng) 17 作子網(wǎng)掩碼結(jié)果便有所不同 此時(shí)網(wǎng)絡(luò)編碼變成了 ，這便是子網(wǎng)。同時(shí)，它 將網(wǎng)絡(luò)地址全部確定為網(wǎng)絡(luò)編碼。 (9) 協(xié)議優(yōu)勢(shì) 在長(zhǎng)期的發(fā)展過程中， IP 逐漸取代其他網(wǎng)絡(luò)。 (10) 協(xié)議重置 如果需要重新安裝 TCP/IP 以使 TCP/IP 堆?；謴?fù)為原始狀態(tài)。那時(shí)只有幾百臺(tái)計(jì)算機(jī)互相聯(lián)網(wǎng)。 OSI 模型將網(wǎng)絡(luò)結(jié)構(gòu)劃分為七層：即物理層、數(shù)據(jù)鏈路層、網(wǎng)絡(luò)層、傳輸層、會(huì)話層、表示層和應(yīng)用層。由于網(wǎng)絡(luò)層處理路由，而路由器因?yàn)檫B接網(wǎng)絡(luò)各段，并智能指導(dǎo)數(shù)據(jù)傳送，因此屬于網(wǎng)絡(luò)層。應(yīng)用層負(fù)責(zé)對(duì)軟件提供接口以使程序能使用網(wǎng)絡(luò)服務(wù)。 (2) 數(shù)據(jù)鏈路層 數(shù)據(jù)鏈路層是 O S I 模型的第二層，它控制網(wǎng)絡(luò)層與物理層之間的通信。 (d) IPv6 加入了對(duì)自動(dòng) 配置 （ Auto Configuration）的支持。但采用A、 B、 C 三類編址方式后，可用的網(wǎng)絡(luò)地址和主機(jī)地址的數(shù)目大打折扣，以至目前的IP 地址已經(jīng)枯竭。 IP 替代品過程遍布整個(gè)因特網(wǎng)，這使 IP 替代品比最初的專有網(wǎng)絡(luò)更加有價(jià)值（由陜西科技大學(xué)畢業(yè)設(shè)計(jì)說明書 20 于網(wǎng)絡(luò)效應(yīng)）。不過 ，要注意，在使用 ping 命令時(shí)，有些公司會(huì)在其主機(jī)設(shè)置丟棄 ICMP 數(shù)據(jù)包，造成你的 ping 命令無法正常返回?cái)?shù)據(jù)包，不防換個(gè)網(wǎng)站試試。一個(gè)網(wǎng)絡(luò)編碼，對(duì)應(yīng)一個(gè)網(wǎng)域（或網(wǎng)段）。這臺(tái)計(jì)算機(jī)能根據(jù)用戶通信目標(biāo)計(jì)算機(jī)的 IP 地址，決定是否將用戶發(fā)出的信息送出本地網(wǎng)絡(luò)，同時(shí)，它還將外界發(fā)送給屬于本地網(wǎng)絡(luò)計(jì)算機(jī)的信息接收過來，它是一個(gè)網(wǎng)絡(luò)與另一個(gè)網(wǎng)絡(luò)相聯(lián)的通道。每個(gè) C 類地址可連接 254 臺(tái)主機(jī)，Inter有 2097152個(gè) C類地址段（ 32*256*256），有 532676608個(gè)地址（ 32*256*256*254）。分配給具有大量主機(jī)（直接個(gè)人用 戶）而局域網(wǎng) 絡(luò)個(gè)數(shù)較少的大型網(wǎng)絡(luò)。 端口是一個(gè)軟件結(jié)構(gòu)，被客戶程序或服務(wù)進(jìn)程用來發(fā)送和接收信息。相對(duì)于 FTP 或 Tel，這些服務(wù)需要交換的信息量較小。這個(gè) 選項(xiàng)是為了測(cè)試而存在的，說明了它可以被用來欺騙系統(tǒng)來進(jìn)行平常是被禁止的連接。 基于 Visual C++的網(wǎng)絡(luò)監(jiān)聽系統(tǒng) 11 3 相關(guān)網(wǎng)絡(luò)協(xié)議的分析 網(wǎng)絡(luò)體系結(jié)構(gòu) 計(jì)算機(jī) 的網(wǎng)絡(luò)結(jié)構(gòu)可以從網(wǎng)絡(luò)體系結(jié)構(gòu) ， 網(wǎng)絡(luò)組織 和網(wǎng)絡(luò)配置三個(gè)方面來描述 ， 網(wǎng)絡(luò)組織是從網(wǎng)絡(luò)的 物理結(jié)構(gòu) 和網(wǎng)絡(luò)的實(shí)現(xiàn)兩方面來描述 計(jì)算機(jī)網(wǎng)絡(luò) 。 (d) 混雜模式（ Promiscuous Model） :工作在混雜模式下的網(wǎng)卡接收所有的流過網(wǎng)卡的幀，信包捕獲程序就是在這種模式下運(yùn)行的。 WinPcap 的功能與新特性 WinPcap 除了其強(qiáng)大的捕獲數(shù)據(jù)包的功能以外，相比 BSD Capturing Component 還增加了發(fā)送數(shù)據(jù)包的功能：它是在 Win32 平臺(tái)上第一個(gè)提供標(biāo)準(zhǔn)的一套發(fā)送數(shù)據(jù)包函數(shù)的庫(kù)。微軟開發(fā) winpcap 這個(gè)項(xiàng)目的目的在于為win32 應(yīng)用程序提供更開放的訪問網(wǎng)絡(luò)底層的能力。 WinPcap 的體系結(jié)構(gòu) (1) BSD Capturing Component 的體系結(jié)構(gòu) BSD Capturing Component 是 Unix 下最常用的捕獲數(shù)據(jù)包的驅(qū)動(dòng)，其基本體系結(jié)構(gòu)見圖 21。它的功能是過濾數(shù)據(jù)包，并把這些數(shù)據(jù)包原封不動(dòng)