【正文】 ystem. The thesis uses raw sockets on windows platform to realize one sniffer which can plete unpack and analyze data packet. Key words: work sniffer。 raw sockets 目 錄 論文總頁數(shù)： 25頁 1 引言 ..................................................................... 3 網(wǎng)絡(luò)安全的現(xiàn)狀 ........................................................ 3 計算機網(wǎng)絡(luò)安全的問題 .............................................. 3 網(wǎng)絡(luò)安全機制及技術(shù) 措施 ............................................ 3 ...................................................... 4 ........................................................ 5 2 網(wǎng)絡(luò)嗅探器的基本原理 ...................................................... 5 ........................................................ 5 嗅探器實現(xiàn)基礎(chǔ) ........................................................ 5 常見的 sniffer ........................................................ 6 數(shù)據(jù)包 捕獲機制的研究 .................................................. 6 WinPcap包 捕獲 機制 ................................................ 7 套接字包捕獲機制 .................................................. 8 嗅探器的兩面性 ....................................................... 10 sinffer的危害 ................................................... 10 通過網(wǎng)絡(luò)嗅探進行 網(wǎng)絡(luò)管理 ......................................... 11 3 入侵檢測系統(tǒng)與嗅探器 ..................................................... 11 入侵檢測概念 ......................................................... 11 入侵檢測的實現(xiàn)與嗅探器 ............................................... 12 入侵檢測的 實現(xiàn) 與嗅探器的關(guān)系 ..................................... 13 數(shù)據(jù)包嗅探技術(shù)在入侵檢測系統(tǒng)中的應(yīng)用 ............................. 13 4 嗅探器的實現(xiàn)與測試 ...................................................... 14 ..................................... 14 嗅探器的具體實現(xiàn)原理 ................................................. 15 數(shù)據(jù)包捕獲 程序設(shè)計 ................................................... 17 數(shù)據(jù)包 的解析 ......................................................... 17 數(shù)據(jù)的顯示 .......................................................... 21 嗅探器的測試 ......................................................... 24 結(jié) 論 .................................................................. 24 參考文獻(xiàn) .................................................................. 25 致 謝 .................................................................. 26 聲 明 .................................................................. 27 1 引言 網(wǎng)絡(luò)安全 的現(xiàn)狀 計算機網(wǎng)絡(luò)安全 的問題 隨著各種新的網(wǎng)絡(luò)技術(shù)的不斷出現(xiàn)、應(yīng)用和發(fā)展，計算機網(wǎng)絡(luò)的應(yīng)用越來越廣泛，其作用也越來越重要。 加密技術(shù)是網(wǎng)絡(luò)信息最基本、最核心的技術(shù)措施。 本文的研究主要圍繞以下幾個方 面進行。如果將它送到一個普通地址，一般情況下，只有一個站點收到這個幀，但是，以太網(wǎng)是以廣播方式發(fā)送幀的，也即這個幀會傳播到其所在網(wǎng)段內(nèi)的所有 站點，只不過該站點不會接收目的地址不為本機地址的幀。操作系統(tǒng)提供的捕獲機制主要有四種 ： BPF(Berkeley packet Filter)， DLPI (Data Link Provider Interface)， NIT(Network Interface Tap), Sock Packet類型套接口。進程通信之前，雙方首先必須各自創(chuàng)建一個端點，否則是沒有辦法建立聯(lián)系并相互通信的。這一點可以通過 listen()函數(shù)來實現(xiàn)，它的原型如下： int listen(SOCKET s, int backlog)。 通過網(wǎng)絡(luò)嗅探進行 網(wǎng)絡(luò)管理 在合理的網(wǎng)絡(luò)中， 網(wǎng)絡(luò)嗅探器 的存在對系統(tǒng)管理員是致關(guān)重要的，系統(tǒng)管理員通過 sniffer可以診斷 出大量的不可見模糊問題，這些問題涉及兩臺乃至多臺計算機之間的異常通訊有些甚至牽涉到各種的協(xié)議，借助于 sniffer系統(tǒng)管理員可以方便的確定出多少的通訊量屬于哪個網(wǎng)絡(luò)協(xié)議、占主要通訊協(xié)議的主機是哪一臺、大多數(shù)通訊目的地是哪臺主機、報文發(fā)送占用多少時間、或 者 相互主機的報文傳送間隔時間等等，這些信息為管理員判斷網(wǎng)絡(luò)問題、管理網(wǎng)絡(luò)區(qū)域提供了非常寶貴的信息。 入侵檢測的實現(xiàn)與嗅探器 入侵 檢測的實現(xiàn)由四部分組成：數(shù)據(jù)包嗅探解析部分、數(shù)據(jù)行為檢測部分、算法部分和掃描檢測部分。但是，通常的套接字程序只能響應(yīng)與自己硬件地址相匹配的或是以廣播形式發(fā)出的數(shù)據(jù)幀，對于其他形式的數(shù)據(jù)幀比如已到達(dá)網(wǎng)絡(luò)接口但卻不是發(fā)給此地址的數(shù)據(jù)幀，網(wǎng)絡(luò)接口在驗證投遞地址并非自身地址之后將不引起響應(yīng)，也就是說應(yīng)用程序 無法收取到達(dá)的數(shù)據(jù)包。 //源端口 WORD DestPort。 //3 位標(biāo)志位 unsigned char ttl。 (FALSE) 。 closesocket( m_s ) 。 sprintf( szErr , Error WSAIoctl = %ld , dwErr ) 。 char *pSource , *pDest 。//關(guān)閉套接字 pDlgm_threadID = 0 。 strcpy( szSource , pSource ) 。 break。 pdata=((BYTE *)pUDPHead)+UDP_HEAD_LEN。 嗅探器的測試 網(wǎng)絡(luò)嗅探器程序設(shè)計完成后，在 Windows 平臺下進行運行調(diào)試，修改錯誤，使其能完成捕獲數(shù)據(jù)包和分析數(shù)據(jù)包的功能 ， 并將 解析結(jié)果在 MFC 界面顯示出來 ，如圖 47 所示： 圖 47 分析結(jié)果在界面中的顯示情況 網(wǎng)絡(luò)嗅探器能完成預(yù)期的要求，進行 數(shù)據(jù) 包截獲、 分析，顯示出分析結(jié)果。文中除了特別加以標(biāo)注地方外，不包含他人已經(jīng)發(fā)表或撰寫過的研究成果，也不包含為獲得成都信息工程學(xué)院或其他教學(xué)機構(gòu)的學(xué)位或證書而使用過的材料。s night through the air to Amack. They sit backwards on their painting b all lapse of time, and had bee a cipher and a nothing. Then three alone, or moveth upon greater means, if they have never so little hand in it, they think it is they that carry it They that are glorious, must needs be factious。s diversion, namely, the wild hunt to Amack. Ah, you don39。 [7] 郝坤 .BP神經(jīng)網(wǎng)絡(luò)在網(wǎng)絡(luò)入侵檢測系統(tǒng)中的應(yīng)用 [D].南京：南京理工大學(xué) [碩士論文 ]，2021。 (index,4,LVIF_TEXT,s4, 0, 0, 0,0)。 sourport = ntohs(pUDPHeadSourPort)。 strSourPort = 。 pIpHeader = (IPHEADER *)bufwork 。msg, NULL, WM_USER, WM_USER, PM_NOREMOVE) 。 char buf [1000] , *bufwork 。dwBufferInLen, sizeof(dwBufferInLen), amp。 //超時設(shè)置 if( setsockopt( m_s , SOL_SOCKET , SO_RCVTIMEO , (const char *)amp。 m_ipcheckedhost = ntohl(m_iphost) 。 //4 位版本號 unsigned char tos。 //16 位目的端口 WORD Len。通過 Socket 的處理，數(shù)據(jù)流（ Bits）已經(jīng)變成了能識別的數(shù)據(jù)結(jié)構(gòu)，最后協(xié)議棧將數(shù)據(jù)信息傳入應(yīng)用層 —— 應(yīng)用程序中。 ：通過分析系統(tǒng)配置，檢查系統(tǒng)是否已經(jīng)或可能被人入侵。 一個入 侵者攻擊網(wǎng)絡(luò)系統(tǒng)可能步驟大體有 :信息收集 ?安全弱點探測和分析?實施攻擊 ?逃避檢測。其用于 Linux性能評估的測試工具的設(shè)計與實現(xiàn)調(diào)用格式為 : bind(sockid, localaddr, addrlen) 總的來說，各種 socket地址數(shù)據(jù)結(jié)構(gòu)包括兩大部分 :地址類型和協(xié)議地址。而且包捕獲 驅(qū)動既與網(wǎng)絡(luò)驅(qū)動通信又與用戶應(yīng)用程序通信 ,所以它在 NDIS結(jié)構(gòu)中如同一個協(xié)議驅(qū)動， 對 WindowsNT操作系統(tǒng)中的 NDIS結(jié)構(gòu)中的高端驅(qū)動進行編程，這樣編制的程序與上層應(yīng)用程序更容易連接，應(yīng)用程序?qū)︱?qū)動設(shè)置的工作也更方便。 Linux支持一種特殊的套接字 ， 即 SockPacket型套接字 。 而嗅探器也可作為攻擊工具被 黑客所利用為其發(fā)動進一步的攻擊提供有價值的信息。顯然，要達(dá)到此目的就不能再讓網(wǎng)卡按通常的正常模式工作，而必須將其設(shè)置為混雜模式。 它是指利用好的密碼算法對有些敏感數(shù)據(jù)、文件 和程序進行加密，并以密文方式存取，以防泄密。本文利用原始套接字在 windows 平臺下實現(xiàn) 了一個網(wǎng)絡(luò)嗅探器程序，完成了對數(shù)據(jù)包進行解包、分析數(shù)據(jù)包的功能。但是由于計算機系統(tǒng)中軟硬件的脆弱性和計算機網(wǎng)絡(luò)的脆弱性以及地理分布的位置、自然環(huán)境、自然破壞以及人為因素的影響，不僅增加了信息存儲、處理的風(fēng)險，也給信息傳送帶來了新的問題。但加密的有效性完 全取決于所采用的密碼算法，故一般由中央授權(quán)部門研制生產(chǎn)，不能自行采用一些密碼算法用于網(wǎng)絡(luò)中，否則后果不堪設(shè)想。 。為了捕獲網(wǎng)段內(nèi)的所有幀 (以后稱數(shù)據(jù)包 )，可以設(shè)置以太網(wǎng)卡的工作方式，以太網(wǎng)卡通常有正常模式 (normal mode)和混雜模式 (promiscuous mode)兩種工作模式。 BPF由基于 BSD的 Unix系 統(tǒng)內(nèi)核所實現(xiàn)。正如打電話之前，雙方必須擁有各自的電話機一樣。 各參數(shù)意義如下： s:進行監(jiān)聽的套接字。 使用嗅探器進行網(wǎng)絡(luò)管理主要體現(xiàn)在兩個方面： 通過網(wǎng)絡(luò)嗅探技術(shù)收集到網(wǎng)絡(luò)中傳送的數(shù)據(jù)后對這些數(shù)據(jù)進行分析可以幫助 解決在各種網(wǎng)絡(luò)上的性能問題并排除網(wǎng)絡(luò)故障，進一步可以產(chǎn)生報表等數(shù)據(jù)分析結(jié)果以更好的支持網(wǎng)絡(luò)的運行。 在這里以誤用檢測方法對入侵檢測的實現(xiàn)做更詳細(xì)的介紹。 而本設(shè)計的