【文章內(nèi)容簡介】 輸?shù)臄?shù)據(jù)內(nèi)容。 整個包捕獲架構的基礎是網(wǎng)絡驅動接口規(guī)范 (Network Driver Interface Specification，簡稱 NDIS)，它是 Windows 中最底層的與連網(wǎng)有關的軟件，定義網(wǎng)絡適配器與協(xié)議驅動（如 TCP/IP）之間通信的規(guī)范。 WinPcap 的優(yōu)點在于： 獨立于主機協(xié)議來發(fā)送和接收原始數(shù)據(jù)包，并且提供了一套標準的與 Lipcap 兼容抓包接口，使得可以快 速移植許多 Unix 平臺下的網(wǎng)絡分析工具，便于各種網(wǎng)絡分析工具的開發(fā)。 充分考慮了性能優(yōu)化與效率優(yōu)化，包括對 NPF 內(nèi)核層次上的過濾器支持。 提供了數(shù)據(jù)包發(fā)送功能，支持內(nèi)核級的統(tǒng)計模式。 WinPcap 的缺點在于：不能過濾、阻塞或控制其他應用程序收發(fā)數(shù)據(jù)包，它僅僅是監(jiān)聽共享網(wǎng)絡上傳送的數(shù)據(jù)。因此，它不能用于個人防火墻或 QOS 調度程序。 綜述 以上內(nèi)容詳細介紹了網(wǎng)絡監(jiān)聽的原理。監(jiān)聽軟件可以監(jiān)聽局域網(wǎng)中傳輸?shù)臄?shù)據(jù)包是因為以太網(wǎng)是總線型網(wǎng)，而且在以太網(wǎng)中主機進行數(shù)據(jù)傳輸時采用廣播的方式。任何一臺主機發(fā)送的數(shù) 據(jù)包，都會在網(wǎng)絡中進行廣播。正常情況下，主機只接收屬于自己的數(shù)據(jù)包，不與其它主機發(fā)生混亂，這是計算機中的網(wǎng)卡工作的結果。將網(wǎng)卡的接收模式進8 行適當改變就可以改變網(wǎng)卡的過濾策略，使網(wǎng)卡能夠接收經(jīng)過本網(wǎng)段的所有數(shù)據(jù)包，無論這些數(shù)據(jù)包的目的地址是否是該主機?？赏ㄟ^調用 WinPcap 的 API 函數(shù)來改變網(wǎng)卡的工作模式進而截獲數(shù)據(jù)包。以上這些為后期的開發(fā)奠定了理論基礎，為編程實現(xiàn)提供了指導。 9 3 相關網(wǎng)絡協(xié)議的分析 網(wǎng)絡的原理體系結構 網(wǎng)絡協(xié)議通常分不同層次進行開發(fā)，每一層負責不同的通信功能。本局域網(wǎng)監(jiān)聽系統(tǒng)主要基于 TCP/IP 協(xié)議進行網(wǎng)絡數(shù)據(jù)包的監(jiān)聽與分析的。 TCP/IP 通常被認為是一個四層的體系結構，它包含應用層、傳輸層、網(wǎng)絡層和網(wǎng)絡接口層。結構如圖 所示： 圖 TCP/IP 協(xié)議的四層結構 TCP/IP 協(xié)議的四層結構中每一層負責不同的功能： 網(wǎng)絡接口層 網(wǎng)絡接口層，有時也稱作鏈路層，通常包括操作系統(tǒng)中的設備驅動程序和計算機中對應的網(wǎng)絡接口卡。它們?yōu)榫W(wǎng)絡層提供數(shù)據(jù)傳輸服務，負責處理所有的硬件細節(jié)。在發(fā)送數(shù)據(jù)的時，網(wǎng)絡接口層的任務是將在網(wǎng)絡層傳下來的 IP 數(shù)據(jù)報封裝成幀，在兩個相鄰節(jié)點間的鏈路上傳送以幀為單位 的數(shù)據(jù)。 網(wǎng)絡層 網(wǎng)絡層，有時也稱作網(wǎng)際層，負責為經(jīng)過網(wǎng)絡的分組進行路由選擇。在 TCP/IP 協(xié)議族中，網(wǎng)絡層協(xié)議包括網(wǎng)際協(xié)議（ Inter Protocol, IP 協(xié)議），因特網(wǎng)控制報文協(xié)議（ Inter Control Message Protocol, ICMP 協(xié)議），以及因特網(wǎng)組管理協(xié)議（ Inter Group Management Protocol, IGMP 協(xié)議）。其中 IP 是 TCP/IP 協(xié)議中最為核心的協(xié)議，所有的TCP、 UDP、 ICMP 及 IGMP 數(shù)據(jù)都以 IP 數(shù)據(jù)包格式傳輸。 傳輸層 10 傳輸層 ,主要是為兩臺主機上的應用程序提供端到端的通信。在 TCP/IP 協(xié)議族中，有兩個互不相同的傳輸協(xié)議：傳輸控制協(xié)議 (Transmission Control Protocol, TCP)和用戶數(shù)據(jù)報協(xié)議 (User Datagram Protocol, UDP)。 TCP 在 IP 網(wǎng)絡基礎上通過面向連接的數(shù)據(jù)傳輸方式提供可靠的數(shù)據(jù)傳輸。它所做的工作包括把應用程序交給它的數(shù)據(jù)分成合適大小的數(shù)據(jù)段交給下面的網(wǎng)絡層，確認接收到的分組，設置發(fā)送最后確認分組的超時時鐘等。由于傳輸層提供了高可靠性的端到端的通信， 因此應用層可以忽略所有這些細節(jié)。 而另一方面， UDP 則為應用層提供一種非常簡單的服務。它是不保證可靠性的無連接協(xié)議，它沒有確認機制或傳輸保證，只是把數(shù)據(jù)報文從一臺主機發(fā)送到另一臺主機，錯誤處理和重傳機制必須由上層協(xié)議來完成。 應用層 應用層是體系結構中的最高層，它直接為用戶應用進程提供服務。應用層確定進程之間通信的性質以滿足用戶的需要。這里的進程就是指正在運行的程序。應用層直接為用戶的應用進程提供服務。在因特網(wǎng)中的應用層協(xié)議很多，如提供萬維網(wǎng)服務的 HTTP協(xié)議，支持電子郵件的 SMTP 協(xié)議，支持文件傳送的 FTP 協(xié)議等等。 網(wǎng)絡協(xié)議的分析與實現(xiàn) 網(wǎng)絡接口 層 在數(shù)據(jù)鏈路層中分離出來的數(shù)據(jù)幀，并從幀頭中得到源 MAC 地址、目標 MAC 地址以及數(shù)據(jù)內(nèi)容所用的協(xié)議。 圖 以太網(wǎng)的封裝格式 在 TCP/IP世界中，以太網(wǎng) IP 數(shù)據(jù)報的封裝（如圖 ）是在 RFC894[Hornig 1984]中定義的。以太網(wǎng)幀由一個包含三個字段的幀頭開始，前兩個字段包含了物理地址，各六個字節(jié)，頭部的第三個字段包含了 16 位的以太幀類型，幀后面是數(shù)據(jù)區(qū)。根據(jù)幀類型字段可以判斷是哪種數(shù)據(jù)報，比如，如果是 IP 數(shù)據(jù)報，這個字段就被置為 0x0800；如果是 ARP 請求及應答，這個字段就被置為 0x0806； 如果是 RARP 請求及應答，這個11 字段就被置為 0x8035。 實現(xiàn)過程中 MAC 頭的定義如下： typedef struct tag_mac_header { u_char dadd[6]； //6 個字節(jié) 目標地址 u_char sadd[6]； //6 個字節(jié) 源地址 u_short mac_type； //2 個字節(jié) 類型 }mac_header； 網(wǎng)絡層 IP 協(xié)議是 TCP/IP 協(xié)議族中最為核心的協(xié)議。所有的 TCP、 UDP、 ICMP 數(shù)據(jù)都以IP 數(shù)據(jù)報格式傳輸， TCP/IP 協(xié)議中傳輸數(shù)據(jù)的基本單位為 IP 數(shù)據(jù)報，其結構描述如圖 所示。 版本號： 4 位，表示目前的 IP 協(xié)議的版本號。 首部長度： 4 位，確定 IP 數(shù)據(jù)包首部字段的長度，基本單位為 4 字節(jié)， IP 首部長度是 20 個字節(jié)。 服務類型 (Type of Service, TOS)： 8 位，選擇哪一種網(wǎng)絡服務。目前，大多數(shù)已不再使用該選項。 總長度： 16 位，指整個 IP 數(shù)據(jù)包的長度，是 IP 首部中必要的內(nèi)容，它的基本單位為字節(jié)。由于該字段長 16 比特，所以 IP 數(shù)據(jù)報最長可達 65535 字節(jié)。 標 識字段： 16 位， IP 軟件在存儲器中維持一個計數(shù)器，每產(chǎn)生一個數(shù)據(jù)報，計數(shù)器就加 1，并將此值賦給標識字段。標識字段通常與標記字段和片偏移字段一起用于數(shù)據(jù)包的分段。如果數(shù)據(jù)包原始長度超過數(shù)據(jù)包所要經(jīng)過的數(shù)據(jù)鏈路的最大傳輸單元(MTU)，那么必須將數(shù)據(jù)包分段為更小的數(shù)據(jù)包。相同的標識字段的值使分段后的各數(shù)據(jù)包片最后能正確地重裝成原來的數(shù)據(jù)報。 12 圖 IP 數(shù)據(jù)報格式及首部中的各字段格式 標志域： 3 位，第一位沒有使用。第二位是不分段 (DF)位。當 DF 位被設置為 1時，表示能對數(shù)據(jù)包進行分段處理。如果數(shù)據(jù)包由 于不能被分段而未能被轉發(fā)，那么將丟棄該數(shù)據(jù)包并向源點發(fā)送錯誤消息。第三位表示還有更多分段 (MF)位，當對數(shù)據(jù)包進行分段時，除了最后一個分段的 MF 位設置為 0 外，其他所有分段的 MF 位均設置為 1，以便接收者直到收到 MF 位為 0 的分段為止。 片偏移： 13 位，以 8 個字節(jié)為單位。用于指明分段起始點相對于報頭起始點的偏移量。由于分段到達時可能錯序，所以片偏移字段可以使接收者按照正確的順序重組數(shù)據(jù)包。 生存時間 (Time To Live, TTL)字段： 8 位，在最初創(chuàng)建數(shù)據(jù)包時 TTL 即被設置為某個特定值。當數(shù)據(jù)包逐個 沿路由器被傳輸時，每臺路由器都會將 TTL 的值減 1。當TTL 值減為 0 時，路由器將會丟棄該數(shù)據(jù)包并向源點發(fā)送 ICMP 報文通知源主機。 協(xié)議類型： 8 位，表示 IP 數(shù)據(jù)包的數(shù)據(jù)部分屬于什么協(xié)議。 取值： 1 表示為 ICMP 協(xié)議 2 表示為 IGMP 協(xié)議 6 表示為 TCP 協(xié)議 13 17 表示為 UDP 協(xié)議 首部檢驗和： 16 位，是根據(jù) IP 首部計算的檢驗和碼。它不對首部后面的數(shù)據(jù)進行計算。 1 可選項：是數(shù)據(jù)報中的一個可變長的可選信息。 通過以上的網(wǎng)絡層分析在協(xié)議標識的第 10 個字節(jié)為 6 時，表示 IP 包的內(nèi)容是一個TCP segment，從而獲得網(wǎng)絡層 TCP 的數(shù)據(jù)包。 實現(xiàn)過程中 32bit 的 IP 地址的定義： typedef struct tag_ip_address { u_char byte1； //sizeof(u_char)==1 u_char 占 1Byte（ 8bit） u_char byte2； u_char byte3； u_char byte4； }ip_address； 實現(xiàn)過程中 IP 數(shù)據(jù)報報頭的數(shù)據(jù)結構如下： //定義 IP 頭 IP 數(shù)據(jù) =IP 頭＋ TCP 數(shù)據(jù)段 (或 UDP 數(shù)據(jù)段 ) typedef struct tag_ip_header { u_char ver_ihl； // u_char 8 比特 4 比特版本號 ＋ 4 比特頭部長度 u_char tos； //服務類型 TOS u_short tlen； //總長度 u_short 占 2Byte u_short identification； //標識 u_short flags_fo； //3 比特標識符 + 13 比特片偏移 u_char ttl； //生存時間 u_char proto； //協(xié)議 u_short crc； //頭部校驗 ip_address saddr； //源 IP 地址 ip_address daddr； //目的 IP 地址 u_int op_pad； //可選項 +填充項 u_int 占 4 個字節(jié) 32 比特 14 //接下來是數(shù)據(jù)段 (Segment) }ip_header； ICMP 是 TCP/IP 協(xié)議族的一個子協(xié)議，用于在 IP 主機、路由器之間傳遞控制消息。 ICMP 報文是在 IP 數(shù)據(jù)報內(nèi)部被傳輸?shù)?，如圖 所 示。 圖 ICMP 封裝在 IP 數(shù)據(jù)報內(nèi)部 ICMP 報文的格式如圖 所示。 圖 ICMP 數(shù)據(jù)報格式及首部中的各字段首部 ICMP 報文的種類有兩種： ICMP 差錯報告報文和 ICMP 詢問報文。 ICMP 報文的前 4 個字節(jié)是統(tǒng)一的格式，共有三個字段：類型、代碼、檢驗和，剩下的其他字節(jié)則互不相同。 類型： 8 位，用于說明 ICMP 報文的作用及格式。 代碼： 8 位，是為了進一步區(qū)分某種類型中的幾種不同的情況。 檢驗和： 16 位，檢驗和字段覆蓋了整個 ICMP 報文。 typedef struct tag_icmp_header { u_char type； //8 比特 類型 u_char identifer； //8 比特 代碼 u_char sequence； //序列號 8 比特 15 u_char chksum； //8 比特校驗和 }icmp_header； 傳輸層 傳輸層主要是為兩臺主機上的應用程序提供端到端的 通信。在 TCP/IP 協(xié)議中，有兩個互不相同的傳輸協(xié)議：傳輸控制協(xié) 議 (Transmission Control Protocol, TCP)和用戶數(shù)據(jù)報協(xié)議 (User Datagram Protocol, UDP)。 TCP（傳輸控制協(xié)議）是專門設計用于在不可靠的網(wǎng)絡上提供可靠的、端到端的字節(jié)流通信的協(xié)議。一個 TCP 報文段分為首部和數(shù)據(jù)兩部 分， TCP 數(shù)據(jù)報封裝成一份 IP數(shù)據(jù)報的格式如圖 所示。 圖 TCP 數(shù)據(jù)報的封裝 TCP 的全部功能都體現(xiàn)在它首部中各個字段的作用。因此，只有弄