【文章內(nèi)容簡介】 輸?shù)臄?shù)據(jù)內(nèi)容。 整個(gè)包捕獲架構(gòu)的基礎(chǔ)是網(wǎng)絡(luò)驅(qū)動(dòng)接口規(guī)范 (Network Driver Interface Specification，簡稱 NDIS)，它是 Windows 中最底層的與連網(wǎng)有關(guān)的軟件，定義網(wǎng)絡(luò)適配器與協(xié)議驅(qū)動(dòng)（如 TCP/IP）之間通信的規(guī)范。 WinPcap 的優(yōu)點(diǎn)在于： 獨(dú)立于主機(jī)協(xié)議來發(fā)送和接收原始數(shù)據(jù)包，并且提供了一套標(biāo)準(zhǔn)的與 Lipcap 兼容抓包接口，使得可以快 速移植許多 Unix 平臺(tái)下的網(wǎng)絡(luò)分析工具，便于各種網(wǎng)絡(luò)分析工具的開發(fā)。 充分考慮了性能優(yōu)化與效率優(yōu)化，包括對(duì) NPF 內(nèi)核層次上的過濾器支持。 提供了數(shù)據(jù)包發(fā)送功能，支持內(nèi)核級(jí)的統(tǒng)計(jì)模式。 WinPcap 的缺點(diǎn)在于：不能過濾、阻塞或控制其他應(yīng)用程序收發(fā)數(shù)據(jù)包，它僅僅是監(jiān)聽共享網(wǎng)絡(luò)上傳送的數(shù)據(jù)。因此，它不能用于個(gè)人防火墻或 QOS 調(diào)度程序。 綜述 以上內(nèi)容詳細(xì)介紹了網(wǎng)絡(luò)監(jiān)聽的原理。監(jiān)聽軟件可以監(jiān)聽局域網(wǎng)中傳輸?shù)臄?shù)據(jù)包是因?yàn)橐蕴W(wǎng)是總線型網(wǎng)，而且在以太網(wǎng)中主機(jī)進(jìn)行數(shù)據(jù)傳輸時(shí)采用廣播的方式。任何一臺(tái)主機(jī)發(fā)送的數(shù) 據(jù)包，都會(huì)在網(wǎng)絡(luò)中進(jìn)行廣播。正常情況下，主機(jī)只接收屬于自己的數(shù)據(jù)包，不與其它主機(jī)發(fā)生混亂，這是計(jì)算機(jī)中的網(wǎng)卡工作的結(jié)果。將網(wǎng)卡的接收模式進(jìn)8 行適當(dāng)改變就可以改變網(wǎng)卡的過濾策略，使網(wǎng)卡能夠接收經(jīng)過本網(wǎng)段的所有數(shù)據(jù)包，無論這些數(shù)據(jù)包的目的地址是否是該主機(jī)?？赏ㄟ^調(diào)用 WinPcap 的 API 函數(shù)來改變網(wǎng)卡的工作模式進(jìn)而截獲數(shù)據(jù)包。以上這些為后期的開發(fā)奠定了理論基礎(chǔ)，為編程實(shí)現(xiàn)提供了指導(dǎo)。 9 3 相關(guān)網(wǎng)絡(luò)協(xié)議的分析 網(wǎng)絡(luò)的原理體系結(jié)構(gòu) 網(wǎng)絡(luò)協(xié)議通常分不同層次進(jìn)行開發(fā)，每一層負(fù)責(zé)不同的通信功能。本局域網(wǎng)監(jiān)聽系統(tǒng)主要基于 TCP/IP 協(xié)議進(jìn)行網(wǎng)絡(luò)數(shù)據(jù)包的監(jiān)聽與分析的。 TCP/IP 通常被認(rèn)為是一個(gè)四層的體系結(jié)構(gòu)，它包含應(yīng)用層、傳輸層、網(wǎng)絡(luò)層和網(wǎng)絡(luò)接口層。結(jié)構(gòu)如圖 所示： 圖 TCP/IP 協(xié)議的四層結(jié)構(gòu) TCP/IP 協(xié)議的四層結(jié)構(gòu)中每一層負(fù)責(zé)不同的功能： 網(wǎng)絡(luò)接口層 網(wǎng)絡(luò)接口層，有時(shí)也稱作鏈路層，通常包括操作系統(tǒng)中的設(shè)備驅(qū)動(dòng)程序和計(jì)算機(jī)中對(duì)應(yīng)的網(wǎng)絡(luò)接口卡。它們?yōu)榫W(wǎng)絡(luò)層提供數(shù)據(jù)傳輸服務(wù)，負(fù)責(zé)處理所有的硬件細(xì)節(jié)。在發(fā)送數(shù)據(jù)的時(shí)，網(wǎng)絡(luò)接口層的任務(wù)是將在網(wǎng)絡(luò)層傳下來的 IP 數(shù)據(jù)報(bào)封裝成幀，在兩個(gè)相鄰節(jié)點(diǎn)間的鏈路上傳送以幀為單位 的數(shù)據(jù)。 網(wǎng)絡(luò)層 網(wǎng)絡(luò)層，有時(shí)也稱作網(wǎng)際層，負(fù)責(zé)為經(jīng)過網(wǎng)絡(luò)的分組進(jìn)行路由選擇。在 TCP/IP 協(xié)議族中，網(wǎng)絡(luò)層協(xié)議包括網(wǎng)際協(xié)議（ Inter Protocol, IP 協(xié)議），因特網(wǎng)控制報(bào)文協(xié)議（ Inter Control Message Protocol, ICMP 協(xié)議），以及因特網(wǎng)組管理協(xié)議（ Inter Group Management Protocol, IGMP 協(xié)議）。其中 IP 是 TCP/IP 協(xié)議中最為核心的協(xié)議，所有的TCP、 UDP、 ICMP 及 IGMP 數(shù)據(jù)都以 IP 數(shù)據(jù)包格式傳輸。 傳輸層 10 傳輸層 ,主要是為兩臺(tái)主機(jī)上的應(yīng)用程序提供端到端的通信。在 TCP/IP 協(xié)議族中，有兩個(gè)互不相同的傳輸協(xié)議：傳輸控制協(xié)議 (Transmission Control Protocol, TCP)和用戶數(shù)據(jù)報(bào)協(xié)議 (User Datagram Protocol, UDP)。 TCP 在 IP 網(wǎng)絡(luò)基礎(chǔ)上通過面向連接的數(shù)據(jù)傳輸方式提供可靠的數(shù)據(jù)傳輸。它所做的工作包括把應(yīng)用程序交給它的數(shù)據(jù)分成合適大小的數(shù)據(jù)段交給下面的網(wǎng)絡(luò)層，確認(rèn)接收到的分組，設(shè)置發(fā)送最后確認(rèn)分組的超時(shí)時(shí)鐘等。由于傳輸層提供了高可靠性的端到端的通信， 因此應(yīng)用層可以忽略所有這些細(xì)節(jié)。 而另一方面， UDP 則為應(yīng)用層提供一種非常簡單的服務(wù)。它是不保證可靠性的無連接協(xié)議，它沒有確認(rèn)機(jī)制或傳輸保證，只是把數(shù)據(jù)報(bào)文從一臺(tái)主機(jī)發(fā)送到另一臺(tái)主機(jī)，錯(cuò)誤處理和重傳機(jī)制必須由上層協(xié)議來完成。 應(yīng)用層 應(yīng)用層是體系結(jié)構(gòu)中的最高層，它直接為用戶應(yīng)用進(jìn)程提供服務(wù)。應(yīng)用層確定進(jìn)程之間通信的性質(zhì)以滿足用戶的需要。這里的進(jìn)程就是指正在運(yùn)行的程序。應(yīng)用層直接為用戶的應(yīng)用進(jìn)程提供服務(wù)。在因特網(wǎng)中的應(yīng)用層協(xié)議很多，如提供萬維網(wǎng)服務(wù)的 HTTP協(xié)議，支持電子郵件的 SMTP 協(xié)議，支持文件傳送的 FTP 協(xié)議等等。 網(wǎng)絡(luò)協(xié)議的分析與實(shí)現(xiàn) 網(wǎng)絡(luò)接口 層 在數(shù)據(jù)鏈路層中分離出來的數(shù)據(jù)幀，并從幀頭中得到源 MAC 地址、目標(biāo) MAC 地址以及數(shù)據(jù)內(nèi)容所用的協(xié)議。 圖 以太網(wǎng)的封裝格式 在 TCP/IP世界中，以太網(wǎng) IP 數(shù)據(jù)報(bào)的封裝（如圖 ）是在 RFC894[Hornig 1984]中定義的。以太網(wǎng)幀由一個(gè)包含三個(gè)字段的幀頭開始，前兩個(gè)字段包含了物理地址，各六個(gè)字節(jié)，頭部的第三個(gè)字段包含了 16 位的以太幀類型，幀后面是數(shù)據(jù)區(qū)。根據(jù)幀類型字段可以判斷是哪種數(shù)據(jù)報(bào)，比如，如果是 IP 數(shù)據(jù)報(bào)，這個(gè)字段就被置為 0x0800；如果是 ARP 請(qǐng)求及應(yīng)答，這個(gè)字段就被置為 0x0806； 如果是 RARP 請(qǐng)求及應(yīng)答，這個(gè)11 字段就被置為 0x8035。 實(shí)現(xiàn)過程中 MAC 頭的定義如下： typedef struct tag_mac_header { u_char dadd[6]； //6 個(gè)字節(jié) 目標(biāo)地址 u_char sadd[6]； //6 個(gè)字節(jié) 源地址 u_short mac_type； //2 個(gè)字節(jié) 類型 }mac_header； 網(wǎng)絡(luò)層 IP 協(xié)議是 TCP/IP 協(xié)議族中最為核心的協(xié)議。所有的 TCP、 UDP、 ICMP 數(shù)據(jù)都以IP 數(shù)據(jù)報(bào)格式傳輸， TCP/IP 協(xié)議中傳輸數(shù)據(jù)的基本單位為 IP 數(shù)據(jù)報(bào)，其結(jié)構(gòu)描述如圖 所示。 版本號(hào)： 4 位，表示目前的 IP 協(xié)議的版本號(hào)。 首部長度： 4 位，確定 IP 數(shù)據(jù)包首部字段的長度，基本單位為 4 字節(jié)， IP 首部長度是 20 個(gè)字節(jié)。 服務(wù)類型 (Type of Service, TOS)： 8 位，選擇哪一種網(wǎng)絡(luò)服務(wù)。目前，大多數(shù)已不再使用該選項(xiàng)。 總長度： 16 位，指整個(gè) IP 數(shù)據(jù)包的長度，是 IP 首部中必要的內(nèi)容，它的基本單位為字節(jié)。由于該字段長 16 比特，所以 IP 數(shù)據(jù)報(bào)最長可達(dá) 65535 字節(jié)。 標(biāo) 識(shí)字段： 16 位， IP 軟件在存儲(chǔ)器中維持一個(gè)計(jì)數(shù)器，每產(chǎn)生一個(gè)數(shù)據(jù)報(bào)，計(jì)數(shù)器就加 1，并將此值賦給標(biāo)識(shí)字段。標(biāo)識(shí)字段通常與標(biāo)記字段和片偏移字段一起用于數(shù)據(jù)包的分段。如果數(shù)據(jù)包原始長度超過數(shù)據(jù)包所要經(jīng)過的數(shù)據(jù)鏈路的最大傳輸單元(MTU)，那么必須將數(shù)據(jù)包分段為更小的數(shù)據(jù)包。相同的標(biāo)識(shí)字段的值使分段后的各數(shù)據(jù)包片最后能正確地重裝成原來的數(shù)據(jù)報(bào)。 12 圖 IP 數(shù)據(jù)報(bào)格式及首部中的各字段格式 標(biāo)志域： 3 位，第一位沒有使用。第二位是不分段 (DF)位。當(dāng) DF 位被設(shè)置為 1時(shí)，表示能對(duì)數(shù)據(jù)包進(jìn)行分段處理。如果數(shù)據(jù)包由 于不能被分段而未能被轉(zhuǎn)發(fā)，那么將丟棄該數(shù)據(jù)包并向源點(diǎn)發(fā)送錯(cuò)誤消息。第三位表示還有更多分段 (MF)位，當(dāng)對(duì)數(shù)據(jù)包進(jìn)行分段時(shí)，除了最后一個(gè)分段的 MF 位設(shè)置為 0 外，其他所有分段的 MF 位均設(shè)置為 1，以便接收者直到收到 MF 位為 0 的分段為止。 片偏移： 13 位，以 8 個(gè)字節(jié)為單位。用于指明分段起始點(diǎn)相對(duì)于報(bào)頭起始點(diǎn)的偏移量。由于分段到達(dá)時(shí)可能錯(cuò)序，所以片偏移字段可以使接收者按照正確的順序重組數(shù)據(jù)包。 生存時(shí)間 (Time To Live, TTL)字段： 8 位，在最初創(chuàng)建數(shù)據(jù)包時(shí) TTL 即被設(shè)置為某個(gè)特定值。當(dāng)數(shù)據(jù)包逐個(gè) 沿路由器被傳輸時(shí)，每臺(tái)路由器都會(huì)將 TTL 的值減 1。當(dāng)TTL 值減為 0 時(shí)，路由器將會(huì)丟棄該數(shù)據(jù)包并向源點(diǎn)發(fā)送 ICMP 報(bào)文通知源主機(jī)。 協(xié)議類型： 8 位，表示 IP 數(shù)據(jù)包的數(shù)據(jù)部分屬于什么協(xié)議。 取值： 1 表示為 ICMP 協(xié)議 2 表示為 IGMP 協(xié)議 6 表示為 TCP 協(xié)議 13 17 表示為 UDP 協(xié)議 首部檢驗(yàn)和： 16 位，是根據(jù) IP 首部計(jì)算的檢驗(yàn)和碼。它不對(duì)首部后面的數(shù)據(jù)進(jìn)行計(jì)算。 1 可選項(xiàng)：是數(shù)據(jù)報(bào)中的一個(gè)可變長的可選信息。 通過以上的網(wǎng)絡(luò)層分析在協(xié)議標(biāo)識(shí)的第 10 個(gè)字節(jié)為 6 時(shí)，表示 IP 包的內(nèi)容是一個(gè)TCP segment，從而獲得網(wǎng)絡(luò)層 TCP 的數(shù)據(jù)包。 實(shí)現(xiàn)過程中 32bit 的 IP 地址的定義： typedef struct tag_ip_address { u_char byte1； //sizeof(u_char)==1 u_char 占 1Byte（ 8bit） u_char byte2； u_char byte3； u_char byte4； }ip_address； 實(shí)現(xiàn)過程中 IP 數(shù)據(jù)報(bào)報(bào)頭的數(shù)據(jù)結(jié)構(gòu)如下： //定義 IP 頭 IP 數(shù)據(jù) =IP 頭＋ TCP 數(shù)據(jù)段 (或 UDP 數(shù)據(jù)段 ) typedef struct tag_ip_header { u_char ver_ihl； // u_char 8 比特 4 比特版本號(hào) ＋ 4 比特頭部長度 u_char tos； //服務(wù)類型 TOS u_short tlen； //總長度 u_short 占 2Byte u_short identification； //標(biāo)識(shí) u_short flags_fo； //3 比特標(biāo)識(shí)符 + 13 比特片偏移 u_char ttl； //生存時(shí)間 u_char proto； //協(xié)議 u_short crc； //頭部校驗(yàn) ip_address saddr； //源 IP 地址 ip_address daddr； //目的 IP 地址 u_int op_pad； //可選項(xiàng) +填充項(xiàng) u_int 占 4 個(gè)字節(jié) 32 比特 14 //接下來是數(shù)據(jù)段 (Segment) }ip_header； ICMP 是 TCP/IP 協(xié)議族的一個(gè)子協(xié)議，用于在 IP 主機(jī)、路由器之間傳遞控制消息。 ICMP 報(bào)文是在 IP 數(shù)據(jù)報(bào)內(nèi)部被傳輸?shù)模鐖D 所 示。 圖 ICMP 封裝在 IP 數(shù)據(jù)報(bào)內(nèi)部 ICMP 報(bào)文的格式如圖 所示。 圖 ICMP 數(shù)據(jù)報(bào)格式及首部中的各字段首部 ICMP 報(bào)文的種類有兩種： ICMP 差錯(cuò)報(bào)告報(bào)文和 ICMP 詢問報(bào)文。 ICMP 報(bào)文的前 4 個(gè)字節(jié)是統(tǒng)一的格式，共有三個(gè)字段：類型、代碼、檢驗(yàn)和，剩下的其他字節(jié)則互不相同。 類型： 8 位，用于說明 ICMP 報(bào)文的作用及格式。 代碼： 8 位，是為了進(jìn)一步區(qū)分某種類型中的幾種不同的情況。 檢驗(yàn)和： 16 位，檢驗(yàn)和字段覆蓋了整個(gè) ICMP 報(bào)文。 typedef struct tag_icmp_header { u_char type； //8 比特 類型 u_char identifer； //8 比特 代碼 u_char sequence； //序列號(hào) 8 比特 15 u_char chksum； //8 比特校驗(yàn)和 }icmp_header； 傳輸層 傳輸層主要是為兩臺(tái)主機(jī)上的應(yīng)用程序提供端到端的 通信。在 TCP/IP 協(xié)議中，有兩個(gè)互不相同的傳輸協(xié)議：傳輸控制協(xié) 議 (Transmission Control Protocol, TCP)和用戶數(shù)據(jù)報(bào)協(xié)議 (User Datagram Protocol, UDP)。 TCP（傳輸控制協(xié)議）是專門設(shè)計(jì)用于在不可靠的網(wǎng)絡(luò)上提供可靠的、端到端的字節(jié)流通信的協(xié)議。一個(gè) TCP 報(bào)文段分為首部和數(shù)據(jù)兩部 分， TCP 數(shù)據(jù)報(bào)封裝成一份 IP數(shù)據(jù)報(bào)的格式如圖 所示。 圖 TCP 數(shù)據(jù)報(bào)的封裝 TCP 的全部功能都體現(xiàn)在它首部中各個(gè)字段的作用。因此，只有弄