【文章內(nèi)容簡(jiǎn)介】 業(yè)務(wù)，當(dāng)然也可能采用其他特殊硬件獲得原始網(wǎng)絡(luò)包?；诰W(wǎng)絡(luò)的IDS有許多僅靠基于主機(jī)的入侵檢測(cè)所無(wú)法提供的功能。實(shí)際上，許多客戶(hù)在最初使用IDS時(shí)，都配置了基于網(wǎng)絡(luò)的入侵檢測(cè)?；诰W(wǎng)絡(luò)的檢測(cè)有以下優(yōu)點(diǎn):.監(jiān)測(cè)速度快基于網(wǎng)絡(luò)的監(jiān)測(cè)器通常能在微秒或秒級(jí)發(fā)現(xiàn)問(wèn)題。而大多數(shù)基于主機(jī)的產(chǎn)品則要依靠對(duì)最近幾分鐘內(nèi)審計(jì)記錄的分析。隱蔽性好一個(gè)網(wǎng)絡(luò)上的監(jiān)測(cè)器不像一個(gè)主機(jī)那樣顯眼和易被存取，因而也不那么容易遭受攻擊?；诰W(wǎng)絡(luò)的監(jiān)視器不運(yùn)行其他的應(yīng)用程序，不提供網(wǎng)絡(luò)服務(wù)，可以不響應(yīng)其他計(jì)算機(jī)，因此可以做得比較安全。視野更寬可以檢測(cè)一些主機(jī)檢測(cè)不到的攻擊，如淚滴(teardroP)攻擊，基于網(wǎng)絡(luò)SYN洪水等。還可以檢測(cè)不成功的攻擊和惡意企圖。較少的監(jiān)測(cè)器由于使用一個(gè)監(jiān)測(cè)器就可以保護(hù)一個(gè)共享的網(wǎng)段，所以你不需要很多的監(jiān)測(cè)器。相反地，如果基于主機(jī)，則在每個(gè)主機(jī)上都需要一個(gè)代理，這樣的話(huà)，花費(fèi)昂貴，而且難于管理。但是，如果在一個(gè)交換環(huán)境下，就需要特殊的配置。攻擊者不易轉(zhuǎn)移證據(jù)?；诰W(wǎng)絡(luò)的IDS使用正在發(fā)生的網(wǎng)絡(luò)通信進(jìn)行實(shí)時(shí)攻擊的檢測(cè)。所以攻擊者無(wú)法轉(zhuǎn)移證據(jù)。被捕獲的數(shù)據(jù)不僅包括攻擊的方法，而且還包括可識(shí)別黑客身份和對(duì)其進(jìn)行起訴的信息。許多黑客都熟知審計(jì)記錄，他們知道如何操縱這些文件掩蓋他們的作案痕跡，如何阻止需要這些信息的基于主機(jī)的系統(tǒng)去檢測(cè)入侵。操作系統(tǒng)無(wú)關(guān)性基于網(wǎng)絡(luò)的IDS作為安全監(jiān)測(cè)資源，與主機(jī)的操作系統(tǒng)無(wú)關(guān)。與之相比，基于主機(jī)的系統(tǒng)必須在特定的、沒(méi)有遭到破壞的操作系統(tǒng)中才能正常工作，生成有用的結(jié)果?？梢耘渲迷趯?zhuān)門(mén)的機(jī)器上，不會(huì)占用被保護(hù)的設(shè)備上的任何資源基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)的主要缺點(diǎn)是:只能監(jiān)視本網(wǎng)段的活動(dòng)，精確度不高。在交換環(huán)境下難以配置。防入侵欺騙的能力較差。難以定位入侵者。3)基于應(yīng)用(APPlication)的入侵檢測(cè)系統(tǒng)基于應(yīng)用的入侵檢測(cè)系統(tǒng)可以說(shuō)是基于主機(jī)的入侵檢測(cè)系統(tǒng)的一個(gè)特殊子集，也可以說(shuō)是基于主機(jī)入侵檢測(cè)系統(tǒng)實(shí)現(xiàn)的進(jìn)一步的細(xì)化，所以其特性、優(yōu)缺點(diǎn)與基于主機(jī)的IDS基本相同。主要特征是使用監(jiān)控傳感器在應(yīng)用層收集信息。由于這種技術(shù)可以更準(zhǔn)確地監(jiān)控用戶(hù)某一應(yīng)用的行為，所以這種技術(shù)在日益流行的電子商務(wù)中也越來(lái)越受到注意。它監(jiān)控在某個(gè)軟件應(yīng)用程序中發(fā)生的活動(dòng)，信息來(lái)源主要是應(yīng)用程序的日志。它監(jiān)控的內(nèi)容更為具體，相應(yīng)的監(jiān)控的對(duì)象更為狹窄。這三種入侵檢測(cè)系統(tǒng)具有互補(bǔ)性，基于網(wǎng)絡(luò)的入侵檢測(cè)能夠客觀地反映網(wǎng)絡(luò)活動(dòng)，特別是能夠監(jiān)視到系統(tǒng)審計(jì)的盲區(qū):而基于主機(jī)的和基于應(yīng)用的入侵檢測(cè)能夠更加精確地監(jiān)視系統(tǒng)中的各種活動(dòng)。實(shí)際系統(tǒng)大多是這三種系統(tǒng)的混合體。 根據(jù)檢測(cè)原理進(jìn)行分類(lèi)傳統(tǒng)的觀點(diǎn)根據(jù)入侵行為的屬性將其分為異常和誤用兩種，然后分別對(duì)其建立異常檢測(cè)模型和誤用檢測(cè)模型。異常入侵檢測(cè)是指能夠根據(jù)異常行為和使用計(jì)算機(jī)資源的情況檢測(cè)出來(lái)的入侵。異常入侵檢測(cè)試圖用定量的方式描述可以接受的行為特征，以區(qū)分非正常的、潛在的入侵行為。A刀derson做了如何通過(guò)識(shí)別“異常”行為來(lái)檢測(cè)入侵的早期工作。他提出了一個(gè)威脅模型，將威脅分為外部闖入、內(nèi)部滲透和不當(dāng)行為三種類(lèi)型，并使用這種分類(lèi)方法開(kāi)發(fā)了一個(gè)安全監(jiān)視系統(tǒng)，可檢測(cè)用戶(hù)的異常行為。誤用入侵檢測(cè)是指利用己知系統(tǒng)和應(yīng)用軟件的弱點(diǎn)攻擊模式來(lái)檢測(cè)入侵。與異常入侵檢測(cè)不同，誤用入侵檢測(cè)能直接檢測(cè)不利的或不可接受的行為，而異常入侵檢測(cè)是檢查出與正常行為相違背的行為。綜上，可根據(jù)系統(tǒng)所采用的檢測(cè)模型，將入侵檢測(cè)分為兩類(lèi):異常檢測(cè)和誤用檢測(cè)。l)異常檢測(cè)在異常檢測(cè)中，觀察到的不是己知的入侵行為，而是所研究的通信過(guò)程中的異常現(xiàn)象，它通過(guò)檢測(cè)系統(tǒng)的行為或使用情況的變化來(lái)完成。在建立該模型之前，首先必須建立統(tǒng)計(jì)概率模型，明確所觀察對(duì)象的正常情況，然后決定在何種程度上將一個(gè)行為標(biāo)為“異?！?，并如何做出具體決策。2)誤用檢測(cè)在誤用檢測(cè)中，入侵過(guò)程模型及它在被觀察系統(tǒng)中留下的蹤跡是決策的基礎(chǔ)。所以，可事先定義某些特征的行為是非法的，然后將觀察對(duì)象與之進(jìn)行比較以做出判別。誤用檢測(cè)基于已知的系統(tǒng)缺陷和入侵模式，故又稱(chēng)特征檢測(cè)。它能夠準(zhǔn)確地檢測(cè)到某些特征的攻擊，但卻過(guò)度依賴(lài)事先定義好的安全策略，所以無(wú)法檢測(cè)系統(tǒng)未知的攻擊行為，從而產(chǎn)生漏警。 根據(jù)體系結(jié)構(gòu)分類(lèi)按照體系結(jié)構(gòu)，IDS可分為集中式、等級(jí)式和協(xié)作式三種。l)集中式這種結(jié)構(gòu)的IDS可能有多個(gè)分布于不同主機(jī)上的審計(jì)程序，但只有一個(gè)中央入侵檢測(cè)服務(wù)器。審計(jì)程序把當(dāng)?shù)厥占降臄?shù)據(jù)蹤跡發(fā)送給中央服務(wù)器進(jìn)行分析處理。但這種結(jié)構(gòu)的IDS在可伸縮性、可配置性方面存在致命缺陷。隨著網(wǎng)絡(luò)規(guī)模的增加，主機(jī)審計(jì)程序和服務(wù)器之間傳送的數(shù)據(jù)量就會(huì)驟增，導(dǎo)致網(wǎng)絡(luò)性能大大降低。并且，一旦中央服務(wù)器出現(xiàn)故障，整個(gè)系統(tǒng)就會(huì)陷入癱瘓。根據(jù)各個(gè)主機(jī)的不同需求配置服務(wù)器也非常復(fù)雜。2)等級(jí)式在這種IDS中，定義了若干個(gè)分等級(jí)的監(jiān)控區(qū)域，每個(gè)IDS負(fù)責(zé)一個(gè)區(qū)域，每一級(jí)IDS只負(fù)責(zé)所監(jiān)控區(qū)的分析，然后將當(dāng)?shù)氐姆治鼋Y(jié)果傳送給上一級(jí)IDS。這種結(jié)構(gòu)也存在一些問(wèn)題:首先，當(dāng)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)改變時(shí)，區(qū)域分析結(jié)果的匯總機(jī)制也需要做相應(yīng)的調(diào)整:第二，這種結(jié)構(gòu)的IDS最后還是要把各地收集到的結(jié)果傳送到最高級(jí)的檢測(cè)服務(wù)器進(jìn)行全局分析，所以系統(tǒng)的安全性并沒(méi)有實(shí)質(zhì)性的改進(jìn)。3)協(xié)作式將中央檢測(cè)服務(wù)器的任務(wù)分配給多個(gè)基于主機(jī)或網(wǎng)絡(luò)的IDS，這些IDS不分等級(jí)，各司其職，負(fù)責(zé)監(jiān)控當(dāng)?shù)刂鳈C(jī)或者網(wǎng)段的某些活動(dòng)。所以，其可伸縮性、安全性都得到了顯著的提高，但維護(hù)成本卻高了很多，并且增加了所監(jiān)控主機(jī)的工作負(fù)荷，如通信機(jī)制、審計(jì)開(kāi)銷(xiāo)、蹤跡分析等，網(wǎng)絡(luò)流量也增大。 入侵檢測(cè)技術(shù)的發(fā)展方向可以看到，在入侵檢測(cè)技術(shù)發(fā)展的同時(shí)，入侵技術(shù)也在更新，一些黑客組織己經(jīng)將如何繞過(guò)IDS或攻擊IDS系統(tǒng)作為研究重點(diǎn)。高速網(wǎng)絡(luò)，尤其是交換技術(shù)的發(fā)展以及通過(guò)加密信道的數(shù)據(jù)通信，使得通過(guò)共享網(wǎng)段偵聽(tīng)的網(wǎng)絡(luò)數(shù)據(jù)采集方法顯得不足，而大量的通信量對(duì)數(shù)據(jù)分析也提出了新的要求。隨著信息系統(tǒng)對(duì)一個(gè)國(guó)家的社會(huì)生產(chǎn)與國(guó)民經(jīng)濟(jì)的影響越來(lái)越重要，信息戰(zhàn)己逐步被各個(gè)國(guó)家重視，信息戰(zhàn)中的主要攻擊“武器”之一就是網(wǎng)絡(luò)的入侵技術(shù)，信息戰(zhàn)的防御主要包括“保護(hù)”、“檢測(cè)”與“響應(yīng)”，入侵檢測(cè)則是其中“檢測(cè)”與“響應(yīng)”環(huán)節(jié)不可缺少的部分。近年對(duì)入侵檢測(cè)技術(shù)有幾個(gè)主要發(fā)展方向:l)分布式入侵檢測(cè)與通用入侵檢測(cè)架構(gòu)傳統(tǒng)的IDS一般局限于單一的主機(jī)或網(wǎng)絡(luò)架構(gòu)，對(duì)異構(gòu)系統(tǒng)及大規(guī)模的網(wǎng)絡(luò)的監(jiān)測(cè)明顯不足。同時(shí)不同的IDS系統(tǒng)之間不能協(xié)同工作，為解決這一問(wèn)題，需要分布式入侵檢測(cè)技術(shù)與通用入侵檢測(cè)架構(gòu)。2)應(yīng)用層入侵檢測(cè)許多入侵的語(yǔ)義只有在應(yīng)用層才能理解，而目前的IDS僅能檢測(cè)如WEB之類(lèi)的通用協(xié)議，而不能處理如LOtusNotes、數(shù)據(jù)庫(kù)系統(tǒng)等其他的應(yīng)用系統(tǒng)。許多基于客戶(hù)、服務(wù)器結(jié)構(gòu)與中間件技術(shù)及對(duì)象技術(shù)的大型應(yīng)用，需要應(yīng)用層的入侵檢測(cè)保護(hù)。3)智能的入侵檢測(cè)入侵方法越來(lái)越多樣化與綜合化，盡管己經(jīng)有智能體、神經(jīng)網(wǎng)絡(luò)與遺傳算法在入侵檢測(cè)領(lǐng)域應(yīng)用研究，但是這只是一些嘗試性的研究工作，需要對(duì)智能化的IDS加以進(jìn)一步的研究以解決其自學(xué)習(xí)與自適應(yīng)能力。4)入侵檢測(cè)的評(píng)測(cè)方法用戶(hù)需對(duì)眾多的IDS系統(tǒng)進(jìn)行評(píng)價(jià)，評(píng)價(jià)指標(biāo)包括IDS檢測(cè)范圍、系統(tǒng)資源占用、IDS系統(tǒng)自身的可靠性。從而設(shè)計(jì)通用的入侵檢測(cè)測(cè)試與評(píng)估方法與平臺(tái)，實(shí)現(xiàn)對(duì)多種IDS系統(tǒng)的檢測(cè)己成為當(dāng)前IDS的另一重要研究與發(fā)展領(lǐng)域。5)全面的安全防御方案即使用安全工程風(fēng)險(xiǎn)管理的思想與方法來(lái)處理網(wǎng)絡(luò)安全問(wèn)題，將網(wǎng)絡(luò)安全作為一個(gè)整體工程來(lái)處理。從管理、網(wǎng)絡(luò)結(jié)構(gòu)、加密通道、防火墻、病毒防護(hù)、入侵檢測(cè)多方位全面對(duì)所關(guān)注的網(wǎng)絡(luò)作全面的評(píng)估，然后提出可行的全面解決方案?？傊?，入侵檢測(cè)作為一種積極主動(dòng)的安全防護(hù)技術(shù)，提供了對(duì)內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù)，在網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截和響應(yīng)入侵。第三章Snort系統(tǒng)結(jié)構(gòu)分析本章詳細(xì)介紹了Snort系統(tǒng)的基本結(jié)構(gòu)框架及工作流程。 snort系統(tǒng)的工作流程 Snort系統(tǒng)流程圖整個(gè)系統(tǒng)是由七個(gè)模塊組成的:主模塊、命令行解析、數(shù)據(jù)包截獲、數(shù)據(jù)包解析、規(guī)則解析、檢測(cè)引擎、輸出模塊(需要說(shuō)明的是，本文把Snort系統(tǒng)作為網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)進(jìn)行分析，所有流程都是以Snort系統(tǒng)的入侵檢測(cè)狀態(tài)為前提的)。系統(tǒng)的總體工作流程大體如下:首先執(zhí)行主函數(shù)，其中包括對(duì)命令行參數(shù)的解析及各種標(biāo)識(shí)符的設(shè)置。主函數(shù)還調(diào)用相關(guān)例程對(duì)預(yù)處理器模塊、輸出模塊和規(guī)則選項(xiàng)關(guān)鍵字模塊進(jìn)行初始化工作，其實(shí)質(zhì)是構(gòu)建各種處理模塊或初始化模塊的鏈表結(jié)構(gòu)。而后調(diào)用規(guī)則解析模塊，實(shí)質(zhì)是構(gòu)建規(guī)則鏈表。接著啟動(dòng)數(shù)據(jù)包的截獲和處理。在對(duì)數(shù)據(jù)包進(jìn)行處理時(shí)，首先是調(diào)用各種網(wǎng)絡(luò)協(xié)議解析函數(shù)，對(duì)當(dāng)前數(shù)據(jù)包進(jìn)行分層協(xié)議格式字段的分析，并將分析結(jié)果存入到數(shù)據(jù)結(jié)構(gòu)Packet中去。然后系統(tǒng)調(diào)用入侵檢測(cè)模塊，根據(jù)給定的各種規(guī)則和當(dāng)前所截獲的數(shù)據(jù)包的協(xié)議分析結(jié)果，做出是否發(fā)生入侵行為的判斷。如果當(dāng)前數(shù)據(jù)包符合某條檢測(cè)規(guī)則所指定的情況，則系統(tǒng)可根據(jù)該條規(guī)則所定義的響應(yīng)方式以及輸出模塊的初始化定義情況，選擇進(jìn)行各種方式的日志記錄或報(bào)警操作。Snort系統(tǒng)較多的采用了“插件”的模式，這包括檢測(cè)引擎、規(guī)則解析中的預(yù)處理器子模塊、規(guī)則選項(xiàng)關(guān)鍵字子模塊和輸出模塊。采用此種靈活的結(jié)構(gòu)模式，用戶(hù)可以加入自己編寫(xiě)的模塊增強(qiáng)系統(tǒng)的功能或者滿(mǎn)足用戶(hù)自己的特殊需求。 主模塊該模塊包括全局變量和重要數(shù)據(jù)結(jié)構(gòu)的定義和主函數(shù) PV結(jié)構(gòu)該數(shù)據(jù)結(jié)構(gòu)用于存儲(chǔ)程序所用到的各種變量以及命令行參數(shù)的解析結(jié)果。 主函數(shù)分析各處理模塊初始化，調(diào)用命令行參數(shù)解析，調(diào)用檢測(cè)規(guī)則解析，啟動(dòng)數(shù)據(jù)包截獲和處理。系統(tǒng)初始化部分主要包括系統(tǒng)工作模式、系統(tǒng)默認(rèn)根目錄設(shè)置、完整性檢查等等，不贅述。主函數(shù)通過(guò)對(duì)Parsecmdiine函數(shù)的調(diào)用啟動(dòng)對(duì)命令行的解析，解析過(guò)程實(shí)質(zhì)是對(duì)Pv結(jié)構(gòu)的相應(yīng)字段賦值。接著用Openpcap函數(shù)打開(kāi)數(shù)據(jù)截獲接口(網(wǎng)絡(luò)接口或者文件)。而后調(diào)用SetPktprocessor函數(shù)，獲得當(dāng)前網(wǎng)絡(luò)接口層的協(xié)議類(lèi)型，保存到全局變量Grinder中。隨后是插件的初始化，包括預(yù)處理器插件(InitPreproeessor)、規(guī)則選項(xiàng)關(guān)鍵字插件(InitPlugins)和輸出插件(hiitoutPutPlugins)。調(diào)用Parserulefile函數(shù)，解析規(guī)則文件:隨后設(shè)置報(bào)警模式和日志模式。調(diào)用pcaPloop函數(shù)，啟動(dòng)對(duì)數(shù)據(jù)包的截獲，同時(shí)調(diào)用ProcessPacket函數(shù)，啟動(dòng)對(duì)所獲數(shù)據(jù)包的處理。最后關(guān)閉數(shù)據(jù)包截獲設(shè)備，釋放資源退出，實(shí)際初始化部分將數(shù)據(jù)包截獲總數(shù)設(shè)為無(wú)限個(gè)，使系統(tǒng)進(jìn)入無(wú)限循環(huán)處理的過(guò)程中，除非出錯(cuò)，不會(huì)退出。 命令行解析系統(tǒng)采用命令行開(kāi)關(guān)選項(xiàng)的方式對(duì)系統(tǒng)進(jìn)行配置，也可以采用高級(jí)規(guī)則CONFIG配置系統(tǒng)，實(shí)質(zhì)都是對(duì)PV結(jié)構(gòu)的相應(yīng)字段賦值。命令行的使用方式為:」字符串選項(xiàng)WIN32下的命令行的使用方式為:)字符串選項(xiàng)系統(tǒng)用Pajrsecmdiine函數(shù)實(shí)現(xiàn)命令行解析模塊的全部功能。Parseemdiine函數(shù)結(jié)構(gòu)非常簡(jiǎn)單，就是順次讀取命令行開(kāi)關(guān)后的各個(gè)參數(shù)，針對(duì)不同參數(shù)和字符串選項(xiàng)設(shè)置PV結(jié)構(gòu)中的對(duì)應(yīng)字段。下面對(duì)部分命令行參數(shù)結(jié)合PV結(jié)構(gòu)相應(yīng)字段及后文配置規(guī)則CONFIG的相應(yīng)關(guān)鍵字進(jìn)行說(shuō)明。 數(shù)據(jù)包的截獲該子系統(tǒng)的功能為捕獲網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)包，Snort系統(tǒng)利用libpe即庫(kù)函數(shù)(Windows下需要llbpeap for Win32，即winpcaP的支持)進(jìn)行采集數(shù)據(jù)，該庫(kù)函數(shù)可以為應(yīng)用程序提供直接從網(wǎng)絡(luò)接口層捕獲數(shù)據(jù)包的接口函數(shù)并可以設(shè)置數(shù)據(jù)包的過(guò)濾器以來(lái)捕獲指定的數(shù)據(jù)。網(wǎng)絡(luò)數(shù)據(jù)截獲機(jī)制是整個(gè)KIDS實(shí)現(xiàn)的基礎(chǔ)，目前，Snort可以處理以太網(wǎng)，令牌環(huán)以及SLIP等多種網(wǎng)絡(luò)接口類(lèi)型的包。下面以WINDOWS下數(shù)據(jù)包截獲的實(shí)現(xiàn)，分析數(shù)據(jù)包截獲的過(guò)程。WinPcap包括三個(gè)部分第一個(gè)模塊NPF(NetgrouP Packet Filter)，是一個(gè)虛擬設(shè)備驅(qū)動(dòng)程序文件。它的功能是過(guò)濾數(shù)據(jù)包，并把這些數(shù)據(jù)包原封不動(dòng)地傳給用戶(hù)級(jí)模塊，這個(gè)過(guò)程中包括了一些操作系統(tǒng)特有的代碼。而不同版本的Windows系統(tǒng)都有自己的內(nèi)核模塊和用戶(hù)層模塊。，而無(wú)需重新編譯。它提供了更加高層、抽象的函數(shù)。、功能更加強(qiáng)大的函數(shù)調(diào)用。在這三個(gè)組件中，他們與操作系統(tǒng)及硬件的關(guān)系是有區(qū)別的，他是與操作系統(tǒng)和硬件相關(guān)的，所以針對(duì)不同的Windows操作系統(tǒng)中需要有不同的設(shè)計(jì)。，與具體的硬件無(wú)關(guān)，與操作系統(tǒng)是相關(guān)的，在Win9x(95，98，me)和WinNT(NT4，2000，xP)系列中有所不同。，他是與操作系統(tǒng)無(wú)關(guān)的。由于這兩個(gè)API的級(jí)別不同，前者能夠直接訪(fǎng)問(wèn)到驅(qū)動(dòng)程序，便于實(shí)現(xiàn)一些底層的功能，而后者與Unix系統(tǒng)中使用的libpcap兼容，所以基于它所編寫(xiě)的程序在Windows系統(tǒng)和Unix系統(tǒng)中都可以運(yùn)行。NDIS(Network Driver Interface Specification)是Microsoft和3Com公司聯(lián)合制定的網(wǎng)絡(luò)驅(qū)動(dòng)規(guī)范，并提供了大量的操作函數(shù)。它為上層的協(xié)議驅(qū)動(dòng)提供服務(wù)，屏蔽了下層各種網(wǎng)卡的差別。NDIs向上支持多種網(wǎng)絡(luò)協(xié)議，如TCP/IP，NWLinklPX/sPx，NETBEul等，向下支持不同廠家生產(chǎn)的多種網(wǎng)卡。NDIS還支持多種工作模式，支持多處理器，提供一個(gè)完備的NDIS庫(kù)(Library)。但庫(kù)中所提供的各個(gè)函數(shù)都是工作在核心模式下的，用戶(hù)不宜直接操作，這就需要尋找另外的接口。Winpeap提供了一個(gè)可獨(dú)立于系統(tǒng)用戶(hù)層數(shù)據(jù)包截獲的系統(tǒng)程序開(kāi)發(fā)接口。其主要庫(kù)函數(shù)有:1)Pcapes_l00kuPdev()該函數(shù)返回一個(gè)網(wǎng)絡(luò)設(shè)備接口名，pcapopenlive()，pcaPlookupnet()等函數(shù)將用到這個(gè)網(wǎng)絡(luò)設(shè)備接口名。