【文章內(nèi)容簡介】 注的是原始數(shù)據(jù)的傳輸；高層的4至5層關注的是網(wǎng)絡下的應用程序。 我們可以用一個形象一些的例子對數(shù)據(jù)包的概念加以說明：我們在郵局郵寄產(chǎn)品時，雖然產(chǎn)品本身帶有自己的包裝盒，但是在郵寄的時候只用產(chǎn)品原包裝盒來包裝顯然是不行的。必須把內(nèi)裝產(chǎn)品的包裝盒放到一個郵局指定的專用紙箱里，這樣才能夠郵寄。這里，產(chǎn)品包裝盒相當于數(shù)據(jù)包，里面放著的產(chǎn)品相當于可用的數(shù)據(jù)，而專用紙箱就相當于幀，且一個幀中只有一個數(shù)據(jù)包。 “包”聽起來非常抽象，那么是不是不可見的呢？通過一定技術手段，是可以感知到數(shù)據(jù)包的存在的。比如在Windows 2000 Server中，把鼠標移動到任務欄右下角的網(wǎng)卡圖標上(網(wǎng)卡需要接好雙絞線、連入網(wǎng)絡)，就可以看到“發(fā)送：包，收到：包”的提示，如下圖所示：通過數(shù)據(jù)包捕獲軟件，也可以將數(shù)據(jù)包捕獲并加以分析。 就是用網(wǎng)絡嗅探器捕獲數(shù)據(jù)包，可以查看捕獲到的數(shù)據(jù)包的MAC地址、IP地址、協(xié)議類型端口號等細節(jié)。通過分析這些數(shù)據(jù)，網(wǎng)管員就可以知道網(wǎng)絡中到底有什么樣的數(shù)據(jù)包在活動了。數(shù)據(jù)包的結(jié)構(gòu)非常復雜，不是三言兩語能夠說清的，在這里主要了解一下它的關鍵構(gòu)成就可以了，這對于理解TCP/IP協(xié)議的通信原理是非常重要的。數(shù)據(jù)包主要由“目的IP地址”、“源IP地址”、“凈載數(shù)據(jù)”等部分構(gòu)成。 數(shù)據(jù)包的結(jié)構(gòu)與我們平常寫信非常類似，目的IP地址是說明這個數(shù)據(jù)包是要發(fā)給誰的，相當于收信人地址；源IP地址是說明這個數(shù)據(jù)包是發(fā)自哪里的，相當于發(fā)信人地址；而凈載數(shù)據(jù)相當于信件的內(nèi)容。 正是因為數(shù)據(jù)包具有這樣的結(jié)構(gòu)，安裝了TCP/IP協(xié)議的計算機之間才能相互通信。我們在使用基于TCP/IP協(xié)議的網(wǎng)絡時，網(wǎng)絡中其實傳遞的就是數(shù)據(jù)包。比如說當你上網(wǎng)時打開某個網(wǎng)頁，這個簡單的動作，就是你先發(fā)送數(shù)據(jù)包給那個網(wǎng)站，它接收到了之后，根據(jù)你發(fā)送的數(shù)據(jù)包的IP地址，返回給你網(wǎng)頁的數(shù)據(jù)包，也就是說，網(wǎng)頁的瀏覽，實際上就是數(shù)據(jù)包的交換。理解數(shù)據(jù)包，對于網(wǎng)絡管理的網(wǎng)絡安全具有至關重要的意義。 可行性分析可行性研究(Feasibility Study)是通過對項目的主要內(nèi)容和配套條件，如市場需求、資源供應、建設規(guī)模、工藝路線、設備選型、環(huán)境影響、資金籌措、盈利能力等，從技術、經(jīng)濟、工程等方面進行調(diào)查研究和分析比較，并對項目建成以后可能取得的財務、經(jīng)濟效益及社會環(huán)境影響進行預測，從而提出該項目是否值得投資和如何進行建設的咨詢意見，為項目決策提供依據(jù)的一種綜合性的系統(tǒng)分析方法?？尚行匝芯繎哂蓄A見性、公正性、可靠性、科學性的特點。[7]當然這次論文的可行性研究并沒有上述的如此意義重大，只是理清整個系統(tǒng)分析和設計的大致過程，也就是在較高層次上以較抽象的方式進行的系統(tǒng)分析和設計的過程。它的目的不是解決問題，而是確定問題是否值得去解決。當然在現(xiàn)階段這樣的信息安全背景下，網(wǎng)絡嗅探器的研究與使用的價值是毋庸置疑的。不僅可以有效地診斷網(wǎng)絡狀況，更可以為信息安全戰(zhàn)打攻堅戰(zhàn)。它是廣大的網(wǎng)絡技術人員不可或缺的工具之一。3 詳細設計 設計原理嗅探器是如何工作的？如何竊聽網(wǎng)絡上的信息？網(wǎng)絡的一個特點就是數(shù)據(jù)總是在流動中，從一處到另外一處，而互聯(lián)網(wǎng)是由錯綜復雜的各種網(wǎng)絡交匯而成的，也就是說:當你的數(shù)據(jù)從網(wǎng)絡的一臺電腦到另一臺電腦的時候，通常會經(jīng)過大量不同的網(wǎng)絡設備，(我們用tracert命令就可以看到這種路徑是如何進行的)。如果傳輸過程中，有人看到了傳輸中的數(shù)據(jù)，那么問題就出現(xiàn)了——這就好比我們用手機給人發(fā)了一條短信，結(jié)果除了發(fā)送對象以外，還發(fā)到別人的手機上了一樣，這樣說或許還不是很可怕，要是傳送的數(shù)據(jù)是企業(yè)的機密文件呢，或是用戶的信用卡帳號和密碼呢？[8]嗅探偵聽主要有兩種途徑，一種是將偵聽工具軟件放到網(wǎng)絡連接的設備或者放到可以控制網(wǎng)絡連接設備的電腦上，(比如網(wǎng)關服務器，路由器)——當然要實現(xiàn)這樣的效果可能也需要通過其他黑客技術來實現(xiàn):比如通過木馬方式將嗅探器發(fā)給某個網(wǎng)絡管理員，使其不自覺的為攻擊者進行了安裝。另外一種是針對不安全的局域網(wǎng)(采用交換HUB實現(xiàn))，放到個人電腦上就可以實現(xiàn)對整個局域網(wǎng)的偵聽，這里的原理是這樣的:共享HUB獲得一個子網(wǎng)內(nèi)需要接收的數(shù)據(jù)時，并不是直接發(fā)送到指定主機，而是通過廣播方式發(fā)送到每個電腦，對于處于接受者地位的電腦就會處理該數(shù)據(jù)，而其他非接受者的電腦就會過濾這些數(shù)據(jù)，這些操作與電腦操作者無關，是系統(tǒng)自動完成的，但是電腦操作者如果有意的話，就可以將那些原本不屬于他的數(shù)據(jù)打開，這就是安全隱患！以太網(wǎng)的數(shù)據(jù)傳輸是基于“共享”原理的：所有的同一本地網(wǎng)范圍內(nèi)的計算機共同接收到相同的數(shù)據(jù)包。這意味著計算機直接的通訊都是透明可見的。正是因為這樣的原因，以太網(wǎng)卡都構(gòu)造了硬件的“過濾器”。這個過濾器將忽略掉一切和自己無關的網(wǎng)絡信息。事實上是忽略掉了與自身MAC地址不符合的信息。嗅探程序正是利用了這個特點，它主動的關閉了這個過濾器，也就是前面提到的設置網(wǎng)卡“混雜模式”。因此，嗅探程序就能夠接收到整個以太網(wǎng)內(nèi)的網(wǎng)絡數(shù)據(jù)了信息了。[9] 什么是以太網(wǎng)的MAC地址（MAC：Media Access Control），由于大量的計算機在以太網(wǎng)內(nèi)“共享“數(shù)據(jù)流，所以必須有一個統(tǒng)一的辦法用來區(qū)分傳遞給不同計算機的數(shù)據(jù)流的。這種問題不會發(fā)生在撥號用戶身上，因為計算機會假定一切數(shù)據(jù)都由你發(fā)送給MODEM，然后通過電話線傳送出去?？墒牵斈惆l(fā)送數(shù)據(jù)到以太網(wǎng)上的時候，你必須弄清楚，哪臺計算機是你發(fā)送數(shù)據(jù)的對象。的確，現(xiàn)在有大量的雙向通訊程序出現(xiàn)了，看上去，他們好像只會在兩臺機器內(nèi)交換信息，可是你要明白，以太網(wǎng)的信息是共享的，其他用戶，其實一樣接收到了你發(fā)送的數(shù)據(jù)，只不過是被過濾器給忽略掉了。[10] 舉例一下，很多的小型局域網(wǎng)計算機用戶都為實現(xiàn)文件和打印共享，安裝了“NetBEUI” 因為它不是基于TCP/IP協(xié)議的，所以來自于網(wǎng)絡的黑客一樣無法得知他們的設備情況?；赗aw協(xié)議，傳輸和接收都在以太網(wǎng)里起著支配作用。你不能直接發(fā)送一個Raw數(shù)據(jù)給以太網(wǎng)，你必須先做一些事情，讓以太網(wǎng)能夠理解你的意思。這有點類似于發(fā)短信的方法，你不可能直接把一條短信直接發(fā)送出去，你還要輸入對方的手機號碼才可以發(fā)送，同樣的網(wǎng)絡上的傳輸數(shù)據(jù)也是一個道理。[11]以下是一個幫助我們理解數(shù)據(jù)傳送的簡單圖示： 　　_________ 　　/.........\ 　　/..Internet.\ 　　++ ++.............++ 　　　用戶A　　路由　.............　用戶B　 　　++ ^ +