【文章內容簡介】 注的是原始數(shù)據的傳輸；高層的4至5層關注的是網絡下的應用程序。 我們可以用一個形象一些的例子對數(shù)據包的概念加以說明：我們在郵局郵寄產品時，雖然產品本身帶有自己的包裝盒，但是在郵寄的時候只用產品原包裝盒來包裝顯然是不行的。必須把內裝產品的包裝盒放到一個郵局指定的專用紙箱里，這樣才能夠郵寄。這里，產品包裝盒相當于數(shù)據包，里面放著的產品相當于可用的數(shù)據，而專用紙箱就相當于幀，且一個幀中只有一個數(shù)據包。 “包”聽起來非常抽象，那么是不是不可見的呢？通過一定技術手段，是可以感知到數(shù)據包的存在的。比如在Windows 2000 Server中，把鼠標移動到任務欄右下角的網卡圖標上(網卡需要接好雙絞線、連入網絡)，就可以看到“發(fā)送：包，收到：包”的提示，如下圖所示：通過數(shù)據包捕獲軟件，也可以將數(shù)據包捕獲并加以分析。 就是用網絡嗅探器捕獲數(shù)據包，可以查看捕獲到的數(shù)據包的MAC地址、IP地址、協(xié)議類型端口號等細節(jié)。通過分析這些數(shù)據，網管員就可以知道網絡中到底有什么樣的數(shù)據包在活動了。數(shù)據包的結構非常復雜，不是三言兩語能夠說清的，在這里主要了解一下它的關鍵構成就可以了，這對于理解TCP/IP協(xié)議的通信原理是非常重要的。數(shù)據包主要由“目的IP地址”、“源IP地址”、“凈載數(shù)據”等部分構成。 數(shù)據包的結構與我們平常寫信非常類似，目的IP地址是說明這個數(shù)據包是要發(fā)給誰的，相當于收信人地址；源IP地址是說明這個數(shù)據包是發(fā)自哪里的，相當于發(fā)信人地址；而凈載數(shù)據相當于信件的內容。 正是因為數(shù)據包具有這樣的結構，安裝了TCP/IP協(xié)議的計算機之間才能相互通信。我們在使用基于TCP/IP協(xié)議的網絡時，網絡中其實傳遞的就是數(shù)據包。比如說當你上網時打開某個網頁，這個簡單的動作，就是你先發(fā)送數(shù)據包給那個網站，它接收到了之后，根據你發(fā)送的數(shù)據包的IP地址，返回給你網頁的數(shù)據包，也就是說，網頁的瀏覽，實際上就是數(shù)據包的交換。理解數(shù)據包，對于網絡管理的網絡安全具有至關重要的意義。 可行性分析可行性研究(Feasibility Study)是通過對項目的主要內容和配套條件，如市場需求、資源供應、建設規(guī)模、工藝路線、設備選型、環(huán)境影響、資金籌措、盈利能力等，從技術、經濟、工程等方面進行調查研究和分析比較，并對項目建成以后可能取得的財務、經濟效益及社會環(huán)境影響進行預測，從而提出該項目是否值得投資和如何進行建設的咨詢意見，為項目決策提供依據的一種綜合性的系統(tǒng)分析方法?？尚行匝芯繎哂蓄A見性、公正性、可靠性、科學性的特點。[7]當然這次論文的可行性研究并沒有上述的如此意義重大，只是理清整個系統(tǒng)分析和設計的大致過程，也就是在較高層次上以較抽象的方式進行的系統(tǒng)分析和設計的過程。它的目的不是解決問題，而是確定問題是否值得去解決。當然在現(xiàn)階段這樣的信息安全背景下，網絡嗅探器的研究與使用的價值是毋庸置疑的。不僅可以有效地診斷網絡狀況，更可以為信息安全戰(zhàn)打攻堅戰(zhàn)。它是廣大的網絡技術人員不可或缺的工具之一。3 詳細設計 設計原理嗅探器是如何工作的？如何竊聽網絡上的信息？網絡的一個特點就是數(shù)據總是在流動中，從一處到另外一處，而互聯(lián)網是由錯綜復雜的各種網絡交匯而成的，也就是說:當你的數(shù)據從網絡的一臺電腦到另一臺電腦的時候，通常會經過大量不同的網絡設備，(我們用tracert命令就可以看到這種路徑是如何進行的)。如果傳輸過程中，有人看到了傳輸中的數(shù)據，那么問題就出現(xiàn)了——這就好比我們用手機給人發(fā)了一條短信，結果除了發(fā)送對象以外，還發(fā)到別人的手機上了一樣，這樣說或許還不是很可怕，要是傳送的數(shù)據是企業(yè)的機密文件呢，或是用戶的信用卡帳號和密碼呢？[8]嗅探偵聽主要有兩種途徑，一種是將偵聽工具軟件放到網絡連接的設備或者放到可以控制網絡連接設備的電腦上，(比如網關服務器，路由器)——當然要實現(xiàn)這樣的效果可能也需要通過其他黑客技術來實現(xiàn):比如通過木馬方式將嗅探器發(fā)給某個網絡管理員，使其不自覺的為攻擊者進行了安裝。另外一種是針對不安全的局域網(采用交換HUB實現(xiàn))，放到個人電腦上就可以實現(xiàn)對整個局域網的偵聽，這里的原理是這樣的:共享HUB獲得一個子網內需要接收的數(shù)據時，并不是直接發(fā)送到指定主機，而是通過廣播方式發(fā)送到每個電腦，對于處于接受者地位的電腦就會處理該數(shù)據，而其他非接受者的電腦就會過濾這些數(shù)據，這些操作與電腦操作者無關，是系統(tǒng)自動完成的，但是電腦操作者如果有意的話，就可以將那些原本不屬于他的數(shù)據打開，這就是安全隱患！以太網的數(shù)據傳輸是基于“共享”原理的：所有的同一本地網范圍內的計算機共同接收到相同的數(shù)據包。這意味著計算機直接的通訊都是透明可見的。正是因為這樣的原因，以太網卡都構造了硬件的“過濾器”。這個過濾器將忽略掉一切和自己無關的網絡信息。事實上是忽略掉了與自身MAC地址不符合的信息。嗅探程序正是利用了這個特點，它主動的關閉了這個過濾器，也就是前面提到的設置網卡“混雜模式”。因此，嗅探程序就能夠接收到整個以太網內的網絡數(shù)據了信息了。[9] 什么是以太網的MAC地址（MAC：Media Access Control），由于大量的計算機在以太網內“共享“數(shù)據流，所以必須有一個統(tǒng)一的辦法用來區(qū)分傳遞給不同計算機的數(shù)據流的。這種問題不會發(fā)生在撥號用戶身上，因為計算機會假定一切數(shù)據都由你發(fā)送給MODEM，然后通過電話線傳送出去。可是，當你發(fā)送數(shù)據到以太網上的時候，你必須弄清楚，哪臺計算機是你發(fā)送數(shù)據的對象。的確，現(xiàn)在有大量的雙向通訊程序出現(xiàn)了，看上去，他們好像只會在兩臺機器內交換信息，可是你要明白，以太網的信息是共享的，其他用戶，其實一樣接收到了你發(fā)送的數(shù)據，只不過是被過濾器給忽略掉了。[10] 舉例一下，很多的小型局域網計算機用戶都為實現(xiàn)文件和打印共享，安裝了“NetBEUI” 因為它不是基于TCP/IP協(xié)議的，所以來自于網絡的黑客一樣無法得知他們的設備情況?；赗aw協(xié)議，傳輸和接收都在以太網里起著支配作用。你不能直接發(fā)送一個Raw數(shù)據給以太網，你必須先做一些事情，讓以太網能夠理解你的意思。這有點類似于發(fā)短信的方法，你不可能直接把一條短信直接發(fā)送出去，你還要輸入對方的手機號碼才可以發(fā)送，同樣的網絡上的傳輸數(shù)據也是一個道理。[11]以下是一個幫助我們理解數(shù)據傳送的簡單圖示： 　　_________ 　　/.........\ 　　/..Internet.\ 　　++ ++.............++ 　　　用戶A　　路由　.............　用戶B　 　　++ ^ +