【文章內(nèi)容簡(jiǎn)介】 就導(dǎo)致了那些抵御外部入侵的產(chǎn)品無用武之地。因此，要防止內(nèi)部的違規(guī)行為，就需要在內(nèi)部建設(shè)審計(jì)系統(tǒng)，通過對(duì)操作行為的分析，實(shí)現(xiàn)對(duì)違規(guī)行為的及時(shí)響應(yīng)和追溯。 網(wǎng)絡(luò)監(jiān)聽技術(shù)是用來監(jiān)視網(wǎng)絡(luò)的狀態(tài)、數(shù)據(jù)流動(dòng)情況以及網(wǎng)上傳輸?shù)拿魑男畔⒌鹊男畔⒓夹g(shù)，局域網(wǎng)大部分使用以太網(wǎng)協(xié)議，其工作方式是 ：將要發(fā)送的數(shù)據(jù)包發(fā)往網(wǎng)中的所有主機(jī)，包中包含著應(yīng)該接受數(shù)據(jù)包的主機(jī)的 IP地址，只有與數(shù)據(jù)包目標(biāo)地址一致的那臺(tái)主機(jī)才能接受。但是當(dāng)主機(jī)工作在監(jiān)聽模式下，無論數(shù)據(jù)包中的目標(biāo)地址是什么，主機(jī)都能接受。研究網(wǎng)絡(luò)監(jiān)聽系統(tǒng)對(duì)于網(wǎng)絡(luò)信息監(jiān)管與信息安全有著重要意義。 研究現(xiàn)狀 當(dāng)今計(jì)算機(jī)網(wǎng)絡(luò)及通訊技術(shù)的廣泛應(yīng)用，促使 Inter的迅速發(fā)展，給我們帶來 了巨大的社會(huì)和經(jīng)濟(jì)效益。在這種情況下，計(jì)算機(jī)網(wǎng)絡(luò)的設(shè)計(jì)，維護(hù)的難度日益增加，因此人們迫切需要能夠分析，診斷與測(cè)試網(wǎng)絡(luò)功能的工具軟件。網(wǎng)絡(luò)監(jiān)聽工具在這種需求下孕育而 生。它對(duì)網(wǎng)絡(luò)上的所有數(shù)據(jù)進(jìn)行捕獲，一方面對(duì)數(shù)據(jù)包進(jìn)行檢查分析，以便找出我們所關(guān)心的網(wǎng)絡(luò)中潛在的問題，對(duì)網(wǎng)絡(luò)故障做出精確定位，幫助管理員解決網(wǎng)絡(luò)的故障和性能問題；另一方面它又是黑客竊聽網(wǎng)絡(luò)的工具，黑客利用數(shù)據(jù)包中攜帶的數(shù)據(jù)直基于 Visual C++的網(wǎng)絡(luò)監(jiān)聽系統(tǒng) 3 接或間接獲取的機(jī)密信息。所以實(shí)現(xiàn)網(wǎng)絡(luò)監(jiān)聽技術(shù)具有重要的現(xiàn)實(shí)和理論意義。網(wǎng)絡(luò)正以前所未有的速度進(jìn)入人類社會(huì)，影響和改變著人們的生活方式，思想觀念，對(duì)政治、經(jīng)濟(jì)軍事等方面都產(chǎn)生了重大的影響，更是本世紀(jì)知識(shí)經(jīng)濟(jì)增長的基礎(chǔ)和保障，因此保證網(wǎng)絡(luò)系統(tǒng)穩(wěn)定安全的運(yùn)行，以促進(jìn)實(shí)現(xiàn)質(zhì)量的提高，從而保障整個(gè) Inter的健康發(fā)展，有著重要的現(xiàn)實(shí)意義。局域網(wǎng)中的網(wǎng)絡(luò)數(shù)據(jù)監(jiān)聽，是實(shí)現(xiàn)網(wǎng)絡(luò)安全的必要技術(shù)，它的研究和發(fā)展有利于網(wǎng)絡(luò)管理、網(wǎng)絡(luò)故障排除以及網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的進(jìn)一步發(fā)展。因而它未來的發(fā)展將在局域網(wǎng)中發(fā)揮著舉足輕重的作用，對(duì)于維護(hù)整個(gè)網(wǎng)絡(luò)的安全和性能穩(wěn)定有著直接的影響。 從早期的計(jì)算機(jī)網(wǎng)絡(luò)出現(xiàn)， 1969 年美國國防部高級(jí)研究計(jì)劃局建成的 ARPANET 實(shí)驗(yàn)網(wǎng)開始，計(jì)算機(jī)網(wǎng)絡(luò)在各發(fā)達(dá)國家迅速蓬勃發(fā)展，到今天復(fù)雜的 Intra 和 Inter 網(wǎng)絡(luò)，經(jīng)歷了不同的時(shí)期。伴隨著網(wǎng)絡(luò)的出現(xiàn)，對(duì)網(wǎng)絡(luò)數(shù)據(jù)截取的工 具，像 sniffer 也就隨之而產(chǎn)生了。到目前為止，可以進(jìn)行網(wǎng)絡(luò)數(shù)據(jù)監(jiān)聽的工具從軟件到硬件，從有線網(wǎng)到無線網(wǎng)，可以說是應(yīng)有盡有。有軟件實(shí)現(xiàn)的便攜式終端，也有硬件實(shí)現(xiàn)的網(wǎng)絡(luò)分析儀。下面分別介紹。 軟件數(shù)據(jù)截取工具介紹 目前，針對(duì)各種不同版本的操作系統(tǒng)都有不同版本的數(shù)據(jù)監(jiān)聽軟件，如 MSDOS平臺(tái)上 Gobblor、 Window9x 平臺(tái)的 NetXray、 Win2000/xp 平臺(tái)下得 Sniffer Pro、 Novell平臺(tái)的 EthLoad 以及 UNIX 平臺(tái) Netman 和 Sunsniff 等等。 硬件數(shù)據(jù)截取工具介紹 以上介紹的均是由單純的軟件實(shí)現(xiàn)的 sniffer，其功能相對(duì)硬件來說還是較為簡(jiǎn)單的。下面將介紹相應(yīng)的由硬件實(shí)現(xiàn)的 sniffer。硬件的 sniffer 又稱為網(wǎng)絡(luò)分析儀（協(xié)議分析儀）。目前的網(wǎng)絡(luò)分析儀的技術(shù)已經(jīng)非常的成熟，產(chǎn)品也非常的多樣。各種產(chǎn)品的功能會(huì)略有差異，有的只能針對(duì)一種協(xié)議，有的可以分析多種協(xié)議。一般的情況下，大型的企業(yè)網(wǎng)絡(luò)都會(huì)使用軟硬件結(jié)合的網(wǎng)絡(luò)分析儀。如： 1)安捷倫網(wǎng)絡(luò)分析儀系統(tǒng)， 2)Fluke Optiview 綜合網(wǎng)絡(luò)協(xié)議分析儀等。 陜西科技大學(xué)畢業(yè)設(shè)計(jì)說明書 4 2 網(wǎng)絡(luò)監(jiān) 聽技術(shù)綜述 網(wǎng)絡(luò)監(jiān)聽概念 網(wǎng)絡(luò)監(jiān)聽 [1]技術(shù)是一種與網(wǎng)絡(luò)安全性密切相關(guān)的技術(shù)，它的完整定義是：利用計(jì)算機(jī)的網(wǎng)絡(luò)接口截獲目的地為其它計(jì)算機(jī)的數(shù)據(jù)報(bào)文的一種技術(shù)。網(wǎng)絡(luò)監(jiān)聽器（ sniffer ）原來是提供給網(wǎng)絡(luò)管理員的一類管理工具，使用這組工具可以監(jiān)視網(wǎng)絡(luò)的狀態(tài)、數(shù)據(jù)流動(dòng)情況以及網(wǎng)絡(luò)上傳出的消息并利用這些消息來排除網(wǎng)絡(luò)故障。不幸的是由于網(wǎng)絡(luò)監(jiān)聽能有效的截獲網(wǎng)絡(luò)上的數(shù)據(jù)，它也成為了黑客使用最多的法。黑客運(yùn)行監(jiān)聽工具暗中監(jiān)視他人的網(wǎng)絡(luò)狀況、竊取明文傳出的密碼和各種數(shù)據(jù)。網(wǎng)絡(luò)監(jiān)聽不僅在共享式局域網(wǎng)中實(shí)現(xiàn)，而 且還可以在交換式局域網(wǎng)中實(shí)現(xiàn)。 網(wǎng)絡(luò)監(jiān)聽的原理 Ether（ 以太網(wǎng) ，它是由 施樂公司 發(fā)明的一種比較流行的局域網(wǎng)技術(shù)，它包含一條所有計(jì)算機(jī)都連接到其上的一條電纜，每臺(tái)計(jì)算機(jī)需要一種叫接口板的硬件才能連接到以太網(wǎng)）協(xié)議的工作方式是將要發(fā)送的 數(shù)據(jù)包發(fā)往連接在一起的所有主機(jī)。在 包頭 中包括有應(yīng)該接收數(shù)據(jù)包的主機(jī)的正確地址，因?yàn)橹挥信c數(shù)據(jù)包中目標(biāo)地址一致的那臺(tái)主機(jī)才能接收到信息包，但是當(dāng)主機(jī)工作在監(jiān)聽模式下的話不管數(shù)據(jù)包中的目標(biāo)物理地址是什么，主機(jī)都將可以接收到。許多局域網(wǎng)內(nèi)有十幾臺(tái)甚至上百臺(tái)主機(jī)是通過一個(gè)電纜、一個(gè)集線器連接在一起的，在協(xié)議的高層或者用戶來看，當(dāng)同一網(wǎng)絡(luò)中的兩臺(tái)主機(jī)通信的時(shí)候，源主機(jī)將寫有目的的主機(jī)地址的 數(shù)據(jù)包直接發(fā)向目的主機(jī)，或者當(dāng)網(wǎng)絡(luò)中的一臺(tái)主機(jī)同外界的主機(jī)通信時(shí)，源主機(jī)將寫有目的的主機(jī) IP 地址的數(shù)據(jù)包發(fā)向網(wǎng)關(guān)。但這種數(shù)據(jù)包并不能在協(xié)議棧的高層直接發(fā)送出去，要發(fā)送的數(shù)據(jù)包必須從 TCP/IP 協(xié)議的 IP 層交給網(wǎng)絡(luò)接口，也就是所說的數(shù)據(jù)鏈路層。網(wǎng)絡(luò)接口不會(huì)識(shí)別 IP 地址的。在網(wǎng)絡(luò)接口由 IP 層來的帶有 IP 地址的數(shù)據(jù)包又增加了一部分以太禎的禎頭的信息。在禎頭中，有兩個(gè)域分別為只有網(wǎng)絡(luò)接口 才能識(shí)別的源主機(jī)和目的主機(jī)的物理地址這是一個(gè) 48位的地址，這個(gè) 48 位的地址是與 IP 地址相對(duì)應(yīng)的，換句話說就是一個(gè) IP 地址也會(huì)對(duì)應(yīng)一個(gè)物理地址。對(duì)于作為網(wǎng)關(guān)的主機(jī)，由于它連接了多個(gè)網(wǎng)絡(luò)，它也就同時(shí)具備有很多個(gè) IP 地址，在每個(gè)網(wǎng)絡(luò)中它都有一個(gè)。而發(fā)向網(wǎng)絡(luò)外的禎中繼攜帶的就是網(wǎng)關(guān)的物理地址。 Ether 中填寫了物理地址的禎從網(wǎng)絡(luò)接口中，也就是從網(wǎng)卡中發(fā)送出去傳送到物理的線路上。如果局域網(wǎng)是由一條粗網(wǎng)或細(xì)網(wǎng)連接成的，那么數(shù)字信號(hào)在電纜上傳輸信號(hào)就能夠到達(dá)線路上的每一臺(tái)主機(jī)。再當(dāng)使用集線器的時(shí)候，發(fā)送出去的信 號(hào)到達(dá)集線器，由集線器再發(fā)向連接 在集線器上的每一條線路。 基于 Visual C++的網(wǎng)絡(luò)監(jiān)聽系統(tǒng) 5 當(dāng)連接在同一條電纜或集線器上的主機(jī)被邏輯地分為幾個(gè)子網(wǎng)的時(shí)候，那么要是有一臺(tái)主機(jī)處于監(jiān)聽模式，它還將可以接收到發(fā)向與自己不在同一個(gè) 子網(wǎng) （使用了不同的掩碼、 IP 地址和網(wǎng)關(guān)）的主機(jī)的數(shù)據(jù)包，在同一個(gè)物理信道上傳輸?shù)乃行畔⒍伎梢员唤邮盏健? WinPcap 的原理 winpcap 簡(jiǎn)介 WinPcap [2]是由伯克利分組捕獲庫派生而來的分組捕獲庫，它是在 Windows 操作平臺(tái)上來實(shí)現(xiàn)對(duì)底層包的截取過濾。 WinPcap 為用戶級(jí)的數(shù)據(jù)包提供了 Windows 下的一個(gè)平臺(tái)。 WinPcap 是 BPF 模型和 Libpcap 函數(shù)庫在 Windows 平臺(tái)下網(wǎng)絡(luò)數(shù)據(jù)包捕獲和網(wǎng)絡(luò)狀態(tài)分析的一種體系結(jié)構(gòu)，這個(gè)體系結(jié)構(gòu)是由一個(gè)核心的包過濾驅(qū)動(dòng)程序，一個(gè)底層的動(dòng)態(tài)連接庫 和一個(gè)高層的獨(dú)立于系統(tǒng)的函數(shù)庫 Libpcap 組成。底層的包捕獲驅(qū)動(dòng)程序?qū)嶋H為一個(gè) 協(xié)議 網(wǎng)絡(luò)驅(qū)動(dòng)程序，通過對(duì) NDIS 中函數(shù)的調(diào)用為 Win9 Win9WinNT、和 Win2000 提供一類似于 UNIX 系統(tǒng)下 Berkeley Packet Filter 的捕獲和發(fā)送原始數(shù)據(jù)包的能力。 是對(duì)這個(gè) BPF 驅(qū)動(dòng)程序進(jìn)行訪問的 API 接口，同時(shí)它有一套符合 Libpcap 接口（ UNIX 下的捕獲函數(shù)庫）的函數(shù)庫 。 WinPcap 包括三個(gè)部分：第一個(gè)模塊 NPF(Netgroup Packet Filter)，是一個(gè)虛擬設(shè)備驅(qū)動(dòng)程序文件。它的功能是過濾數(shù)據(jù)包，并把這些數(shù)據(jù)包原封不動(dòng)地傳給用戶態(tài)模塊，這個(gè)過程中包括了一些操作系統(tǒng)特有的代碼。第二個(gè)模塊 為 win32 平臺(tái)提供了一個(gè)公共的接口。不同版本的 Windows 系統(tǒng) 都有自己的內(nèi)核模塊和用戶層模塊。 用于解決這些不同。調(diào)用 的程序可以運(yùn)行在不同版本的 Windows 平臺(tái)上，而無需重新編譯。 第三個(gè)模塊 是不依賴于操作系統(tǒng)的。它提供了更加高層、抽象的函數(shù)。 和 ： 直接映射了內(nèi)核的調(diào)用。 提供了更加友好、功能更加強(qiáng)大的函數(shù)調(diào)用。 WinPcap 的優(yōu)勢(shì)提供了一套標(biāo)準(zhǔn)的抓包接口，與 libpcap兼容，可使得原來許多 UNIX 平臺(tái)下的網(wǎng)絡(luò)分析工具快速移植過 來便于開發(fā)各種網(wǎng)絡(luò)分析工具，充分考慮了各種性能和效率的優(yōu)化，包括對(duì)于 NPF 內(nèi)核層次上的過濾器支持，支持內(nèi)核態(tài)的統(tǒng)計(jì)模式，提供了發(fā)送數(shù)據(jù)包的能力。 WinPcap 的出現(xiàn)具有一定的必然性。由于 Window 操作系統(tǒng)沒有提供可以直接捕獲數(shù)據(jù)包的 API，盡管提供了一些內(nèi)核模塊，但存在著嚴(yán)重的局限性。例如： IP Filter Driver只運(yùn)行在 Windows2000 下，且僅支持 IP 協(xié)議。由于這些局限，使得 Windows 平臺(tái)下的網(wǎng)絡(luò)安全和分析工具無論在數(shù)量上，還是質(zhì)量上都與 Unix 下有很大的差距。微軟研究院贊助了意 大利一家開發(fā)機(jī)構(gòu)，為 Win32 平臺(tái)底層網(wǎng)絡(luò)分析開發(fā)了一套有力而且易擴(kuò)展的體系結(jié)構(gòu) —— WinPcap，它可以將 Unix 支持的數(shù)據(jù)包捕獲功能加到 Win32 系統(tǒng)中，陜西科技大學(xué)畢業(yè)設(shè)計(jì)說明書 6 從而彌補(bǔ)了 Windows 操作系統(tǒng)這方面的欠缺。而且 WinPcap 完全開放，提供源代碼，同時(shí)它提供了與 Libpcap 相兼容的函數(shù)接口。 WinPcap 的體系結(jié)構(gòu) (1) BSD Capturing Component 的體系結(jié)構(gòu) BSD Capturing Component 是 Unix 下最常用的捕獲數(shù)據(jù)包的驅(qū)動(dòng)，其基本體系結(jié)構(gòu)見圖 21。 圖 21 BSD Capturing Component 的體系結(jié)構(gòu) 如圖 21 所示， BSD Capturing Component 由以下幾部分組成： NetWork Tap，它負(fù)責(zé)從 網(wǎng)絡(luò)直接捕獲所有的數(shù)據(jù)包； Berkeley Packet Filter，它用來分析捕獲進(jìn)來的數(shù)據(jù)包；兩種 Buffer：一種工作在核心層，一種工作在用戶層。經(jīng)過 Berkeley Packet Filter 的數(shù)據(jù)包被拷貝到 Kernel Buffer 中，它分為兩個(gè) buffer： store buffer 和 hold buffer。 store buffer用于保存從網(wǎng)絡(luò)適配器捕獲的數(shù)據(jù)包， hold bufier 則用于將數(shù)據(jù)包拷貝到用戶的 buffer中。二者之間擁有 swap 特性：由于 store buffer 比 hold buffer 更易被填滿，所以當(dāng) store buffer 已滿，而 hold buffer 為空的時(shí)候， store buffer 變成 hold buffer，而之前的 hold buffer變成 store buffer。這樣使得用戶的程序和捕獲數(shù)據(jù)包的驅(qū)動(dòng)完全分開。 Userlevel buffer存儲(chǔ)從核心層進(jìn)來的數(shù)據(jù)包，它可防止用戶 直接訪問內(nèi)核管理的內(nèi)存。 基于 Visual C++的網(wǎng)絡(luò)監(jiān)聽系統(tǒng) 7 從程序員的角度來看， Libpcap 是主要的部件，它隱藏了應(yīng)用程序和內(nèi)核之間的交互。它為捕獲數(shù)據(jù)包的過程提供了強(qiáng)大而抽象的接口。通過它，可以使用用戶定義的 filter、管理用戶層的 buffer 等。但是 Libpcap 并不能夠發(fā)送數(shù)據(jù)包或者統(tǒng)計(jì)數(shù)據(jù)包。 (2) WinPcap 的體系結(jié)構(gòu) WinPcap 保留了 BSD Capturing Component 最重要的模塊：一個(gè) Filter Machine、兩種 Burfer 以及提供給用戶的庫。但是， WinPcap 與 BSD 捕獲數(shù)據(jù)包有一些本質(zhì)的區(qū)別 ：filtering 過程開始于用戶層定義的一個(gè) Filter，例如 port=21， WinPcap 把它編譯成一個(gè)偽指令，偽指令被傳到核心層，核心層通過一個(gè)虛擬機(jī)開始抓取所有的數(shù)據(jù)包，并通過偽指令來判斷是否保留數(shù)據(jù)包。虛擬機(jī)的效率成為獲得好的效率的關(guān)鍵。另外，它們?cè)诮Y(jié)構(gòu)上也有重要的區(qū)別： Netgroup Packet Filter 采用循環(huán) buffer，這樣使得 buffer 空間可以得到充分利用，大大提高了效率。 Winpcap（ windows packet capture）是微軟提供的一個(gè)在 Windows 平臺(tái)下訪問 網(wǎng)絡(luò)的編程接口。微軟開發(fā) winpcap 這個(gè)項(xiàng)目的目的在于為win32 應(yīng)用程序提供更開放的訪問網(wǎng)絡(luò)底層的能力。它包括三個(gè)部分：參見圖 22。 圖 22 Winpcap 結(jié)構(gòu)圖 第一個(gè)模塊 NPF(Netgroup Packet Filter)，是一個(gè)虛擬設(shè)備驅(qū)動(dòng)程序文件。它的功能陜西科技大學(xué)畢業(yè)設(shè)計(jì)說明書 8 是過濾數(shù)據(jù)包，并把這些數(shù)據(jù)包原封不動(dòng)地傳給用戶態(tài)模塊，這個(gè)過程中包括了一些操作系統(tǒng)特有的代碼。 第二個(gè)模塊 為 win32 平臺(tái)提供了一個(gè)公共的接口。不同版本的 Windows系統(tǒng)都有自己的內(nèi)核模塊和用戶 層模塊。 可以解決這些差異。調(diào)用 的程序可以運(yùn)行在不同版本的 Windows 平臺(tái)上，而無需重新編譯。 第三個(gè)模塊 是不依賴于操作系統(tǒng)的。它提供了更加高層、抽象的函數(shù)。Winpcap 的實(shí)質(zhì)是用了我們后面說的 NDIS，將自己注冊(cè)為一個(gè)協(xié)議處理驅(qū)動(dòng)來實(shí)現(xiàn)網(wǎng)絡(luò)數(shù)據(jù)包的截獲。 Winpcap 主要可以實(shí)現(xiàn)： (a) 捕獲原始數(shù)據(jù)報(bào)，包括在共享網(wǎng)絡(luò)上各主機(jī)發(fā)送 /接收的以及相互之間交換的數(shù)據(jù)包； (b) 在數(shù)據(jù)包發(fā)往應(yīng)用程序之前，按照自定義的規(guī)則將某些特殊的數(shù)據(jù) 包過濾掉； (c) 在網(wǎng)絡(luò)上發(fā)送原始的數(shù)據(jù)包； (d) 收集網(wǎng)絡(luò)通信過程中的統(tǒng)計(jì)信息； WinPcap 的優(yōu)點(diǎn)在于： ，并且提供了一套標(biāo)準(zhǔn)的抓包接口，與 libpcap 兼容，可使得原來許多 UNIX 平臺(tái)下的網(wǎng)絡(luò)分析工具可以快速移植，便于開發(fā)各種網(wǎng)絡(luò)分析工具。 ，包括對(duì)于 NPF 內(nèi)核層次上的過濾器支持。 ，提供了發(fā)送數(shù)據(jù)包的能力。 Winpcap 的缺點(diǎn)在于：不能阻塞、過濾或控制其他應(yīng)用程序?qū)?shù)據(jù)報(bào)收發(fā)，它僅僅只是監(jiān)聽 共享網(wǎng)絡(luò)上傳送的數(shù)據(jù)。因此，它不能用于 QoS 調(diào)度程序或個(gè)人防火墻。 WinPcap 的功能與新特性 WinPcap 除了其強(qiáng)大的捕獲數(shù)據(jù)包的功能以外，相比 BSD Capturing Component 還增加了發(fā)送數(shù)據(jù)包的功能：它是在 Win32 平臺(tái)上第一個(gè)提供標(biāo)準(zhǔn)的一套發(fā)送數(shù)據(jù)包函數(shù)的庫。需要注意的是， WinPcap 不具備產(chǎn)生數(shù)據(jù)包的能力，發(fā)送的數(shù)據(jù)包需要通過手工或者其它工具來構(gòu)造。而且 WinPcap 還實(shí)現(xiàn)了統(tǒng)計(jì)模式的工作方式：它不需要把數(shù)據(jù)包傳送到應(yīng)用程序，避免了大量的數(shù)據(jù)包拷貝操作。當(dāng)數(shù)據(jù)包還在 NIC driver 的存儲(chǔ)器中時(shí)，統(tǒng)計(jì)模式就開始起作用，然后數(shù)據(jù)包被丟棄。統(tǒng)計(jì)模式是一種非常高效的、用來監(jiān)測(cè)網(wǎng)絡(luò)的方法，即使在高速的局域網(wǎng)等有大量數(shù)據(jù)包流動(dòng)的網(wǎng)絡(luò)環(huán)境中，它依然可工作得很好 。 網(wǎng)絡(luò)數(shù)據(jù)包捕獲的原理 以太網(wǎng)（ Ether）具有共享介質(zhì)的特征，信息是以明文的形式在網(wǎng)絡(luò)上傳輸，當(dāng)網(wǎng)絡(luò)適配器設(shè)置為監(jiān)聽模式（混雜模式， Promiscuous）時(shí)，由于采用以太網(wǎng)廣播信道爭(zhēng)用的方式，使得監(jiān)聽系統(tǒng)與正常通信的網(wǎng)絡(luò)能夠并聯(lián)連接，并可以捕獲任何一個(gè)在同一基于 Visual C++的網(wǎng)絡(luò)監(jiān)聽系統(tǒng) 9 沖突域上傳輸?shù)臄?shù)據(jù)包。 標(biāo)準(zhǔn)的以太網(wǎng)采用的是持續(xù) CSMA 的方式，正是由于以太網(wǎng)采用這種廣播信道爭(zhēng)用的方式，使得各個(gè)站點(diǎn)可以獲得其他站點(diǎn)發(fā)送的數(shù)據(jù)。運(yùn)用這一原理使信息捕獲系統(tǒng)能夠攔截的我們所要的信息，這是捕獲數(shù)據(jù)包的物理基礎(chǔ)。 以太網(wǎng)是一種總線型的網(wǎng)絡(luò)，從邏輯上來看是由一條總線和多個(gè)連接在總線上的站點(diǎn)所組成各個(gè)站點(diǎn)采用上面提到的 CSMA/CD 協(xié)議 進(jìn)行信道的爭(zhēng)用和共享。每個(gè)站點(diǎn)（這里特指計(jì)算 機(jī)通過的接口卡）網(wǎng)卡來實(shí)現(xiàn)這種功能。網(wǎng)卡主要的工作是完成對(duì)于總線當(dāng)前狀態(tài)的探測(cè)，確定是否進(jìn)行數(shù)據(jù)的傳送，判斷每個(gè)物理數(shù)據(jù)幀目的地是否為本站地址，如果不匹配，則說明不是發(fā)送到本站的而將它丟棄。如果是的話，接收該數(shù)據(jù)幀，進(jìn)行物理數(shù)據(jù)幀的 CRC 校驗(yàn)，然后將數(shù)據(jù)幀提交給 LLC 子層。 網(wǎng)卡具有如下的幾種工作模式： (a) 廣播模式（ Broad Cast Model） :它的物理地址（ MAC）地址