【文章內(nèi)容簡介】 就導致了那些抵御外部入侵的產(chǎn)品無用武之地。因此，要防止內(nèi)部的違規(guī)行為，就需要在內(nèi)部建設審計系統(tǒng)，通過對操作行為的分析，實現(xiàn)對違規(guī)行為的及時響應和追溯。 網(wǎng)絡監(jiān)聽技術是用來監(jiān)視網(wǎng)絡的狀態(tài)、數(shù)據(jù)流動情況以及網(wǎng)上傳輸?shù)拿魑男畔⒌鹊男畔⒓夹g，局域網(wǎng)大部分使用以太網(wǎng)協(xié)議，其工作方式是 ：將要發(fā)送的數(shù)據(jù)包發(fā)往網(wǎng)中的所有主機，包中包含著應該接受數(shù)據(jù)包的主機的 IP地址，只有與數(shù)據(jù)包目標地址一致的那臺主機才能接受。但是當主機工作在監(jiān)聽模式下，無論數(shù)據(jù)包中的目標地址是什么，主機都能接受。研究網(wǎng)絡監(jiān)聽系統(tǒng)對于網(wǎng)絡信息監(jiān)管與信息安全有著重要意義。 研究現(xiàn)狀 當今計算機網(wǎng)絡及通訊技術的廣泛應用，促使 Inter的迅速發(fā)展，給我們帶來 了巨大的社會和經(jīng)濟效益。在這種情況下，計算機網(wǎng)絡的設計，維護的難度日益增加，因此人們迫切需要能夠分析，診斷與測試網(wǎng)絡功能的工具軟件。網(wǎng)絡監(jiān)聽工具在這種需求下孕育而 生。它對網(wǎng)絡上的所有數(shù)據(jù)進行捕獲，一方面對數(shù)據(jù)包進行檢查分析，以便找出我們所關心的網(wǎng)絡中潛在的問題，對網(wǎng)絡故障做出精確定位，幫助管理員解決網(wǎng)絡的故障和性能問題；另一方面它又是黑客竊聽網(wǎng)絡的工具，黑客利用數(shù)據(jù)包中攜帶的數(shù)據(jù)直基于 Visual C++的網(wǎng)絡監(jiān)聽系統(tǒng) 3 接或間接獲取的機密信息。所以實現(xiàn)網(wǎng)絡監(jiān)聽技術具有重要的現(xiàn)實和理論意義。網(wǎng)絡正以前所未有的速度進入人類社會，影響和改變著人們的生活方式，思想觀念，對政治、經(jīng)濟軍事等方面都產(chǎn)生了重大的影響，更是本世紀知識經(jīng)濟增長的基礎和保障，因此保證網(wǎng)絡系統(tǒng)穩(wěn)定安全的運行，以促進實現(xiàn)質(zhì)量的提高，從而保障整個 Inter的健康發(fā)展，有著重要的現(xiàn)實意義。局域網(wǎng)中的網(wǎng)絡數(shù)據(jù)監(jiān)聽，是實現(xiàn)網(wǎng)絡安全的必要技術，它的研究和發(fā)展有利于網(wǎng)絡管理、網(wǎng)絡故障排除以及網(wǎng)絡入侵檢測系統(tǒng)的進一步發(fā)展。因而它未來的發(fā)展將在局域網(wǎng)中發(fā)揮著舉足輕重的作用，對于維護整個網(wǎng)絡的安全和性能穩(wěn)定有著直接的影響。 從早期的計算機網(wǎng)絡出現(xiàn)， 1969 年美國國防部高級研究計劃局建成的 ARPANET 實驗網(wǎng)開始，計算機網(wǎng)絡在各發(fā)達國家迅速蓬勃發(fā)展，到今天復雜的 Intra 和 Inter 網(wǎng)絡，經(jīng)歷了不同的時期。伴隨著網(wǎng)絡的出現(xiàn)，對網(wǎng)絡數(shù)據(jù)截取的工 具，像 sniffer 也就隨之而產(chǎn)生了。到目前為止，可以進行網(wǎng)絡數(shù)據(jù)監(jiān)聽的工具從軟件到硬件，從有線網(wǎng)到無線網(wǎng)，可以說是應有盡有。有軟件實現(xiàn)的便攜式終端，也有硬件實現(xiàn)的網(wǎng)絡分析儀。下面分別介紹。 軟件數(shù)據(jù)截取工具介紹 目前，針對各種不同版本的操作系統(tǒng)都有不同版本的數(shù)據(jù)監(jiān)聽軟件，如 MSDOS平臺上 Gobblor、 Window9x 平臺的 NetXray、 Win2000/xp 平臺下得 Sniffer Pro、 Novell平臺的 EthLoad 以及 UNIX 平臺 Netman 和 Sunsniff 等等。 硬件數(shù)據(jù)截取工具介紹 以上介紹的均是由單純的軟件實現(xiàn)的 sniffer，其功能相對硬件來說還是較為簡單的。下面將介紹相應的由硬件實現(xiàn)的 sniffer。硬件的 sniffer 又稱為網(wǎng)絡分析儀（協(xié)議分析儀）。目前的網(wǎng)絡分析儀的技術已經(jīng)非常的成熟，產(chǎn)品也非常的多樣。各種產(chǎn)品的功能會略有差異，有的只能針對一種協(xié)議，有的可以分析多種協(xié)議。一般的情況下，大型的企業(yè)網(wǎng)絡都會使用軟硬件結合的網(wǎng)絡分析儀。如： 1)安捷倫網(wǎng)絡分析儀系統(tǒng)， 2)Fluke Optiview 綜合網(wǎng)絡協(xié)議分析儀等。 陜西科技大學畢業(yè)設計說明書 4 2 網(wǎng)絡監(jiān) 聽技術綜述 網(wǎng)絡監(jiān)聽概念 網(wǎng)絡監(jiān)聽 [1]技術是一種與網(wǎng)絡安全性密切相關的技術，它的完整定義是：利用計算機的網(wǎng)絡接口截獲目的地為其它計算機的數(shù)據(jù)報文的一種技術。網(wǎng)絡監(jiān)聽器（ sniffer ）原來是提供給網(wǎng)絡管理員的一類管理工具，使用這組工具可以監(jiān)視網(wǎng)絡的狀態(tài)、數(shù)據(jù)流動情況以及網(wǎng)絡上傳出的消息并利用這些消息來排除網(wǎng)絡故障。不幸的是由于網(wǎng)絡監(jiān)聽能有效的截獲網(wǎng)絡上的數(shù)據(jù)，它也成為了黑客使用最多的法。黑客運行監(jiān)聽工具暗中監(jiān)視他人的網(wǎng)絡狀況、竊取明文傳出的密碼和各種數(shù)據(jù)。網(wǎng)絡監(jiān)聽不僅在共享式局域網(wǎng)中實現(xiàn)，而 且還可以在交換式局域網(wǎng)中實現(xiàn)。 網(wǎng)絡監(jiān)聽的原理 Ether（ 以太網(wǎng) ，它是由 施樂公司 發(fā)明的一種比較流行的局域網(wǎng)技術，它包含一條所有計算機都連接到其上的一條電纜，每臺計算機需要一種叫接口板的硬件才能連接到以太網(wǎng)）協(xié)議的工作方式是將要發(fā)送的 數(shù)據(jù)包發(fā)往連接在一起的所有主機。在 包頭 中包括有應該接收數(shù)據(jù)包的主機的正確地址，因為只有與數(shù)據(jù)包中目標地址一致的那臺主機才能接收到信息包，但是當主機工作在監(jiān)聽模式下的話不管數(shù)據(jù)包中的目標物理地址是什么，主機都將可以接收到。許多局域網(wǎng)內(nèi)有十幾臺甚至上百臺主機是通過一個電纜、一個集線器連接在一起的，在協(xié)議的高層或者用戶來看，當同一網(wǎng)絡中的兩臺主機通信的時候，源主機將寫有目的的主機地址的 數(shù)據(jù)包直接發(fā)向目的主機，或者當網(wǎng)絡中的一臺主機同外界的主機通信時，源主機將寫有目的的主機 IP 地址的數(shù)據(jù)包發(fā)向網(wǎng)關。但這種數(shù)據(jù)包并不能在協(xié)議棧的高層直接發(fā)送出去，要發(fā)送的數(shù)據(jù)包必須從 TCP/IP 協(xié)議的 IP 層交給網(wǎng)絡接口，也就是所說的數(shù)據(jù)鏈路層。網(wǎng)絡接口不會識別 IP 地址的。在網(wǎng)絡接口由 IP 層來的帶有 IP 地址的數(shù)據(jù)包又增加了一部分以太禎的禎頭的信息。在禎頭中，有兩個域分別為只有網(wǎng)絡接口 才能識別的源主機和目的主機的物理地址這是一個 48位的地址，這個 48 位的地址是與 IP 地址相對應的，換句話說就是一個 IP 地址也會對應一個物理地址。對于作為網(wǎng)關的主機，由于它連接了多個網(wǎng)絡，它也就同時具備有很多個 IP 地址，在每個網(wǎng)絡中它都有一個。而發(fā)向網(wǎng)絡外的禎中繼攜帶的就是網(wǎng)關的物理地址。 Ether 中填寫了物理地址的禎從網(wǎng)絡接口中，也就是從網(wǎng)卡中發(fā)送出去傳送到物理的線路上。如果局域網(wǎng)是由一條粗網(wǎng)或細網(wǎng)連接成的，那么數(shù)字信號在電纜上傳輸信號就能夠到達線路上的每一臺主機。再當使用集線器的時候，發(fā)送出去的信 號到達集線器，由集線器再發(fā)向連接 在集線器上的每一條線路。 基于 Visual C++的網(wǎng)絡監(jiān)聽系統(tǒng) 5 當連接在同一條電纜或集線器上的主機被邏輯地分為幾個子網(wǎng)的時候，那么要是有一臺主機處于監(jiān)聽模式，它還將可以接收到發(fā)向與自己不在同一個 子網(wǎng) （使用了不同的掩碼、 IP 地址和網(wǎng)關）的主機的數(shù)據(jù)包，在同一個物理信道上傳輸?shù)乃行畔⒍伎梢员唤邮盏健? WinPcap 的原理 winpcap 簡介 WinPcap [2]是由伯克利分組捕獲庫派生而來的分組捕獲庫，它是在 Windows 操作平臺上來實現(xiàn)對底層包的截取過濾。 WinPcap 為用戶級的數(shù)據(jù)包提供了 Windows 下的一個平臺。 WinPcap 是 BPF 模型和 Libpcap 函數(shù)庫在 Windows 平臺下網(wǎng)絡數(shù)據(jù)包捕獲和網(wǎng)絡狀態(tài)分析的一種體系結構，這個體系結構是由一個核心的包過濾驅動程序，一個底層的動態(tài)連接庫 和一個高層的獨立于系統(tǒng)的函數(shù)庫 Libpcap 組成。底層的包捕獲驅動程序實際為一個 協(xié)議 網(wǎng)絡驅動程序，通過對 NDIS 中函數(shù)的調(diào)用為 Win9 Win9WinNT、和 Win2000 提供一類似于 UNIX 系統(tǒng)下 Berkeley Packet Filter 的捕獲和發(fā)送原始數(shù)據(jù)包的能力。 是對這個 BPF 驅動程序進行訪問的 API 接口，同時它有一套符合 Libpcap 接口（ UNIX 下的捕獲函數(shù)庫）的函數(shù)庫 。 WinPcap 包括三個部分：第一個模塊 NPF(Netgroup Packet Filter)，是一個虛擬設備驅動程序文件。它的功能是過濾數(shù)據(jù)包，并把這些數(shù)據(jù)包原封不動地傳給用戶態(tài)模塊，這個過程中包括了一些操作系統(tǒng)特有的代碼。第二個模塊 為 win32 平臺提供了一個公共的接口。不同版本的 Windows 系統(tǒng) 都有自己的內(nèi)核模塊和用戶層模塊。 用于解決這些不同。調(diào)用 的程序可以運行在不同版本的 Windows 平臺上，而無需重新編譯。 第三個模塊 是不依賴于操作系統(tǒng)的。它提供了更加高層、抽象的函數(shù)。 和 ： 直接映射了內(nèi)核的調(diào)用。 提供了更加友好、功能更加強大的函數(shù)調(diào)用。 WinPcap 的優(yōu)勢提供了一套標準的抓包接口，與 libpcap兼容，可使得原來許多 UNIX 平臺下的網(wǎng)絡分析工具快速移植過 來便于開發(fā)各種網(wǎng)絡分析工具，充分考慮了各種性能和效率的優(yōu)化，包括對于 NPF 內(nèi)核層次上的過濾器支持，支持內(nèi)核態(tài)的統(tǒng)計模式，提供了發(fā)送數(shù)據(jù)包的能力。 WinPcap 的出現(xiàn)具有一定的必然性。由于 Window 操作系統(tǒng)沒有提供可以直接捕獲數(shù)據(jù)包的 API，盡管提供了一些內(nèi)核模塊，但存在著嚴重的局限性。例如： IP Filter Driver只運行在 Windows2000 下，且僅支持 IP 協(xié)議。由于這些局限，使得 Windows 平臺下的網(wǎng)絡安全和分析工具無論在數(shù)量上，還是質(zhì)量上都與 Unix 下有很大的差距。微軟研究院贊助了意 大利一家開發(fā)機構，為 Win32 平臺底層網(wǎng)絡分析開發(fā)了一套有力而且易擴展的體系結構 —— WinPcap，它可以將 Unix 支持的數(shù)據(jù)包捕獲功能加到 Win32 系統(tǒng)中，陜西科技大學畢業(yè)設計說明書 6 從而彌補了 Windows 操作系統(tǒng)這方面的欠缺。而且 WinPcap 完全開放，提供源代碼，同時它提供了與 Libpcap 相兼容的函數(shù)接口。 WinPcap 的體系結構 (1) BSD Capturing Component 的體系結構 BSD Capturing Component 是 Unix 下最常用的捕獲數(shù)據(jù)包的驅動，其基本體系結構見圖 21。 圖 21 BSD Capturing Component 的體系結構 如圖 21 所示， BSD Capturing Component 由以下幾部分組成： NetWork Tap，它負責從 網(wǎng)絡直接捕獲所有的數(shù)據(jù)包； Berkeley Packet Filter，它用來分析捕獲進來的數(shù)據(jù)包；兩種 Buffer：一種工作在核心層，一種工作在用戶層。經(jīng)過 Berkeley Packet Filter 的數(shù)據(jù)包被拷貝到 Kernel Buffer 中，它分為兩個 buffer： store buffer 和 hold buffer。 store buffer用于保存從網(wǎng)絡適配器捕獲的數(shù)據(jù)包， hold bufier 則用于將數(shù)據(jù)包拷貝到用戶的 buffer中。二者之間擁有 swap 特性：由于 store buffer 比 hold buffer 更易被填滿，所以當 store buffer 已滿，而 hold buffer 為空的時候， store buffer 變成 hold buffer，而之前的 hold buffer變成 store buffer。這樣使得用戶的程序和捕獲數(shù)據(jù)包的驅動完全分開。 Userlevel buffer存儲從核心層進來的數(shù)據(jù)包，它可防止用戶 直接訪問內(nèi)核管理的內(nèi)存。 基于 Visual C++的網(wǎng)絡監(jiān)聽系統(tǒng) 7 從程序員的角度來看， Libpcap 是主要的部件，它隱藏了應用程序和內(nèi)核之間的交互。它為捕獲數(shù)據(jù)包的過程提供了強大而抽象的接口。通過它，可以使用用戶定義的 filter、管理用戶層的 buffer 等。但是 Libpcap 并不能夠發(fā)送數(shù)據(jù)包或者統(tǒng)計數(shù)據(jù)包。 (2) WinPcap 的體系結構 WinPcap 保留了 BSD Capturing Component 最重要的模塊：一個 Filter Machine、兩種 Burfer 以及提供給用戶的庫。但是， WinPcap 與 BSD 捕獲數(shù)據(jù)包有一些本質(zhì)的區(qū)別 ：filtering 過程開始于用戶層定義的一個 Filter，例如 port=21， WinPcap 把它編譯成一個偽指令，偽指令被傳到核心層，核心層通過一個虛擬機開始抓取所有的數(shù)據(jù)包，并通過偽指令來判斷是否保留數(shù)據(jù)包。虛擬機的效率成為獲得好的效率的關鍵。另外，它們在結構上也有重要的區(qū)別： Netgroup Packet Filter 采用循環(huán) buffer，這樣使得 buffer 空間可以得到充分利用，大大提高了效率。 Winpcap（ windows packet capture）是微軟提供的一個在 Windows 平臺下訪問 網(wǎng)絡的編程接口。微軟開發(fā) winpcap 這個項目的目的在于為win32 應用程序提供更開放的訪問網(wǎng)絡底層的能力。它包括三個部分：參見圖 22。 圖 22 Winpcap 結構圖 第一個模塊 NPF(Netgroup Packet Filter)，是一個虛擬設備驅動程序文件。它的功能陜西科技大學畢業(yè)設計說明書 8 是過濾數(shù)據(jù)包，并把這些數(shù)據(jù)包原封不動地傳給用戶態(tài)模塊，這個過程中包括了一些操作系統(tǒng)特有的代碼。 第二個模塊 為 win32 平臺提供了一個公共的接口。不同版本的 Windows系統(tǒng)都有自己的內(nèi)核模塊和用戶 層模塊。 可以解決這些差異。調(diào)用 的程序可以運行在不同版本的 Windows 平臺上，而無需重新編譯。 第三個模塊 是不依賴于操作系統(tǒng)的。它提供了更加高層、抽象的函數(shù)。Winpcap 的實質(zhì)是用了我們后面說的 NDIS，將自己注冊為一個協(xié)議處理驅動來實現(xiàn)網(wǎng)絡數(shù)據(jù)包的截獲。 Winpcap 主要可以實現(xiàn)： (a) 捕獲原始數(shù)據(jù)報，包括在共享網(wǎng)絡上各主機發(fā)送 /接收的以及相互之間交換的數(shù)據(jù)包； (b) 在數(shù)據(jù)包發(fā)往應用程序之前，按照自定義的規(guī)則將某些特殊的數(shù)據(jù) 包過濾掉； (c) 在網(wǎng)絡上發(fā)送原始的數(shù)據(jù)包； (d) 收集網(wǎng)絡通信過程中的統(tǒng)計信息； WinPcap 的優(yōu)點在于： ，并且提供了一套標準的抓包接口，與 libpcap 兼容，可使得原來許多 UNIX 平臺下的網(wǎng)絡分析工具可以快速移植，便于開發(fā)各種網(wǎng)絡分析工具。 ，包括對于 NPF 內(nèi)核層次上的過濾器支持。 ，提供了發(fā)送數(shù)據(jù)包的能力。 Winpcap 的缺點在于：不能阻塞、過濾或控制其他應用程序對數(shù)據(jù)報收發(fā)，它僅僅只是監(jiān)聽 共享網(wǎng)絡上傳送的數(shù)據(jù)。因此，它不能用于 QoS 調(diào)度程序或個人防火墻。 WinPcap 的功能與新特性 WinPcap 除了其強大的捕獲數(shù)據(jù)包的功能以外，相比 BSD Capturing Component 還增加了發(fā)送數(shù)據(jù)包的功能：它是在 Win32 平臺上第一個提供標準的一套發(fā)送數(shù)據(jù)包函數(shù)的庫。需要注意的是， WinPcap 不具備產(chǎn)生數(shù)據(jù)包的能力，發(fā)送的數(shù)據(jù)包需要通過手工或者其它工具來構造。而且 WinPcap 還實現(xiàn)了統(tǒng)計模式的工作方式：它不需要把數(shù)據(jù)包傳送到應用程序，避免了大量的數(shù)據(jù)包拷貝操作。當數(shù)據(jù)包還在 NIC driver 的存儲器中時，統(tǒng)計模式就開始起作用，然后數(shù)據(jù)包被丟棄。統(tǒng)計模式是一種非常高效的、用來監(jiān)測網(wǎng)絡的方法，即使在高速的局域網(wǎng)等有大量數(shù)據(jù)包流動的網(wǎng)絡環(huán)境中，它依然可工作得很好 。 網(wǎng)絡數(shù)據(jù)包捕獲的原理 以太網(wǎng)（ Ether）具有共享介質(zhì)的特征，信息是以明文的形式在網(wǎng)絡上傳輸，當網(wǎng)絡適配器設置為監(jiān)聽模式（混雜模式， Promiscuous）時，由于采用以太網(wǎng)廣播信道爭用的方式，使得監(jiān)聽系統(tǒng)與正常通信的網(wǎng)絡能夠并聯(lián)連接，并可以捕獲任何一個在同一基于 Visual C++的網(wǎng)絡監(jiān)聽系統(tǒng) 9 沖突域上傳輸?shù)臄?shù)據(jù)包。 標準的以太網(wǎng)采用的是持續(xù) CSMA 的方式，正是由于以太網(wǎng)采用這種廣播信道爭用的方式，使得各個站點可以獲得其他站點發(fā)送的數(shù)據(jù)。運用這一原理使信息捕獲系統(tǒng)能夠攔截的我們所要的信息，這是捕獲數(shù)據(jù)包的物理基礎。 以太網(wǎng)是一種總線型的網(wǎng)絡，從邏輯上來看是由一條總線和多個連接在總線上的站點所組成各個站點采用上面提到的 CSMA/CD 協(xié)議 進行信道的爭用和共享。每個站點（這里特指計算 機通過的接口卡）網(wǎng)卡來實現(xiàn)這種功能。網(wǎng)卡主要的工作是完成對于總線當前狀態(tài)的探測，確定是否進行數(shù)據(jù)的傳送，判斷每個物理數(shù)據(jù)幀目的地是否為本站地址，如果不匹配，則說明不是發(fā)送到本站的而將它丟棄。如果是的話，接收該數(shù)據(jù)幀，進行物理數(shù)據(jù)幀的 CRC 校驗，然后將數(shù)據(jù)幀提交給 LLC 子層。 網(wǎng)卡具有如下的幾種工作模式： (a) 廣播模式（ Broad Cast Model） :它的物理地址（ MAC）地址