【正文】 M:%S,ltime)； memset(pdatastrTime,0,sizeof(pdatastrTime))； strcpy(pdatastrTime,timestr)； //保存時間 pdatalen=headerlen； //保存長度 mac_header* mach； ip_header* ih； tcp_header* tcph； udp_header* udph； icmp_header* icmph； //MAC mach=(mac_header*)pkt_data； //mac 頭 for(int i=0。i6。i++) { pdata[i]=machsadd[i]； pdata[i]=machdadd[i]； } pdata=machmac_type； //IP ih=(ip_header*)(pkt_data+14)； //ip 頭 int iplen=(ihver_ihl amp。 0xf)*4； pdata = ihcrc； pdata=ihdaddr； 26 pdata=ihflags_fo； pdata=ihidentification； pdata=ihop_pad； pdata=ihproto； pdata=ihsaddr； pdata=ihtlen； pdata=ihtos； pdata=ihttl； pdata=ihver_ihl； //TCP 或 UDP tcp_header* ptemp=NULL； udp_header* pudptemp=NULL； icmp_header* icmptemp=NULL； switch(ihproto) { case TCP_PROTO: //如果是 TCP tcph=(tcp_header*)((u_char*)ih + iplen)； ptemp=new tcp_header； ptempan=tcphan； ptempcheck_sum=tcphcheck_sum； ptempdport=tcphdport； ptempoption=tcphoption； ptempother=tcphother； ptempsn=tcphsn； ptempsport=tcphsport； ptempurgent_pointer=tcphurgent_pointer； ptempwindow_size=tcphwindow_size； pdatapTCP_UDP =ptemp； strcpy(pdatastrPacketType,TCP)； 27 break； case UDP udph=(udp_header*)((u_char*)ih + iplen)； pudptemp=new udp_header； pudptempcrc=udphcrc； pudptempdport=udphdport； pudptemplen=udphlen； pudptempsport=udphsport； pdatapTCP_UDP=pudptemp； strcpy(pdatastrPacketType,UDP)； break； case ICMP icmph=(icmp_header*)((u_char*)ih + iplen)； icmptemp = new icmp_header； icmptempchksum=icmphchksum； icmptempidentifer=icmphidentifer； icmptempsequence=icmphsequence； icmptemptype=icmphtype； pdatapTCP_UDP=icmptemp； strcpy(pdatastrPacketType,ICMP)； break； default: pdatapTCP_UDP=NULL； strcpy(pdatastrPacketType,Other)； break； } 28 網(wǎng)絡數(shù)據(jù)包流量的統(tǒng)計 在系統(tǒng)設(shè)計的時候，為了實現(xiàn)對整個網(wǎng)絡數(shù)據(jù)包流量的監(jiān)控就沒有采用數(shù)據(jù)包的過濾機制，這樣做的目的就是能將網(wǎng)絡流經(jīng)主機的所有數(shù)據(jù)包全部捕獲，以實現(xiàn)對 網(wǎng)絡數(shù)據(jù)包流量的真實反映。具體的實現(xiàn)過程如下： m_nTimeID=SetTimer(411,1000,NULL)； // 定義了一個 1 秒鐘觸發(fā)一次的定時器 使用 SetTimer 函數(shù)時會生成一個計時器。 SetTimer 函數(shù) 的第一個參數(shù) 是計時器的標識， 相當于 名字。 第二個參數(shù) 是時間間隔，也就是 每一個時間間隔 事件觸發(fā)一次。第三個參數(shù)是一個回調(diào)函數(shù)，將這個函數(shù)設(shè)定為 NULL，使用系統(tǒng)默認的回調(diào)函數(shù) 。 onTime函數(shù) 是 系統(tǒng)默認 的回調(diào)函數(shù)，由這個函數(shù)來實現(xiàn)單位時間內(nèi)網(wǎng)絡數(shù)據(jù)包流量的統(tǒng)計及各個協(xié)議數(shù)據(jù)包流量的統(tǒng)計 。 實現(xiàn)過程中的難點和解決 過濾機制 網(wǎng)絡監(jiān)聽軟件首先要解決的就是數(shù)據(jù)包的截獲。但是在網(wǎng)絡的實際應用中，其中存在若干管理員不關(guān)心的數(shù)據(jù)，或者稱為垃圾數(shù)據(jù)，嚴重影響了監(jiān)聽系統(tǒng)的工作效率。為實現(xiàn)軟件對敏感數(shù)據(jù)包截獲效率上的改進，在截獲數(shù)據(jù)包之前對數(shù)據(jù)包進行過濾。可通過設(shè)置過濾規(guī)則，按特定的主機以及特定的協(xié)議端口對數(shù)據(jù)包有選擇的截獲，然后再將敏感數(shù)據(jù)向上層模塊提交?？梢詮囊韵聨讉€角度設(shè)置過濾條件： (1) 根據(jù)協(xié)議進行過濾。即根據(jù)數(shù)據(jù)包中的協(xié)議字段的內(nèi)容對數(shù)據(jù)包進行過濾。 例如只截獲 TCP 包、或者只抓取 UDP 包等等。 (2) 根據(jù) IP 地址過濾。這可以根據(jù)發(fā)送數(shù)據(jù)包的源 IP 地址，或者是接收數(shù)據(jù)包的目的 IP 地址進行過濾。只接收程序中指定的來源于或發(fā)送于某一 IP 地址的數(shù)據(jù)包。 (3) 根據(jù)數(shù)據(jù)包的長度進行過濾。每一個數(shù)據(jù)包都有一定的長度，可以設(shè)置過濾條件，指定范圍，抓取長度在某一范圍內(nèi)的數(shù)據(jù)包。 (4) 服務過濾。根據(jù)端口篩選特定類型服務。 在本系統(tǒng)中，并不采用以上任何一種過濾機制。因為本系統(tǒng)還有統(tǒng)計本局域網(wǎng)內(nèi)數(shù)據(jù)包流量的這一功能，所以采取的是將流經(jīng)本主機的所有數(shù)據(jù)包全部截獲，在截獲數(shù)據(jù)包后采用指針指向協(xié)議分析函 數(shù)，通過協(xié)議的分析來區(qū)分每個數(shù)據(jù)包的協(xié)議類型。在本29 系統(tǒng)中主要實現(xiàn)了對 TCP、 UDP、 ICMP 等協(xié)議的分析，對不屬于分析范圍的數(shù)據(jù)包統(tǒng)一用 Other 協(xié)議進行定義。 程序?qū)崿F(xiàn)如下： int CCapPackDoc::SavePacket(struct pcap_pkthdr *header,const u_char *pkt_data) 這個函數(shù)在程序中完成了數(shù)據(jù)包的分析。并將分析的結(jié)果以樹形列表的方式顯示出來。 將網(wǎng)絡格式轉(zhuǎn)化為本地格式 數(shù)據(jù)包中的數(shù)據(jù)在網(wǎng)絡上傳輸過程中的數(shù)據(jù)格式和本機能識別的格式 不同，因為在TCP/IP 協(xié)議網(wǎng)絡中數(shù)據(jù)傳輸過程中的比特順序與主機中數(shù)據(jù)存放時的比特順序不同。為達到正確顯示數(shù)據(jù)包報頭的信息這一目的，需要對數(shù)據(jù)包報頭的數(shù)據(jù)進行轉(zhuǎn)換。例如 :數(shù)據(jù)包的端口，就不能正確顯示，需通過函數(shù) ntohs()進行轉(zhuǎn)換。 sport=ntohs(tcphsport)； dport=ntohs(tcphdport)； //將 TCP 包中的端口號轉(zhuǎn)化為主機識別的格式 系統(tǒng)程序運行 本節(jié)詳細介紹了監(jiān)聽軟件系統(tǒng)的實現(xiàn)過程，并對實現(xiàn)過程中需要解決的問題進行了闡述。根據(jù)本節(jié)介紹的內(nèi)容可以對該監(jiān)聽軟件的 實現(xiàn)有一個具體、清晰的認識。最后將完成的監(jiān)聽程序在共享性的局域網(wǎng)中運行，開始運行界面如圖 ，獲得網(wǎng)卡界面如圖，運行中界面如圖 ，運行結(jié)束界面如圖 。其運行結(jié)果如下： 30 圖 運行開始時的界面 圖 獲得網(wǎng)卡的界面 31 圖 運行中的界面 圖 運行結(jié)束后的界面 32 結(jié) 論 網(wǎng)絡監(jiān)聽是信息安全領(lǐng)域內(nèi)一項非常重要和實用的技術(shù)，在信息安全領(lǐng)域里面發(fā)揮著巨大的作用。在帶給我們效益的同時，也給網(wǎng)絡造成了巨大的安全隱患。本文詳細介紹了網(wǎng)絡監(jiān)聽技術(shù)的原理，通過對 WinPcap 工具庫的分析介紹，完成了局域網(wǎng)監(jiān)聽系統(tǒng)的設(shè)計，并實現(xiàn)了網(wǎng)絡的監(jiān)聽、數(shù)據(jù)包的捕獲和協(xié)議的分析，起到了對網(wǎng)絡動態(tài)管理與監(jiān)控的作用，是一個能夠維護本局域網(wǎng)安全的有效工具。 本論文主要研究工作如下： 分析網(wǎng)絡監(jiān)聽的技術(shù)原理，給出了系統(tǒng)的總體設(shè)計方案； 實現(xiàn)了基于 WinPcap 網(wǎng)絡數(shù)據(jù)包的捕獲功能，并在 Windows 平臺下實現(xiàn)了數(shù)據(jù)包的捕獲； 利用 TCP/IP 協(xié)議的分層理論，實現(xiàn)了對數(shù)據(jù)包的分析。獲得數(shù)據(jù)包的長度、源IP 地址、目的 IP 地址、源端口號、目的端口號等信息。并把得到的信息存儲在指定的文件夾 中。 隨著網(wǎng)絡技術(shù)的發(fā)展，網(wǎng)絡的規(guī)模越來越大，網(wǎng)絡的帶寬不斷加大，人們對網(wǎng)絡的依賴逐漸加深。本系統(tǒng)還要需要在下面幾方面做進一步的研究和改進，以適應新技術(shù)環(huán)境下的要求。 本系統(tǒng)目前所有的數(shù)據(jù)都存儲在一個文件夾中，隨著數(shù)據(jù)流量的增大，對文件的存儲和訪問都會越來越困難。為了提高本系統(tǒng)的工作性能，考慮采用數(shù)據(jù)庫技術(shù)來提高數(shù)據(jù)的存儲和訪問效率； 本系統(tǒng)只能對共享式以太網(wǎng)環(huán)境進行監(jiān)聽，并不能對交換式以太網(wǎng)絡進行監(jiān)聽。本系統(tǒng)要想實現(xiàn)對交換式以太網(wǎng)的監(jiān)聽，需通過前置 Hub 來實現(xiàn)，或在路由器上設(shè)置監(jiān)聽端口； 在目 前的網(wǎng)絡監(jiān)聽系統(tǒng)中，所實現(xiàn)的功能還很簡單。沒有實現(xiàn) IP 數(shù)據(jù)包的重組和高層協(xié)議的分析等功能。 33 參 考 文 獻 [1] 張仕斌 ,譚三 ,易勇 ,蔣毅 .網(wǎng)絡安全技術(shù) [M].北京：清華大學出版社 ,2021： 3175. [2] 楊波 ,周亞寧 .大話通信 [M].北京：人民郵電出版社 ,2021： 1336. [3] Stevens. TCP/IP Illustrated Volume 1: The Protocols[M].北京：人民郵電出版社 ,2021： 134. [4] Behrouz . TCP/IP Protocol Suite[M].北京：清華大學出版社 ,2021： 128. [5] 趙新輝 ,李祥 .捕獲網(wǎng)絡數(shù)據(jù)包的方法 [J].計算機應用研究 ,2021,(8)： 242255. [6] 莊春興 ,彭奇志 .基于 Winpcap 的網(wǎng)絡嗅探程序設(shè)計 [J].計算機與現(xiàn)代化 ,2021,(5)：1113. [7] 梁理 ,黃樟欽 ,侯義斌 .網(wǎng)絡信息偵聽系統(tǒng)的研究與實現(xiàn) [J].計算機工程 與應用 ,2021, (17)： 184186. [8] 喻飛 ,朱淼良 .以太網(wǎng)中的網(wǎng)絡監(jiān)聽原理與檢測 [J].應用技術(shù) ,2021, (2)： 4950. [9] 王宇 ,張寧 .網(wǎng)絡監(jiān)聽器原理分析與實現(xiàn) [J].計算機應用研究 ,2021,(7)： 142145. [10] 唐正軍 ,劉代志 .網(wǎng)絡嗅探器 Sniffer 軟件源代碼淺析 (2)[J].計算機工程 ,2021,(1)：165168. 34 致 謝 本文是在何曉桃老師的熱情關(guān)心和指導下完成的，她淵博的知識和嚴謹?shù)闹螌W作風使我受益匪淺，對順利完成本課題起到了極大的 作用。在此向他表示我最衷心的感謝！ 在論文完成過程中，本人還得到了王文彥老師關(guān)心和指導，借此機會向王文彥老師表達我最誠摯的謝意！還要感謝我的同學和家人在論文寫作期間對我的支持和幫助。 最后向在百忙之中評審本文的各位專家、老師表示衷心的感謝！