【正文】 M:%S,ltime)； memset(pdatastrTime,0,sizeof(pdatastrTime))； strcpy(pdatastrTime,timestr)； //保存時(shí)間 pdatalen=headerlen； //保存長(zhǎng)度 mac_header* mach； ip_header* ih； tcp_header* tcph； udp_header* udph； icmp_header* icmph； //MAC mach=(mac_header*)pkt_data； //mac 頭 for(int i=0。i6。i++) { pdata[i]=machsadd[i]； pdata[i]=machdadd[i]； } pdata=machmac_type； //IP ih=(ip_header*)(pkt_data+14)； //ip 頭 int iplen=(ihver_ihl amp。 0xf)*4； pdata = ihcrc； pdata=ihdaddr； 26 pdata=ihflags_fo； pdata=ihidentification； pdata=ihop_pad； pdata=ihproto； pdata=ihsaddr； pdata=ihtlen； pdata=ihtos； pdata=ihttl； pdata=ihver_ihl； //TCP 或 UDP tcp_header* ptemp=NULL； udp_header* pudptemp=NULL； icmp_header* icmptemp=NULL； switch(ihproto) { case TCP_PROTO: //如果是 TCP tcph=(tcp_header*)((u_char*)ih + iplen)； ptemp=new tcp_header； ptempan=tcphan； ptempcheck_sum=tcphcheck_sum； ptempdport=tcphdport； ptempoption=tcphoption； ptempother=tcphother； ptempsn=tcphsn； ptempsport=tcphsport； ptempurgent_pointer=tcphurgent_pointer； ptempwindow_size=tcphwindow_size； pdatapTCP_UDP =ptemp； strcpy(pdatastrPacketType,TCP)； 27 break； case UDP udph=(udp_header*)((u_char*)ih + iplen)； pudptemp=new udp_header； pudptempcrc=udphcrc； pudptempdport=udphdport； pudptemplen=udphlen； pudptempsport=udphsport； pdatapTCP_UDP=pudptemp； strcpy(pdatastrPacketType,UDP)； break； case ICMP icmph=(icmp_header*)((u_char*)ih + iplen)； icmptemp = new icmp_header； icmptempchksum=icmphchksum； icmptempidentifer=icmphidentifer； icmptempsequence=icmphsequence； icmptemptype=icmphtype； pdatapTCP_UDP=icmptemp； strcpy(pdatastrPacketType,ICMP)； break； default: pdatapTCP_UDP=NULL； strcpy(pdatastrPacketType,Other)； break； } 28 網(wǎng)絡(luò)數(shù)據(jù)包流量的統(tǒng)計(jì) 在系統(tǒng)設(shè)計(jì)的時(shí)候，為了實(shí)現(xiàn)對(duì)整個(gè)網(wǎng)絡(luò)數(shù)據(jù)包流量的監(jiān)控就沒有采用數(shù)據(jù)包的過(guò)濾機(jī)制，這樣做的目的就是能將網(wǎng)絡(luò)流經(jīng)主機(jī)的所有數(shù)據(jù)包全部捕獲，以實(shí)現(xiàn)對(duì) 網(wǎng)絡(luò)數(shù)據(jù)包流量的真實(shí)反映。具體的實(shí)現(xiàn)過(guò)程如下： m_nTimeID=SetTimer(411,1000,NULL)； // 定義了一個(gè) 1 秒鐘觸發(fā)一次的定時(shí)器 使用 SetTimer 函數(shù)時(shí)會(huì)生成一個(gè)計(jì)時(shí)器。 SetTimer 函數(shù) 的第一個(gè)參數(shù) 是計(jì)時(shí)器的標(biāo)識(shí)， 相當(dāng)于 名字。 第二個(gè)參數(shù) 是時(shí)間間隔，也就是 每一個(gè)時(shí)間間隔 事件觸發(fā)一次。第三個(gè)參數(shù)是一個(gè)回調(diào)函數(shù)，將這個(gè)函數(shù)設(shè)定為 NULL，使用系統(tǒng)默認(rèn)的回調(diào)函數(shù) 。 onTime函數(shù) 是 系統(tǒng)默認(rèn) 的回調(diào)函數(shù)，由這個(gè)函數(shù)來(lái)實(shí)現(xiàn)單位時(shí)間內(nèi)網(wǎng)絡(luò)數(shù)據(jù)包流量的統(tǒng)計(jì)及各個(gè)協(xié)議數(shù)據(jù)包流量的統(tǒng)計(jì) 。 實(shí)現(xiàn)過(guò)程中的難點(diǎn)和解決 過(guò)濾機(jī)制 網(wǎng)絡(luò)監(jiān)聽軟件首先要解決的就是數(shù)據(jù)包的截獲。但是在網(wǎng)絡(luò)的實(shí)際應(yīng)用中，其中存在若干管理員不關(guān)心的數(shù)據(jù)，或者稱為垃圾數(shù)據(jù)，嚴(yán)重影響了監(jiān)聽系統(tǒng)的工作效率。為實(shí)現(xiàn)軟件對(duì)敏感數(shù)據(jù)包截獲效率上的改進(jìn)，在截獲數(shù)據(jù)包之前對(duì)數(shù)據(jù)包進(jìn)行過(guò)濾?？赏ㄟ^(guò)設(shè)置過(guò)濾規(guī)則，按特定的主機(jī)以及特定的協(xié)議端口對(duì)數(shù)據(jù)包有選擇的截獲，然后再將敏感數(shù)據(jù)向上層模塊提交?？梢詮囊韵聨讉€(gè)角度設(shè)置過(guò)濾條件： (1) 根據(jù)協(xié)議進(jìn)行過(guò)濾。即根據(jù)數(shù)據(jù)包中的協(xié)議字段的內(nèi)容對(duì)數(shù)據(jù)包進(jìn)行過(guò)濾。 例如只截獲 TCP 包、或者只抓取 UDP 包等等。 (2) 根據(jù) IP 地址過(guò)濾。這可以根據(jù)發(fā)送數(shù)據(jù)包的源 IP 地址，或者是接收數(shù)據(jù)包的目的 IP 地址進(jìn)行過(guò)濾。只接收程序中指定的來(lái)源于或發(fā)送于某一 IP 地址的數(shù)據(jù)包。 (3) 根據(jù)數(shù)據(jù)包的長(zhǎng)度進(jìn)行過(guò)濾。每一個(gè)數(shù)據(jù)包都有一定的長(zhǎng)度，可以設(shè)置過(guò)濾條件，指定范圍，抓取長(zhǎng)度在某一范圍內(nèi)的數(shù)據(jù)包。 (4) 服務(wù)過(guò)濾。根據(jù)端口篩選特定類型服務(wù)。 在本系統(tǒng)中，并不采用以上任何一種過(guò)濾機(jī)制。因?yàn)楸鞠到y(tǒng)還有統(tǒng)計(jì)本局域網(wǎng)內(nèi)數(shù)據(jù)包流量的這一功能，所以采取的是將流經(jīng)本主機(jī)的所有數(shù)據(jù)包全部截獲，在截獲數(shù)據(jù)包后采用指針指向協(xié)議分析函 數(shù)，通過(guò)協(xié)議的分析來(lái)區(qū)分每個(gè)數(shù)據(jù)包的協(xié)議類型。在本29 系統(tǒng)中主要實(shí)現(xiàn)了對(duì) TCP、 UDP、 ICMP 等協(xié)議的分析，對(duì)不屬于分析范圍的數(shù)據(jù)包統(tǒng)一用 Other 協(xié)議進(jìn)行定義。 程序?qū)崿F(xiàn)如下： int CCapPackDoc::SavePacket(struct pcap_pkthdr *header,const u_char *pkt_data) 這個(gè)函數(shù)在程序中完成了數(shù)據(jù)包的分析。并將分析的結(jié)果以樹形列表的方式顯示出來(lái)。 將網(wǎng)絡(luò)格式轉(zhuǎn)化為本地格式 數(shù)據(jù)包中的數(shù)據(jù)在網(wǎng)絡(luò)上傳輸過(guò)程中的數(shù)據(jù)格式和本機(jī)能識(shí)別的格式 不同，因?yàn)樵赥CP/IP 協(xié)議網(wǎng)絡(luò)中數(shù)據(jù)傳輸過(guò)程中的比特順序與主機(jī)中數(shù)據(jù)存放時(shí)的比特順序不同。為達(dá)到正確顯示數(shù)據(jù)包報(bào)頭的信息這一目的，需要對(duì)數(shù)據(jù)包報(bào)頭的數(shù)據(jù)進(jìn)行轉(zhuǎn)換。例如 :數(shù)據(jù)包的端口，就不能正確顯示，需通過(guò)函數(shù) ntohs()進(jìn)行轉(zhuǎn)換。 sport=ntohs(tcphsport)； dport=ntohs(tcphdport)； //將 TCP 包中的端口號(hào)轉(zhuǎn)化為主機(jī)識(shí)別的格式 系統(tǒng)程序運(yùn)行 本節(jié)詳細(xì)介紹了監(jiān)聽軟件系統(tǒng)的實(shí)現(xiàn)過(guò)程，并對(duì)實(shí)現(xiàn)過(guò)程中需要解決的問(wèn)題進(jìn)行了闡述。根據(jù)本節(jié)介紹的內(nèi)容可以對(duì)該監(jiān)聽軟件的 實(shí)現(xiàn)有一個(gè)具體、清晰的認(rèn)識(shí)。最后將完成的監(jiān)聽程序在共享性的局域網(wǎng)中運(yùn)行，開始運(yùn)行界面如圖 ，獲得網(wǎng)卡界面如圖，運(yùn)行中界面如圖 ，運(yùn)行結(jié)束界面如圖 。其運(yùn)行結(jié)果如下： 30 圖 運(yùn)行開始時(shí)的界面 圖 獲得網(wǎng)卡的界面 31 圖 運(yùn)行中的界面 圖 運(yùn)行結(jié)束后的界面 32 結(jié) 論 網(wǎng)絡(luò)監(jiān)聽是信息安全領(lǐng)域內(nèi)一項(xiàng)非常重要和實(shí)用的技術(shù)，在信息安全領(lǐng)域里面發(fā)揮著巨大的作用。在帶給我們效益的同時(shí)，也給網(wǎng)絡(luò)造成了巨大的安全隱患。本文詳細(xì)介紹了網(wǎng)絡(luò)監(jiān)聽技術(shù)的原理，通過(guò)對(duì) WinPcap 工具庫(kù)的分析介紹，完成了局域網(wǎng)監(jiān)聽系統(tǒng)的設(shè)計(jì)，并實(shí)現(xiàn)了網(wǎng)絡(luò)的監(jiān)聽、數(shù)據(jù)包的捕獲和協(xié)議的分析，起到了對(duì)網(wǎng)絡(luò)動(dòng)態(tài)管理與監(jiān)控的作用，是一個(gè)能夠維護(hù)本局域網(wǎng)安全的有效工具。 本論文主要研究工作如下： 分析網(wǎng)絡(luò)監(jiān)聽的技術(shù)原理，給出了系統(tǒng)的總體設(shè)計(jì)方案； 實(shí)現(xiàn)了基于 WinPcap 網(wǎng)絡(luò)數(shù)據(jù)包的捕獲功能，并在 Windows 平臺(tái)下實(shí)現(xiàn)了數(shù)據(jù)包的捕獲； 利用 TCP/IP 協(xié)議的分層理論，實(shí)現(xiàn)了對(duì)數(shù)據(jù)包的分析。獲得數(shù)據(jù)包的長(zhǎng)度、源IP 地址、目的 IP 地址、源端口號(hào)、目的端口號(hào)等信息。并把得到的信息存儲(chǔ)在指定的文件夾 中。 隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，網(wǎng)絡(luò)的規(guī)模越來(lái)越大，網(wǎng)絡(luò)的帶寬不斷加大，人們對(duì)網(wǎng)絡(luò)的依賴逐漸加深。本系統(tǒng)還要需要在下面幾方面做進(jìn)一步的研究和改進(jìn)，以適應(yīng)新技術(shù)環(huán)境下的要求。 本系統(tǒng)目前所有的數(shù)據(jù)都存儲(chǔ)在一個(gè)文件夾中，隨著數(shù)據(jù)流量的增大，對(duì)文件的存儲(chǔ)和訪問(wèn)都會(huì)越來(lái)越困難。為了提高本系統(tǒng)的工作性能，考慮采用數(shù)據(jù)庫(kù)技術(shù)來(lái)提高數(shù)據(jù)的存儲(chǔ)和訪問(wèn)效率； 本系統(tǒng)只能對(duì)共享式以太網(wǎng)環(huán)境進(jìn)行監(jiān)聽，并不能對(duì)交換式以太網(wǎng)絡(luò)進(jìn)行監(jiān)聽。本系統(tǒng)要想實(shí)現(xiàn)對(duì)交換式以太網(wǎng)的監(jiān)聽，需通過(guò)前置 Hub 來(lái)實(shí)現(xiàn)，或在路由器上設(shè)置監(jiān)聽端口； 在目 前的網(wǎng)絡(luò)監(jiān)聽系統(tǒng)中，所實(shí)現(xiàn)的功能還很簡(jiǎn)單。沒有實(shí)現(xiàn) IP 數(shù)據(jù)包的重組和高層協(xié)議的分析等功能。 33 參 考 文 獻(xiàn) [1] 張仕斌 ,譚三 ,易勇 ,蔣毅 .網(wǎng)絡(luò)安全技術(shù) [M].北京：清華大學(xué)出版社 ,2021： 3175. [2] 楊波 ,周亞寧 .大話通信 [M].北京：人民郵電出版社 ,2021： 1336. [3] Stevens. TCP/IP Illustrated Volume 1: The Protocols[M].北京：人民郵電出版社 ,2021： 134. [4] Behrouz . TCP/IP Protocol Suite[M].北京：清華大學(xué)出版社 ,2021： 128. [5] 趙新輝 ,李祥 .捕獲網(wǎng)絡(luò)數(shù)據(jù)包的方法 [J].計(jì)算機(jī)應(yīng)用研究 ,2021,(8)： 242255. [6] 莊春興 ,彭奇志 .基于 Winpcap 的網(wǎng)絡(luò)嗅探程序設(shè)計(jì) [J].計(jì)算機(jī)與現(xiàn)代化 ,2021,(5)：1113. [7] 梁理 ,黃樟欽 ,侯義斌 .網(wǎng)絡(luò)信息偵聽系統(tǒng)的研究與實(shí)現(xiàn) [J].計(jì)算機(jī)工程 與應(yīng)用 ,2021, (17)： 184186. [8] 喻飛 ,朱淼良 .以太網(wǎng)中的網(wǎng)絡(luò)監(jiān)聽原理與檢測(cè) [J].應(yīng)用技術(shù) ,2021, (2)： 4950. [9] 王宇 ,張寧 .網(wǎng)絡(luò)監(jiān)聽器原理分析與實(shí)現(xiàn) [J].計(jì)算機(jī)應(yīng)用研究 ,2021,(7)： 142145. [10] 唐正軍 ,劉代志 .網(wǎng)絡(luò)嗅探器 Sniffer 軟件源代碼淺析 (2)[J].計(jì)算機(jī)工程 ,2021,(1)：165168. 34 致 謝 本文是在何曉桃老師的熱情關(guān)心和指導(dǎo)下完成的，她淵博的知識(shí)和嚴(yán)謹(jǐn)?shù)闹螌W(xué)作風(fēng)使我受益匪淺，對(duì)順利完成本課題起到了極大的 作用。在此向他表示我最衷心的感謝！ 在論文完成過(guò)程中，本人還得到了王文彥老師關(guān)心和指導(dǎo)，借此機(jī)會(huì)向王文彥老師表達(dá)我最誠(chéng)摯的謝意！還要感謝我的同學(xué)和家人在論文寫作期間對(duì)我的支持和幫助。 最后向在百忙之中評(píng)審本文的各位專家、老師表示衷心的感謝！