【導(dǎo)讀】重要的專業(yè)計(jì)算機(jī)領(lǐng)域。制作的路徑，以及熟悉開發(fā)中常見的技術(shù)、物理等相關(guān)技術(shù)，了解開發(fā)的原理。從溫所學(xué)理論；又能理論聯(lián)系實(shí)際，培養(yǎng)學(xué)生分析解決問題的能力，增長才干，把知識轉(zhuǎn)化為智力；同時(shí)也有利于學(xué)生科研作風(fēng)和能力的培養(yǎng)。了解網(wǎng)絡(luò)嗅探器開發(fā)的原理和方法；完成嗅探器的分析和架構(gòu)；要求所編制的軟件在答辯時(shí)演示；8千個(gè)漢字）和電子文檔。

　　

【正文】 _read()。 Libpcap 的主要函數(shù)和 libcap 庫的基本使用流程如下 : (l)Pcap_t*Pcap_open_live()。 用于打開一個(gè)網(wǎng)絡(luò)接口進(jìn)行數(shù)據(jù)包捕獲。 (2)char*peap_lookupdev(): 功能是獲得本機(jī)的網(wǎng)絡(luò)接口 (3)int pcap_lookup(): 功能是獲取的網(wǎng)絡(luò)地址和掩碼。 (4)int pcap_dispateh()或 int pcap_loop()。 功能是 (循環(huán) )獲取網(wǎng)絡(luò)數(shù)據(jù)包 。 (5)void pcap_dump(): 用于將包內(nèi)容輸出到由 pcap_dump_open()打開的文件中。 (6)int pcap_pile()。 用于將過濾規(guī)則字符串編譯成一個(gè) BPF 內(nèi)核過濾程序。 (7)int pcap_setfilter()。 功能是設(shè)置 BPF 過濾規(guī)則。 (8)int pcap 一 datalink()。 功能是獲取數(shù)據(jù)鏈路層類型，如 10M 以太網(wǎng)、 SLIP、 PPP、 FDDI、 ATM、 等。 (9)void pcap_close()。 功能是關(guān)閉 Libpcap 關(guān)聯(lián)文件操作并回收資源。 3 Winpcap 研究 W1nPcap 介紹 和 Lipcap winpcap(windows Packet Capture)是 windows 平臺下一個(gè)免費(fèi)、公共的網(wǎng)絡(luò)訪問系統(tǒng)，是為 Linux 下的 libpcap 移植到 windows 平臺下實(shí)現(xiàn)數(shù)據(jù)包捕獲而設(shè)計(jì)的函數(shù)庫，在設(shè)計(jì) Winpcap 時(shí)參照了 libpcap，使用方法也與libpcap 相似，基于 libpcap 的程序可以很容易的移植到 Windows 平臺下。這個(gè)數(shù)據(jù)包捕獲架構(gòu)是由加州大學(xué)和 Lawrence Berkeley 實(shí)驗(yàn)室及其投稿者聯(lián)合開發(fā)的。他們在 1999年 3月 31日推出了 ，提供了用戶級 BPF過濾 。1999年 8 月 21 日推出了 版，將 BPF 過濾增加到內(nèi)核中并增加了內(nèi)核緩存 。2020年 3 月巧日推出了 版，該版對 進(jìn)行了升級，并可支持更多的網(wǎng)絡(luò)類型 。2020 年 l 月 30 日推出了 版 。2020 年 3 月 28 日推出了 版 。2020 年 l月 10日推出了 ，增加了 NPF 設(shè)備驅(qū)動的一些新的特性及優(yōu)化方案、在 中增加了一些函數(shù)等等功能。 winpcap 的 最新版本是。 winpcap 的官方主頁是 ，可以在其主頁上下載這個(gè)軟 第 19 頁 共 27 頁 件及其源代碼，更重要的是，網(wǎng)站上還有很多開發(fā)文檔，對于利用 Winpcap作為工具開發(fā)網(wǎng)絡(luò)安全軟件的編程人員有很大幫助。 Winpcap 的功能和應(yīng)用 (1)開發(fā) Winpcap這個(gè)項(xiàng)目的目的在于為 win32應(yīng)用程序提供訪問網(wǎng)絡(luò)底層的能力。 Winpcap 為程序員提供了一套標(biāo)準(zhǔn)的網(wǎng)絡(luò)數(shù)據(jù)包捕獲接口，并且與Libpcap 兼容，使得原來許多 Linux 平臺下的網(wǎng)絡(luò)安全程序可以很快地移植到windows 平臺下 :winpcap 的效率很高，它充分考慮了各種性能和效率的優(yōu)化，在內(nèi)核層次實(shí)現(xiàn)了數(shù)據(jù)包的捕獲和過濾。這是由 NPF(Netgroup Packet Filter)來實(shí)現(xiàn)的， NPF 是 winpcap 的核心部分，它還實(shí)現(xiàn)了內(nèi)核層次的統(tǒng)計(jì)功能，有利于設(shè)計(jì)網(wǎng)絡(luò)流量的程序。 Winpcap 提供了以下的各項(xiàng)功能 : 1)捕獲原始數(shù)據(jù)包，包括在共享網(wǎng)絡(luò)上各主機(jī)發(fā)送 /接收的數(shù)據(jù)包以及相互之間換的數(shù)據(jù)包 。 2)在數(shù)據(jù)報(bào)發(fā)往應(yīng)用程序之前，按照自定義的規(guī)則將某些特殊的數(shù)據(jù)報(bào)過濾掉 : 3)在網(wǎng)絡(luò)上發(fā)送原始的數(shù)據(jù)報(bào) 。 4)收集網(wǎng)絡(luò)通信過程中的統(tǒng) 計(jì)信息。 (2)Winpcap 的應(yīng)用非常廣泛，很多不同的工具軟件使用 Winpcap 作為開發(fā)工具，它特別適用于下面這幾個(gè)經(jīng)典領(lǐng)域 : l)網(wǎng)絡(luò)及協(xié)議分析 。 2)網(wǎng)絡(luò)監(jiān)控 。 3)通信日志記錄 。 4)流量發(fā)生 (traffic generators)。 5)用戶級別的橋路和路由 。 6)網(wǎng)絡(luò)入侵檢測系統(tǒng) (NIDS)。 7)網(wǎng)絡(luò)掃描 。 8)安全工具。 (3)特別地，大部分 windows 平臺下有數(shù)據(jù)包捕獲功能的軟件都使用了Winpcap 作為編程接口，比較著名的有 : Windump 一網(wǎng)絡(luò)協(xié)議分析軟件，與 Linux 下的 Tcpdump 功能幾乎一致，可以用規(guī)則表 達(dá)式，可以顯示符合規(guī)則的數(shù)據(jù)包的包頭部，還可以識別 PPP， sLIP 及FDDI 數(shù)據(jù)包。 Sniffit 一 windows 平臺下的嗅探器。 sniffit 是由 Lawrence Berkeley 第 20 頁 共 27 頁 Laboratory 開發(fā)的，可以在 Linux、 Solaris、 SGI、 Windows 等各種平臺運(yùn)行，提供了不少商業(yè)版 Sniffer 所沒有的功能，且支持腳本和插件功能。另外可以使用 TOD(Touch of Death)插件， TOD 通過向目標(biāo)機(jī)器發(fā)送 RST包來切斷目標(biāo)機(jī)器的 TCP 連接。 ARPSnifferGUI 一國產(chǎn)的 Windows 平臺下交換網(wǎng)絡(luò)的嗅探器，作者是中國著名的黑客程序編寫者小榕。它是一種可以跨路由的網(wǎng)絡(luò)監(jiān)測軟件。另外在小榕的流光 軟件中，增加了 Remote ANS(Remote ARI Network sniffer)遠(yuǎn)程功能，這個(gè)工具采用了 Sensor/GUI 的結(jié)構(gòu)。 Remote ANS 的最大特點(diǎn)就是可以跨路由對遠(yuǎn)程交換網(wǎng)絡(luò)進(jìn)行嗅探，捕獲遠(yuǎn)程局域網(wǎng)絡(luò)的數(shù)據(jù)包，這個(gè)功能對于網(wǎng)絡(luò)滲透尤為有用。 Ethereal(2020 年后改稱 wireshark)一是全球相當(dāng)行流行的開放源代碼的網(wǎng) 絡(luò)協(xié)議分析軟件，功能強(qiáng)大而且支持平臺最多，它可以實(shí)時(shí)檢測網(wǎng)絡(luò)通訊數(shù)據(jù)，也可以檢測其抓取的網(wǎng)絡(luò)通訊數(shù)據(jù)快照文件 ?？梢酝ㄟ^圖形界面瀏覽這些數(shù)據(jù)，可以查看網(wǎng)絡(luò)通訊數(shù)據(jù)包中每一層的詳細(xì)內(nèi)容 。Wireshark 還擁有許多強(qiáng)大的特性 :包含有強(qiáng)顯示過濾器語言 (rich display filter language)和查看 TCP 會話重構(gòu)流的能力。它可以支持七百多種協(xié)議的解析和多種媒體類型。 這里要特別提一下 Ethereal， Ethereal 起初由 Gerald Combs 開發(fā)，隨后由一個(gè)松散的 Ethereal 團(tuán)隊(duì)組織進(jìn)行維 護(hù)開發(fā)。 Ethereal 支持以下平臺 :Windows， Linux， Solaris， Mac0S， BeOS， Tru64Unix， HP_UX， AIX， Irix等。它目前所提供的強(qiáng)大的協(xié)議分析功能完全可以媲美商業(yè)的網(wǎng)絡(luò)分析系統(tǒng)，自從 1998 年發(fā)布最早的 02版本至今，大量的志愿者為 Ethereal 添加新的協(xié)議解析器，如今 Ethereal 已經(jīng)支持七百多種協(xié)議解析。很難想象如此多的人開發(fā)的代碼可以很好的融入系統(tǒng)中 。并且在系統(tǒng)中加入一個(gè)新的協(xié)議解析器很簡單，一個(gè)不了解系統(tǒng)的結(jié)構(gòu)的新手也可以根據(jù)留出的接口進(jìn)行自己的協(xié)議開發(fā)。 這都?xì)w功于 Ethereal 良好的設(shè)計(jì)結(jié)構(gòu)。事實(shí)上由于網(wǎng)絡(luò)上各種協(xié)議種類繁多，各種新的協(xié)議層出不窮。所以，一個(gè)好的協(xié)議分析器必需有很好的可擴(kuò)展性和結(jié)構(gòu)，這樣才能適應(yīng)網(wǎng)絡(luò)發(fā)展的需要不斷加入新的協(xié)議解析器。 WinPcap 的組成架構(gòu)與相關(guān)功能 Win32 網(wǎng)絡(luò)結(jié)構(gòu)是基于 NDIS(網(wǎng)絡(luò)驅(qū)動器接口標(biāo)準(zhǔn) )的， Winpcap 的運(yùn)行至少需要 版的 NDIS 一 Windows 內(nèi)核中最低層的網(wǎng)絡(luò)部分。所以在說明Winpcap 的組成結(jié)構(gòu)以前，要先討論一下 NDIS。 網(wǎng)絡(luò)驅(qū)動程序接口規(guī)范 (NDIS) 第 21 頁 共 27 頁 NDIS(Network Driver Interface Specification)是 Microsoft 和 3Com公司聯(lián)合制定的網(wǎng)絡(luò)驅(qū)動規(guī)范，是一個(gè)構(gòu)建網(wǎng)絡(luò)接口 (NIC)驅(qū)動和協(xié)議驅(qū)動的規(guī)范，它解決了這兩者之間的相互作用。 NDIS 位于網(wǎng)卡和協(xié)議層之間，通過一套基元指令為上層的協(xié)議驅(qū)動提供服務(wù)，同時(shí)屏蔽了下層各種網(wǎng)卡技術(shù)上的差別。 NDIS 向上支持多種網(wǎng)絡(luò)協(xié)議，比如 TCP/IP、 IPX/SPX、 NetBEUI、AppleTalk 等，向下支持不同廠家生產(chǎn)的多種網(wǎng)卡。 NDIS 還支持多種工作模式，支持多處理器，提供一個(gè)完備的 NDIS 庫 (Library)。但庫中所提供的各個(gè)函數(shù)都是工作在核心模式下的，用戶不宜直接操作。實(shí)際上， NDIS 最主要的目的是作為一個(gè)允許協(xié)議來驅(qū)動發(fā)送和接收網(wǎng)絡(luò) (LAN或 WAN)上的數(shù)據(jù)包而不必關(guān)心特定的適配器或特定的 Win32 操作系統(tǒng)的封裝。 NDIS 在數(shù)據(jù)鏈路層 (第二層 )的媒體控制層 (MAC)執(zhí)行其功能。 NIC硬件實(shí)現(xiàn)過程與媒體訪問控制 (MAC)設(shè)備驅(qū)動程序緊密相關(guān)，這 樣利用通用編程接口，可以訪問同一媒體 (如以太網(wǎng) )的所有網(wǎng)絡(luò)接口卡。其次 NDIS 還具有關(guān)于網(wǎng)絡(luò)驅(qū)動程序硬件的功能庫，主要用于 MAC 驅(qū)動和更高級的協(xié)議驅(qū)動 (如TCP/IP)。利用功能庫的各種功能支持，使得 MAC 和協(xié)議驅(qū)動的開發(fā)過程變得相對簡單，同時(shí)在某種程度上，掩蓋了平臺的依賴特性。此外通過 NDIS，也可以幫助網(wǎng)絡(luò)驅(qū)動程序維護(hù)狀態(tài)信息和參數(shù)，包括聯(lián)接或其它系統(tǒng)值中涉及的指針功能、句柄及參數(shù)塊等。 NDIS 支持三種類型的網(wǎng)絡(luò)驅(qū)動類型 : (l)網(wǎng)絡(luò)接口卡或 NIC 驅(qū)動困 (Network interface card or NIC drivers)。NIC 驅(qū)動直接管理著網(wǎng)絡(luò)接口卡 (NIC)，下邊與硬件連接，從上邊表現(xiàn)為一個(gè)接口，該接口允許高層發(fā)送數(shù)據(jù)包到網(wǎng)絡(luò)上，處理中斷，重置或停止 NIC，查詢和設(shè)置驅(qū)動的運(yùn)行特征。 NIC 驅(qū)動可以是小端口 (miniport)或完全的 NIC驅(qū)動 (full NICdriver)。 (2)中間層驅(qū)動 (Intermediate drivers)中間層驅(qū)動位于高層驅(qū)動 (例如協(xié)議驅(qū)動 )和小端口驅(qū)動之間。它能夠截獲所有網(wǎng)絡(luò)數(shù)據(jù)包，如以太幀。對于高層驅(qū)動，中間層驅(qū)動看起來像是小端口 。對于小端口，中間層驅(qū)動 看起來像協(xié)議驅(qū)動。開發(fā)中間層驅(qū)動的一個(gè)關(guān)鍵原因是在現(xiàn)存的遺留協(xié)議驅(qū)動 (legacy protocol driver)和小端口之間形成媒體的轉(zhuǎn)化。例如，中間層驅(qū)動可以將LAN 協(xié)議轉(zhuǎn)換成 ATM 協(xié)議。 NDIS 中間層的應(yīng)用很廣泛，可以用于防火墻也可以用來實(shí)現(xiàn) VPN、 N^T、 PPP Over Ether、 VLan 等。 (3)傳輸驅(qū)動 (Transport drivers)或協(xié)議驅(qū)動 (Protocol drivers)。協(xié)議驅(qū)動實(shí)現(xiàn)了網(wǎng)絡(luò)協(xié)議棧，例如 IP 刀 SPX或 TCP/IP。在一個(gè)或多個(gè)網(wǎng)絡(luò)接口卡上提供它的服務(wù)。 在協(xié)議驅(qū)動的上面，它為應(yīng)用層客戶程序服務(wù) 。在它的下 第 22 頁 共 27 頁 面，它與一個(gè)或多個(gè) NIC 驅(qū)動或中間層 NDIS 驅(qū)動連接。 NDIS 驅(qū)動程序接口規(guī)范的結(jié)構(gòu)如圖 。 圖 NDIS 驅(qū)動程序結(jié)構(gòu) construction of NDIS diver program BPF 研究 Winpcap是 BPF模型和 Libpcap函數(shù)庫在 windows平臺下網(wǎng)絡(luò)數(shù)據(jù)包捕 獲和網(wǎng)絡(luò)狀態(tài)分析的一種體系結(jié)構(gòu)，這個(gè)體系結(jié)構(gòu)是由一個(gè)核心的包過濾驅(qū)動程序 NPF，一個(gè)底層的動態(tài)連接庫和一個(gè)高層的獨(dú)立于系統(tǒng)的動態(tài)連接庫組成。 Winpcap 提供的最強(qiáng)大的特性之一就是過濾引擎 NPF，也是最基本的功能單元，它被集成到了 Winpcap 的捕獲機(jī)制中的，提供了一種非常高效的方法來獲取部分網(wǎng)絡(luò)數(shù)據(jù)。所以，對 Winpcap 的研究就要從過濾引擎 NPF 開始，而 NPF 是在 BPF 的基礎(chǔ)上開發(fā)出來的， NPF中保留了 BPF核心 BSD的最重要的模塊，所以，有必要首先針對 BPF 的各項(xiàng)組成和功能進(jìn)行分析。 (1)BPF 捕獲 機(jī)制。 BPF 是 BSD Paeket Filter 的簡稱，目前 UNIX 平臺上多數(shù)數(shù)據(jù)包捕獲工具 (如 tcpdump、 sniffit、 NFR 等 )都是基于 BPF 開發(fā)的。 BPF 由以下部分構(gòu)成 :Network Tap，是一個(gè)用于探聽網(wǎng)絡(luò)中所有數(shù)據(jù)流的函數(shù) 。Filler，是一個(gè)過濾器，用于分析所監(jiān)聽到的用戶感興趣的包，用戶可將過濾器設(shè)置為只接收網(wǎng)絡(luò)中某一類數(shù)據(jù)包子集。一般的，網(wǎng)卡驅(qū)動程序接收到一個(gè)數(shù)據(jù)包后，數(shù)據(jù)鏈路層的驅(qū)動將其提交給系統(tǒng)的協(xié)議棧。如果有進(jìn)程用 BPF 進(jìn)行網(wǎng)絡(luò)端口監(jiān)聽，網(wǎng)卡驅(qū)動程序會先調(diào)用 BPF，復(fù)制一份數(shù)據(jù) 給 BPF 過濾器相關(guān)的緩沖區(qū)中，過濾器則根據(jù)用戶定義的過應(yīng)用層 協(xié)議驅(qū)動程序 中間驅(qū)動程序 網(wǎng)卡驅(qū)動 網(wǎng)卡 NDIS 第 23 頁 共 27 頁 濾規(guī)則決定是否接收此數(shù)據(jù)包。再判斷這個(gè)數(shù)據(jù)包是否是發(fā)給本機(jī)的，如果不是發(fā)給本機(jī)的，則網(wǎng)卡驅(qū)動程序從中斷返回，繼續(xù)接收數(shù)據(jù) 。如果這個(gè)數(shù)據(jù)包是發(fā)給本機(jī)的，驅(qū)動程序會再把它提交給系統(tǒng)的協(xié)議棧，然后返回。 BPF 的工作機(jī)制如圖 所示。 圖 BPF 結(jié)構(gòu) co