【正文】 最后，還要感謝所有在畢業(yè)設(shè)計(jì)中為我提供幫助的學(xué)院的老師和同學(xué)，以及在畢業(yè)設(shè)計(jì)中被我引用或參考的論著的作者，沒(méi)有你們?cè)诋厴I(yè)設(shè)計(jì)期間給予我?guī)椭椭С?，也不?huì)有今天這份成果，再次感謝大家。在畢業(yè)設(shè)計(jì)這段時(shí)間里，遇到的困難和挫折讓我認(rèn)識(shí)到了自己的不足并努力的完善自己，因此，最終不僅完成了畢業(yè)設(shè)計(jì)，還學(xué)到了以前很多沒(méi)有學(xué)到的知識(shí)，同時(shí)也鞏固了所學(xué)過(guò)的知識(shí)，是一次很好的鍛煉，使自己受益匪淺。系統(tǒng)還存在一些不足之處，比如說(shuō)，沒(méi)能實(shí)現(xiàn)對(duì)于數(shù)據(jù)包的阻塞拋棄這個(gè)功能感覺(jué)比較遺憾。而這一點(diǎn)恰恰是實(shí)際生活設(shè)計(jì)之中必須考慮的，也是很重要的。以往的項(xiàng)目經(jīng)驗(yàn)比較少，對(duì)于在編程上還存在著很大的不足之處，這也是以后應(yīng)該予以重視的地方，理論還需要聯(lián)系了實(shí)際。圖 開(kāi)始抓包圖如圖 所示，為抓包后選中其中一個(gè)數(shù)據(jù)包，顯示選中包傳輸層、網(wǎng)絡(luò)層、傳輸層的數(shù)據(jù)信息。（5）右下角的統(tǒng)計(jì)欄，主要功能是將從該軟件抓包開(kāi)始到抓包結(jié)束期間內(nèi)，所有捕獲的數(shù)據(jù)包按著所設(shè)定的不同協(xié)議類型的數(shù)據(jù)包進(jìn)行分別統(tǒng)計(jì)，計(jì)算數(shù)據(jù)包的總數(shù)量和各種協(xié)議數(shù)據(jù)包的數(shù)量，并顯示出來(lái)。整個(gè)界面主要為 5 個(gè)部分：（1）頂部的菜單欄：主要有四個(gè)項(xiàng)目：操作項(xiàng)目的功能是啟動(dòng)和停止抓包以及退出；設(shè)置項(xiàng)目的功能是對(duì)網(wǎng)卡進(jìn)行配置；數(shù)據(jù)管理項(xiàng)目的功能是對(duì)數(shù)據(jù)導(dǎo)出保存，幫助這是該介紹該軟件的作用。 //數(shù)據(jù)包的總數(shù)long m_lUdpCount。 long m_lArpCount。 系統(tǒng)中變量函數(shù)的設(shè)計(jì)private:pcap_if_t *m_pDevice。//校驗(yàn)和CString GetDataLen()。public:CString GetSrcPort()。char *m_pData。//源端口unsigned int m_uDestPort。CString GetBool(bool nFlag)。//選項(xiàng)長(zhǎng)度CString GetOptions()。//用于釋放連接CString GetWindowSize()。//為 1 表示確認(rèn)號(hào)合法CString GetPSH()。//順序號(hào)CString GetAckNum()。CTCPPacket(unsigned char *buf,int buflen)。int m_nDataLen。//窗口大小int m_nCheckSum。//表示帶有 PUSH 標(biāo)志的數(shù)據(jù)bool m_bRST。//確認(rèn)號(hào)int m_nHeadLen。依據(jù) TCP 報(bào)文格式在程序中聲明 TCP 報(bào)頭以及進(jìn)行類的設(shè)計(jì)，程序如下：class CTCPPacket //TCP 層數(shù)據(jù)包類{private:int m_nSrcPort。//數(shù)據(jù)長(zhǎng)度private:CString GetInt(int nNum)。 //生命期 time to liveCString GetCheckSum()。 //標(biāo)識(shí)CString GetDF()。 //延遲CString GetThroughtPut()。 //版本CString GetHeaderLength()。CString GetSrcIP()。CIPPacket(const unsigned char* buf,int buflen)。 //選項(xiàng)長(zhǎng)度unsigned char *m_pOptions。 //協(xié)議,如 TCP,UDPunsigned int m_nCheckSum。 //不要分段bool m_bMF。 //吞吐量bool m_bReliability。 //頭部長(zhǎng)度int m_nServiceType。其中*buf 指向該數(shù)據(jù)包的數(shù)據(jù)內(nèi)容， buflen 代表其數(shù)據(jù)長(zhǎng)度，由這兩個(gè)變量構(gòu)造算法變換進(jìn)制，對(duì)數(shù)據(jù)包逐層解析出所含信息：版本號(hào)、頭部長(zhǎng)度、服務(wù)類型、優(yōu)先級(jí)等等。CIPPacket 類 構(gòu)造函數(shù) CIPPacket(const unsigned char *buf,int buflen)，中實(shí)現(xiàn)通過(guò)調(diào)用已獲取的 IP 包數(shù)據(jù)，分析 IP 包中的各項(xiàng)參數(shù)。 網(wǎng)絡(luò)數(shù)據(jù)包分析模塊主要建立的類 網(wǎng)絡(luò)數(shù)據(jù)包分析模塊實(shí)現(xiàn)時(shí)，本系統(tǒng)提取的數(shù)據(jù)包中主要的一些信息。很顯然，數(shù)據(jù)包捕獲是人侵檢測(cè)系統(tǒng)信息的重要來(lái)源之一。網(wǎng)絡(luò)數(shù)據(jù)包捕獲的應(yīng)用主要在以下幾個(gè)方面：（1）流量統(tǒng)計(jì)：WinPcap 的強(qiáng)大功能還在于它提供了流量分析與統(tǒng)計(jì)的功能，它能夠?qū)⒕钟蚓W(wǎng)上所運(yùn)行數(shù)據(jù)包的大小及多少進(jìn)行定量的統(tǒng)計(jì)，在統(tǒng)計(jì)模式下工作的 WinPcap 可以在不捕獲整個(gè)數(shù)據(jù)包的前提條件下高效快速地獲得該數(shù)據(jù)包的大小，因而我們可以利用 WinPcap 的這個(gè)特點(diǎn)統(tǒng)計(jì)出單位時(shí)間中網(wǎng)絡(luò)上數(shù)據(jù)包數(shù)目及數(shù)據(jù)字節(jié)數(shù)。負(fù)數(shù)將使它永遠(yuǎn)循環(huán)。libpcap 和 WinPcap 都提供了 pcap_findalldevs_ex() 函數(shù)來(lái)實(shí)現(xiàn)這個(gè)功能 : 這個(gè)函數(shù)返回一個(gè) pcap_if 結(jié)構(gòu)的鏈表， 每個(gè)這樣的結(jié)構(gòu)都包含了一個(gè)適配器的詳細(xì)信息。 This parameter is not meaningful in case of a query to the local host: in that case it can be ：在這種情況下，它可以是 NULL。u_int flags：PCAP_IF_LOOPBACK 的接口標(biāo)示。 }。char *name。//利用 adhandle 描述符，pcap_close (adhandle)。 /* 打開(kāi)文件 */（6）循環(huán)捕獲并存儲(chǔ)pcap_freealldevs(alldevs)。 /* 打開(kāi)設(shè)備 */ if ( (adhandle= pcap_open(dname, // 設(shè)備名稱抓包的設(shè)備 65536, // 65535 保證能捕獲到不同數(shù)據(jù)鏈路層上的每個(gè)數(shù)據(jù)包的全部?jī)?nèi)容 1, //PCAP_OPENFLAG_PROMISCUOUS, 混雜模式，0 10000,//讀取超時(shí)時(shí)間 陜西理工學(xué)院畢業(yè)設(shè)計(jì)第 12 頁(yè) 共 65 頁(yè) NULL, // 遠(yuǎn)程機(jī)器驗(yàn)證 errbuf// 錯(cuò)誤緩沖池 ) ) == NULL){fprintf(stderr,\nUnable to open the adapter. %s is not supported by WinPcap\n, dname)。 /* 釋放設(shè)備列表 */ return 1。 scanf(%d, amp。 d=dnext) { printf(%d. %s, ++i, dname)。 網(wǎng)絡(luò)數(shù)據(jù)包捕獲程序的編寫過(guò)程（1）獲取本機(jī)已連接的網(wǎng)絡(luò)適配器列表WinPcap 提供了 pcap_findalldevs_ex() 函數(shù)來(lái)實(shí)現(xiàn)這個(gè)功能 : 這個(gè)函數(shù)返回 pcap_if 結(jié)構(gòu)的鏈表， 每個(gè)這樣的結(jié)構(gòu)都包含了一個(gè)適配器的詳細(xì)信息。運(yùn)用這一原理使網(wǎng)絡(luò)數(shù)據(jù)包捕獲系統(tǒng)能夠攔截到我們所要的信息，這是捕獲數(shù)據(jù)包的物理基礎(chǔ)。開(kāi)始監(jiān)聽(tīng)線程圖 設(shè)計(jì)流程圖開(kāi)發(fā)的這個(gè)系統(tǒng)最主要也是最核心的功能就是對(duì)于網(wǎng)絡(luò)數(shù)據(jù)包的捕獲以及對(duì)于捕獲到 陜西理工學(xué)院畢業(yè)設(shè)計(jì)第 10 頁(yè) 共 65 頁(yè)的網(wǎng)絡(luò)數(shù)據(jù)包顯示和簡(jiǎn)單的分析。根據(jù)所分析到的協(xié)議類型進(jìn)行類似的迭代分析。第二：調(diào)用相符協(xié)議類型的數(shù)據(jù)包分析類。第二：獲得當(dāng)前的網(wǎng)卡列表信息，從列表中選取其中所需要的指定網(wǎng)卡。 陜西理工學(xué)院畢業(yè)設(shè)計(jì)第 9 頁(yè) 共 65 頁(yè)3 系統(tǒng)設(shè)計(jì)方案及功能描述對(duì)于該軟件的設(shè)計(jì)和執(zhí)行過(guò)程，主要分為兩個(gè)關(guān)鍵部分，所以按此要求分為中有兩個(gè)核心的工作步驟，第一步是調(diào)用 Winpcap 函數(shù)庫(kù)實(shí)現(xiàn)下層抓包，這部分是為了實(shí)現(xiàn)網(wǎng)絡(luò)中的數(shù)據(jù)包獲取，也是最基礎(chǔ)的步驟。int pcap_next_ex(pcap_t *p,struct pcap_pkthdr **pkt_header,const u_char **pkt_data)此函數(shù)的功能是捕獲一個(gè)網(wǎng)絡(luò)數(shù)據(jù)包。pcap_t *pcap_open_live(const char *device,int snaplen,int promisc,int to_ms,char *ebuf)；此函數(shù)的功能是打開(kāi)一個(gè)網(wǎng)絡(luò)接口進(jìn)行數(shù)據(jù)包捕獲打開(kāi)的模式有 promisc 表示，如果是 1 就表示以混雜模式把接口打開(kāi)。 Winpcap 函數(shù)Winpcap 提供的輸出函數(shù)與 Libpcap 的函數(shù)完全一樣，使用方法也一樣。 Winpcap 數(shù)據(jù)結(jié)構(gòu)詳細(xì)的一些數(shù)據(jù)結(jié)構(gòu)在后面的軟件編程中會(huì)給出，此處只是給出一些比較核心的數(shù)據(jù)結(jié)構(gòu)，并簡(jiǎn)單介紹。使用 比較煩瑣，如果無(wú)特殊要求，一般不用 進(jìn)行編程開(kāi)發(fā)。數(shù)據(jù)包在 NPF 中使用了緩存機(jī)制，主要是為了提高效率和速度。并且支持多種工作模式和網(wǎng)絡(luò)驅(qū)動(dòng)類型（小端口驅(qū)動(dòng)、中間層驅(qū)動(dòng)、協(xié)議驅(qū)動(dòng)） ，其中 Winpcap 的 NPF 就屬于協(xié)議驅(qū)動(dòng)類型。第三部分是動(dòng)態(tài)鏈接庫(kù) 。它相當(dāng)于在 Linux 下 Libpcap 使用的 BPF 過(guò)濾模塊，實(shí)現(xiàn)了高效的網(wǎng)絡(luò)數(shù)據(jù)包的捕獲和過(guò)濾功能，其過(guò)濾規(guī)則跟 BPF 是一樣的。這是由 NPF 來(lái)實(shí)現(xiàn)的，NPF 是 Winpcap 的核心部分，它實(shí)現(xiàn)了內(nèi)核層次的統(tǒng)計(jì)功能，對(duì)于設(shè)計(jì)網(wǎng)絡(luò)流量的程序很有好處。使用 Winpcap 開(kāi)發(fā)包的主要軟件有： Windump（與 linux 下的 Tcpdump 的功能幾乎一致） 、Analyzer （Windows 下的嗅探器） 、Ethereal（網(wǎng)絡(luò)協(xié)議分析軟件）等。（6）常用網(wǎng)際協(xié)議編號(hào)如表 表 常用網(wǎng)際協(xié)議編號(hào)十 進(jìn) 制 編 號(hào) 協(xié) 議 說(shuō) 明0 無(wú) 保 留1 ICMP 網(wǎng) 際 控 制 報(bào) 文 協(xié) 議2 IGMP 網(wǎng) 際 組 管 理 協(xié) 議3 GGP 網(wǎng) 關(guān) —網(wǎng) 關(guān) 協(xié) 議4 無(wú) 未 分 配5 ST 流6 TCP 傳 輸 控 制 協(xié) 議8 EGP 外 部 網(wǎng) 關(guān) 協(xié) 議9 IGP 內(nèi) 部 網(wǎng) 關(guān) 協(xié) 議11 NVP 網(wǎng) 絡(luò) 聲 音 協(xié) 議17 UDP 用 戶 數(shù) 據(jù) 報(bào) 協(xié) 議 Winpcap介紹Winpcap（Windows Packet Capture）是 Windows 平臺(tái)下一個(gè)專業(yè)網(wǎng)絡(luò)數(shù)據(jù)包捕獲開(kāi)發(fā)包，是為 Libpcap 在 Windows 平臺(tái)下實(shí)現(xiàn)數(shù)據(jù)包的捕獲而設(shè)計(jì)的。 （5）TCP 和 UDP 的端口結(jié)構(gòu)TCP 和 UDP 服務(wù)通常有一個(gè)客戶/服務(wù)器的關(guān)系，例如，一個(gè) Tel 服務(wù)進(jìn)程開(kāi)始在系統(tǒng)上處于空閑狀態(tài)，等待著連接。它主要是用來(lái)提供有關(guān)通向目的地址的路徑信息。相對(duì)于 FTP 或 Tel，這些服務(wù)需要交換的信息量較小。 面向連接的服務(wù)（例如 Tel、FTP、rlogin、X Windows 和 SMTP）需要高度的可靠性，所以它們使用了 TCP。TCP 將包排序并進(jìn)行錯(cuò)誤檢查，同時(shí)實(shí)現(xiàn)虛電路間的連接。對(duì)于一些 TCP 和 UDP 的服務(wù)來(lái)說(shuō)，使用了該選項(xiàng)的 IP 包好像是從路徑上的最后一個(gè)系統(tǒng)傳遞過(guò)來(lái)的，而不是來(lái)自于它的真實(shí)地點(diǎn)。IP 數(shù)據(jù)包中含有發(fā)送它的主機(jī)的地址（源地址）和接收它的主機(jī)的地址（目的地址） 。 網(wǎng)絡(luò)接口層（主機(jī)網(wǎng)絡(luò)層）：接收 IP 數(shù)據(jù)報(bào)并進(jìn)行傳輸，從網(wǎng)絡(luò)上接收物理幀，抽取 IP 數(shù)據(jù)報(bào)轉(zhuǎn)交給下一層，對(duì)實(shí)際的網(wǎng)絡(luò)媒體的管理，定義如何使用實(shí)際網(wǎng)絡(luò)（如Ether、Serial Line 等）來(lái)傳送數(shù)據(jù)。這 4 層分別為： 應(yīng)用層：應(yīng)用程序間溝通的層，如簡(jiǎn)單電子郵件傳輸（SMTP ） 、文件傳輸協(xié)議（FTP ） 、網(wǎng)絡(luò)遠(yuǎn)程訪問(wèn)協(xié)議（Tel）等。傳統(tǒng)的開(kāi)放式系統(tǒng)互連參考模型，是一種通信協(xié)議的 7 層抽象的參考模型,其中每一層執(zhí)行某一特定任務(wù)。 什么是 TCP/IPTCP/IP 是供已連接因特網(wǎng)的計(jì)算機(jī)進(jìn)行通信的通信協(xié)議。 陜西理工學(xué)院畢業(yè)設(shè)計(jì)第 3 頁(yè) 共 65 頁(yè)2 相關(guān)知識(shí)介紹我們捕獲數(shù)據(jù)包的主要目的就是要對(duì)捕獲的數(shù)據(jù)包進(jìn)行分析。本實(shí)驗(yàn)就是通過(guò)研究網(wǎng)絡(luò)中數(shù)據(jù)包的傳輸情況，構(gòu)建一個(gè)簡(jiǎn)單快捷的數(shù)據(jù)包抓包及分析軟件：一、運(yùn)用 C++開(kāi)發(fā)一個(gè)簡(jiǎn)單的軟件實(shí)現(xiàn)通過(guò)調(diào)用 winpcap 來(lái)對(duì)網(wǎng)絡(luò)中的基本數(shù)據(jù)包進(jìn)行捕獲。我選擇的課題是 windows 下的網(wǎng)絡(luò)數(shù)據(jù)包的捕獲與分析，所以主要的研究方向和側(cè)重點(diǎn)是在于最基本也是最核心的網(wǎng)絡(luò)數(shù)據(jù)包的捕獲和分析等功能上。通過(guò)一系列的使用和學(xué)習(xí)，我希望能夠自己完成一款功能適合自己使用的操作簡(jiǎn)單讓人可以輕易上手的網(wǎng)絡(luò)數(shù)據(jù)包捕獲和簡(jiǎn)單分析的軟件。作為一名網(wǎng)絡(luò)工程專業(yè)的學(xué)生，熟悉常用的各種計(jì)算機(jī)相關(guān)軟件，特別是和網(wǎng)絡(luò)相關(guān)的軟件是應(yīng)該的。所以我們