【正文】 there are sometimes great effects of cross lies。s night through the air to Amack. They sit backwards on their painting b all lapse of time, and had bee a cipher and a nothing. Then three alone, or moveth upon greater means, if they have never so little hand in it, they think it is they that carry it They that are glorious, must needs be factious。s diversion, namely, the wild hunt to Amack. Ah, you don39。 特此聲明！ 作者簽名： 年 月 日 54 Of Vainglory It was prettily devised of Aesop。 （ 3）學(xué)?？梢詫W(xué)術(shù)交流為目的復(fù)制、贈(zèng)送和交換學(xué)位論文。文中除了特別加以標(biāo)注地方外，不包含他人已經(jīng)發(fā)表或撰寫過的研究成果，也不包含為獲得成都信息工程學(xué)院或其他教學(xué)機(jī)構(gòu)的學(xué)位或證書而使用過的材料。 [7] 郝坤 .BP神經(jīng)網(wǎng)絡(luò)在網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)中的應(yīng)用 [D].南京：南京理工大學(xué) [碩士論文 ]，2021。 [3] 張仕斌，譚三，易勇，蔣毅 .網(wǎng)絡(luò)安全技術(shù) [M].北京：清華大學(xué)出版社， 2021。但是仍然存在一些不足之處，例如： ，只對(duì)數(shù)據(jù)包作了簡(jiǎn)單分析，分析內(nèi)容不是很全面； ，而對(duì)于 諸如交換機(jī)這類設(shè)備 ， 由于它能夠阻止廣播，所以就不能夠?qū)ψ泳W(wǎng)內(nèi)其他的機(jī)器進(jìn) 行監(jiān)聽，若想要對(duì)此子網(wǎng)進(jìn)行監(jiān)聽，就必須處于與此交換機(jī)同級(jí)的包交換網(wǎng)絡(luò)中。 嗅探器的測(cè)試 網(wǎng)絡(luò)嗅探器程序設(shè)計(jì)完成后，在 Windows 平臺(tái)下進(jìn)行運(yùn)行調(diào)試，修改錯(cuò)誤，使其能完成捕獲數(shù)據(jù)包和分析數(shù)據(jù)包的功能 ， 并將 解析結(jié)果在 MFC 界面顯示出來 ，如圖 47 所示： 圖 47 分析結(jié)果在界面中的顯示情況 網(wǎng)絡(luò)嗅探器能完成預(yù)期的要求，進(jìn)行 數(shù)據(jù) 包截獲、 分析，顯示出分析結(jié)果。 (index,4,LVIF_TEXT,s4, 0, 0, 0,0)。 index = (0,s0)。 else ( %s,pdata)。 pdata=((BYTE *)pUDPHead)+UDP_HEAD_LEN。 sourport = ntohs(pUDPHeadSourPort)。 pdata=((BYTE *)pTCPHead)+HdrLen。 (%d,sourport)。 break。 strSourPort = 。 HdrLen *= 4。//得到目的 IP 地址 CString str, strProto, strSourPort, strDestPort, strData, strSize。 strcpy( szSource , pSource ) 。 pIpHeader = (IPHEADER *)bufwork 。//接收數(shù)據(jù) if( iRet == SOCKET_ERROR ) { dwErr = WSAGetLastError() 。 iRet = recv( pDlgm_s , buf , sizeof( buf ) , 0 ) 。//關(guān)閉套接字 pDlgm_threadID = 0 。msg, NULL, WM_USER, WM_USER, PM_NOREMOVE) 。 struct ICMPPacketHead *pICMPHead。 char *pLastBuf = NULL 。 char *pSource , *pDest 。 char buf [1000] , *bufwork 。dwBufferInLen, sizeof(dwBufferInLen), amp。 } } 對(duì) socket 的工作模式 進(jìn)行設(shè)置，函數(shù)格式如下： SetSockOpt(int nOptionName, const void* lpOptionValue, int nOptionLen, int nLevel = SOL_SOCKET)。 sprintf( szErr , Error WSAIoctl = %ld , dwErr ) 。dwBufferInLen, sizeof(dwBufferInLen), amp。 AfxMessageBox( szErr ) 。 //socket 端口號(hào)（端口號(hào)可以隨便改，但與系統(tǒng)不能沖突） = m_iphostsource。 closesocket( m_s ) 。 //超時(shí)設(shè)置 if( setsockopt( m_s , SOL_SOCKET , SO_RCVTIMEO , (const char *)amp。 AfxMessageBox( szErr ) 。 DWORD dwBytesReturned = 0 。 (FALSE) 。 m_ipcheckedhost = ntohl(m_iphost) 。 DWORD dwErr 。 //32 位源 IP地址 unsigned int destIP。 //3 位標(biāo)志位 unsigned char ttl。 //4 位版本號(hào) unsigned char tos。 //16 位緊急數(shù)據(jù)偏移量 }。 //4 位首部長(zhǎng)度 BYTE Flag。 //源端口 WORD DestPort。 //16 位目的端口 WORD Len。由于這些數(shù)據(jù)經(jīng)過了網(wǎng)絡(luò)層和傳輸層的打包，因此需要根據(jù)其附加的幀頭對(duì)數(shù)據(jù)包進(jìn)行分析。為了讓原始套接字能接受所有的數(shù)據(jù)，還需要通過 WSAIoctl ()來進(jìn)行設(shè)置 。但是，通常的套接字程序只能響應(yīng)與自己硬件地址相匹配的或是以廣播形式發(fā)出的數(shù)據(jù)幀，對(duì)于其他形式的數(shù)據(jù)幀比如已到達(dá)網(wǎng)絡(luò)接口但卻不是發(fā)給此地址的數(shù)據(jù)幀，網(wǎng)絡(luò)接口在驗(yàn)證投遞地址并非自身地址之后將不引起響應(yīng)，也就是說應(yīng)用程序 無法收取到達(dá)的數(shù)據(jù)包。通過 Socket 的處理，數(shù)據(jù)流（ Bits）已經(jīng)變成了能識(shí)別的數(shù)據(jù)結(jié)構(gòu)，最后協(xié)議棧將數(shù)據(jù)信息傳入應(yīng)用層 —— 應(yīng)用程序中。例如從路由器到某一子網(wǎng)的共享網(wǎng)絡(luò)中安裝一個(gè) hub，在將監(jiān)聽機(jī)器和子 網(wǎng)交換機(jī)用此 hub 連接起來，這樣，就能夠?qū)Υ俗泳W(wǎng)進(jìn)行監(jiān)聽了，另一種辦法就是在交換機(jī)上給監(jiān)聽機(jī)器做端口映射，指明讓它接受經(jīng)過交換機(jī)的所有數(shù)據(jù)包。 數(shù)據(jù)包嗅探技術(shù)在入侵檢測(cè)系統(tǒng)中的應(yīng)用 為了嗅探到網(wǎng)絡(luò)中的任意一個(gè)數(shù)據(jù)包，必須 對(duì) 物理線路、網(wǎng)卡、操作系統(tǒng)進(jìn)行完全的配合 ，首先從網(wǎng)絡(luò)構(gòu)成上講，嗅探技術(shù)并不是適合所有類型的網(wǎng)絡(luò)，不同傳輸介質(zhì)的網(wǎng)絡(luò)的可監(jiān)聽性是不同的。 入侵檢測(cè)的實(shí)現(xiàn)與嗅探器 入侵 檢測(cè)的實(shí)現(xiàn)由四部分組成：數(shù)據(jù)包嗅探解析部分、數(shù)據(jù)行為檢測(cè)部分、算法部分和掃描檢測(cè)部分。 ：通過分析系統(tǒng)配置，檢查系統(tǒng)是否已經(jīng)或可能被人入侵。 DARPA提出的建議是公共入侵檢測(cè)框架（ CIDF），最早由加州大學(xué)戴維斯分校安全室主持起草工作。通過網(wǎng)絡(luò)嗅探技術(shù)實(shí)現(xiàn)審計(jì)跟蹤、攻擊檢測(cè)等在網(wǎng)絡(luò)安全問題上具有重要意義。 通過網(wǎng)絡(luò)嗅探進(jìn)行 網(wǎng)絡(luò)管理 在合理的網(wǎng)絡(luò)中， 網(wǎng)絡(luò)嗅探器 的存在對(duì)系統(tǒng)管理員是致關(guān)重要的，系統(tǒng)管理員通過 sniffer可以診斷 出大量的不可見模糊問題，這些問題涉及兩臺(tái)乃至多臺(tái)計(jì)算機(jī)之間的異常通訊有些甚至牽涉到各種的協(xié)議，借助于 sniffer系統(tǒng)管理員可以方便的確定出多少的通訊量屬于哪個(gè)網(wǎng)絡(luò)協(xié)議、占主要通訊協(xié)議的主機(jī)是哪一臺(tái)、大多數(shù)通訊目的地是哪臺(tái)主機(jī)、報(bào)文發(fā)送占用多少時(shí)間、或 者 相互主機(jī)的報(bào)文傳送間隔時(shí)間等等，這些信息為管理員判斷網(wǎng)絡(luò)問題、管理網(wǎng)絡(luò)區(qū)域提供了非常寶貴的信息。 一個(gè)入 侵者攻擊網(wǎng)絡(luò)系統(tǒng)可能步驟大體有 :信息收集 ?安全弱點(diǎn)探測(cè)和分析?實(shí)施攻擊 ?逃避檢測(cè)。此分析結(jié)果可供網(wǎng)絡(luò)安全分析之用， 也可 為黑客所利用為其發(fā)動(dòng)進(jìn)一步的攻擊提供有價(jià)值的信息。 如果函數(shù)成功，則返回 0；否則返回 SOCKET_ERROR。這一點(diǎn)可以通過 listen()函數(shù)來實(shí)現(xiàn)，它的原型如下： int listen(SOCKET s, int backlog)。其用于 Linux性能評(píng)估的測(cè)試工具的設(shè)計(jì)與實(shí)現(xiàn)調(diào)用格式為 : bind(sockid, localaddr, addrlen) 總的來說，各種 socket地址數(shù)據(jù)結(jié)構(gòu)包括兩大部分 :地址類型和協(xié)議地址。 創(chuàng)建一個(gè) socket實(shí)際上是向系統(tǒng)申請(qǐng)一個(gè)屬于自己的 socket號(hào)?？蛻綦S機(jī)申請(qǐng)一個(gè) socket(相當(dāng)于一個(gè)想打電話的人可以在任何一臺(tái)入網(wǎng)電話上撥號(hào)呼叫 )，系統(tǒng)為之分配一個(gè) socket號(hào) 。進(jìn)程通信之前，雙方首先必須各自創(chuàng)建一個(gè)端點(diǎn)，否則是沒有辦法建立聯(lián)系并相互通信的。而且包捕獲 驅(qū)動(dòng)既與網(wǎng)絡(luò)驅(qū)動(dòng)通信又與用戶應(yīng)用程序通信 ,所以它在 NDIS結(jié)構(gòu)中如同一個(gè)協(xié)議驅(qū)動(dòng)， 對(duì) WindowsNT操作系統(tǒng)中的 NDIS結(jié)構(gòu)中的高端驅(qū)動(dòng)進(jìn)行編程，這樣編制的程序與上層應(yīng)用程序更容易連接，應(yīng)用程序?qū)︱?qū)動(dòng)設(shè)置的工作也更方便。本文 將對(duì) 目前比較流行的 WinPcap軟件包提供 的 捕獲機(jī)制 進(jìn)行簡(jiǎn)單介紹。 Windows操作系統(tǒng)沒有提供內(nèi)置的包捕獲機(jī)制。操作系統(tǒng)提供的捕獲機(jī)制主要有四種 ： BPF(Berkeley packet Filter)， DLPI (Data Link Provider Interface)， NIT(Network Interface Tap), Sock Packet類型套接口。 Linux支持一種特殊的套接字 ， 即 SockPacket型套接字 。Nfswatch(運(yùn)行在 HPUX、 Irix、 SunOS)。如果要進(jìn)行數(shù)據(jù)包捕獲 ，必須利用網(wǎng)卡的混雜模式，獲得經(jīng)過本網(wǎng)段的所有數(shù)據(jù)信息。如果將它送到一個(gè)普通地址，一般情況下，只有一個(gè)站點(diǎn)收到這個(gè)幀，但是，以太網(wǎng)是以廣播方式發(fā)送幀的，也即這個(gè)幀會(huì)傳播到其所在網(wǎng)段內(nèi)的所有 站點(diǎn)，只不過該站點(diǎn)不會(huì)接收目的地址不為本機(jī)地址的幀。 而嗅探器也可作為攻擊工具被 黑客所利用為其發(fā)動(dòng)進(jìn)一步的攻擊提供有價(jià)值的信息。 2 網(wǎng) 絡(luò)嗅探器的基本原理 網(wǎng)絡(luò)嗅探器又稱 為 網(wǎng)絡(luò)監(jiān)聽 器 ，簡(jiǎn)稱為 Sniffer 子系統(tǒng)，放置于網(wǎng)絡(luò)節(jié)點(diǎn)處，對(duì)網(wǎng)絡(luò)中的數(shù)據(jù)幀進(jìn)行捕獲的一種被動(dòng)監(jiān)聽手段， 是一種常用的收集有用數(shù)據(jù) 的方法，這些數(shù)據(jù)可以是用戶的 賬號(hào) 和密碼，可以是一些商用機(jī)密數(shù)據(jù)等等。 數(shù)據(jù)包嗅探技術(shù)是實(shí)現(xiàn)入侵檢測(cè)的基礎(chǔ)，將數(shù)據(jù)包從共享網(wǎng)絡(luò)線路中捕獲，并將其提取到應(yīng)用程序中 。 本文的研究主要圍繞以下幾個(gè)方 面進(jìn)行。顯然，要達(dá)到此目的就不能再讓網(wǎng)卡按通常的正常模式工作，而必須將其設(shè)置為混雜模式。因此，信息安全已越來越受到世界各國的重視。審計(jì)監(jiān)控是指隨時(shí)監(jiān)視用戶在網(wǎng)絡(luò)中的活動(dòng)，記錄用戶對(duì)敏感的數(shù)據(jù)資源的訪問，以便隨時(shí)調(diào)查和分析是否遭到黑客的攻擊。 加密技術(shù)是網(wǎng)絡(luò)信息最基本、最核心的技術(shù)措施。 它是指利用好的密碼算法對(duì)有些敏感數(shù)據(jù)、文件 和程序進(jìn)行加密，并以密文方式存取，以防泄密。 針對(duì)以上機(jī)制的網(wǎng)絡(luò)安全技術(shù)措施主要有： （ 1） 防火墻技術(shù) 防火墻是指一種將內(nèi)部網(wǎng)和公眾網(wǎng)絡(luò)分開的方法，它實(shí)際上是一種隔離技術(shù)，是在兩個(gè)網(wǎng)絡(luò)通信是執(zhí)行的 一種訪問控制手段，它能允許用戶“同意”的人和數(shù)據(jù)進(jìn)入網(wǎng)絡(luò)，同時(shí)將用戶“不同意”的人和數(shù)據(jù)拒之門外，最大限度地阻止網(wǎng)絡(luò)中的黑客來訪自己的網(wǎng)絡(luò)，防止他們更改、復(fù)制和毀壞自己的重要信息。 從目前使用的情況來看，對(duì)計(jì)算機(jī)網(wǎng)絡(luò)的入侵、威脅和攻擊，基本上可以歸納為以下幾種： 、竊取和破壞 ，造成漏洞 ，造成網(wǎng)絡(luò)癱瘓 網(wǎng)絡(luò)安全機(jī)制及技術(shù) 措施 目前國內(nèi)外維護(hù)網(wǎng)絡(luò)安全的機(jī)制主要有以下幾類： 訪問控制機(jī)制是指 在信息系統(tǒng)中，為檢測(cè)和防止未授權(quán)訪問，以及為使授權(quán)訪問正確進(jìn)行所設(shè)計(jì)的硬件或軟件功能、操作規(guī)程、管理規(guī)程和它們的各種組合。 raw sockets 目 錄 論文總頁數(shù)： 25頁 1 引言 ..................................................................... 3 網(wǎng)絡(luò)安全的現(xiàn)狀 ............................................