【正文】 最后向在百忙之中評審本文的各位專家、老師表示衷心的感謝！ 。 33 參 考 文 獻 [1] 張仕斌 ,譚三 ,易勇 ,蔣毅 .網(wǎng)絡安全技術 [M].北京：清華大學出版社 ,2021： 3175. [2] 楊波 ,周亞寧 .大話通信 [M].北京：人民郵電出版社 ,2021： 1336. [3] Stevens. TCP/IP Illustrated Volume 1: The Protocols[M].北京：人民郵電出版社 ,2021： 134. [4] Behrouz . TCP/IP Protocol Suite[M].北京：清華大學出版社 ,2021： 128. [5] 趙新輝 ,李祥 .捕獲網(wǎng)絡數(shù)據(jù)包的方法 [J].計算機應用研究 ,2021,(8)： 242255. [6] 莊春興 ,彭奇志 .基于 Winpcap 的網(wǎng)絡嗅探程序設計 [J].計算機與現(xiàn)代化 ,2021,(5)：1113. [7] 梁理 ,黃樟欽 ,侯義斌 .網(wǎng)絡信息偵聽系統(tǒng)的研究與實現(xiàn) [J].計算機工程 與應用 ,2021, (17)： 184186. [8] 喻飛 ,朱淼良 .以太網(wǎng)中的網(wǎng)絡監(jiān)聽原理與檢測 [J].應用技術 ,2021, (2)： 4950. [9] 王宇 ,張寧 .網(wǎng)絡監(jiān)聽器原理分析與實現(xiàn) [J].計算機應用研究 ,2021,(7)： 142145. [10] 唐正軍 ,劉代志 .網(wǎng)絡嗅探器 Sniffer 軟件源代碼淺析 (2)[J].計算機工程 ,2021,(1)：165168. 34 致 謝 本文是在何曉桃老師的熱情關心和指導下完成的，她淵博的知識和嚴謹?shù)闹螌W作風使我受益匪淺，對順利完成本課題起到了極大的 作用。本系統(tǒng)要想實現(xiàn)對交換式以太網(wǎng)的監(jiān)聽，需通過前置 Hub 來實現(xiàn)，或在路由器上設置監(jiān)聽端口； 在目 前的網(wǎng)絡監(jiān)聽系統(tǒng)中，所實現(xiàn)的功能還很簡單。 本系統(tǒng)目前所有的數(shù)據(jù)都存儲在一個文件夾中，隨著數(shù)據(jù)流量的增大，對文件的存儲和訪問都會越來越困難。 隨著網(wǎng)絡技術的發(fā)展，網(wǎng)絡的規(guī)模越來越大，網(wǎng)絡的帶寬不斷加大，人們對網(wǎng)絡的依賴逐漸加深。獲得數(shù)據(jù)包的長度、源IP 地址、目的 IP 地址、源端口號、目的端口號等信息。本文詳細介紹了網(wǎng)絡監(jiān)聽技術的原理，通過對 WinPcap 工具庫的分析介紹，完成了局域網(wǎng)監(jiān)聽系統(tǒng)的設計，并實現(xiàn)了網(wǎng)絡的監(jiān)聽、數(shù)據(jù)包的捕獲和協(xié)議的分析，起到了對網(wǎng)絡動態(tài)管理與監(jiān)控的作用，是一個能夠維護本局域網(wǎng)安全的有效工具。其運行結果如下： 30 圖 運行開始時的界面 圖 獲得網(wǎng)卡的界面 31 圖 運行中的界面 圖 運行結束后的界面 32 結 論 網(wǎng)絡監(jiān)聽是信息安全領域內(nèi)一項非常重要和實用的技術，在信息安全領域里面發(fā)揮著巨大的作用。根據(jù)本節(jié)介紹的內(nèi)容可以對該監(jiān)聽軟件的 實現(xiàn)有一個具體、清晰的認識。例如 :數(shù)據(jù)包的端口，就不能正確顯示，需通過函數(shù) ntohs()進行轉(zhuǎn)換。 將網(wǎng)絡格式轉(zhuǎn)化為本地格式 數(shù)據(jù)包中的數(shù)據(jù)在網(wǎng)絡上傳輸過程中的數(shù)據(jù)格式和本機能識別的格式 不同，因為在TCP/IP 協(xié)議網(wǎng)絡中數(shù)據(jù)傳輸過程中的比特順序與主機中數(shù)據(jù)存放時的比特順序不同。 程序?qū)崿F(xiàn)如下： int CCapPackDoc::SavePacket(struct pcap_pkthdr *header,const u_char *pkt_data) 這個函數(shù)在程序中完成了數(shù)據(jù)包的分析。因為本系統(tǒng)還有統(tǒng)計本局域網(wǎng)內(nèi)數(shù)據(jù)包流量的這一功能，所以采取的是將流經(jīng)本主機的所有數(shù)據(jù)包全部截獲，在截獲數(shù)據(jù)包后采用指針指向協(xié)議分析函 數(shù)，通過協(xié)議的分析來區(qū)分每個數(shù)據(jù)包的協(xié)議類型。根據(jù)端口篩選特定類型服務。每一個數(shù)據(jù)包都有一定的長度，可以設置過濾條件，指定范圍，抓取長度在某一范圍內(nèi)的數(shù)據(jù)包。只接收程序中指定的來源于或發(fā)送于某一 IP 地址的數(shù)據(jù)包。 (2) 根據(jù) IP 地址過濾。即根據(jù)數(shù)據(jù)包中的協(xié)議字段的內(nèi)容對數(shù)據(jù)包進行過濾?？赏ㄟ^設置過濾規(guī)則，按特定的主機以及特定的協(xié)議端口對數(shù)據(jù)包有選擇的截獲，然后再將敏感數(shù)據(jù)向上層模塊提交。但是在網(wǎng)絡的實際應用中，其中存在若干管理員不關心的數(shù)據(jù)，或者稱為垃圾數(shù)據(jù)，嚴重影響了監(jiān)聽系統(tǒng)的工作效率。 onTime函數(shù) 是 系統(tǒng)默認 的回調(diào)函數(shù)，由這個函數(shù)來實現(xiàn)單位時間內(nèi)網(wǎng)絡數(shù)據(jù)包流量的統(tǒng)計及各個協(xié)議數(shù)據(jù)包流量的統(tǒng)計 。 第二個參數(shù) 是時間間隔，也就是 每一個時間間隔 事件觸發(fā)一次。具體的實現(xiàn)過程如下： m_nTimeID=SetTimer(411,1000,NULL)； // 定義了一個 1 秒鐘觸發(fā)一次的定時器 使用 SetTimer 函數(shù)時會生成一個計時器。i++) { pdata[i]=machsadd[i]； pdata[i]=machdadd[i]； } pdata=machmac_type； //IP ih=(ip_header*)(pkt_data+14)； //ip 頭 int iplen=(ihver_ihl amp。header)； char timestr[16]； strftime(timestr,sizeof(timestr),%H:%M:%S,ltime)； memset(pdatastrTime,0,sizeof(pdatastrTime))； strcpy(pdatastrTime,timestr)； //保存時間 pdatalen=headerlen； //保存長度 mac_header* mach； ip_header* ih； tcp_header* tcph； udp_header* udph； icmp_header* icmph； //MAC mach=(mac_header*)pkt_data； //mac 頭 for(int i=0。數(shù)據(jù)包分析的主要依據(jù)是網(wǎng)絡協(xié)議中定義的各種包的類型和包的格式，這在里主要分析了局域網(wǎng)中常用的幾種協(xié)議（在第三章中已詳細介紹的 MAC 幀頭、 IP、 TCP、UDP、 ICMP 數(shù)據(jù)報的協(xié)議格式）。 數(shù)據(jù)包的分析 調(diào)用 WinPcap 底層驅(qū)動接收函數(shù)接收的數(shù)據(jù)包，除了包含用戶數(shù)據(jù)外，還包含時間戳、 IP 包頭、 TCP 或 UDP 頭部等原始信息，所以可以方便地對獲取到的數(shù)據(jù)包進行分析。header,amp。在具體的實現(xiàn)過程中，通過建立一個捕獲線程來實現(xiàn)數(shù)據(jù)包的捕獲，以減少在網(wǎng)絡繁忙時，其數(shù)據(jù)流量超過計算機 的數(shù)據(jù)處理速度而出現(xiàn)漏包的情況。d=dnext) { m_nDeviceCount++； } 打開網(wǎng)卡，將網(wǎng)卡設置成混雜模式： adhandle=pcap_open(dname, //網(wǎng)卡名 65535, //數(shù)據(jù)包的捕獲部分長度 PCAP_OPENFLAG_PROMISCUOUS, //混合模式 1 打開 0 關閉 1000,//讀超時值 NULL, errbuf)； //錯誤信息緩存區(qū) if(adhandle==NULL) { MessageBox(NULL,errbuf,錯誤 ,MB_OK)； pcap_freealldevs(alldevs)； return 1； 24 } 其中參數(shù) 1 用來設置網(wǎng)卡的工作模式。alldevs,errbuf)==1) return 1； for(d=alldevs。進一步的分析、處理工作可交由數(shù)據(jù)分析處理程序完成。為了在 Windows 平臺實現(xiàn)網(wǎng)絡數(shù)據(jù)包的捕獲功能，首先是把網(wǎng)卡設置成混雜模式，以監(jiān)聽整個網(wǎng)段的數(shù)據(jù)。在具 體的實現(xiàn)過程中根據(jù)程序流程圖將監(jiān)聽系統(tǒng)程序簡化為以下幾個步驟。驅(qū)動程序部分工作在內(nèi)核級，負責網(wǎng)絡數(shù)據(jù)的接收和發(fā)送；應用程序部分工作在用戶級，除了與驅(qū)動程序進行正確的通訊外，還要將有關信息顯示出來，并提供存盤，過濾等操作。 圖 是該系統(tǒng)的程序流程圖，其與系統(tǒng)的功能模塊相對應，以直觀的方式將系統(tǒng)流程表現(xiàn)出來，以便于編程過程中更好的實現(xiàn)網(wǎng)絡監(jiān)聽系統(tǒng)。 這樣劃分模塊便于后期的程序?qū)崿F(xiàn)。 22 數(shù)據(jù)包流量統(tǒng)計模塊：對局域網(wǎng)內(nèi)數(shù)據(jù)流量進行統(tǒng)計分析，以獲得單位時間內(nèi)局域網(wǎng)數(shù)據(jù)包的總量、平均流量及各協(xié)議數(shù)據(jù)包的個數(shù)。 協(xié)議分析模塊：協(xié)議分析模塊主要的功能是從用戶指定的文件中加載截獲的數(shù)據(jù)包，并根據(jù) TCP/IP 協(xié)議族中各種數(shù)據(jù)包的首部格式對以上加載的數(shù)據(jù)包進行協(xié)議分析，從而獲得數(shù)據(jù)包的源 MAC 地址，目的 MAC 地址，源 IP 地址，目的 IP 地址，源端口號，目的端口號等等。該模塊完成數(shù)據(jù)包監(jiān)聽的一系列準備工作。 模塊設計 根 據(jù)軟件所需要實現(xiàn)的功能，將軟件系統(tǒng)劃分為以下幾個主要模塊：初始化模塊，數(shù)據(jù)包捕獲模塊，協(xié)議分析模塊，數(shù)據(jù)包流量統(tǒng)計模 塊，存儲、輸出模塊。也可以從磁盤上加載數(shù)據(jù)，進行協(xié)議分析。 加載在上一步中 保存的數(shù)據(jù)包到軟件，根據(jù) TCP/IP 協(xié)議中各數(shù)據(jù)包的格式對加載的數(shù)據(jù)包進行解包分析，獲得數(shù)據(jù)包包頭的相關信息（如 MAC 幀的源、目的地址，21 TCP 的源、目的端口等信息）。 圖 是該系統(tǒng)所依賴的網(wǎng)絡環(huán)境： 圖 網(wǎng)絡工作環(huán)境 局域網(wǎng)監(jiān)聽系統(tǒng)的設計 功能設計 該網(wǎng)絡監(jiān)聽軟件實現(xiàn)的主要功能可以概括為以下幾點： 首先對經(jīng)過主機的所有網(wǎng)絡數(shù)據(jù)包進行截獲，實現(xiàn)抓取數(shù)據(jù)包的目的。 20 4 局域網(wǎng)監(jiān)聽系統(tǒng)的設計及實現(xiàn) 本程序設 計所 要求的運行環(huán)境如下： 軟件環(huán)境：操作系統(tǒng) WindowsXP； 底層驅(qū)動 ； 編譯環(huán)境 Visual C ++ ； WinPcap 開發(fā)包 。協(xié)議數(shù)據(jù)單元在應用層、表示層和會話層被稱作數(shù)據(jù) (Data)，在傳輸層被稱作分段 (Segment)，在網(wǎng)絡層被稱作包 (Packet)，在數(shù)據(jù)鏈路層被稱作幀 (Frame)，在物理層被稱作 (bit)。通過網(wǎng)絡的功能分層帶來了網(wǎng)絡協(xié)議的層次結構。 UDP 檢驗和： 16 位， UDP 檢驗和覆蓋 UDP 首部和 UDP 數(shù)據(jù)。該字段最小值為 8字節(jié)。 圖 UDP 數(shù)據(jù)報格式及首部中的各字段 源端口和目的端口號：各 16 位，表示發(fā)送進程和接收進程。 18 圖 UDP 數(shù)據(jù)報封裝 UDP 不提供可靠性：它并不保證數(shù)據(jù)能到達目的地。 實現(xiàn)過程中 TCP 數(shù)據(jù)報報頭的數(shù)據(jù)結構如下： typedef struct tag_tcp_header { u_short sport； //源端口 16 比特 u_short dport； //目的端口 16 比特 u_int32_t sn； //序列號 32 比特 u_int32_t an； //確認號 32 比特 u_int16_t other； // 16 比特 首部長度 4 比特＋保留 6 比特＋ UPG+ACK+PSH+RST+SYN+FIN u_int16_t window_size； //窗口大小 16 比特 u_int16_t check_sum； //校驗和 16 比特 u_int16_t urgent_pointer； //緊急 指針 16 比特 u_int32_t option； //選項 0 或 32 比特 }tcp_header； UDP 是一個簡單的面向數(shù)據(jù)報的傳輸層協(xié)議，提供了一種無連接、盡力而為的數(shù)據(jù)包轉(zhuǎn)發(fā)服務。 可選項：長度可變。 緊急指針： 16 位，只有當 URG 標志置 1 時緊急指針才有效。 窗口大 小指明了自確認號指定的字節(jié)開始接收方在必須停止傳輸并等待 確認之前發(fā)送方可以接受的數(shù)據(jù)段的字節(jié)長度。每個比特用法如下所示： URG：第一個比特被置位，說明裝載的是緊急報文；