【正文】 主要函數(shù)庫 Winpcap 函數(shù)庫主要有如下函數(shù) : 1） int pcap_findalldevs (pcap_if_t **,char *) 用來獲得網(wǎng)卡的列表 2） void pcap_freealldevs (pcap_if_t *) 與 int pcap_findalldevs (pcap_if_t **,char *)配套使用 ,當(dāng)不需要網(wǎng)卡列表時 ,用此函數(shù)釋放空間 3） pcap_t *pcap_open_live(const char *, int, int, int, char *) 用來得到一個包抓取得描述符 4） Int pcap_loop(pcap_t *, int, pcap_handler, u_char *) 捕獲數(shù)據(jù)包 ,不會響應(yīng) pcap_open_live()中設(shè)置的超時時間 5） int pcap_dispatch(pcap_t *, int, pcap_handler, u_char *) 捕獲數(shù)據(jù)包。編程人員既可以使用包含在 中的低級函數(shù)直接進(jìn)入內(nèi)核級調(diào)用，也可以使用由 提供的高級函數(shù)調(diào)用，這樣功能更強(qiáng)，使用也更為方便。它提供了一組功能強(qiáng)大且跨平臺的函數(shù)，利用這些函數(shù)可以不去關(guān)心適配器和操作系統(tǒng)的類型。 3）高級動態(tài)鏈接庫?；? 開發(fā)的數(shù)據(jù)包截獲程序可以運行于不同的 Win32 平臺而不必重新進(jìn)行編譯。 用于在 Win32平臺上為數(shù)據(jù)包驅(qū)動程序提供一個公共的接口。該模塊提供了抓取數(shù)據(jù)包以及發(fā)送數(shù)據(jù)包的基本功能，此外還提供了一些高級功 8 能，如數(shù)據(jù)包過濾系統(tǒng)和檢測引擎。 NPF與操作系統(tǒng)有關(guān)， WinPcap 開發(fā)組針對不同的 Windows 操作系統(tǒng)提供了不同版本的 NPF。 1） 網(wǎng)絡(luò)組包過濾器。對于一般的要與 unix 平臺上 libpcap 兼容的開發(fā)來說，使用 是當(dāng)然的選擇。著名軟件 tcpdump 及 ids snort 都是基于 libpcap 編寫的，此外 Nmap 掃描器也是基于 libpcap 來捕獲目標(biāo)主機(jī)返回的數(shù)據(jù)包的。它還可以在使用交換機(jī)的網(wǎng)絡(luò)上監(jiān)聽，不過要在交換機(jī)上裝它的一個軟件。目前，WinPcap 開發(fā)的主要對象是 windows NT/2020/XP，這主要是因為在使用 WinPcap 的用戶中只有一小部分是僅使用 Windows 95/98/Me，并且微軟也已經(jīng)放棄了對 win9x 的開發(fā)。 WinPcap 的主要功能在于獨立于主機(jī)協(xié)議（如 TCP/IP)而發(fā)送和接收原始數(shù)據(jù)包，也就是說， WinPcap 不能阻塞，過濾或控制其他應(yīng)用程序數(shù)據(jù)包的發(fā)收，它僅 僅只是監(jiān)聽共享網(wǎng)絡(luò)上傳送的數(shù)據(jù)包。 WinPcap 的官方主頁是，可以在其主頁上下載這個軟件及其源代碼，更重要 的是，網(wǎng)站上還有很多開發(fā)文檔，對于利用 WinPcap 作為工具開發(fā)網(wǎng)絡(luò)安全軟件的編程人員有很大幫助。這個數(shù)據(jù)包捕獲架構(gòu)是由加州大學(xué)和 Lawrence Berkeley 實驗室及其投稿者聯(lián)合開發(fā)的，他們在 1999 年 3月 31日推出了 版，提供了用戶級 BPF 過濾；1999 年 8 月 21 日推出了 版，將 BPF 過濾增加到內(nèi)核中并增加了內(nèi)核緩存； 2020年 3月 15 日推出了 版，該版對 libpcap 進(jìn)行了升級，并可支持更多的網(wǎng)絡(luò)類型； 2020 年 1月 30日推出了 2． 2版； 2020 年 3月 28 日推出了 2． 3 版； 2020 年 1 月lO 日推出了 3． O 版，增加了 NPF 設(shè)備驅(qū)動的一些新的特性及優(yōu)化方案，在 中增加了一些函數(shù)等等功能。最初版本是 2020 年 6 月發(fā)布的 版，此后幾經(jīng)修改，到現(xiàn)在最新的 版。目前 JPcap 在 FreeBSD ， Linux RedHat ， Solaris 和 Microsoft Windows 2020/XP 系統(tǒng)上已經(jīng)做過測試，并且支持 Ether， IPv4， IPv6， ARP/RARP，TCP， UDP， ICMPv4 協(xié)議。 JPcap JPcap[6]是一個能夠捕獲，發(fā)送網(wǎng)絡(luò)數(shù)據(jù)包的 Java 類庫包。開發(fā) WinPcap 這個項目的目的在于為Win32 應(yīng)用程序提供訪問網(wǎng)絡(luò)底層的能力。 WinPcap WinPcap[5]是 LibPcap 的 Windows 版本 ,它是一個基于 Win32 的捕獲數(shù)據(jù)包和網(wǎng)絡(luò)分析的體系結(jié)構(gòu) ,它包括一個內(nèi)核級的包過濾器 ,一個底層的動態(tài)鏈接庫（ ） ,一個高層并且與系統(tǒng)無關(guān)的庫（ ,基于 版本）。同時 LibPcap 是一個獨立于系統(tǒng)接口的用戶級的抓包庫 ,它為底層網(wǎng)絡(luò)監(jiān)聽提供了可移植框架。 LibPcap LibPcap[4]是一個廣泛應(yīng)用的系統(tǒng)抓包庫。 原始套接字可以用來發(fā)送和接收 IP 層以上的原始數(shù)據(jù)包 ,比如 ICMP,TCP,UDP,而且能夠?qū)W(wǎng)絡(luò)底層的傳輸機(jī)制進(jìn)行控制。原始套接字能夠生成自己的數(shù)據(jù)報文 ,包括報送和數(shù)據(jù)報本身的內(nèi)容。應(yīng)用程序可以使用它進(jìn)行網(wǎng)絡(luò)通信而不需要知道底層發(fā)生的細(xì)節(jié)。包過濾機(jī)制是對所捕獲到的數(shù)據(jù) 包根據(jù)用戶的要求進(jìn)行篩選，最終只把滿足過濾條件的數(shù)據(jù)包傳遞給用戶程序。對用戶程序而言，包捕獲機(jī)制提供了一個統(tǒng)一的接口，使用戶程序只需要簡單的調(diào)用若干函數(shù)就能獲得所期望的數(shù)據(jù)包。而包捕獲機(jī)制是在數(shù)據(jù)鏈路層增加一個旁路處理，對發(fā)送和接收到的數(shù)據(jù)包做過濾 /緩沖等相關(guān)處理，最后直接傳遞到應(yīng)用程序。不同的操作系統(tǒng)實現(xiàn)的底層包捕獲機(jī)制可能 是不一樣的，但從形式上看大同小異。這里，通過設(shè)置硬路由器的監(jiān)聽端口來捕獲數(shù)據(jù)包的方式不再本文討論范圍內(nèi)。 那么如何捕獲這些數(shù)據(jù)包呢？ 網(wǎng)絡(luò)數(shù)據(jù)包捕獲原理 由于目前用的最多的網(wǎng)絡(luò)形式是以太網(wǎng) [2]，在以太網(wǎng)上，數(shù)據(jù)是以被稱為幀的數(shù)據(jù)結(jié)構(gòu)為單位進(jìn)行交換的，而幀（數(shù)據(jù)包）是用被稱為帶碰撞檢測的載波偵聽多址訪問即CSMA/CD（ carrier sense multiple access wim collision dctection)的方式發(fā)送的，在這種方法中，發(fā)送到指定地址的幀實際上是發(fā)送到所有計算機(jī)的，只是如果網(wǎng)卡檢測到經(jīng)過的數(shù)據(jù)不是發(fā)往自身的，簡單忽略 過去而已。 圖 21 網(wǎng)絡(luò)連接狀態(tài) 我們上網(wǎng)打開網(wǎng)頁，這個簡單的動作，就是我們先發(fā)送數(shù)據(jù)包給網(wǎng)站，網(wǎng)站接收到 4 了之后，根據(jù)發(fā)送的數(shù)據(jù)包的 IP 地址，返回網(wǎng)頁的數(shù)據(jù)包，也就是說，網(wǎng)頁的瀏覽，實際上就是數(shù)據(jù)包的交換。包”聽起來非常抽象，那么是不是不可見的呢？通過一定技術(shù)手段，是可以感知到數(shù)據(jù)包的存在的。必須把內(nèi)裝產(chǎn)品的包裝盒放到一個郵局指定的專用紙箱里，這樣才能夠郵寄。上一層內(nèi)容由下一層的內(nèi)容來傳輸，所以在局域網(wǎng)中，“包”是包含在“幀”里的。 3 2 主要技術(shù)介紹 數(shù)據(jù)包的介紹 “包”（ Packet）是 TCP/IP 協(xié)議通信傳輸中的數(shù)據(jù)單元，一般也稱“數(shù)據(jù)包”。 網(wǎng)絡(luò)數(shù)據(jù)安全的技術(shù)研究 為了保證網(wǎng)絡(luò)的安全，防止網(wǎng)絡(luò)攻擊，除了對信息采用加密技術(shù)之外，還有就是與網(wǎng)絡(luò)協(xié)議相關(guān)的網(wǎng)絡(luò)安全手段，例如防火墻技術(shù)、入侵監(jiān)測技術(shù)、安全掃描技術(shù)、協(xié)議分析技術(shù)和數(shù)據(jù)包生成技術(shù)等。它是攻擊者冒充域名服務(wù)器的一種欺騙行為，它主要用于向主機(jī)提供錯誤 DNS 信息，當(dāng)用戶嘗試瀏覽網(wǎng)頁，例如 IP 地址為 ，網(wǎng)址為 ，而實際上登錄的確實 IP地址 上的 ，用戶上網(wǎng)就只能看到攻擊者的主頁，而不是用戶想要取得的網(wǎng)站的主頁了，這個網(wǎng)址是攻擊者用以竊取網(wǎng)上銀行登錄證書以及帳號信息的假冒網(wǎng)址。服務(wù)器和用戶之間的數(shù)據(jù)傳送被“中間服務(wù)器”轉(zhuǎn)發(fā)并做了手腳之后，就會出現(xiàn)很嚴(yán)重的問題。 協(xié)議的安全驗證方式也是有弱點的，就是很容易受到“中間服務(wù)器”方式的攻擊。在這段時間里，有幾百臺主機(jī)被泄密。 1994 年一個最大的嗅探器 (Sniffer，網(wǎng)絡(luò)數(shù)據(jù)監(jiān)聽器 )攻擊被發(fā)現(xiàn)，這次攻擊被人們普遍認(rèn)為是記載中最為嚴(yán)重的一次，攻擊者處于 ，使許多以 FTP、 Tel 或遠(yuǎn)程登陸的主機(jī)系統(tǒng)都受到了危害。在通常的網(wǎng)絡(luò)環(huán)境之下，用戶的信息包括口令都是以明文的方式在網(wǎng)上傳輸?shù)?，只要?網(wǎng)絡(luò)接口設(shè)置成監(jiān)聽模式，便可以源源不斷地將網(wǎng)上傳輸?shù)男畔⒔孬@，因此進(jìn)行網(wǎng)絡(luò)監(jiān)聽從而獲得用戶信息并不是一件困難的事情。 當(dāng)今網(wǎng)絡(luò)數(shù)據(jù)安全現(xiàn)狀 計算機(jī)網(wǎng)絡(luò)的核心是網(wǎng)絡(luò)協(xié)議，所以研究協(xié)議與網(wǎng)絡(luò)安全的關(guān)系就是至關(guān)重要的。據(jù) IT 界企業(yè)團(tuán)體 ITAA 的調(diào)查顯示，美國 90％的 IT企業(yè)對黑客攻擊 準(zhǔn)備不足。 可以這樣來定義網(wǎng)絡(luò)數(shù)據(jù)安全：所謂網(wǎng)絡(luò)數(shù)據(jù)安全，指的是網(wǎng)絡(luò)系統(tǒng)的硬件、軟件和數(shù)據(jù)信息能夠受到保護(hù)，不會因為偶然或惡意的原因而遭到破壞、更改、泄露，同時系統(tǒng)能夠連續(xù)、可靠地運行，網(wǎng)絡(luò)服務(wù)不被中斷。技術(shù)方面主要側(cè)重于防范外部非法用戶的攻擊，管理方面則側(cè)重于內(nèi)部人為因素的管理。廣義來說，凡是涉及到網(wǎng)絡(luò)上信息的保密性、完整性、可用性、真實性和可控性的相關(guān)技術(shù)和理論都是網(wǎng)絡(luò)安全所要研究的領(lǐng)域。圖表整潔，布局合理，文字注釋必須使用工程字書寫，不準(zhǔn)用徒手畫 2 3）畢業(yè)論文須用 A4 單面打印，論文 50 頁以上的雙面打印 4）圖表應(yīng)繪制于無格子的頁面上 5）軟件工程類課題應(yīng)有程序清單，并提供電子文檔 1）設(shè)計（論文） 2）附件：按照任務(wù)書、開題報告、外文譯文、譯文原文（復(fù)印件）次序裝訂 3 目 錄 1 緒論 .......................................................................................................................................... 1 課題來源 ....................................................................................................................... 1 當(dāng)今網(wǎng)絡(luò)數(shù)據(jù)安全現(xiàn)狀 ............................................................................................... 1 網(wǎng)絡(luò)數(shù)據(jù)安全的技術(shù)研究 ........................................................................................... 2 2 主要技術(shù)介紹 .......................................................................................................................... 3 數(shù)據(jù)包的介紹 ............................................................................................................... 3 網(wǎng)絡(luò)數(shù)據(jù)包捕獲原理 ................................................................................................... 4 網(wǎng)絡(luò)數(shù)據(jù)包的捕獲方法 ............................................................................................... 5 原始套接字 ........................................................................................................ 5 LibPcap ............................................................................................................... 5 WinPcap .............................................................................................................. 5 JPcap ......................................................................