【正文】 例如HTTP協(xié)議的數(shù)據(jù)幀。圖4..2 攔截方法模塊流程圖 IP包分析模塊IP包過濾模塊起著承前啟后的作用，它位于網(wǎng)絡(luò)監(jiān)聽模塊之后，IP網(wǎng)址匹配模塊之前。IP包過濾模塊將IP地址在“白名單”中的用戶的所有l(wèi)P包看作系統(tǒng)不感興趣的IP包,將其過丟棄。假如用戶關(guān)閉網(wǎng)頁攔截功能,用戶策略模塊將用戶IP地址加入“白名單”中。當(dāng)傳輸開啟或關(guān)閉命令式,消息服務(wù)器要將用戶的IP地址一起發(fā)來。//啟動線程攔截策略控制模塊和消息服務(wù)器進(jìn)行通信,它監(jiān)聽端口10000,然后接收消息服務(wù)器傳來的指令。dwBytesReturned,NULL,NULL)。//設(shè)置操作WSAIoctl(m_sockCap,SIO_RCVALL,amp。//設(shè)置操作setsockopt(m_sockCap, IPPROTO_IP, IP_HDRINCL, (char*)amp。//綁定 setsockopt(m_sockCap, SOL_SOCKET, SO_REUSEADDR, (char*)amp。//創(chuàng)建套接字bind(m_sockCap, (PSOCKADDR)amp。這樣可以使他們的工作最大程度上達(dá)到效率最高并且不會發(fā)生任何沖突，從而實(shí)現(xiàn)了資源利用率最高。因此，要采取多進(jìn)程的方式。另一方面還要繼續(xù)接收新來的數(shù)據(jù)幀。因此，要把網(wǎng)卡設(shè)置成混雜模式，這樣我們就可以獲取所有經(jīng)過網(wǎng)卡的數(shù)據(jù)幀。但是我們要得到經(jīng)過網(wǎng)卡的所有數(shù)據(jù)幀。完成socket套接字后,接著調(diào)用recvfromo函數(shù)來獲取幀。(3)調(diào)用recvfromo函數(shù)接收數(shù)據(jù)。 4系統(tǒng)設(shè)計(jì)獲取經(jīng)過網(wǎng)卡的數(shù)據(jù)幀需要分三步完成:(1)創(chuàng)建socket套接字。 （6） 每隔一段時(shí)間，就要把這些數(shù)據(jù)備份。 （3）由于涉及到我單位的局域網(wǎng)絡(luò)、我單位用戶的隱私，因此必須保證記錄的Web 訪問頁面文件證據(jù)的機(jī)密性，并控制其擴(kuò)散范圍。 本系統(tǒng)的安全需求大致應(yīng)該有如下幾點(diǎn)： （1）該系統(tǒng)的用戶僅面向我單位的專業(yè)技術(shù)人員及其有關(guān)領(lǐng)導(dǎo)，不同的用戶應(yīng)該有不同的訪問權(quán)限。（3） 存儲器最少應(yīng)該留有半年的訪問數(shù)據(jù)。 （1） 攔截服務(wù)器內(nèi)存至少2GB以上。 （5）整個(gè)系統(tǒng)人機(jī)交互界面友好，可操作性強(qiáng)，容錯(cuò)性強(qiáng)，軟件部分發(fā)生故障時(shí)應(yīng)能夠自動恢復(fù)。 （3）面對錯(cuò)綜復(fù)雜的龐大數(shù)據(jù)，要有較強(qiáng)的應(yīng)對能力，來保證計(jì)算機(jī)網(wǎng)絡(luò)的正常運(yùn)轉(zhuǎn)。如果出現(xiàn)有新的功能需求時(shí)，要求系統(tǒng)必須可以進(jìn)行擴(kuò)充和修改。 （1）我單位局域網(wǎng)內(nèi)的用戶數(shù)量很大，不適宜在每個(gè)終端用戶的計(jì)算機(jī)上安裝系統(tǒng)所必需的模塊，Web 監(jiān)測系統(tǒng)的部署、運(yùn)行與維護(hù)對于局域網(wǎng)用戶來說是透明的。當(dāng)用戶輸入正確的通行口令時(shí)，用戶可以正常訪問其網(wǎng)址。這樣就可以節(jié)省掉不少的工作量和時(shí)間。數(shù)據(jù)庫的維護(hù)有專門的管理人員，他們的主要職責(zé)就是對攔截服務(wù)器攔截到的非法網(wǎng)址進(jìn)行檢查，當(dāng)發(fā)現(xiàn)這個(gè)情況屬實(shí)后，把這個(gè)網(wǎng)址加載到黑名單中。其用例圖如圖 。網(wǎng)頁攔截模塊向用戶展示預(yù)先做好的界面用于替代用戶要訪問的界面。 網(wǎng)址匹配部分用例圖（4）網(wǎng)頁攔截模塊 網(wǎng)頁攔截模塊是本系統(tǒng)最為關(guān)鍵的一部分。 IP包過濾部分用例圖網(wǎng)址匹配模塊的主要任務(wù)是把提取到URL和數(shù)據(jù)庫的黑名單逐個(gè)進(jìn)行對照人，如果發(fā)現(xiàn)有非法網(wǎng)址，就把這個(gè)消息通知給攔截模塊。提取出URL地址后，發(fā)送到網(wǎng)址匹配模塊。這個(gè)模塊由兩部分構(gòu)成:IP包過濾模塊和網(wǎng)址匹配模塊。（3）IP包分析模塊IP包分析模塊在攔截服務(wù)器上工作。當(dāng)管理員關(guān)閉網(wǎng)頁攔截服務(wù)時(shí),消息服務(wù)器會發(fā)給攔截服務(wù)器一個(gè)命令,攔截策略控制模塊阻止的瀏覽器轉(zhuǎn)去訪問消息服務(wù)器的提供的網(wǎng)頁。攔截策略控制模塊維護(hù)一個(gè)稱為“白名單”的文件。（1）網(wǎng)絡(luò)監(jiān)聽模塊網(wǎng)絡(luò)監(jiān)聽模塊在服務(wù)器上工作,此時(shí)的網(wǎng)卡已經(jīng)被設(shè)置為了混雜模式，它的主要職責(zé)就是捕獲通過網(wǎng)卡的網(wǎng)址，并提取有用的部分交給下一個(gè)模塊（IP包處理模塊）進(jìn)行分析。 功能需求 Web訪問監(jiān)控系統(tǒng)的主要任務(wù)是捕獲通過網(wǎng)卡的數(shù)據(jù)包，并加以分析，并與之前建立的數(shù)據(jù)庫的網(wǎng)址黑名單進(jìn)行匹配。另一方面，這個(gè)系統(tǒng)很大程度上彌補(bǔ)了防火墻的不足，不會使網(wǎng)絡(luò)速度變慢。本監(jiān)測系統(tǒng)主要功能是禁止員工或?qū)W生的瀏覽一部分非法網(wǎng)站，當(dāng)員工或?qū)W生輸入無關(guān)網(wǎng)址時(shí)，管理員的服務(wù)器就可以搶在其打開網(wǎng)頁前與其進(jìn)行“握手”，從而達(dá)到了組織其正常訪問的目的，提高了工作或?qū)W習(xí)的效率。 最近幾年，中國政府為了維護(hù)公民良好、綠色的網(wǎng)絡(luò)環(huán)境，對于非法網(wǎng)站的打擊力度不斷加大。硬件成本包括：交換機(jī)、服務(wù)器等，軟件成本主要是黑名單與白名單的數(shù)據(jù)庫，維持系統(tǒng)正常運(yùn)轉(zhuǎn)的資金。因此，Web訪問監(jiān)控系統(tǒng)在技術(shù)方面是完全可行的。要實(shí)現(xiàn)這個(gè)功能，有以下幾個(gè)關(guān)鍵問題需要解決：（1） 如何獲得訪問網(wǎng)站的IP？（2） 如何判斷該某個(gè)網(wǎng)址是非法的并予以攔截？解決方案如下：（1）可以通過把網(wǎng)卡設(shè)置為混雜模式，通過捕獲數(shù)據(jù)包來進(jìn)行監(jiān)聽，接著通過TCP/IP協(xié)議，再從數(shù)據(jù)包中提取對工程有用的信息。本文從技術(shù)可行性、經(jīng)濟(jì)可行性、社會可行性等幾個(gè)方面進(jìn)行了闡述。在接下來的幾章會以這幾個(gè)概念作為本文論述的一個(gè)基礎(chǔ)，例如網(wǎng)絡(luò)監(jiān)聽模塊(如何設(shè)置混雜模式)會用到數(shù)據(jù)包捕獲的的函數(shù)。本章闡述了關(guān)于OSI參考模型，TCP/IP模型以及兩者的異同點(diǎn)。調(diào)用成功后，WSAIoctl 函數(shù)返回0，否則的話，將返回INVALID_SOCKET錯(cuò)誤，應(yīng)用程序可通過WSAGetLastError來獲取錯(cuò)誤代碼。（4）設(shè)置接口模式函數(shù)WSAIoctlint WSAAPI WSAIoctl(SOCKET s, DWORD dwIoControlCode, LPVOID lpvInBuffer, DWORD cbInBuffer, LPVOID lpvOutBuffer, DWORD cbOutBuffer, LPDWORD lpcbBytesReturned, LPWSAOVERLAPPED lpOverlapped, LPWSAOVERLAPPED_COMPLETION_ROUTINE lpCompletionRoutine)。 //IP地址char sin_zero[8]。 //地址族，設(shè)置為AF_INETunsigned short sin_port。完成創(chuàng)建套接字之后，接下來就是將套接字和當(dāng)?shù)氐木W(wǎng)絡(luò)接口綁定，括號中s是已經(jīng)創(chuàng)建號的套接字，括號中name指的是用來綁定的通信對象的信息結(jié)構(gòu)體指針，namelen是一共有多少個(gè)字符。括號中type是指套接字的類型，有幾種形式SOCK_STREAM（流式）， SOCK_DGRAM(數(shù)據(jù)報(bào))， SOCK_RAW(原始)。（2）套接字創(chuàng)建函數(shù)socketSOCKET socket (int af , int type , int protocol)。因?yàn)镮P分組頭必須是4字節(jié)的整數(shù)倍，所以當(dāng)使用任選項(xiàng)的IP分組頭長度不足4字節(jié)的整數(shù)倍時(shí)候，必須用0填入填充域來滿足這一要求。該域允許在以后的版本中包括在當(dāng)前的設(shè)計(jì)的分組頭中未出現(xiàn)的信息，該域的使用有一些特殊的規(guī)定。用來指明接收IP分組的目的主機(jī)的IP地址。用來指明發(fā)送IP分組的源主機(jī)的IP地址。其算法為：該域初始值為0，然后對IP分組頭以每16位為單位進(jìn)行求異或和，然后將所得到的結(jié)構(gòu)取反，從而得到校驗(yàn)和。（10）分組頭校驗(yàn)和域：長度為16比特。用來指明調(diào)用IP協(xié)議進(jìn)行傳輸?shù)母邔訁f(xié)議，高層協(xié)議的編號由TCP/IP中央權(quán)威管理機(jī)構(gòu)統(tǒng)一分配。這個(gè)域用來保障IP分組不會在網(wǎng)絡(luò)出現(xiàn)錯(cuò)誤的時(shí)候發(fā)生無限的傳輸這種現(xiàn)象。以8個(gè)字節(jié)為單位，用來指明當(dāng)前報(bào)文片在原始分組中的位置，這是分段和重組的前提條件。在3比特中有1位被保留，另外兩位中：DF用于指明IP分組是否允許分段，MF用于表明是否有后續(xù)分段。標(biāo)識符域是IP分組在傳輸中實(shí)行重組和分段所必備的。由于總長度域?yàn)?6比特，所以IP分組最多可以有65536個(gè)字節(jié)。用于指明IP分組所要求得到的有關(guān)優(yōu)先級、準(zhǔn)確性、處理量、延遲等方面的服務(wù)質(zhì)量要求。因?yàn)镮P分組頭長度不是固定不變的，所以分組頭長域是不可或缺的。(2)分組頭長域:長度為4比特。表示與IP分組對應(yīng)的IP協(xié)議版本號。（2） IP路由；（3） 分組的重組和分段；IP包的格式如下圖所示： IP包格式一個(gè)IP包由兩部分構(gòu)成，分別是首部和數(shù)據(jù)量。IP協(xié)議只是負(fù)責(zé)將分組發(fā)送到目標(biāo)結(jié)點(diǎn)上，它不能確保是按分組的準(zhǔn)確次序發(fā)送的。它提供無連接的數(shù)據(jù)報(bào)傳送機(jī)制。步驟（2）請求行中包含了下列的信息：（1）方法，： HTTP請求報(bào)文（2）統(tǒng)一資源定界符URL：用于指明要下載的Web對象的位置。 （3） Web服務(wù)器接收到請求之后，會發(fā)送一個(gè)狀態(tài)行。非持久連接的工作過程主要由以下幾個(gè)步驟組成：（1） 瀏覽器（客戶端）向Web服務(wù)器發(fā)送TCP連接建立請求。 HTTP工作模式HTTP有兩種連接，持久連接（persistent connection）和非持久連接（no persistent connection）。當(dāng)它收到這些消息的時(shí)候，就發(fā)送包含上述對象的HTTP響應(yīng)消息。這是一種請求和響應(yīng)的模式。TCP/IP的網(wǎng)際層只有無線連接通信一種模式，但在傳輸層同時(shí)支持無線連接和面向連接的兩種通信模式。TCP/IP是協(xié)議先出現(xiàn)，而OSI正好相反，在參考模型之后才出現(xiàn)的，因此OSI模型不會偏向于任何一個(gè)特定的協(xié)議，適用的范圍更加大。兩個(gè)模型各個(gè)層次中的功能也大致相同：網(wǎng)絡(luò)接口層（TCP/IP）對應(yīng)OSI的物理層和數(shù)據(jù)鏈路層（OSI），網(wǎng)際層（TCP/IP）對應(yīng)網(wǎng)絡(luò)層和傳輸層（OSI），傳輸層（TCP/IP）對應(yīng)對應(yīng)傳輸層（OSI），應(yīng)用層（TCP/IP）對應(yīng)會話層表示層和應(yīng)用層（OSI）。UDP提供無連接不可靠的源端口到目的端口的傳輸服務(wù)，由于不需要提前建立連接，因此傳輸?shù)男矢撸唬?）應(yīng)用層，提供面向用戶的網(wǎng)絡(luò)服務(wù)。（1）網(wǎng)絡(luò)接口層，任務(wù)是從物理網(wǎng)絡(luò)接收數(shù)據(jù)幀，提取IP數(shù)據(jù)報(bào)給網(wǎng)際層或?qū)⒕W(wǎng)際層的IP數(shù)據(jù)報(bào)通過物理網(wǎng)絡(luò)發(fā)送，因?yàn)闆]有具體的網(wǎng)絡(luò)接口層的協(xié)議，從而保證了其靈活性，從而可以在不同物理網(wǎng)絡(luò)適用，如LAN、MAN， 嚴(yán)格上它并不是一個(gè)獨(dú)立的層次，僅僅是一個(gè)接口，TCP/IP并沒有對它定義具體的內(nèi)容；（2）網(wǎng)際層，提供一種無連接、不可靠卻又竭盡所能的數(shù)據(jù)報(bào)傳輸服務(wù)，把數(shù)據(jù)在源主機(jī)和目的端主機(jī)之間傳送。 OSI與TCP/IP對照TCP/IP在設(shè)計(jì)時(shí)重點(diǎn)并沒有放在具體通信的實(shí)現(xiàn)上，所以對最后兩層沒有做出具體規(guī)定，同時(shí)表明它允許不同類型的通信網(wǎng)絡(luò)參與通信。1983年1月1日，在因特網(wǎng)的前身（ARPA網(wǎng)）中，TCP/IP協(xié)議取代了舊的網(wǎng)絡(luò)控制協(xié)議（NCP，Network Control Protocol），從而成為今天的網(wǎng)絡(luò)的基石。： OSI參考模型 TCP/IP體系結(jié)構(gòu)TCP/IP模型也被稱作DoD模型(Department of Defense Model)。會話層提供的會話服務(wù)種類包括雙工(雙向同時(shí))、半雙工（雙向交替）和單工（單向）；（6）表示層，規(guī)定應(yīng)用程序或者用戶之間交換數(shù)據(jù)的格式，提供數(shù)據(jù)之間的轉(zhuǎn)換服務(wù)，確保傳輸?shù)臄?shù)據(jù)在到達(dá)目的端后不發(fā)生改變。從源端到目的端的途徑可以建立在靜態(tài)表的設(shè)計(jì)之上，這些途徑可以在每一次會話的開始就確定下來，也可以是高度動態(tài)的；；（4）傳輸層，它的基本功能是接受來自于上一層的數(shù)據(jù)，并且在必要的時(shí)候把這些數(shù)據(jù)單元切割成更小的單元，緊接著把這些數(shù)據(jù)單元準(zhǔn)確無誤的發(fā)送到網(wǎng)絡(luò)層。不難發(fā)現(xiàn)，OSI一共有七層，每一層都實(shí)現(xiàn)不同的功能：（1）物理層，其主要任務(wù)是在通信信道傳輸0或1二進(jìn)制數(shù)據(jù)流這樣的比特流，數(shù)據(jù)的基本單位是比特。 第一章主要介紹了論文的研究背景，國內(nèi)外的發(fā)展現(xiàn)狀；第二章主要介紹了相關(guān)研究理論，主要是OSI模型各個(gè)層的功能，TCP/IP體系以及兩者的比較，HTTP協(xié)議和IP協(xié)議的基本知識以及數(shù)據(jù)包捕獲的一些理論知識；第三章主要是需求分析，介紹了設(shè)計(jì)系統(tǒng)時(shí)候的需求，有軟件需求以及硬件需求；第四章主要是設(shè)計(jì)模塊，各個(gè)模塊的需求進(jìn)行完善而詳盡的設(shè)計(jì)；第五章是對所設(shè)計(jì)的系統(tǒng)進(jìn)行了測試，包括功能測試以及性能測試，對測試的內(nèi)容進(jìn)行了詳細(xì)的分析；第六章對本文進(jìn)行了總體闡述以及對論文中由于技術(shù)或非技術(shù)原因而沒有實(shí)現(xiàn)的部分進(jìn)行展望；附錄是附錄的參考英文文獻(xiàn)以及翻譯。本文的主要任務(wù)是維護(hù)一個(gè)良好、綠色的網(wǎng)絡(luò)學(xué)習(xí)辦公環(huán)境，面對日益猖獗的網(wǎng)絡(luò)攻擊以及非法網(wǎng)站的入侵，采取Web訪問監(jiān)控系統(tǒng)予以攔截。本文所做的彌補(bǔ)了前兩種方法的缺陷，通過監(jiān)聽網(wǎng)絡(luò)上的數(shù)據(jù)，從而分析出哪些網(wǎng)址是不允許被訪問的，攔截這個(gè)網(wǎng)頁。本次微軟向用戶提供免費(fèi)的殺毒軟件，是因?yàn)槲④泴?shí)行市場擴(kuò)張和正版推動策略。2009年6月，微軟開始正式舉行了Microsoft Security Essentials(簡稱MSE)新版殺毒軟件的測試。他創(chuàng)建的doctor soloman，這個(gè)公司曾經(jīng)是歐洲最領(lǐng)先的殺毒軟件公司，接著就被mcafee收購，成為安全托拉斯nai的一部分。avp的反病毒引擎和病毒庫，在業(yè)界有很好的殺毒口碑。2000年11月，avp更名為kaspersky antivirus。arginine vasopessin反病毒編程程序。從1989年，eugene kaspersky進(jìn)行有關(guān)計(jì)算機(jī)病毒現(xiàn)象的研究。在防止非法網(wǎng)絡(luò)入侵的領(lǐng)域，有兩個(gè)人將永載史冊。一種方法是防火墻，他部署在受保護(hù)網(wǎng)絡(luò)的邊界，通過一些管理者設(shè)置的原則檢查通過網(wǎng)絡(luò)的流量，來決定是否允許還是拒絕訪問這個(gè)網(wǎng)頁。 20世紀(jì)90年代，江民殺毒軟件遙遙領(lǐng)先于其他殺毒軟件。阻止非健康網(wǎng)頁一般有兩種方法：一是殺毒軟件，另