【正文】 etrsEOF) { var = m_pRecordsetGetCollect(編號(hào) )。 else { AfxMessageBox(表內(nèi)數(shù)據(jù)為空 .)。 return。 try { m_pRecordsetOpen(SELECT * FROM TCP, 第 18 頁 共 25 頁 (), // 獲取庫接庫的 IDispatch 指針 adOpenDynamic, adLockOptimistic, adCmdText)。 (11,amp。pColumn)。pColumn)。 = TCP 首部長度 。 if((TCP 表單 )==0) { (10,amp。 } } 2．查看寫入到數(shù)據(jù)庫中的數(shù)據(jù)包： (__uuidof(Recordset))。 } catch(__error *e) { AfxMessageBox(eErrorMessage())。 m_pRecordsetPutCollect(目的端口 , _variant_t(Dport))。 m_pRecordsetPutCollect(目的 IP 地址 , _variant_t(DIP))。 m_pRecordsetPutCollect(協(xié)議類型 , _variant_t(proto))。 m_pRecordsetPutCollect(IP 數(shù)據(jù)包長度 , _variant_t(IPDateLength))。 m_pRecordsetPutCollect(時(shí)間 , _variant_t(timestr))。 m_pRecordsetOpen(SELECT * FROM 目標(biāo)IP,(),adOpenDynamic,adLockOptimistic,adCmdText)。 } return TRUE。///連接數(shù)據(jù)庫 } catch(__error e)///捕捉異常 { AfxMessageBox(數(shù)據(jù)庫連接失敗，確認(rèn)數(shù)據(jù)庫 是否在當(dāng)前路徑下 !)。連接數(shù)據(jù)庫代碼如下： try { m_pConnectionOpen(Provider=。 第 16 頁 共 25 頁 } 數(shù)據(jù)庫模塊的實(shí)現(xiàn) 1．把捕獲到的數(shù)據(jù)包寫入數(shù)據(jù)庫中的操作： 相關(guān)數(shù)據(jù)信息捕獲分析完畢后，接下來就是對數(shù)據(jù)的保存。 //源端口 sprintf(Dport,%d,u_dport)。 //TCP 首部長度 sprintf(date,%X,udphcontent)。 //源端口 // sprintf(Dport,%d,udphdport)。 //源端口 u_dport = ntohs(udphdport)。 udph=(udp*)((u_char*)ih + iplen)。 //TCP 首部長度 sprintf(date,%X,tcphcontent)。 //目的端口 chang = (tcphother ^ 0x0fff) / 1024。 //目的端口 // sprintf(Sport,%d,tcphsport)。 u_sport = ntohs(tcphsport)。 if(ihproto == 6 ) //這里是 TCP 數(shù)據(jù)包 { strcpy(proto,TCP)。 sprintf(DIP,%d.%d.%d.%d,ih,ih,ih3,ih)。//IP 數(shù)據(jù)包長度 sprintf(TTL,%d,ihttl)。 第 15 頁 共 25 頁 itoa(iplen,IPLength,10)。//ip 頭 int iplen=(ihver_ihl amp。 strftime(timestr,sizeof(timestr),%H:%M:%S,ltime)。 ltime=localtime(amp。 int chang。 udp* udph。具體代碼下： //數(shù)據(jù)包分析和保存 ipheader * ih。從網(wǎng)絡(luò)適配器中捕 獲數(shù)據(jù)的為原始數(shù)據(jù)（ raw data），這些原始數(shù)據(jù)為二進(jìn)制格式，必須轉(zhuǎn)化為能比較好明白的格式，這就要求將這些原始數(shù)據(jù)能按照網(wǎng)絡(luò)數(shù)據(jù)傳輸?shù)木唧w格式來保存，主要為了能較好的讀懂相關(guān)的信息，以便使用者分析。通過相關(guān)的轉(zhuǎn)換函數(shù)得到相關(guān)的信息，具體的函數(shù)原型如下：（相關(guān)格式見第二章） void SaveDate(struct pcap_pkthdr * header , const u_char * pkt_data)。 } return 1。pkt_data))=0) { if(res==0)//超時(shí) continue。 第 13 頁 共 25 頁 while((res=pcap_next_ex(m_dlgadhandle,amp。 //指向常量的指針 int res。 struct pcap_pkthdr *header。 if(m_handle==NULL) { return 。代碼如下 //這里創(chuàng)建一個(gè)線程來處理數(shù)據(jù) LPDWORD ThID=NULL。 當(dāng)網(wǎng)卡已打“打開”并且具體配置好后，就可以進(jìn)入捕獲了。參數(shù) 5為錯(cuò)誤信息緩 存。參數(shù) 3指示是否將網(wǎng)絡(luò)適配器設(shè)為混雜模式， PCAP_OPENFLAG_PROMISCUOUS表示工作方式為混雜模式。 return。 if( pcap_findalldevs_ex(PCAP_SRC_IF_STRING,NULL,amp。 利用 WinPcap結(jié)構(gòu)提供的 。其中數(shù)據(jù)包捕獲模塊的功能是：利用 Winpcap 控件，通過網(wǎng)卡設(shè)備從網(wǎng)絡(luò)中捕獲數(shù)據(jù)包 ； 數(shù)據(jù)分析模塊的功能是： 主要實(shí)現(xiàn)數(shù)據(jù)的解析 ， 從網(wǎng)絡(luò)適配器中捕獲 到的數(shù)據(jù) 的為原始數(shù)據(jù)（ raw data），這些原始數(shù)據(jù)為二進(jìn)制格式，必須轉(zhuǎn)化為能比較好明白的格式，這就要求將這些原始數(shù)據(jù)能按照網(wǎng)絡(luò)數(shù)據(jù)傳輸?shù)木唧w格式來保存，主要為了能較好的讀懂相關(guān)的信息，以便使用者分析 ； 數(shù)據(jù)庫模塊的功能是：經(jīng)過前兩個(gè)模塊處理后的數(shù)據(jù)，現(xiàn)在已經(jīng)轉(zhuǎn)化成了對我們有用的信息了，而這些信息不可能一直讓他存放在內(nèi)存中，那么就需要在數(shù)據(jù)庫中建立相應(yīng)的表，把這些信息存貯在這些數(shù)據(jù)庫表的相應(yīng)列名中，以便使用者處 理、使用。并且，將這些 捕獲 出來的數(shù)據(jù) 包的基本 信息存入到數(shù)據(jù)庫中， 提供給網(wǎng)絡(luò)管理員使用和進(jìn)一步的分析。 試想一下，假如，當(dāng)用戶使用這款軟件時(shí)，軟件占用了太多的系統(tǒng)資源而導(dǎo)致用戶對電腦的其他操作都很難進(jìn)行，那么，誰還會(huì)用這款軟件呢？所以，該軟件還應(yīng)該具備一種特點(diǎn)就是：低的系統(tǒng)資源占用率。如果不能保證較強(qiáng)的穩(wěn)定性的話，那么軟件對信息過濾的效率和功能有很大的局限性，對數(shù)據(jù)信息過濾就是失敗的。 在保證高速 的抓包和低的丟包率的同時(shí)，要還要求程序能有較強(qiáng)的穩(wěn)定性。 網(wǎng)絡(luò)上數(shù)據(jù)包的捕獲是入侵檢測系統(tǒng)的基礎(chǔ)，關(guān)鍵是要保證高速的抓包和低的丟包率。從而達(dá)到信息過濾的要求。所以本軟件需要設(shè)計(jì)出按 TCP協(xié)議類型和按 UDP協(xié)議類型來過濾網(wǎng)絡(luò)中的數(shù)據(jù)。所有的 TCP、 UDP、 ICMP及 IGMP數(shù)據(jù)都以 IP數(shù)據(jù)報(bào)格式傳輸。 在網(wǎng)絡(luò)入侵取證系統(tǒng) 中，對網(wǎng)絡(luò)上傳送的數(shù)據(jù)包進(jìn)行有效的監(jiān)聽即捕獲包是目前取證的關(guān)鍵技術(shù)，只有進(jìn)行高效的數(shù)據(jù)包捕獲，網(wǎng)絡(luò)管理員才能對所捕獲的數(shù)據(jù)進(jìn)行一系列的分析，從而進(jìn)行可靠的網(wǎng)絡(luò)安全管理 。 因此，現(xiàn)在 在 Inter 安全 隱患中扮演重要角色之一的 網(wǎng)絡(luò)數(shù)據(jù) 抓包 軟件 受到越來越大的關(guān)注 。而有的人，就利用這些隱患，通過網(wǎng)絡(luò)來發(fā)送一些包含色情，反動(dòng)等不良內(nèi)容的信息， 達(dá)到擾亂正常社會(huì)秩序的目的 。 UDP首部的各字段圖 9所示： IP 首部 TCP 首部 TCP 數(shù)據(jù) IP 數(shù)據(jù)報(bào) TCP 報(bào)文段 20 字節(jié) 20 字節(jié) 第 9 頁 共 25 頁 圖 9 UDP首部 3 需求分析 功能需求 隨著 個(gè)人計(jì)算機(jī)和互聯(lián)網(wǎng)的普及，越來越多的人開始使用網(wǎng)絡(luò)這個(gè)媒介來發(fā)送，接收信息， 計(jì)算機(jī)網(wǎng)絡(luò)給人們 生產(chǎn)和生活 帶來了巨大的便利 。只有校驗(yàn)和有些不同，除 UDP數(shù)據(jù)報(bào)本身外，它還覆蓋一個(gè)附加的 “ 偽頭標(biāo)”。 UDP協(xié)議從問世至今已經(jīng)被使用了很多年，雖然其最 初的光彩已經(jīng)被一些類似協(xié)議所掩蓋，但是即使是在今天， UDP仍然不失為一項(xiàng)非常實(shí)用和可行的網(wǎng)絡(luò)傳輸層協(xié)議。 UDP協(xié)議是英文 User Datagram Protocol的縮寫，即用戶數(shù)據(jù)報(bào)協(xié)議，主要用來支持那些需要在計(jì)算機(jī)之間傳輸數(shù)據(jù)的網(wǎng)絡(luò)應(yīng)用。 窗口 ： 用于通告接收端接收緩沖區(qū)的大小 。 頭標(biāo)長度 ： 以 32bit為單位的段頭 標(biāo)長度，是針對變長的 “ 選項(xiàng)”域設(shè)計(jì)的 。 序號(hào) ： 指出段中數(shù)據(jù)在發(fā)送端數(shù)據(jù)流中的位置 。 TCP首部的各字段如圖 8所示： 第 8 頁 共 25 頁 圖 8 TCP數(shù)據(jù)在 IP數(shù)據(jù)報(bào)中的封裝 TCP協(xié)議頭部信息如下： 源端口 ： 發(fā)送端 TCP端口號(hào)。 選項(xiàng) ： 用于控制 和測試，是 IP數(shù)據(jù)報(bào)中可選的部分，包含 “ 源路徑”、“路徑記錄 ”、“ 時(shí)間 戳 ” 等幾種類型。 頭標(biāo)校驗(yàn)和 ： 用于保證頭標(biāo)數(shù)據(jù)的完整性 。 生存時(shí)間 ： 設(shè)置本數(shù)據(jù)報(bào)的最大生存時(shí)間，以秒為單位 。 標(biāo)識(shí) ： 信源主機(jī)賦予每個(gè) IP數(shù)據(jù)報(bào)的唯一標(biāo)識(shí)符號(hào)，用于控制分片及其重組 。 服務(wù)類型 ： 規(guī)定對本數(shù)據(jù)報(bào)的處理方式，比如優(yōu)先權(quán)等 。 IP數(shù)據(jù)報(bào)的首部信息如圖 7： 圖 7 IP數(shù)據(jù)報(bào)格式及首部中的各字段 IP各域的含義如下 ： 版本 ： 當(dāng)前 IP協(xié)議的版本號(hào)，本論文采用的版本號(hào)為 4。所有的 TCP、 UDP、 ICMP及 IGMP數(shù)據(jù)都以 IP數(shù)據(jù)報(bào)格式傳輸。這個(gè)過程稱作分用（ Demultiplexing），圖 6顯示了該過程是如何發(fā)生的。 第 6 頁 共 25 頁 圖 5數(shù)據(jù)進(jìn)入?yún)f(xié)議棧時(shí)的封裝過程 當(dāng)目的主機(jī)收到一個(gè)以太網(wǎng)數(shù)據(jù)幀時(shí)，數(shù)據(jù)就開始從協(xié)議棧中由底向上升，同時(shí)去掉各層協(xié)議加上的報(bào)文 首部。通過以太網(wǎng)傳輸?shù)谋忍亓鞣Q作幀(Frame)。 TCP傳給 IP的數(shù)據(jù)單元稱作 TCP報(bào)文段或簡稱為 TCP段（ TCP segment）。 然后逐個(gè)通過每一層直到被當(dāng)作一串比特流送入網(wǎng)絡(luò)。網(wǎng)絡(luò)接口層的 ARP、 RARP是以太網(wǎng)和令牌環(huán)使用的特殊協(xié)議，用來轉(zhuǎn)換 IP層和網(wǎng)絡(luò)接口層使用的地址。傳輸層中的 TCP、 UDP為應(yīng)用層提供可靠的或不可靠網(wǎng)絡(luò)傳輸?shù)木W(wǎng)絡(luò)傳輸服務(wù)。圖 4 為 TCP/IP 網(wǎng)絡(luò)體系結(jié)構(gòu)與上述各協(xié)議之間的關(guān)系模型。雖然 TCP使用不可靠的 IP服務(wù)，但它卻提供一種可靠的運(yùn)輸層服務(wù)。 在 TCP/IP 協(xié)議族中，有很多協(xié)議。應(yīng)用層關(guān)心的是應(yīng)用程序的細(xì)節(jié)，它不關(guān)心數(shù)據(jù)在網(wǎng)絡(luò)中的傳輸。對于 TCP/IP協(xié)議族，它提供Tel(遠(yuǎn)程登錄協(xié)議 )、 FTP（文件傳輸協(xié)議）、 SMTP（簡單郵件傳送協(xié)議）、POP3（ 郵件接受協(xié)議）、 SNMP（簡單網(wǎng)絡(luò)管理協(xié)議）。任何必需的可靠性必須由應(yīng)用層來提供。 UDP則為應(yīng)用層提供一種非常簡單的服務(wù)。 TCP為兩臺(tái)主機(jī)提供高可靠性的數(shù)據(jù)通信。 傳輸層：它主要為兩臺(tái)主機(jī)上的應(yīng)用程序提供端到端的通信。 網(wǎng)絡(luò)層：有時(shí)也稱作互聯(lián)網(wǎng)層，處理分組在網(wǎng)絡(luò)中的活動(dòng)，例如分組的選路。 應(yīng)用層 Tel、 Ftp、 Email 等 傳輸層 TCP、 UDP 網(wǎng)絡(luò)層 IP、 ICMP、 IGMP 網(wǎng)絡(luò)接口層 設(shè)備驅(qū)動(dòng)程序及接口卡 圖 3 TCP/TP協(xié)議族的四個(gè)層次 鏈路層：有時(shí)也稱作數(shù)據(jù)層或網(wǎng)絡(luò)接口層，通常包括操作系統(tǒng)中的設(shè)備驅(qū)動(dòng)程序和計(jì)算機(jī)中對應(yīng)的網(wǎng)絡(luò)接口卡?，F(xiàn)已成為全球互聯(lián)網(wǎng)中的基礎(chǔ)。 提供可靠數(shù)據(jù)傳輸?shù)膮f(xié)議稱為傳輸控制協(xié)議 TCP，提供網(wǎng)絡(luò)尋址的協(xié)議稱為網(wǎng)際協(xié)議 IP， 它只是 TCP/IP協(xié)議族的其中的兩種協(xié)議。 Winpcap 結(jié)構(gòu)圖如下： 圖 2 NPF device driver Application NPF Device Driver User Level Kernel Level Network Packets 第 4 頁 共 25 頁 2 基于 信息 捕獲 的相關(guān)理論基礎(chǔ) TCP/IP 協(xié)議 TCP/IP（ Transfer Contrcol/Inter Protocol）傳輸控制協(xié)議 /網(wǎng)際協(xié)議起源于 60年代末美國政府資助的一個(gè)分組交換網(wǎng)絡(luò)研究項(xiàng)目，到 90年代已發(fā)展成為計(jì)算機(jī)之間最常應(yīng)用的組網(wǎng)形式 。 Wincap 的使用非常方便，但是它 有一個(gè)致命的缺陷就是只適用于共享式以太網(wǎng)絡(luò)，對于交換式網(wǎng)絡(luò)下的數(shù)據(jù)則無能為力 。 提供了更加友好、功能更加強(qiáng)大的函數(shù)調(diào)用。另一套高層函數(shù)由 提供，便于用戶調(diào)用，功能更強(qiáng)大。它包括了一些比如過濾器生成、用戶級緩沖等其它的高層函數(shù)，增加了比如統(tǒng)計(jì)和包發(fā)送等更高級的特性。 它可執(zhí)行一些低層操作 :如：獲得 網(wǎng)卡名字 ，動(dòng)態(tài)裝載驅(qū)動(dòng)，得到比如機(jī)器的網(wǎng)絡(luò)掩碼、硬件沖突等一些系統(tǒng)特定的信息。提供了一套系統(tǒng)獨(dú)立的 AP