【正文】 isual C++。 //16 位 IP 首部校驗(yàn)和 unsigned int sourceIP。 //8 位生存時(shí)間 unsigned char proto。 // 16 位標(biāo)識(shí)符 unsigned short flags。 // 8 位 服務(wù)類型 unsigned short total_len。 //4 位首部長(zhǎng)度 unsigned char version:4。 在網(wǎng)絡(luò)層，還要給 TCP 數(shù)據(jù)包添加一個(gè) IP 數(shù)據(jù)段頭以組成 IP 數(shù)據(jù)報(bào)。 //16 位校驗(yàn)和 WORD UrgPtr。 //6 位標(biāo)志位 WORD WndSize。 //32 位確認(rèn)號(hào) BYTE HLen。 //目的端口 DWORD SeqNo。 而 TCP 數(shù)據(jù)頭則比較復(fù)雜，以 20 個(gè)固定字節(jié)開始，在固定頭后面還可以有一些長(zhǎng)度不固定的可選項(xiàng)， 圖 44給出 TCP 數(shù)據(jù)段頭的格式組成： 16 位 16 位 源端口 目的端口 順序號(hào) 確認(rèn)號(hào) TCP頭長(zhǎng) （保留）7 位 URG ACK PSH RST SYN FIN 窗口大小 校 驗(yàn)和 緊急指針 可選項(xiàng)（ 0 或更多的 32 位字） 數(shù)據(jù)（可選項(xiàng)） 圖 44 TCP數(shù)據(jù)段頭格式 對(duì)于此 TCP 數(shù)據(jù)段頭的分析在編程實(shí)現(xiàn)中可通過數(shù)據(jù)結(jié)構(gòu) TCPPacketHead來定義： struct TCPPacketHead { WORD SourPort。 //16 位長(zhǎng)度 WORD ChkSum。 //16 位源端口 WORD DestPort。下面先給出結(jié)構(gòu) ，數(shù)據(jù)包的總體結(jié)構(gòu) 如圖 42 所示 ： 數(shù)據(jù)包 IP 頭 TCP 頭（或其他 信息頭） 數(shù)據(jù) 圖 42 數(shù)據(jù)包總體結(jié)構(gòu) 數(shù)據(jù)在從應(yīng)用層到達(dá)傳輸層時(shí)，將添加 TCP 數(shù)據(jù)段頭，或是 UDP 數(shù)據(jù)段頭。通過對(duì)這些在低層傳輸?shù)脑夹畔⒌姆治隹梢缘玫接嘘P(guān)網(wǎng)絡(luò)的一些信息。至此，實(shí)際就可以開始 對(duì)網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行嗅探了，對(duì)數(shù)據(jù)包的獲取仍象流式套接字或數(shù)據(jù)報(bào)套接字那樣通過recv()函數(shù)來完成。在創(chuàng)建了原始套接字后，需要通過 setsockopt()函數(shù)來設(shè)置 IP頭操作選項(xiàng)，然后再通過 bind()函數(shù)將原始套接字綁定到本地網(wǎng)卡。 而本設(shè)計(jì)的要求通過 網(wǎng)絡(luò)嗅探器從網(wǎng)卡接收所有經(jīng)過它的數(shù)據(jù)包， 因此，在該系統(tǒng)中將網(wǎng)卡以混雜模式替代 通常的正常模式 。 嗅探器的具體實(shí)現(xiàn)原理 嗅探器作為一種網(wǎng)絡(luò)通訊程序，是通過對(duì)網(wǎng)卡的編程來實(shí)現(xiàn)網(wǎng)絡(luò)通訊的，對(duì)網(wǎng)卡的編程是使用通常的套接字（ socket）方式來進(jìn)行。最終，所有的數(shù)據(jù)變成可以識(shí)別的文字、符號(hào)出現(xiàn)在機(jī)器的視頻輸出上。Value)來實(shí)現(xiàn)混雜模式接收數(shù)據(jù)包。 當(dāng)數(shù)據(jù)經(jīng)過數(shù)據(jù)鏈路層后，就要通過操作系統(tǒng)協(xié)議棧的審核了，系統(tǒng)協(xié)議棧在 TCP/IP 網(wǎng)絡(luò)模型跨越的層次非常多，它們直接從位于系統(tǒng)的數(shù)據(jù)鏈路層提取數(shù)據(jù)，通過在這一層的開發(fā)環(huán)境中設(shè)置混雜模式，就可以成功的接收從驅(qū)動(dòng)層來的各種數(shù)據(jù)包。此外如果在 一個(gè)子網(wǎng)內(nèi)部進(jìn)行嗅探，而子網(wǎng)頂部存在著諸如交換機(jī)這類設(shè)備，由于它能夠阻止廣播，所以就不能夠?qū)ψ泳W(wǎng)內(nèi)其他的機(jī)器進(jìn)行監(jiān)聽，若想要對(duì)此子網(wǎng)進(jìn)行監(jiān)聽，就必須處于與此交換機(jī)同級(jí)的包交換網(wǎng)絡(luò)中。一般來說，以太網(wǎng)被監(jiān)聽的可能性比較高，因?yàn)橐蕴W(wǎng)是一個(gè)廣播型的網(wǎng)絡(luò)，在一個(gè)標(biāo)準(zhǔn)的以太網(wǎng)子網(wǎng)上，多臺(tái)計(jì)算機(jī)通過一條線路互聯(lián)，且任何時(shí)刻，電纜上只有一個(gè)數(shù)據(jù)包存在，為了保證多臺(tái)計(jì)算機(jī)能 共 享 同 一 線 路 ， 以 太 網(wǎng) 使 用 了 CSMA/CD（ Carrier Sense MultipleAccess/Collision Detection)載波偵聽多路訪問 /沖突檢測(cè) ,這樣一來，共享線路上的所有以太網(wǎng)卡及相關(guān)設(shè) 備總是處于對(duì)線路上的信號(hào)進(jìn)行監(jiān)聽的狀態(tài)中 ,這使得每一臺(tái)機(jī)器都能夠探知并接受線路上的數(shù)據(jù)流。 入侵檢測(cè)的 實(shí)現(xiàn) 與嗅探器的關(guān)系 數(shù)據(jù)包嗅探技術(shù)是實(shí)現(xiàn)入侵檢測(cè)的基礎(chǔ)，將數(shù)據(jù)包從共享網(wǎng)絡(luò)線路中捕獲，并將其提取到應(yīng)用程序中，這個(gè)過程要依賴于網(wǎng)絡(luò)物理層到應(yīng)用層以及操作 系 統(tǒng)本身各方面進(jìn)行協(xié)調(diào)、設(shè)置，下面通過實(shí)例來看一下以太網(wǎng)絡(luò)中數(shù)據(jù)包的流程： 1. 物理層，在一個(gè)以太局域網(wǎng)，數(shù)據(jù)在共享的網(wǎng)絡(luò)介質(zhì)（網(wǎng)線、 HUB）中以廣播的形式到達(dá)局域網(wǎng)每一個(gè)節(jié)點(diǎn)； 2. 數(shù)據(jù)鏈路層，節(jié)點(diǎn)的網(wǎng)絡(luò)適配器（網(wǎng)卡 NIC）查看到來的數(shù)據(jù)幀（ Frame），通過一系列的檢驗(yàn)，將到來的大量的數(shù)據(jù)幀中屬于自己且正 確合法的數(shù)據(jù)幀重構(gòu)成數(shù)據(jù)包（ Packet）送入操作系統(tǒng)的協(xié)議棧； 3. 網(wǎng)絡(luò)層至運(yùn)輸層，操作系統(tǒng)的協(xié)議棧通過這兩層中的 IP、 TCP、 UDP 等協(xié)議判斷到來的數(shù)據(jù)包是否屬于本操作系統(tǒng)的接收范圍（根據(jù) IP 地址），是否屬于本操作系統(tǒng)上的應(yīng)用程序的接收范圍（根據(jù) Port 端口號(hào)），如果所屬范圍正確并且數(shù)據(jù)包合法，操作系統(tǒng)通過端口將數(shù)據(jù)包重構(gòu)成報(bào)文（ Segment）送入應(yīng)用程序 。 在這里以誤用檢測(cè)方法對(duì)入侵檢測(cè)的實(shí)現(xiàn)做更詳細(xì)的介紹。 上述三種方法均建立在數(shù)據(jù)包捕獲的基礎(chǔ)上 。 ：通過歷史數(shù)據(jù)定義用戶正?；顒?dòng)的模型，當(dāng)檢測(cè)到與所建立的正常模型有差異的行為發(fā)生時(shí)，認(rèn)為可能有入侵行為的發(fā)生。 在檢測(cè)的技術(shù)上，主要分為三類：靜態(tài)分析、異常檢測(cè)、誤用檢測(cè)。 CIDF 提出了一個(gè)通用模型， 將入侵檢測(cè)系統(tǒng)分成了四大模塊：事件產(chǎn)生器（ Event Generators），事件分析器（ Event Analyzers），響應(yīng)單元（ Response Units）和事件數(shù)據(jù)庫(kù)（ Event Database）。 為了提高入侵檢測(cè)系統(tǒng)（ IDS）產(chǎn)品、組件及與其他安全產(chǎn)品之間的互操作 性，美國(guó)國(guó)防高級(jí)研究計(jì)劃署（ DARPA）和互聯(lián)網(wǎng)工程任務(wù)組（ IETF）的入侵檢測(cè)工作組（ IDWG）發(fā)起制定了一系列建議草案，從體系結(jié)構(gòu)、 API、通信機(jī)制、語言格式等 方 面規(guī)范 IDS的標(biāo)準(zhǔn) 。 3 入侵檢測(cè)系統(tǒng)與嗅探器 入侵檢測(cè)概念 建立入侵檢測(cè)系統(tǒng)是網(wǎng)絡(luò)安全的一個(gè)重要工作，通過學(xué)習(xí)，對(duì) 入侵檢測(cè)系統(tǒng)有了一定的了解，下面對(duì)入侵檢測(cè)技術(shù)做一個(gè)總體介紹。新的網(wǎng)絡(luò)安全技術(shù)的研究方向正集中于網(wǎng)絡(luò)嗅探技術(shù)上，這種方式隱蔽，不會(huì)對(duì)正常的網(wǎng)絡(luò)傳輸造成任何影響，同時(shí)數(shù)據(jù)收集也十分豐富。 使用嗅探器進(jìn)行網(wǎng)絡(luò)管理主要體現(xiàn)在兩個(gè)方面： 通過網(wǎng)絡(luò)嗅探技術(shù)收集到網(wǎng)絡(luò)中傳送的數(shù)據(jù)后對(duì)這些數(shù)據(jù)進(jìn)行分析可以幫助 解決在各種網(wǎng)絡(luò)上的性能問題并排除網(wǎng)絡(luò)故障，進(jìn)一步可以產(chǎn)生報(bào)表等數(shù)據(jù)分析結(jié)果以更好的支持網(wǎng)絡(luò)的運(yùn)行。入侵者甚至可以利用該主機(jī)為基礎(chǔ)入侵整個(gè)網(wǎng)絡(luò)并留下后門，掩蓋痕跡，完成一次入侵。入侵者會(huì)利用公開的協(xié)議和工具，收集目標(biāo)網(wǎng)絡(luò)中各個(gè)主機(jī)系統(tǒng)的相關(guān)信息，入侵者會(huì)探測(cè)目標(biāo)網(wǎng)絡(luò)上的各個(gè)主機(jī)，以尋找該系統(tǒng)的安全漏洞及安全弱點(diǎn)。 對(duì)底層的協(xié)議信息記錄，如兩臺(tái)主機(jī)之間的網(wǎng)絡(luò)接口地址，遠(yuǎn)程網(wǎng)絡(luò)接口 IP地址， IP路由信息和 TCP連接的字節(jié)順序號(hào)碼等，這 些信息由非法入侵者掌握后將對(duì)網(wǎng)絡(luò)的安全構(gòu)成極大的危害?？梢?，嗅探器實(shí)際是一把雙刃劍。通過使用網(wǎng)絡(luò)嗅探器可以實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)包的捕獲與分析。 當(dāng)客戶機(jī)和服務(wù)器的連接建立起來后，用函數(shù) send()和 recv()來進(jìn)行數(shù)據(jù)傳輸。如果 backlog的只為 3，有 4個(gè)客戶機(jī)同時(shí)發(fā)出連接請(qǐng)求，則前 3個(gè)會(huì)放在等待連接隊(duì)列中，最后一個(gè)將被忽略。 各參數(shù)意義如下： s:進(jìn)行監(jiān)聽的套接字。只有進(jìn)入了監(jiān)聽模式，才能接受來自客戶機(jī)的連接。網(wǎng)絡(luò)協(xié)議地址又包括主機(jī)地址和端口號(hào)。 bind()將本地 socket地址 (包括本地主機(jī)地址和本地端口 )與所創(chuàng)建的socket號(hào)聯(lián)系起來，即將本地 socket地址賦予 socket，以指定本地半相關(guān)。 af(Address Family)俗稱套接字地址族，如表 。 函數(shù) socket()可以創(chuàng)建一個(gè) socket對(duì)象， socket()函數(shù)的原型如下： SOCKET socket(int af, int type, int protocol)。服務(wù)器擁有全局公認(rèn)的 socket(在 LINUX中， /etc/services用于存儲(chǔ)全局公認(rèn)的 socket號(hào) )，任何客戶都可以向它發(fā)出連接請(qǐng)求和信息請(qǐng)求。 最重要的是， socket是面向客戶 —— 服務(wù)器模型而設(shè)計(jì)出來的，針對(duì)客戶和服務(wù)器程序提供不同的 socket系統(tǒng)調(diào)用。正如打電話之前，雙方必須擁有各自的電話機(jī)一樣。 socket實(shí)質(zhì)上是提供了進(jìn)程通信的端點(diǎn)。 如圖 22所示 ： 圖 22 包捕獲驅(qū)動(dòng)在 NDIS中所處位置 套接字包捕獲機(jī)制 上世紀(jì) 80 年代初 ，加利福尼亞大學(xué) Berkeley 分校在 UNIX 操作系統(tǒng)下實(shí)現(xiàn)了 TCP/IP 協(xié)議，它們?yōu)?TCP/IP 網(wǎng)絡(luò)通信開 發(fā)了一個(gè)應(yīng)用程序接口（ API），這個(gè) API 稱為 socket（套接字）接口。 在 Windows NT下 WinPcap包捕獲驅(qū)動(dòng)和網(wǎng)卡設(shè)備驅(qū)動(dòng)的交互是通過NDIS(Network Device Interface Specification)來實(shí)現(xiàn)的。 WinPcap 包 捕獲 機(jī)制 WinPcap的體系結(jié)構(gòu)如圖 21所示 ： 圖 21 Winpcap的體系結(jié)構(gòu) 由 WinPcap體系結(jié)構(gòu)圖可以看出它采用的是分層化的驅(qū)動(dòng)程序模型， 并包含有三個(gè)組件 ： () () WinPcap(Windows Packet Capture)是由微軟資助的一個(gè)項(xiàng)目，其核心仍是基于 NDIS的，但它對(duì) NDIS進(jìn)行封裝，它是 Windows平臺(tái)下一個(gè)免費(fèi) 、 公共的網(wǎng)絡(luò)訪問系統(tǒng)，它為 win32應(yīng)用程序提供訪問網(wǎng)絡(luò)底層的能力 。 WinPcap包含了一系列以前系統(tǒng)所沒有的創(chuàng)新特性。它只提供了數(shù)量很少并且功能有限的 API 調(diào)用。從性能上看， Sock Packet最弱。 BPF由基于 BSD的 Unix系 統(tǒng)內(nèi)核所實(shí)現(xiàn)。 數(shù)據(jù) 包 捕獲機(jī)制的研究 縱觀國(guó)內(nèi)外在網(wǎng)絡(luò)嗅探技術(shù)中所使用的包捕獲機(jī)制的方法，大致可歸納為兩類 ： 一類是由操作系統(tǒng)內(nèi)核提供的捕獲機(jī)制 ； 另一類是由應(yīng)用軟件或系統(tǒng)開發(fā)包通過安裝包捕獲驅(qū)動(dòng)程序提供的捕獲機(jī)制 ， 該機(jī)制主要用于 Win32平臺(tái)下的開發(fā)。 在這種套接字下 ， 應(yīng)用程序可以讀到網(wǎng)卡傳遞給系統(tǒng)的全部報(bào)文 ， 一般情況下 ， 網(wǎng)卡只將那些目的地址是自身的報(bào)文傳遞給系統(tǒng)內(nèi)核。 在 Linux下監(jiān)聽的基本實(shí)現(xiàn)過程是通過 Socket來實(shí)現(xiàn)的 。 Etherfind, Snooper(運(yùn)行在 SunOS)。比較知名的被廣泛用于調(diào)試網(wǎng)絡(luò)故障的免費(fèi) sniff工具 有 :tcpdump(運(yùn)行在 FreeBSD、 linux、 SunOS等系統(tǒng)下 )。 常見的 sniffer sniff網(wǎng)絡(luò)分析儀有專用硬件和軟件的產(chǎn)品，尖端的網(wǎng)絡(luò)分析儀產(chǎn)品可以找出一般網(wǎng)絡(luò)接口檢測(cè)不到的錯(cuò)誤 :中等商業(yè)市場(chǎng)的網(wǎng)絡(luò)分析儀產(chǎn)品往往是帶有特定軟件的便攜計(jì)算機(jī) 。因此，正常模式下主機(jī)僅處理以本機(jī) 為目的的數(shù)據(jù)包，網(wǎng)卡如果工作在混雜模式，則可以接收本網(wǎng)段內(nèi)傳輸?shù)乃袛?shù)據(jù)包。為了捕獲網(wǎng)段內(nèi)的所有幀 (以后稱數(shù)據(jù)包 )，可以設(shè)置以太網(wǎng)卡的工作方式，以太網(wǎng)卡通常有正常模式 (normal mode)和混雜模式 (promiscuous mode)兩種工作模式。當(dāng)一個(gè)幀送到組地址時(shí)，組內(nèi)的所有站點(diǎn)都會(huì)收到該幀。 嗅探器實(shí)現(xiàn)基礎(chǔ) 以太網(wǎng) 數(shù)據(jù) 幀是一組數(shù)字脈沖，它們?cè)趥鬏斀橘|(zhì)上進(jìn)行傳輸，從而實(shí)現(xiàn)信息 的傳遞。例如 ,假設(shè)網(wǎng)絡(luò)的某一段運(yùn)行得不是很好 ,報(bào)文的發(fā)送比較慢 ,而我們又不知道問題出在什么地方 ,此時(shí)就可以 用嗅探器 截獲網(wǎng)絡(luò)中的數(shù)據(jù)包，分析問題的所在。 Sniffer是利用計(jì)算機(jī)的網(wǎng)絡(luò)接口截獲目的地為其他計(jì)算機(jī)的數(shù)據(jù)報(bào)文的一種工具。 ，得出結(jié)論。 。 ， 入侵檢測(cè)的實(shí)現(xiàn)由四部分組成：數(shù)據(jù)包嗅探解析部分、數(shù)據(jù)行為檢測(cè)部分、算法部分和掃描檢測(cè)部分。 。因此， 對(duì)網(wǎng)絡(luò)嗅探器的研究具有重要意義 。 本文通過對(duì) 網(wǎng)絡(luò)嗅探器對(duì)網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)包的捕獲與分析 功能的進(jìn)一步了解，做到知己知彼。而網(wǎng)絡(luò)嗅探器的目的恰恰在于從網(wǎng)卡接收所有經(jīng)過它的數(shù)據(jù)包，這些數(shù)據(jù)包即可以是發(fā)給它的也可以是發(fā)往別處的。 嗅探器作為一種網(wǎng)絡(luò)通訊程序，是通過對(duì)網(wǎng)卡的編程來實(shí)現(xiàn)網(wǎng)絡(luò)通訊的，對(duì)網(wǎng)卡的編程是使用通常的套接字（ socket）方式來進(jìn)行。但與此同時(shí)，計(jì)算機(jī)犯罪、黑客攻擊、病毒入侵等惡性事件也頻頻發(fā)生。這些都是保障網(wǎng)絡(luò)安全的重要手段。鑒別技術(shù)是指只有經(jīng)過網(wǎng)絡(luò)系統(tǒng)授權(quán)和登記的合法用戶才能進(jìn)入網(wǎng)絡(luò)。但加密的有效性完 全取決于所采用的密碼算法，故一般由中央授權(quán)部門研制生產(chǎn)，不能自行采用一些密碼算法用于網(wǎng)絡(luò)中，否則后果不堪設(shè)想。面向網(wǎng)絡(luò)的加密技術(shù)是指通信協(xié)議加密，它是在通信過程中對(duì)包中的數(shù)據(jù)進(jìn)行加密，包括完整性檢