【正文】 論文題目： 基于旁路的 Web 訪問監(jiān)控系統(tǒng)的設(shè)計與實現(xiàn) 學(xué)生姓名 ： 指導(dǎo)教師： 摘 要 在實驗室或者辦公室，管理員總是希望學(xué)生或員工可以專心自己的任務(wù)，而不去瀏覽觀看與學(xué)習(xí)或工作無關(guān)的網(wǎng)頁或網(wǎng)站。因而，當(dāng)學(xué)生或員工輸入無關(guān)網(wǎng)址時，管理員的服務(wù)器可以搶在其打開網(wǎng)頁前與其進(jìn)行“握手”并發(fā)送管理員提前準(zhǔn)備好的頁面，從而阻止了其正常訪問，提高了學(xué)習(xí)工作效率。 最后，針對該系統(tǒng)實施了詳細(xì)的性能和功能的測試，使功能完整，且系統(tǒng)的性能有一定的優(yōu)化。 Cache。 1970年之后，網(wǎng)絡(luò)環(huán)境日益惡化，網(wǎng)絡(luò)信息安全第一次作為一個獨立的學(xué)科來進(jìn)行研究，但是當(dāng)時側(cè)重的是研究針對類似于訪問控制安全策略、訪問數(shù)據(jù)加密特定信息系統(tǒng)的一些控制手段。 雖然網(wǎng)絡(luò)非法入侵問題給各個企業(yè)帶來了不同程度的損害，但是計算機(jī)網(wǎng)絡(luò)搭建了一個互相溝通學(xué)習(xí)的環(huán)境，包括了 各個學(xué)科和不同領(lǐng)域的知識，能夠很大的提高員工的工作學(xué)習(xí)效率，因此在學(xué)習(xí)工作中應(yīng)用計算機(jī)網(wǎng)絡(luò)得到了支持。并且，網(wǎng)絡(luò)除了提供學(xué)習(xí)交流的資料之外，還有很多不利于社會和個人正常發(fā)展的內(nèi)容，尤其是對缺少基本判別能力的青少年的危害不小。 通過該方法設(shè)計并實現(xiàn)了一個用戶上網(wǎng)行為監(jiān)控系統(tǒng)，該系統(tǒng)不僅能夠為員工過濾掉不健康的網(wǎng)址，還能夠記錄員工上網(wǎng)記錄，及時察覺并攔截他們的行為，一是能夠幫 助員工過濾掉不健康的信息，二是可以監(jiān)視員工的網(wǎng)絡(luò)上的行為動機(jī)，降低受到 攻擊幾率，從而保證工作環(huán)境的安全性。殺毒軟件既 可以在本機(jī)上裝載也可以在本機(jī)上卸載，由于這種方法相對來說比較經(jīng)濟(jì)實惠，多適用于家長對于不太懂計算機(jī)技術(shù)的孩子防止他們?yōu)g覽不健康的網(wǎng)頁 ，對于年齡稍大并且有一部分計算機(jī)基礎(chǔ)的孩子，殺毒軟件這種方法基本沒有什么用，由于每臺設(shè)備都要安裝一遍，所以這種方法管理起來有些不方便。到了 21 世紀(jì)初，江民，瑞星，金山毒霸三足鼎立，再到現(xiàn)在的 360，可牛，東方微點等殺毒軟件的擠入，殺毒軟件的發(fā)展呈現(xiàn)多元化的趨勢。這種方法只需安裝在服務(wù)器上，所以管理起來比較方便，但是當(dāng)上網(wǎng)人 數(shù)過多的時候，導(dǎo)致網(wǎng)絡(luò)延遲，成為網(wǎng)絡(luò)的瓶頸。 一是俄羅斯的 eugene kaspersky。 20 世紀(jì) 90 年代 ，他在 莫斯科一個 大型計算機(jī)公司 kami的信息技術(shù)中心， 在助手的幫助下 研發(fā)出了 arginine vasopessin 反病毒 編程 程序。 20xx年 11月， avp更名為 kaspersky antivirus。avp 的反病毒引擎和病毒庫， 在業(yè)界有很好的殺毒口碑 。他創(chuàng)建的 doctor soloman，這個公司曾經(jīng)是歐洲最領(lǐng)先的殺毒軟件公司 ， 接著就 被 mcafee 收購 ，成為安全托拉斯 nai 的一部分。 20xx 年 6 月，微軟開始正式 舉行了 Microsoft Security Essentials(簡稱 MSE)新版殺毒軟件的 測試。 本次 微軟 向用戶提供免費的殺毒軟件 ， 是因為微軟實行 市場擴(kuò)張和正版推動策略 。 本文所做的彌補(bǔ)了前兩種方法的缺陷，通過監(jiān)聽網(wǎng)絡(luò)上的數(shù)據(jù)，從而分析出哪些網(wǎng)址是不允許被訪問的，攔截這個網(wǎng)頁。 本文主要任務(wù) 本文的主要任務(wù)是維護(hù)一個良好、綠色的網(wǎng)絡(luò)學(xué)習(xí)辦公環(huán)境，面對日益猖獗的網(wǎng)絡(luò)攻擊以及非法網(wǎng)站的入侵，采取 Web 訪問監(jiān)控系統(tǒng)予以攔截。 論文的組織結(jié)構(gòu) 第一章主要介紹了論文的研究背景，國內(nèi)外的發(fā)展現(xiàn)狀； 第二章主要介紹了 相關(guān)研究理論，主要是 OSI 模型各個層的功能， TCP/IP 體系以及兩者的比較， HTTP 協(xié)議和 IP 協(xié)議的基本知識以及數(shù)據(jù)包捕獲的一些理論知識； 第三章主要是需求分析，介紹了設(shè)計系統(tǒng)時候的需求，有軟件需求以及硬件需求； 第四章主要是設(shè)計模塊，各個模塊的需求進(jìn)行完善而詳盡的設(shè)計； 第五章是對所設(shè)計的系統(tǒng)進(jìn)行了測試，包括功能測試以及性能測試，對測試的內(nèi)容進(jìn)行了詳細(xì)的分析； 第六章對本文進(jìn)行了總體闡述以及對論文中由于技術(shù)或非技術(shù)原因而沒有實現(xiàn)的部分進(jìn)行展望； 附錄是附錄的參考英文文獻(xiàn)以及翻譯。 不難發(fā)現(xiàn)， OSI 一共有七層，每一層都實現(xiàn)不同的功能： （ 1）物理層，其主要任務(wù)是在通信信道傳輸 0或 1二進(jìn)制數(shù)據(jù)流這樣的比特流，數(shù)據(jù)的基本單位是比特。從源端到目的端的途徑可以建立在靜態(tài)表的設(shè)計之上，這些途徑可以在每一次會話的開始就確定下來，也可以是高度動態(tài)的；； （ 4）傳輸層，它的基本功能是接受來自于上一層的數(shù)據(jù)，并且在必要的時候把這些數(shù)據(jù)單元切割成更小的單元，緊接著把這些數(shù)據(jù)單元準(zhǔn)確無誤的發(fā)送到網(wǎng)絡(luò)層。會話層提供的會話服務(wù)種類包括雙工 (雙向同時 )、半雙工（雙向交替）和單工（單向）； （ 6）表示層，規(guī)定應(yīng)用程序或者用戶之間交換數(shù)據(jù)的格式，提供數(shù)據(jù)之間的轉(zhuǎn)換服務(wù)，確保傳輸?shù)臄?shù)據(jù)在到達(dá)目的端后不發(fā)生改變。 OSI 系統(tǒng)參考模型如圖 所示： 圖 OSI 參考模型 TCP/IP 體系結(jié)構(gòu) TCP/IP 模型也被稱作 DoD 模型 (Department of Defense Model)。 1983 年 1 月 1 日 ，在因特網(wǎng)的前身（ ARPA 網(wǎng)）中， TCP/IP 協(xié)議取代了舊的網(wǎng)絡(luò)控制協(xié)議（ NCP， Network Control Protocol），從而成為今天的 網(wǎng)絡(luò) 的基石。 圖 OSI 與 TCP/IP 對照 TCP/IP 在設(shè)計時重點并沒有放在具體通信的實現(xiàn)上，所以對最后兩層沒有做出具體規(guī)定，同時表明它允許不同類型的通信網(wǎng)絡(luò)參與通信。 （ 1）網(wǎng)絡(luò)接口層，任務(wù)是從物理網(wǎng)絡(luò)接收數(shù)據(jù)幀，提取 IP 數(shù)據(jù)報給網(wǎng)際層或?qū)⒕W(wǎng)際層的 IP 數(shù)據(jù)報通過物理網(wǎng)絡(luò)發(fā)送，因為沒有具體的網(wǎng)絡(luò)接口層的協(xié)議，從而保證了其靈活性，從而可以在不同物理網(wǎng)絡(luò)適用，如 LAN、 MAN， 嚴(yán)格上它并不是一個獨立的層次，僅僅是一個接口， TCP/IP 并沒有對它定義具體的內(nèi)容； （ 2）網(wǎng)際層，提供一種無連接、不可靠卻又竭盡所能的數(shù)據(jù) 報傳輸服務(wù)，把數(shù)據(jù)在源主機(jī)和目的端主機(jī)之間傳送。 UDP 提供無連接不可靠的源端口到目的端口的傳輸服務(wù)，由于不需要提前建立連接，因此傳輸?shù)男矢撸? （ 4）應(yīng)用 層，提供面向用戶的網(wǎng)絡(luò)服務(wù)。兩個模型各個層次中的功能也大致相同：網(wǎng)絡(luò)接口層（ TCP/IP）對應(yīng) OSI 的物理層和數(shù)據(jù)鏈路層（ OSI），網(wǎng)際層（ TCP/IP）對應(yīng)網(wǎng)絡(luò)層和傳輸層（ OSI），傳輸層（ TCP/IP）對應(yīng)對應(yīng)傳輸層（ OSI），應(yīng)用層（ TCP/IP）對應(yīng)會話層表示層和應(yīng)用層（ OSI）。 TCP/IP 是協(xié)議先出現(xiàn)，而 OSI 正好相反，在參考 模型之后才出現(xiàn)的，因此 OSI 模型不會偏向于任何一個特定的協(xié)議，適用的范圍更加大。 TCP/IP 的網(wǎng)際層只有無線連接通信一種模式，但在傳輸層同時支持無線連接和面向連接的兩種通信模式。這是一種請求和響應(yīng)的模式。當(dāng)它收到這些消息的時候，就發(fā)送包含上述對象的 HTTP 響應(yīng)消息。 圖 HTTP 工作模式 HTTP 有兩種連接，持久連接（ persistent connection）和非持久連接（ no persistent connection）。 非持久連接的工作過程主要由以下幾個步驟組成： （ 1） 瀏覽器（客戶端）向 Web 服務(wù)器發(fā)送 TCP 連接建立請求。 （ 3） Web 服務(wù)器接收到請求之后，會發(fā)送一個狀態(tài)行。 步驟（ 2）請求行中包含了下列的信息： （ 1）方法，如下圖 所示： 圖 HTTP 請求報 文 （ 2）統(tǒng)一資源定界符 URL：用于指明要下載的 Web 對象的位置。它提供無連接的數(shù)據(jù)報傳送機(jī)制。 IP 協(xié)議只是負(fù)責(zé)將分組發(fā)送到目標(biāo)結(jié)點上，它不能確保是按分組的準(zhǔn)確次序發(fā)送的。 （ 2） IP 路由； （ 3） 分組的重組和分段； IP包的格式如下圖所示： 圖 IP 包格式 一個 IP 包由兩部分構(gòu)成，分別是首部和數(shù)據(jù)量。表示與 IP 分組對應(yīng)的 IP 協(xié)議版本號。 (2)分組頭長域 :長度為 4比特。因為IP分組頭長度不是固定不變的，所以分組頭長域是不可或缺的。用于指明 IP 分組所要求得到的有關(guān) 優(yōu)先級、準(zhǔn)確性、處理量、延遲等方面的服務(wù)質(zhì)量要求。由于總長度域為 16 比特，所以 IP 分組最多可以有 65536 個字節(jié)。標(biāo)識符域是 IP 分組在傳輸中實行重組和分段所必備的。在 3 比特中有 1 位被保留，另外兩位中： DF 用于指明 IP分組是否允許分段， MF 用于表明是否有后續(xù)分段。以 8 個字節(jié)為單位，用來 指明當(dāng)前報文片在原始分組中的位置，這是分段和重組的前提條件。這個域用來保障IP分組不會在網(wǎng)絡(luò)出現(xiàn)錯誤的時候發(fā)生無限的傳輸這種現(xiàn)象。用來指明調(diào)用 IP協(xié)議進(jìn)行傳輸?shù)母邔訁f(xié)議，高層協(xié)議的編號由 TCP/IP 中央權(quán)威管理機(jī)構(gòu)統(tǒng)一分配。 （ 10）分組頭校驗和域：長度為 16 比特。其算法為：該域初始值為 0，然后對 IP 分組頭以每 16 位為單位進(jìn)行求異或和，然后將所得到的結(jié)構(gòu)取反，從而得到校驗和。用來指明發(fā)送 IP 分組的源主機(jī)的 IP 地址。用來指明接收 IP 分組的目的主機(jī)的 IP地址。該域允許在以后的版本中包括在當(dāng)前的設(shè)計的分組頭中未出現(xiàn)的信息，該域的使用有一些特殊的規(guī)定。因為 IP 分組頭必須是 4 字節(jié)的整數(shù)倍，所以當(dāng)使用 任選項的 IP 分組頭長度不足 4字節(jié)的整數(shù)倍時候，必須用 0填入填充域來滿足這一要求。 （ 2）套接字 創(chuàng)建函數(shù) socket SOCKET socket (int af , int type , int protocol)。 括號中 type 是指套接字 的 類型， 有幾種形式 SOCK_STREAM（流式） ， SOCK_DGRAM(數(shù)據(jù)報 )， SOCK_RAW(原始 )。 完成創(chuàng)建套接字之后，接下來就是將套接字和當(dāng)?shù)氐木W(wǎng)絡(luò)接口綁定 ， 括號中 s 是已經(jīng)創(chuàng)建號的套接字 ， 括號中 name 指的是用來 綁定的通信對象的信息結(jié)構(gòu)體指針，namelen 是 一共有多少個字符 。 //地址族，設(shè)置為 AF_INET unsigned short sin_port。 //IP地址 char sin_zero[8]。 （ 4）設(shè)置接口模式函數(shù) WSAIoctl int WSAAPI WSAIoctl(SOCKET s, DWORD dwIoControlCode, LPVOID lpvInBuffer, DWORD cbInBuffer, LPVOID lpvOutBuffer, DWORD cbOutBuffer, LPDWORD lpcbBytesReturned, LPWSAOVERLAPPED lpOverlapped, LPWSAOVERLAPPED_COMPLETION_ROUTINE lpCompletionRoutine)。 調(diào)用成功后， WSAIoctl 函數(shù)返回 0， 否則的話，將返回 INVALID_SOCKET 錯誤，應(yīng)用程序可通過 WSAGetLastError 來獲取錯誤代碼。 本章小結(jié) 本章闡述了關(guān)于 OSI 參考模型， TCP/IP 模型以及兩者的異同點。在接下來的幾章會以這幾個概念作為本文論述的一個基礎(chǔ)，例如網(wǎng)絡(luò)監(jiān)聽模塊 (如何設(shè)置混雜模式 )會用到數(shù)據(jù)包捕獲的的函數(shù)。本文從技術(shù)可行性、經(jīng)濟(jì)可行性、社會可行性等幾個方面進(jìn)行了闡述。要實現(xiàn)這個功能，有以下幾個關(guān)鍵問題需要解決： （ 1） 如何獲得訪問網(wǎng)站的 IP？ （ 2） 如何判斷該某個網(wǎng)址是非法的并予以攔截？ 解決方案如下： （ 1）可以通過把網(wǎng)卡設(shè)置為混雜模式，通過捕獲數(shù)據(jù)包來進(jìn)行監(jiān)聽，接著通過TCP/IP 協(xié)議，再從數(shù)據(jù)包中提取對工程有用的信息。 因此， Web 訪問監(jiān)控系統(tǒng)在技術(shù)方面是完全可行的。硬件成本包括：交換機(jī)、服務(wù)器等，軟件成本主要是黑名單與白名單的數(shù)據(jù)庫，維持系統(tǒng)正常運轉(zhuǎn)的資金。 社會可行性 最近幾年，中國政府為了維護(hù)公民良好、綠色的網(wǎng)絡(luò)環(huán)境，對于非法網(wǎng)站的打擊力度不斷加大。 本監(jiān)測系統(tǒng)主要功能是禁止員工或?qū)W生的瀏覽一部分非 法網(wǎng)站，當(dāng)員工或?qū)W生輸入無關(guān)網(wǎng)址時，管理員的服務(wù)器就可以搶在其打開網(wǎng)頁前與其進(jìn)行“握手”，從而達(dá)到了組織其正常訪問的目的，提高了工作或?qū)W習(xí)的效率。 另一方面，這個系統(tǒng)很大程度上彌補(bǔ)了防火墻的不足，不會使網(wǎng)絡(luò)速度變慢。 系統(tǒng)需求分析 功能需求 Web 訪問監(jiān)控系統(tǒng)的主要任務(wù)是捕獲通過網(wǎng)卡的數(shù)據(jù)包，并加以分析，并與之前建立的數(shù)據(jù)庫的網(wǎng)址黑名單進(jìn)行匹 配。 圖 功能需求模塊結(jié)構(gòu)圖 （ 1） 網(wǎng)絡(luò)監(jiān)聽模塊 網(wǎng)絡(luò)監(jiān)聽模塊在服務(wù)器上工作 ,此時的網(wǎng)卡已經(jīng)被設(shè)置為了混雜模式，它的主要職責(zé)就是捕獲通過網(wǎng)卡的網(wǎng)址，并提取有用的部分交給下一個模塊（ IP 包處理模塊）進(jìn)行分析。 圖 網(wǎng)絡(luò)監(jiān)聽模塊用例圖 （ 2） 攔截策略控制模塊 這個模塊具有很強(qiáng)的自主性，它可以隨時根據(jù)管理員的需要進(jìn)行開啟或者關(guān)閉。白名單的更新是由消息模塊控制的，當(dāng)消息模 塊