【正文】 會檢查該數(shù)據(jù)包的目的地址，如果是本機地址和廣播地址 ,則將接收數(shù)據(jù)包放入緩沖區(qū)，其他目的地址的數(shù)據(jù)包則直接丟掉。如果要進行數(shù)據(jù)包捕獲 ，必須利用網卡的混雜模式，獲得經過本網段的所有數(shù)據(jù)信息。而基于各個平臺的很多普通的網絡監(jiān)聽軟件則在網上可以自由下載。Nfswatch(運行在 HPUX、 Irix、 SunOS)。 Ipman, therload， Gobbler(運行在 DOS、Windows)。 Linux支持一種特殊的套接字 ， 即 SockPacket型套接字 。因此，需要將網卡的工作模式設定為混雜模式，這樣系統(tǒng)內核就可以讀到網卡監(jiān)聽到的所有報文，從而監(jiān)聽器應用程序也可以讀到這些報文。操作系統(tǒng)提供的捕獲機制主要有四種 ： BPF(Berkeley packet Filter)， DLPI (Data Link Provider Interface)， NIT(Network Interface Tap), Sock Packet類型套接口。 DLPI是 Solaris(和其它System V Unix)系統(tǒng)的內嵌子系統(tǒng)。 Windows操作系統(tǒng)沒有提供內置的包捕獲機制。 WinPcap(Windows Packet Capture)是 Win32上的第一個用來捕獲數(shù)據(jù)包的開放系統(tǒng)軟件包，它是一種新提出的強有力并且可擴展的框架結構。本文 將對 目前比較流行的 WinPcap軟件包提供 的 捕獲機制 進行簡單介紹。 它提供了以下的各項功能： Network Lever Aplication Kernl Lever Packets User code Call Winpcap User code Call Winpcap User code Monitoring Userbuffer1 Userbuffer2 User code Direct access to the NPF calls Statistical Filter1 Filter2 Filter3 Kernel Buffer2 Kernel Buffer2 NIC Driver(NDIS or higher) Other Protocl Stacks User Netgroup Packer filter NPF ，包括在共享網絡上各主機發(fā)送 /接收以及相互之間交換的數(shù)據(jù)報 ； ，按照自定義的規(guī)則將某些特殊的數(shù)據(jù)報過濾掉 ； ； 。而且包捕獲 驅動既與網絡驅動通信又與用戶應用程序通信 ,所以它在 NDIS結構中如同一個協(xié)議驅動， 對 WindowsNT操作系統(tǒng)中的 NDIS結構中的高端驅動進行編程，這樣編制的程序與上層應用程序更容易連接，應用程序對驅動設置的工作也更方便。 Socket 給程序員提供了一個高層接口，它的出現(xiàn)使得程序員在編寫網絡應用程序時只需要調用函數(shù)，對網絡的底層細節(jié)并不需要精通，因此十分方便。進程通信之前，雙方首先必須各自創(chuàng)建一個端點，否則是沒有辦法建立聯(lián)系并相互通信的。 在網間 和 網內部，每一個 socket用一個半相關描述 ： {協(xié)議，本地地址，本地端口 } 應用程序 應用程序 協(xié)議驅動 包捕獲驅動 NIC 驅動 數(shù)據(jù)包核心層 網絡層 一個完整的 socket連接則用一個相關描述 :{協(xié)議，本地地址，本地端口，遠地地址，遠地端口 } 每一個 socket有一個本地唯一的 socket號，由操作系統(tǒng)分配。客戶隨機申請一個 socket(相當于一個想打電話的人可以在任何一臺入網電話上撥號呼叫 )，系統(tǒng)為之分配一個 socket號 。 下面我 們一一給出重要的 socket系統(tǒng)調用。 創(chuàng)建一個 socket實際上是向系統(tǒng)申請一個屬于自己的 socket號。 表 Linux支持的套接字地址族 協(xié)議族、 socket 類型和協(xié)議常用的組合如表 : 表 系統(tǒng)調用三參數(shù)組合關系 指定本地地址 使用函數(shù) bind()一一 綁定 socket()系統(tǒng)調用創(chuàng)建 socket時，只指定了相關五元組的協(xié)議元，沒有指定套接字地址族 描述 UNIX UNIX域套接字 INET 通過 TCP/IP協(xié)議支持的 Inter地址族 AX25 Amater radio X25 IPX Novell IPX APPLETALK Appletalk DDP X25 X25 協(xié)議族（ af） Socket類型（ type） 協(xié)議（ UNIX表示） 實際協(xié)議 AF_INET Sock_DGRAM IPPROC_UDP UDP Sock_STREAM IPPROC_TCP TCP Sock_RAM IPPROC_ICMP ICMP Sock_RAM IPPROC_RAM 某低級協(xié)議 其余四元 (本地地址、本地端口、遠地地址、遠地端口 )，因此需要別的系統(tǒng)調用加以補充。其用于 Linux性能評估的測試工具的設計與實現(xiàn)調用格式為 : bind(sockid, localaddr, addrlen) 總的來說，各種 socket地址數(shù)據(jù)結構包括兩大部分 :地址類型和協(xié)議地址。 監(jiān)聽 — listen() 對于服務器來說，在它接受客戶機的連接之前，首先要監(jiān)聽。這一點可以通過 listen()函數(shù)來實現(xiàn)，它的原型如下： int listen(SOCKET s, int backlog)。 Backlog:正在等待連接的最大隊列的長度。 如果函數(shù)成功，則返回 0；否則返回 SOCKET_ERROR。 嗅探器的兩面性 從事網絡安全的技術人員和相當一部分準黑客（指使用現(xiàn)成的黑客軟件 進行攻擊 的人 ）都 知道 網絡嗅探器無論是在網絡安全還是在黑客攻擊方面均扮演了很重要的角色。此分析結果可供網絡安全分析之用， 也可 為黑客所利用為其發(fā)動進一步的攻擊提供有價值的信息。 sinffer的危害 網絡嗅探器作為被黑客所利用的攻擊工具其危害性主要表現(xiàn)在以下幾個方面： 通過攔截數(shù)據(jù)包，入侵者可以記錄網上敏感信息的傳送，或者 干 脆攔截整個會話過程。 一個入 侵者攻擊網絡系統(tǒng)可能步驟大體有 :信息收集 ?安全弱點探測和分析?實施攻擊 ?逃避檢測。他可以自編程序或利用公開的程序進行自動掃描，然后對目標實施攻擊，獲得系統(tǒng)控制權。 通過網絡嗅探進行 網絡管理 在合理的網絡中， 網絡嗅探器 的存在對系統(tǒng)管理員是致關重要的，系統(tǒng)管理員通過 sniffer可以診斷 出大量的不可見模糊問題，這些問題涉及兩臺乃至多臺計算機之間的異常通訊有些甚至牽涉到各種的協(xié)議，借助于 sniffer系統(tǒng)管理員可以方便的確定出多少的通訊量屬于哪個網絡協(xié)議、占主要通訊協(xié)議的主機是哪一臺、大多數(shù)通訊目的地是哪臺主機、報文發(fā)送占用多少時間、或 者 相互主機的報文傳送間隔時間等等，這些信息為管理員判斷網絡問題、管理網絡區(qū)域提供了非常寶貴的信息。 通過對監(jiān)聽結果進行分析，可以及時發(fā)現(xiàn)各種危害網絡安全的行為，維護網絡的安全性。通過網絡嗅探技術實現(xiàn)審計跟蹤、攻擊檢測等在網絡安全問題上具有重要意義。 入侵檢測技術與防火墻、 PKI 等技術不同，防火墻、 PKI 只是立足于“防”，而入侵檢測是對網絡系統(tǒng)的運行狀態(tài)進行監(jiān)視，發(fā)現(xiàn)各種攻擊企圖、攻擊行為或者攻擊結果，以保證系統(tǒng)資源的機密性、完整性和可用性。 DARPA提出的建議是公共入侵檢測框架（ CIDF），最早由加州大學戴維斯分校安全室主持起草工作。各部分功能是： 1. 事件產生器獲得數(shù)據(jù)并向 IDS 的其它模塊提供； 2. 事件分析器針對數(shù)據(jù)進行入侵分析； 3. 響應單元對分析的結果作出不同的響應； 4. 數(shù)據(jù)庫存儲 以上三個模塊收集及分析的各種數(shù)據(jù)。 ：通過分析系統(tǒng)配置，檢查系統(tǒng)是否已經或可能被人入侵。 ：通過分析已知的入侵模式，用事先定義的規(guī)則描述這些入侵模式， 再 通過這些已知的行為模式來檢測當前網絡中是否存在入侵行為。 入侵檢測的實現(xiàn)與嗅探器 入侵 檢測的實現(xiàn)由四部分組成：數(shù)據(jù)包嗅探解析部分、數(shù)據(jù)行為檢測部分、算法部分和掃描檢測部分。系統(tǒng)編寫構架如圖 31 所示： 圖 31 入侵檢測系統(tǒng)的架構 由圖 31 可以知道， 在編寫入侵檢測系統(tǒng)時，需要遵循 CIDF 標準來進行系統(tǒng)的設計，首先通過數(shù)據(jù)包嗅探技術獲得網絡上流通的數(shù)據(jù)包；其次通過攻擊特顯示模塊 入侵檢測模塊 網絡協(xié)議分析模塊 數(shù)據(jù)包捕獲模塊 存儲 模塊 規(guī)則解析模塊 攻擊特征 征庫對嗅探到的數(shù)據(jù)包進行入侵行為的檢測；再次對入侵數(shù)據(jù)包做出報警；最后將這些入侵事件紀錄到數(shù)據(jù)庫 ，便于查詢和分析。 數(shù)據(jù)包嗅探技術在入侵檢測系統(tǒng)中的應用 為了嗅探到網絡中的任意一個數(shù)據(jù)包，必須 對 物理線路、網卡、操作系統(tǒng)進行完全的配合 ，首先從網絡構成上講，嗅探技術并不是適合所有類型的網絡，不同傳輸介質的網絡的可監(jiān)聽性是不同的。 事實證明嗅探適用于基于廣播包的網絡，如利用廣播技術來分發(fā)數(shù)據(jù)包的連通網絡（或者使用令牌的網絡，只不過因為令牌 不一定經過本機器，所以只能嗅探到網絡中部分數(shù)據(jù)包）。例如從路由器到某一子網的共享網絡中安裝一個 hub，在將監(jiān)聽機器和子 網交換機用此 hub 連接起來，這樣，就能夠對此子網進行監(jiān)聽了，另一種辦法就是在交換機上給監(jiān)聽機器做端口映射，指明讓它接受經過交換機的所有數(shù)據(jù)包。大多數(shù)的操作系統(tǒng)在這一層使用的是 Socket 套接字技術，它們通過函數(shù) ioctlsocket(socket, SIO_RCVALL, amp。通過 Socket 的處理，數(shù)據(jù)流（ Bits）已經變成了能識別的數(shù)據(jù)結構，最后協(xié)議棧將數(shù)據(jù)信息傳入應用層 —— 應用程序中。 4 嗅探器的實現(xiàn)與測試 利用 套接字 開發(fā)網絡 嗅探器 程序時 的一般步驟如圖 41 所示： 圖 41 嗅探器工作流程 如圖 41 所示， 在利用 套接字 開發(fā)網絡 嗅探器 程序時 的一般步驟是：首先，創(chuàng)建原始套接字，并設置其操作選項 ；其次將原始套接字綁定到本地網卡地址上；設置網卡為混雜模式， 這樣網卡就可以收到任何在網絡中傳輸?shù)臄?shù)據(jù)包 ；在以上關閉套接字 是 開始 建立套接字 綁定套接字 設置網卡為混雜模式 初始 化數(shù)據(jù)包接收結構 停止接收 分析處理數(shù)據(jù)包 否 開始捕獲 顯示分析結果 條件下開始對數(shù)據(jù)包進行捕獲、分析。但是，通常的套接字程序只能響應與自己硬件地址相匹配的或是以廣播形式發(fā)出的數(shù)據(jù)幀，對于其他形式的數(shù)據(jù)幀比如已到達網絡接口但卻不是發(fā)給此地址的數(shù)據(jù)幀，網絡接口在驗證投遞地址并非自身地址之后將不引起響應，也就是說應用程序 無法收取到達的數(shù)據(jù)包。 具體到編程實現(xiàn)上，這種對網卡混雜模式的設置是通過原始套接字（ raw socket）來實現(xiàn)的，這也有別于通常經常使用的數(shù)據(jù)流套接字和數(shù)據(jù)報套接字。為了讓原始套接字能接受所有的數(shù)據(jù)，還需要通過 WSAIoctl ()來進行設置 。但是與其他兩種套接字不同的是，原始套接字此時捕獲到的數(shù)據(jù)包并不僅僅是單純的數(shù)據(jù)信息，而是包含有 IP 頭、 TCP 頭等信息頭的最原始的數(shù)據(jù)信息，這些信息保留了它在網絡傳輸時的原貌。由于這些數(shù)據(jù)經過了網絡層和傳輸層的打包，因此需要根據(jù)其附加的幀頭對數(shù)據(jù)包進行分析。其中 UDP 數(shù)據(jù)段頭比較簡單，由一個 8字節(jié)的頭和數(shù)據(jù)部分組成，具體格式如 圖43 所示 ： 16 位 16 位 源端口 目的端口 UDP 長度 UDP 校驗和 圖 43 UDP數(shù)據(jù)段頭格式 對于此 UDP 數(shù)據(jù)段頭的分析在編程實現(xiàn)中可通過數(shù)據(jù)結構 UDPPacketHead來定義： struct UDPPacketHead { WORD SourPort。 //16 位目的端口 WORD Len。 //16 位校驗和 }。 //源端口 WORD DestPort。 //32 位序列號 DWORD AckNo。 //4 位首部長度 BYTE Flag。 //16 位窗口大小 WORD ChkSum。 //16 位緊急數(shù)據(jù)偏移量 }。 IP數(shù)據(jù)段頭格式如 圖 45 所示 ： 16 位 16 位 版本 IHL 服務類型 總長 標識 標志 分段偏移 生命期 協(xié)議 頭校驗和 源地址 目的地址 選項（ 0 或更多） 圖 45 IP數(shù)據(jù)段頭格式 同樣，在實際編程中也需要通過一個數(shù)據(jù)結構來表示此 IP 數(shù)據(jù)段頭，下面給出此數(shù)據(jù)結構的定義： typedef struct _IPHE