【正文】 出了一個(gè)網(wǎng)絡(luò)嗅探程序的系統(tǒng)框架、數(shù)據(jù)包捕獲程序的設(shè)計(jì)、數(shù)據(jù)包的解析、數(shù)據(jù)的顯示等。 2 網(wǎng) 絡(luò)嗅探器的基本原理 網(wǎng)絡(luò)嗅探器又稱 為 網(wǎng)絡(luò)監(jiān)聽 器 ，簡(jiǎn)稱為 Sniffer 子系統(tǒng)，放置于網(wǎng)絡(luò)節(jié)點(diǎn)處，對(duì)網(wǎng)絡(luò)中的數(shù)據(jù)幀進(jìn)行捕獲的一種被動(dòng)監(jiān)聽手段， 是一種常用的收集有用數(shù)據(jù) 的方法，這些數(shù)據(jù)可以是用戶的 賬號(hào) 和密碼，可以是一些商用機(jī)密數(shù)據(jù)等等。 Sniffer 的正當(dāng)用處主要是分析網(wǎng)絡(luò)的流量 ,以便找出所關(guān)心的網(wǎng)絡(luò)中潛在的問題。 而嗅探器也可作為攻擊工具被 黑客所利用為其發(fā)動(dòng)進(jìn)一步的攻擊提供有價(jià)值的信息。以太網(wǎng)幀格式符合 標(biāo)準(zhǔn)，幀中包含目的地址和源地址，目的地址最高位為 0是普通地址，為 1時(shí)是組地址。如果將它送到一個(gè)普通地址，一般情況下，只有一個(gè)站點(diǎn)收到這個(gè)幀，但是，以太網(wǎng)是以廣播方式發(fā)送幀的，也即這個(gè)幀會(huì)傳播到其所在網(wǎng)段內(nèi)的所有 站點(diǎn)，只不過該站點(diǎn)不會(huì)接收目的地址不為本機(jī)地址的幀。在正常模式下，網(wǎng)卡每接收到一個(gè)到達(dá)的數(shù)據(jù)包，就會(huì)檢查該數(shù)據(jù)包的目的地址，如果是本機(jī)地址和廣播地址 ,則將接收數(shù)據(jù)包放入緩沖區(qū)，其他目的地址的數(shù)據(jù)包則直接丟掉。如果要進(jìn)行數(shù)據(jù)包捕獲 ，必須利用網(wǎng)卡的混雜模式，獲得經(jīng)過本網(wǎng)段的所有數(shù)據(jù)信息。而基于各個(gè)平臺(tái)的很多普通的網(wǎng)絡(luò)監(jiān)聽軟件則在網(wǎng)上可以自由下載。Nfswatch(運(yùn)行在 HPUX、 Irix、 SunOS)。 Ipman, therload， Gobbler(運(yùn)行在 DOS、Windows)。 Linux支持一種特殊的套接字 ， 即 SockPacket型套接字 。因此，需要將網(wǎng)卡的工作模式設(shè)定為混雜模式，這樣系統(tǒng)內(nèi)核就可以讀到網(wǎng)卡監(jiān)聽到的所有報(bào)文，從而監(jiān)聽器應(yīng)用程序也可以讀到這些報(bào)文。操作系統(tǒng)提供的捕獲機(jī)制主要有四種 ： BPF(Berkeley packet Filter)， DLPI (Data Link Provider Interface)， NIT(Network Interface Tap), Sock Packet類型套接口。 DLPI是 Solaris(和其它System V Unix)系統(tǒng)的內(nèi)嵌子系統(tǒng)。 Windows操作系統(tǒng)沒有提供內(nèi)置的包捕獲機(jī)制。 WinPcap(Windows Packet Capture)是 Win32上的第一個(gè)用來捕獲數(shù)據(jù)包的開放系統(tǒng)軟件包，它是一種新提出的強(qiáng)有力并且可擴(kuò)展的框架結(jié)構(gòu)。本文 將對(duì) 目前比較流行的 WinPcap軟件包提供 的 捕獲機(jī)制 進(jìn)行簡(jiǎn)單介紹。 它提供了以下的各項(xiàng)功能： Network Lever Aplication Kernl Lever Packets User code Call Winpcap User code Call Winpcap User code Monitoring Userbuffer1 Userbuffer2 User code Direct access to the NPF calls Statistical Filter1 Filter2 Filter3 Kernel Buffer2 Kernel Buffer2 NIC Driver(NDIS or higher) Other Protocl Stacks User Netgroup Packer filter NPF ，包括在共享網(wǎng)絡(luò)上各主機(jī)發(fā)送 /接收以及相互之間交換的數(shù)據(jù)報(bào) ； ，按照自定義的規(guī)則將某些特殊的數(shù)據(jù)報(bào)過濾掉 ； ； 。而且包捕獲 驅(qū)動(dòng)既與網(wǎng)絡(luò)驅(qū)動(dòng)通信又與用戶應(yīng)用程序通信 ,所以它在 NDIS結(jié)構(gòu)中如同一個(gè)協(xié)議驅(qū)動(dòng)， 對(duì) WindowsNT操作系統(tǒng)中的 NDIS結(jié)構(gòu)中的高端驅(qū)動(dòng)進(jìn)行編程，這樣編制的程序與上層應(yīng)用程序更容易連接，應(yīng)用程序?qū)︱?qū)動(dòng)設(shè)置的工作也更方便。 Socket 給程序員提供了一個(gè)高層接口，它的出現(xiàn)使得程序員在編寫網(wǎng)絡(luò)應(yīng)用程序時(shí)只需要調(diào)用函數(shù)，對(duì)網(wǎng)絡(luò)的底層細(xì)節(jié)并不需要精通，因此十分方便。進(jìn)程通信之前，雙方首先必須各自創(chuàng)建一個(gè)端點(diǎn)，否則是沒有辦法建立聯(lián)系并相互通信的。 在網(wǎng)間 和 網(wǎng)內(nèi)部，每一個(gè) socket用一個(gè)半相關(guān)描述 ： {協(xié)議，本地地址，本地端口 } 應(yīng)用程序 應(yīng)用程序 協(xié)議驅(qū)動(dòng) 包捕獲驅(qū)動(dòng) NIC 驅(qū)動(dòng) 數(shù)據(jù)包核心層 網(wǎng)絡(luò)層 一個(gè)完整的 socket連接則用一個(gè)相關(guān)描述 :{協(xié)議，本地地址，本地端口，遠(yuǎn)地地址，遠(yuǎn)地端口 } 每一個(gè) socket有一個(gè)本地唯一的 socket號(hào)，由操作系統(tǒng)分配。客戶隨機(jī)申請(qǐng)一個(gè) socket(相當(dāng)于一個(gè)想打電話的人可以在任何一臺(tái)入網(wǎng)電話上撥號(hào)呼叫 )，系統(tǒng)為之分配一個(gè) socket號(hào) 。 下面我 們一一給出重要的 socket系統(tǒng)調(diào)用。 創(chuàng)建一個(gè) socket實(shí)際上是向系統(tǒng)申請(qǐng)一個(gè)屬于自己的 socket號(hào)。 表 Linux支持的套接字地址族 協(xié)議族、 socket 類型和協(xié)議常用的組合如表 : 表 系統(tǒng)調(diào)用三參數(shù)組合關(guān)系 指定本地地址 使用函數(shù) bind()一一 綁定 socket()系統(tǒng)調(diào)用創(chuàng)建 socket時(shí)，只指定了相關(guān)五元組的協(xié)議元，沒有指定套接字地址族 描述 UNIX UNIX域套接字 INET 通過 TCP/IP協(xié)議支持的 Inter地址族 AX25 Amater radio X25 IPX Novell IPX APPLETALK Appletalk DDP X25 X25 協(xié)議族（ af） Socket類型（ type） 協(xié)議（ UNIX表示） 實(shí)際協(xié)議 AF_INET Sock_DGRAM IPPROC_UDP UDP Sock_STREAM IPPROC_TCP TCP Sock_RAM IPPROC_ICMP ICMP Sock_RAM IPPROC_RAM 某低級(jí)協(xié)議 其余四元 (本地地址、本地端口、遠(yuǎn)地地址、遠(yuǎn)地端口 )，因此需要?jiǎng)e的系統(tǒng)調(diào)用加以補(bǔ)充。其用于 Linux性能評(píng)估的測(cè)試工具的設(shè)計(jì)與實(shí)現(xiàn)調(diào)用格式為 : bind(sockid, localaddr, addrlen) 總的來說，各種 socket地址數(shù)據(jù)結(jié)構(gòu)包括兩大部分 :地址類型和協(xié)議地址。 監(jiān)聽 — listen() 對(duì)于服務(wù)器來說，在它接受客戶機(jī)的連接之前，首先要監(jiān)聽。這一點(diǎn)可以通過 listen()函數(shù)來實(shí)現(xiàn)，它的原型如下： int listen(SOCKET s, int backlog)。 Backlog:正在等待連接的最大隊(duì)列的長(zhǎng)度。 如果函數(shù)成功，則返回 0；否則返回 SOCKET_ERROR。 嗅探器的兩面性 從事網(wǎng)絡(luò)安全的技術(shù)人員和相當(dāng)一部分準(zhǔn)黑客（指使用現(xiàn)成的黑客軟件 進(jìn)行攻擊 的人 ）都 知道 網(wǎng)絡(luò)嗅探器無論是在網(wǎng)絡(luò)安全還是在黑客攻擊方面均扮演了很重要的角色。此分析結(jié)果可供網(wǎng)絡(luò)安全分析之用， 也可 為黑客所利用為其發(fā)動(dòng)進(jìn)一步的攻擊提供有價(jià)值的信息。 sinffer的危害 網(wǎng)絡(luò)嗅探器作為被黑客所利用的攻擊工具其危害性主要表現(xiàn)在以下幾個(gè)方面： 通過攔截?cái)?shù)據(jù)包，入侵者可以記錄網(wǎng)上敏感信息的傳送，或者 干 脆攔截整個(gè)會(huì)話過程。 一個(gè)入 侵者攻擊網(wǎng)絡(luò)系統(tǒng)可能步驟大體有 :信息收集 ?安全弱點(diǎn)探測(cè)和分析?實(shí)施攻擊 ?逃避檢測(cè)。他可以自編程序或利用公開的程序進(jìn)行自動(dòng)掃描，然后對(duì)目標(biāo)實(shí)施攻擊，獲得系統(tǒng)控制權(quán)。 通過網(wǎng)絡(luò)嗅探進(jìn)行 網(wǎng)絡(luò)管理 在合理的網(wǎng)絡(luò)中， 網(wǎng)絡(luò)嗅探器 的存在對(duì)系統(tǒng)管理員是致關(guān)重要的，系統(tǒng)管理員通過 sniffer可以診斷 出大量的不可見模糊問題，這些問題涉及兩臺(tái)乃至多臺(tái)計(jì)算機(jī)之間的異常通訊有些甚至牽涉到各種的協(xié)議，借助于 sniffer系統(tǒng)管理員可以方便的確定出多少的通訊量屬于哪個(gè)網(wǎng)絡(luò)協(xié)議、占主要通訊協(xié)議的主機(jī)是哪一臺(tái)、大多數(shù)通訊目的地是哪臺(tái)主機(jī)、報(bào)文發(fā)送占用多少時(shí)間、或 者 相互主機(jī)的報(bào)文傳送間隔時(shí)間等等，這些信息為管理員判斷網(wǎng)絡(luò)問題、管理網(wǎng)絡(luò)區(qū)域提供了非常寶貴的信息。 通過對(duì)監(jiān)聽結(jié)果進(jìn)行分析，可以及時(shí)發(fā)現(xiàn)各種危害網(wǎng)絡(luò)安全的行為，維護(hù)網(wǎng)絡(luò)的安全性。通過網(wǎng)絡(luò)嗅探技術(shù)實(shí)現(xiàn)審計(jì)跟蹤、攻擊檢測(cè)等在網(wǎng)絡(luò)安全問題上具有重要意義。 入侵檢測(cè)技術(shù)與防火墻、 PKI 等技術(shù)不同，防火墻、 PKI 只是立足于“防”，而入侵檢測(cè)是對(duì)網(wǎng)絡(luò)系統(tǒng)的運(yùn)行狀態(tài)進(jìn)行監(jiān)視，發(fā)現(xiàn)各種攻擊企圖、攻擊行為或者攻擊結(jié)果，以保證系統(tǒng)資源的機(jī)密性、完整性和可用性。 DARPA提出的建議是公共入侵檢測(cè)框架（ CIDF），最早由加州大學(xué)戴維斯分校安全室主持起草工作。各部分功能是： 1. 事件產(chǎn)生器獲得數(shù)據(jù)并向 IDS 的其它模塊提供； 2. 事件分析器針對(duì)數(shù)據(jù)進(jìn)行入侵分析； 3. 響應(yīng)單元對(duì)分析的結(jié)果作出不同的響應(yīng)； 4. 數(shù)據(jù)庫存儲(chǔ) 以上三個(gè)模塊收集及分析的各種數(shù)據(jù)。 ：通過分析系統(tǒng)配置，檢查系統(tǒng)是否已經(jīng)或可能被人入侵。 ：通過分析已知的入侵模式，用事先定義的規(guī)則描述這些入侵模式， 再 通過這些已知的行為模式來檢測(cè)當(dāng)前網(wǎng)絡(luò)中是否存在入侵行為。 入侵檢測(cè)的實(shí)現(xiàn)與嗅探器 入侵 檢測(cè)的實(shí)現(xiàn)由四部分組成：數(shù)據(jù)包嗅探解析部分、數(shù)據(jù)行為檢測(cè)部分、算法部分和掃描檢測(cè)部分。系統(tǒng)編寫構(gòu)架如圖 31 所示： 圖 31 入侵檢測(cè)系統(tǒng)的架構(gòu) 由圖 31 可以知道， 在編寫入侵檢測(cè)系統(tǒng)時(shí)，需要遵循 CIDF 標(biāo)準(zhǔn)來進(jìn)行系統(tǒng)的設(shè)計(jì)，首先通過數(shù)據(jù)包嗅探技術(shù)獲得網(wǎng)絡(luò)上流通的數(shù)據(jù)包；其次通過攻擊特顯示模塊 入侵檢測(cè)模塊 網(wǎng)絡(luò)協(xié)議分析模塊 數(shù)據(jù)包捕獲模塊 存儲(chǔ) 模塊 規(guī)則解析模塊 攻擊特征 征庫對(duì)嗅探到的數(shù)據(jù)包進(jìn)行入侵行為的檢測(cè)；再次對(duì)入侵?jǐn)?shù)據(jù)包做出報(bào)警；最后將這些入侵事件紀(jì)錄到數(shù)據(jù)庫 ，便于查詢和分析。 數(shù)據(jù)包嗅探技術(shù)在入侵檢測(cè)系統(tǒng)中的應(yīng)用 為了嗅探到網(wǎng)絡(luò)中的任意一個(gè)數(shù)據(jù)包，必須 對(duì) 物理線路、網(wǎng)卡、操作系統(tǒng)進(jìn)行完全的配合 ，首先從網(wǎng)絡(luò)構(gòu)成上講，嗅探技術(shù)并不是適合所有類型的網(wǎng)絡(luò)，不同傳輸介質(zhì)的網(wǎng)絡(luò)的可監(jiān)聽性是不同的。 事實(shí)證明嗅探適用于基于廣播包的網(wǎng)絡(luò)，如利用廣播技術(shù)來分發(fā)數(shù)據(jù)包的連通網(wǎng)絡(luò)（或者使用令牌的網(wǎng)絡(luò)，只不過因?yàn)榱钆?不一定經(jīng)過本機(jī)器，所以只能嗅探到網(wǎng)絡(luò)中部分?jǐn)?shù)據(jù)包）。例如從路由器到某一子網(wǎng)的共享網(wǎng)絡(luò)中安裝一個(gè) hub，在將監(jiān)聽機(jī)器和子 網(wǎng)交換機(jī)用此 hub 連接起來，這樣，就能夠?qū)Υ俗泳W(wǎng)進(jìn)行監(jiān)聽了，另一種辦法就是在交換機(jī)上給監(jiān)聽機(jī)器做端口映射，指明讓它接受經(jīng)過交換機(jī)的所有數(shù)據(jù)包。大多數(shù)的操作系統(tǒng)在這一層使用的是 Socket 套接字技術(shù)，它們通過函數(shù) ioctlsocket(socket, SIO_RCVALL, amp。通過 Socket 的處理，數(shù)據(jù)流（ Bits）已經(jīng)變成了能識(shí)別的數(shù)據(jù)結(jié)構(gòu)，最后協(xié)議棧將數(shù)據(jù)信息傳入應(yīng)用層 —— 應(yīng)用程序中。 4 嗅探器的實(shí)現(xiàn)與測(cè)試 利用 套接字 開發(fā)網(wǎng)絡(luò) 嗅探器 程序時(shí) 的一般步驟如圖 41 所示： 圖 41 嗅探器工作流程 如圖 41 所示， 在利用 套接字 開發(fā)網(wǎng)絡(luò) 嗅探器 程序時(shí) 的一般步驟是：首先，創(chuàng)建原始套接字，并設(shè)置其操作選項(xiàng) ；其次將原始套接字綁定到本地網(wǎng)卡地址上；設(shè)置網(wǎng)卡為混雜模式， 這樣網(wǎng)卡就可以收到任何在網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)包 ；在以上關(guān)閉套接字 是 開始 建立套接字 綁定套接字 設(shè)置網(wǎng)卡為混雜模式 初始化數(shù)據(jù)包接收結(jié)構(gòu) 停止接收 分析處理數(shù)據(jù)包 否 開始捕獲 顯示分析結(jié)果 條件下開始對(duì)數(shù)據(jù)包進(jìn)行捕獲、分析。但是，通常的套接字程序只能響應(yīng)與自己硬件地址相匹配的或是以廣播形式發(fā)出的數(shù)據(jù)幀，對(duì)于其他形式的數(shù)據(jù)幀比如已到達(dá)網(wǎng)絡(luò)接口但卻不是發(fā)給此地址的數(shù)據(jù)幀，網(wǎng)絡(luò)接口在驗(yàn)證投遞地址并非自身地址之后將不引起響應(yīng)，也就是說應(yīng)用程序 無法收取到達(dá)的數(shù)據(jù)包。 具體到編程實(shí)現(xiàn)上，這種對(duì)網(wǎng)卡混雜模式的設(shè)置是通過原始套接字（ raw socket）來實(shí)現(xiàn)的，這也有別于通常經(jīng)常使用的數(shù)據(jù)流套接字和數(shù)據(jù)報(bào)套接字。為了讓原始套接字能接受所有的數(shù)據(jù)，還需要通過 WSAIoctl ()來進(jìn)行設(shè)置 。但是與其他兩種套接字不同的是，原始套接字此時(shí)捕獲到的數(shù)據(jù)包并不僅僅是單純的數(shù)據(jù)信息，而是包含有 IP 頭、 TCP 頭等信息頭的最原始的數(shù)據(jù)信息，這些信息保留了它在網(wǎng)絡(luò)傳輸時(shí)的原貌。由于這些數(shù)據(jù)經(jīng)過了網(wǎng)絡(luò)層和傳輸層的打包，因此需要根據(jù)其附加的幀頭對(duì)數(shù)據(jù)包進(jìn)行分析。其中 UDP 數(shù)據(jù)段頭比較簡(jiǎn)單，由一個(gè) 8字節(jié)的頭和數(shù)據(jù)部分組成，具體格式如 圖43 所示 ： 16 位 16 位 源端口 目的端口 UDP 長(zhǎng)度 UDP 校驗(yàn)和 圖 43 UDP數(shù)據(jù)段頭格式 對(duì)于此 UDP 數(shù)據(jù)段頭的分析在編程實(shí)現(xiàn)中可通過數(shù)據(jù)結(jié)構(gòu) UDPPacketHead來定義： struct UDPPacketHead { WORD SourPort。 //16 位目的端