【正文】 ............. 25 第 1 頁 共 25 頁 1 引言 課題背景及意義 計(jì)算機(jī)網(wǎng)絡(luò)的發(fā)展給計(jì)算機(jī)產(chǎn)業(yè)和整個(gè)人類的工作、生活方式帶來了巨大的變化，特別是信息技術(shù)的發(fā)展使一個(gè)信息缺乏的時(shí)代進(jìn)入了一個(gè)信息爆炸的時(shí)代，世界也由于 Inter而變小。全球范圍內(nèi)的網(wǎng)絡(luò)互聯(lián)給人們的生活和工作帶來了方便，人們正享受網(wǎng)絡(luò)技術(shù)帶給我們美好生活 。據(jù)有關(guān)資料統(tǒng)計(jì)我國(guó)每年通過計(jì)算網(wǎng)絡(luò)進(jìn)行違法行為以30%的速度上升。 目前我國(guó)正在進(jìn)行大規(guī)模的現(xiàn)代化經(jīng)濟(jì)建設(shè)，需要使用自己的 網(wǎng)絡(luò)和信息安全系統(tǒng)來保護(hù)自己的網(wǎng)絡(luò)和信息系統(tǒng)，尤其是對(duì)于全國(guó)性大型計(jì)算機(jī)網(wǎng)絡(luò)而言，必須將網(wǎng)絡(luò)安全和信息安全放在非常重要的地位上，而從長(zhǎng)遠(yuǎn)角度看，這只能依靠我們自己解決。 隨著信息化程度的提高，使我們從一個(gè)封閉的環(huán)境進(jìn)入到一個(gè)開放的世界，但我們所擔(dān)心和關(guān)心的問題便是網(wǎng)絡(luò)安全問題，也就是內(nèi)部網(wǎng)絡(luò)安全和外部網(wǎng)絡(luò)安全的問題。 本課題研究的相關(guān)技術(shù)及方法 網(wǎng)絡(luò)數(shù)據(jù)捕獲技術(shù)是獲取信息的關(guān)鍵 技術(shù)，它通過監(jiān)聽技術(shù)， 過濾技術(shù)獲取原始數(shù)據(jù)，根據(jù) TCP/IP分層理論進(jìn)行層層拆解，提取相關(guān)協(xié)議中的信息。 Visual C++ Visual C++ 是微軟公司推出的開發(fā) Win32 應(yīng)用程序（ Windows 95/98/2021/XP/NT）的、面向?qū)ο蟮目梢暬晒ぞ摺? Winpcap 簡(jiǎn)介 Winpcap（ windows packet capture） 是 Windows 平臺(tái)下一個(gè)免費(fèi)，公共的網(wǎng)絡(luò)訪問系統(tǒng)。它提供了以下的各項(xiàng)功能： （ 1） 捕獲原始數(shù)據(jù)報(bào)，包括在共享網(wǎng)絡(luò)上各主機(jī)發(fā)送 /接收的以及相互之間交換的數(shù)據(jù)報(bào) ； （ 2） 在數(shù)據(jù)報(bào)發(fā)往應(yīng)用程序之前，按照自定義的規(guī)則將某些特殊的數(shù)據(jù)報(bào)過濾掉 ； （ 3） 在網(wǎng)絡(luò)上發(fā)送原始的數(shù)據(jù)報(bào) ； （ 4） 收集網(wǎng)絡(luò)通信過程中的統(tǒng)計(jì)信息。也就是說， Winpcap不能阻塞 、 過濾或控制其他應(yīng)用程序數(shù)據(jù)報(bào)的發(fā)收，它僅僅只是監(jiān)聽共享網(wǎng)絡(luò)上傳送的數(shù)據(jù)報(bào)。前一個(gè)工作在內(nèi)核層，后兩個(gè)工作在用戶層。它的主要功能是過濾數(shù)據(jù)包，并把這些數(shù)據(jù)包原封不動(dòng)地傳給 用戶態(tài)模塊 。這個(gè)過程中包括了一些操作系統(tǒng)特有的代碼。 事實(shí)上，不同版本的Windows平臺(tái)在內(nèi)核層模塊和用戶進(jìn)程之間的接口不完全相同， 解決這些不同。 。第三個(gè)模塊 ，它提供了更高層、抽象的函數(shù)。因此程序員能處理兩種類型的 API:一套原始函數(shù)集，包含在 ，直接與內(nèi)核層調(diào)用匹配 。程序員能隨意使用 ，但只能在受 第 3 頁 共 25 頁 限的環(huán)境中直接使用 . 圖 1 WINPCAP 結(jié)構(gòu)圖 總的說來， 直接映射了內(nèi)核的調(diào)用。 Winpcap 的具體結(jié)構(gòu)圖 1 所示 : Winpcap 是用 NDIS（ Windows 的通信協(xié)議程序 (比如 TCP/IP)和網(wǎng)絡(luò)設(shè)備驅(qū)動(dòng)器之間通信的規(guī)范 ）的 ，將自己注冊(cè)為一個(gè)協(xié)議處理驅(qū)動(dòng) 。經(jīng)過 測(cè)試，在使用交換機(jī)連接的局域網(wǎng)下， Wincap 只能監(jiān)聽 到 本網(wǎng)段內(nèi)的數(shù)據(jù)，而對(duì)于來自其他網(wǎng)段的數(shù)據(jù)則無法監(jiān)聽，除非你把 probe接到交換機(jī)之前或者接到交換機(jī)的 console 口上，不過那樣的弊端是顯而易見的 ， 所以， Winpcap 的應(yīng)用 還是 有局限性的 。 它是能夠在網(wǎng)絡(luò)中提供可靠的數(shù)據(jù)傳輸和無連接的數(shù)據(jù)報(bào)服務(wù)的一組協(xié)議 。TCP/IP協(xié)議族是一組不同的協(xié)議組合在一起構(gòu)成的協(xié)議族，它是一個(gè)真正的開放系統(tǒng)。 基于 TCP/IP協(xié)議的網(wǎng) 絡(luò)體系結(jié)構(gòu)， TCP/IP協(xié)議分為四層如圖 3所示，每一層分別負(fù)責(zé)不同的通信功能。它們一起處理任何傳輸媒介的物理接口細(xì)節(jié)，它使用的協(xié)議為以太網(wǎng)協(xié)議。 在 TCP/IP 協(xié)議族中，網(wǎng)絡(luò)層協(xié)議包括 IP（ 網(wǎng)際協(xié)議 ） 、 ICMP（因特網(wǎng)網(wǎng)間控制報(bào)文協(xié)議）以及 IGMP（ 因特網(wǎng)組管理協(xié)議）。 TCP/IP協(xié)議族中，有兩個(gè)互不相同的傳輸協(xié)議： UDP（用戶數(shù)據(jù)報(bào)協(xié)議）、 TCP（ 傳輸控制協(xié)議）。它所做的工作包括把應(yīng)用程序交給它的數(shù)據(jù)分成合適的小塊交給下面的網(wǎng)絡(luò)層，確認(rèn)接收到的分組，設(shè)置發(fā)送最后確認(rèn)分組的超時(shí)時(shí)鐘等，由于運(yùn)輸層提供了高可靠性的端到端的通信，因此應(yīng)用層可以忽略所有這些細(xì)節(jié)。它只是把稱作數(shù)據(jù)報(bào)的分組從一臺(tái)主機(jī)發(fā)送到另一臺(tái)主機(jī)，但并不保證該數(shù)據(jù)報(bào)能到達(dá)另一端。 應(yīng)用層：它負(fù)責(zé)處理特定的應(yīng)用程序細(xì)節(jié)。 第 5 頁 共 25 頁 通常應(yīng)用程序是一個(gè)用戶進(jìn)程，而下面的三層進(jìn)程則是一般在內(nèi)核中執(zhí)行的。下三層對(duì)應(yīng)用程序一無 所知，但卻要處理所有的通信細(xì)節(jié)。 TCP和 UDP是兩種最為著名的運(yùn)輸層協(xié)議，二者都使用 IP作為網(wǎng)絡(luò)層協(xié)議。除了以上提到的協(xié)議，還有下面幾個(gè)協(xié)議： IPARP（地址解析協(xié)議）、 RARP(逆向地址解析協(xié)議 )、動(dòng)態(tài)選路協(xié)議（ RIP、 OSPF、 BGP、 CIDR）、 DNS（域名系統(tǒng)）、 TFTP（簡(jiǎn)單文件傳送協(xié)議）等。 圖 4 TCP/IP協(xié)議族中不同層次 的協(xié)議 從圖的模型中可以看到，應(yīng)用層的大多數(shù)應(yīng)用程序通過 TCP、 UDP來訪問網(wǎng)絡(luò)層，或者通過 ICMP來使用網(wǎng)絡(luò)層，如 Ping、 Trace Route等也可以使用 IP直接訪問網(wǎng)絡(luò)層。網(wǎng)絡(luò)層的 ICMP是 IP協(xié)議的附屬協(xié)議， IP協(xié)議用它與路由器之間交換錯(cuò)誤報(bào)文或其它控制信息。 數(shù)據(jù)封裝與分用過程 以用戶用 TCP協(xié)議傳送數(shù)據(jù)為例， 數(shù)據(jù)被送入?yún)f(xié)議棧 中，然后逐個(gè)通過每一層直到被當(dāng)作一串比特流送入網(wǎng)絡(luò) 。其中每一層對(duì)收到的數(shù)據(jù)都要增加一些首部信息（有時(shí)還要增加尾部信息）。IP傳給網(wǎng)絡(luò)接口層的數(shù)據(jù)單元稱作 IP數(shù)據(jù)報(bào)。這就是通常說的數(shù)據(jù)的封裝過程，如圖 5所示。每層協(xié)議盒都要去檢查報(bào)文首部中的協(xié)議標(biāo)識(shí)，以確定接收數(shù)據(jù)的上層協(xié)議。 圖 6 數(shù)據(jù) 幀 的分用過程 第 7 頁 共 25 頁 IP 協(xié)議 IP是 TCP/IP協(xié)議族中最為核心的協(xié)議。 IP提供不可靠、無連接的數(shù)據(jù)報(bào)傳送服務(wù)。 首部長(zhǎng)度 ： 以 32bit為單位的包頭長(zhǎng)度 。 總長(zhǎng) ： 以 Byte為單位的整個(gè) IP數(shù)據(jù)報(bào)長(zhǎng)度 。 標(biāo)志和片偏移 ： 同樣用于控制分片及其重組 。 協(xié)議 ： 表示創(chuàng)建本 IP數(shù)據(jù)報(bào)數(shù)據(jù)區(qū)數(shù)據(jù)的高層協(xié)議的類型，如 TCP,UDP等 。 源 IP地址和目的 IP地址 ： 分別指發(fā)送本數(shù)據(jù)報(bào)的主機(jī) IP地址和接受本數(shù)據(jù)報(bào)的主機(jī)的 IP地址 。 TCP協(xié)議是網(wǎng)絡(luò)中應(yīng)用最為廣泛的協(xié)議，許多的應(yīng)用層協(xié)議都是在建立在 TCP協(xié)議之上的。 目的端口 ： 接收端 TCP端口號(hào) 。 確認(rèn)號(hào) ： 指出本機(jī)希望下一個(gè)接收的字節(jié)的序號(hào) 。 碼位 ： 指出段的目的與內(nèi)容，不同的各碼位置位有不同的含義 。 校驗(yàn)和 ： 這是可選域，置 0表示未選，全 1表示校驗(yàn)和為伍 緊急指針 ： 當(dāng)碼位的 URG置位時(shí)，指出緊急指針的序號(hào)。包括網(wǎng)絡(luò)視頻會(huì)議系統(tǒng)在內(nèi)的眾多的客戶 /服務(wù)器模式的網(wǎng)絡(luò)應(yīng)用都需要使用 UDP協(xié)議。 UDP數(shù)據(jù)報(bào)各域的意義與 TCP段中相應(yīng)的域相同。這個(gè)偽頭標(biāo)來自于 IP報(bào)頭，包括 ： 源 IP地址、信宿 IP地址、協(xié)議類型、 UDP長(zhǎng)度及填充域。 但 是由于網(wǎng)絡(luò)是一個(gè)面向大眾的開放系統(tǒng)，對(duì) 數(shù)據(jù) 信息的保密和系統(tǒng)的 安全 性 考慮得并不完備，存在著 許多的 安全 隱患 。 網(wǎng)絡(luò)的 安全形勢(shì)日 趨嚴(yán)峻。 本軟件的設(shè)計(jì)就是為了達(dá)到基本的維護(hù)網(wǎng)絡(luò)安全的作用，對(duì)網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)進(jìn)行捕獲，然后從中得到所有的網(wǎng)絡(luò)數(shù)據(jù)包，并對(duì)其 進(jìn)行簡(jiǎn)單的分析操作。 IP是 TCP/IP協(xié)議族中最為核心的協(xié)議。這些數(shù)據(jù)類型中又以 TCP和 UDP兩種數(shù)據(jù)類型為多數(shù)。同時(shí)本軟件還還應(yīng)當(dāng)具有一種過濾功能，那就是當(dāng)我們知道某個(gè) IP地址發(fā)送的數(shù)據(jù)包信息都是屬于一些不良，反動(dòng)等等 內(nèi)容的信息，那么，我們可以通過在軟件上輸出這臺(tái)主機(jī) IP地址，來過濾從這臺(tái)主機(jī)上發(fā)送的所有 TCP和 UDP協(xié)議類型的數(shù)據(jù)。 性能要求 由于本設(shè)計(jì)是安裝在個(gè)人電腦上，所以要求用戶界面簡(jiǎn)潔，友好，方便使用 第 10 頁 共 25 頁 和操作。一方面，網(wǎng)絡(luò)檢測(cè)部分的數(shù)據(jù)源是網(wǎng)絡(luò)上的數(shù)據(jù)包，需要經(jīng)過捕獲后方可以提交給分析系統(tǒng) ； 另一方面，捕獲數(shù)據(jù)包效率的高低直接影響著網(wǎng)絡(luò)探測(cè)部分的性能的好壞，如果發(fā)生丟包現(xiàn)象，則有可能丟掉的包就是攻擊包。一款好的信息過濾軟件，都是將在一個(gè)長(zhǎng)時(shí)間工作的環(huán)境中運(yùn)行。那么這款軟件就不會(huì)具備同其他同類似軟件的競(jìng)爭(zhēng)力，更不會(huì)有市場(chǎng)，那么它就注定成為一款失敗的軟件。 4 局域網(wǎng)信息 捕獲 器 的設(shè)計(jì) 功能概述 通過前面的敘述可以知道，這款軟件具有的功能，那就是：能夠分別 捕獲 局域網(wǎng)中的 TCP 協(xié)議類型數(shù)據(jù)， UDP 協(xié)議類型數(shù)據(jù) 和從某 一特定的 IP 地址發(fā)送出來的 TCP 協(xié)議類型數(shù)據(jù)和 UDP 協(xié)議數(shù)據(jù)類型。 系統(tǒng)流程圖如下圖： 開 始捕 獲 數(shù)據(jù)分 析 協(xié)議 類 型數(shù) 據(jù) 庫處 理結(jié) 束結(jié) 束Y E SY E SN ON O 圖 10 系統(tǒng)流程圖 第 11 頁 共 25 頁 本系統(tǒng)包括三個(gè)基本模塊，分別是數(shù)據(jù)包捕獲模塊，數(shù)據(jù)分析模塊和數(shù)據(jù)庫模塊。 系統(tǒng)功能模塊的設(shè)計(jì) 數(shù)據(jù)包 捕獲模塊 數(shù)據(jù)包捕獲模塊主要用 Winpcap軟件實(shí)現(xiàn)，模塊的設(shè)計(jì)思想遵循 Winpcap捕獲數(shù)據(jù)包的流程，流程分三步：查找設(shè)備，打開設(shè)備和捕獲數(shù)據(jù)的函數(shù)。流程圖如下： 查 找 網(wǎng) 卡 設(shè) 備獲 取 網(wǎng) 卡 設(shè) 備打 開 網(wǎng) 卡 設(shè) 備捕 獲 網(wǎng) 絡(luò) 數(shù) 據(jù) 包結(jié) 束Y E SN O開 始 圖 11 數(shù)據(jù)捕獲模塊 流程圖 這里給出其主要過程 ： 先確定要在其上進(jìn)行監(jiān)測(cè)的網(wǎng)絡(luò)適配器，得到現(xiàn)有的網(wǎng)絡(luò)適配器的列表和他們的描述，從而獲得該 NIC的相關(guān)信息。alldevs,errbuf) == 1) { MessageBox(查找設(shè)備出錯(cuò) ,提示 )。 第 12 頁 共 25 頁 } 接下來打開所獲得的網(wǎng)絡(luò)適配器，其中 pcap_open函數(shù)的參數(shù) 1為上面獲得的NIC名稱，參數(shù) 2定義了網(wǎng)絡(luò)監(jiān)測(cè)程序所捕捉的最大字節(jié)數(shù)。參數(shù) 4為捕獲時(shí)間限制，單位為毫秒。該函數(shù)負(fù)責(zé)按照用戶指定參數(shù)和其它系統(tǒng)默認(rèn)值初始化 WinPcap，并返回會(huì)話句柄 //打開設(shè)備 adhandle = pcap_open(dname, 65536, PCAP_OPENFLAG_PROMISCUOUS, 1000, NULL, errbuf)?？紤]到系統(tǒng)資料的占用等問題，利用了線程來解決此問題，捕獲數(shù)據(jù)是新建一個(gè)線程，來實(shí)現(xiàn)數(shù)據(jù)的捕獲，再在線程中處理數(shù)據(jù)的解析和特征碼的提取，其 中 CreateThread 函數(shù)的參數(shù) 1 為指向 SECURITY_ATTRIBUTES 結(jié)構(gòu)體的指針，參數(shù) 2 指定線程堆棧大小，參數(shù) 3 指定線程執(zhí)行函數(shù)名稱，參數(shù) 4 表示給新線程的參數(shù)，參數(shù) 5 為線程指定的更多控制參數(shù)，參數(shù) 6 為新線 ID。 m_handle=CreateThread(NULL,0,ThreadProc,this,0,ThID)。 } //線程處理函數(shù) DWORD WINAPI ThreadProc( LPVOID lpParameter ) { CLjDlg * m_dlg = (CLjDlg *)lpParameter。 //捕獲數(shù)據(jù)包的頭 const u_char *pkt_data。 //pcap_next_ex 的返回值 m_dlgSetDlgItemText(IDC_STATIC_TIP,線程開始捕獲數(shù)據(jù) .)。header,amp。 //處理捕獲的數(shù)據(jù)包 m_dlgSaveDate(header,pkt_data)。 } 數(shù)據(jù)分析模塊實(shí)現(xiàn) 數(shù)據(jù)分析模塊的設(shè)計(jì)思想是將 Winpcap 捕獲到的數(shù)據(jù)對(duì)應(yīng)網(wǎng)絡(luò)數(shù)據(jù)包的格式進(jìn)行初始化，取得具體的值。 將網(wǎng)絡(luò)中捕獲的數(shù)據(jù)包進(jìn)行格式化 數(shù)據(jù)分析模塊的主要實(shí)現(xiàn)數(shù)據(jù)的解析。 其流程圖如下： 第 14 頁 共 25 頁 捕 獲 的 數(shù) 據(jù) 包分 析 以 太 網(wǎng) 協(xié)議判 斷 是 否 為I P 協(xié) 議 數(shù) 據(jù)分 析 I P 協(xié) 議 數(shù)據(jù)判 斷 是 否 是T C P ， U D P協(xié) 議 類 型 字段分 析 T C P ，U D P 協(xié) 議 類 型數(shù) 據(jù) 包傳 入 數(shù) 據(jù) 庫 處理 模 塊Y E SN OY E SN O 圖 12 數(shù)據(jù)包分析流程圖 數(shù)據(jù)分析模塊實(shí)現(xiàn)時(shí)，本系統(tǒng)提取的數(shù)據(jù)包中主要的一些信息，如 IP 數(shù)據(jù)包中的 IP 地址，端口信息等。 tcp* tcph。 CString temp。 //時(shí)間 struct tm *ltime。header)。 //IP ih=(ipheader*)(pkt_data+14)。 0xf)*4。 sprintf(IPDateLength,%d,headerlen)。//生存時(shí)間 sprintf(SIP,%d.%d.%d.%d,ih,ih,ih,ih)。 u_short u_sport,u_dport。 //協(xié)議類型 tcph=(tcp*)((u_char*)ih + iplen)。 //源端口 u_dport