計(jì)算機(jī)網(wǎng)絡(luò)課程設(shè)計(jì)報(bào)告-大風(fēng)車網(wǎng)絡(luò)嗅探器

課程設(shè)計(jì)報(bào)告2014—2015學(xué)年第一學(xué)期課程名稱計(jì)算機(jī)網(wǎng)絡(luò)設(shè)計(jì)題目大風(fēng)車網(wǎng)絡(luò)嗅探器目錄引言1、網(wǎng)絡(luò)嗅探器的基本原理........................12、研究現(xiàn)狀...................................13、本課題研究的意義...........................34本課題的研究方法...........................35、程序?qū)崿F(xiàn)的功能...........................46、主要軟件需求.............................47、功能模塊與系統(tǒng)結(jié)構(gòu)........................58、測(cè)試報(bào)告及界面預(yù)覽........................59、心得結(jié)論..................................810、結(jié)語(yǔ)....................................811、參考文獻(xiàn).................................9引..言隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的飛速發(fā)展,借助網(wǎng)絡(luò)嗅探器進(jìn)行網(wǎng)絡(luò)流量監(jiān)控和網(wǎng)絡(luò)問(wèn)題分析已成為網(wǎng)絡(luò)管理員不可缺少的工作內(nèi)容。網(wǎng)絡(luò)嗅探器是利用計(jì)算機(jī)的網(wǎng)絡(luò)接口截獲在網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)信息的一種工具,主要用于分析網(wǎng)絡(luò)的流量,以便找出所關(guān)心的網(wǎng)絡(luò)中潛在的問(wèn)題[1,2]。網(wǎng)絡(luò)嗅探器原本是提供給網(wǎng)絡(luò)管理者監(jiān)視網(wǎng)絡(luò)運(yùn)行狀態(tài)和數(shù)據(jù)流動(dòng)情況的有效管理工具,可以是軟件,也可以是硬件。硬件的網(wǎng)絡(luò)嗅探器也稱為協(xié)議分析器,是一種監(jiān)視網(wǎng)絡(luò)數(shù)據(jù)運(yùn)行的設(shè)備,協(xié)議分析器既能用于合法網(wǎng)絡(luò)管理也能用于竊取網(wǎng)絡(luò)信息[3],但協(xié)議分析器價(jià)格非常昂貴。狹義的網(wǎng)絡(luò)嗅探器是指軟件嗅探器,由于簡(jiǎn)單實(shí)用,目前對(duì)于軟件網(wǎng)絡(luò)嗅探器的研究日益成為熱點(diǎn)。將網(wǎng)絡(luò)接口卡NIC(NetworkInterfaceCard)設(shè)置為雜收模式,嗅探器程序就有了捕獲經(jīng)過(guò)網(wǎng)絡(luò)傳輸報(bào)文的能力[4]。一般地,網(wǎng)絡(luò)嗅探器是個(gè)網(wǎng)絡(luò)實(shí)時(shí)監(jiān)控軟件,通過(guò)對(duì)網(wǎng)絡(luò)上的數(shù)據(jù)進(jìn)行捕獲并對(duì)其進(jìn)行檢查分析,找出網(wǎng)絡(luò)中潛在的問(wèn)題,然后用嗅探器做出精確判斷[5]。因此,一個(gè)簡(jiǎn)單實(shí)用的網(wǎng)絡(luò)嗅探器對(duì)入侵檢測(cè)系統(tǒng)[6,7]的性能十分重要。據(jù)在網(wǎng)絡(luò)以幀(Frame)為單位傳輸。幀通過(guò)網(wǎng)絡(luò)驅(qū)動(dòng)程序進(jìn)行成型,然后通過(guò)網(wǎng)卡發(fā)送到網(wǎng)線上。通過(guò)網(wǎng)線到達(dá)其目的機(jī)器,在目的機(jī)器的一端執(zhí)行相反的過(guò)程。接收端機(jī)器捕獲到這些幀,并告訴操作系統(tǒng)幀的到達(dá),然后對(duì)其進(jìn)行存儲(chǔ)。但是在這個(gè)傳輸和接收的過(guò)程中,嗅探器存在安全問(wèn)題。為此,筆者開發(fā)了一種簡(jiǎn)單實(shí)用的網(wǎng)絡(luò)嗅探器。1、網(wǎng)絡(luò)嗅探器的基本原理網(wǎng)絡(luò)嗅探器通常由4部分組成。1)網(wǎng)絡(luò)硬件設(shè)備。2)監(jiān)聽驅(qū)動(dòng)程序。截獲數(shù)據(jù)流,進(jìn)行過(guò)濾并把數(shù)據(jù)存入緩沖區(qū)。3)實(shí)時(shí)分析程序。實(shí)時(shí)分析數(shù)據(jù)幀中所包含的數(shù)據(jù),目的是發(fā)現(xiàn)網(wǎng)絡(luò)性能問(wèn)題和故障,與入侵檢測(cè)系統(tǒng)不同之處在于它側(cè)重于網(wǎng)絡(luò)性能和故障方面的問(wèn)題,而不是側(cè)重發(fā)現(xiàn)黑客行為。4)解碼程序。將接收到的加密數(shù)據(jù)進(jìn)行解密,構(gòu)造自己的加密數(shù)據(jù)包并將其發(fā)送到網(wǎng)絡(luò)中。網(wǎng)絡(luò)嗅探器作為一種網(wǎng)絡(luò)通訊程序,是通過(guò)對(duì)網(wǎng)卡的編程實(shí)現(xiàn)網(wǎng)絡(luò)通訊的,對(duì)網(wǎng)卡的編程使用通常的套接字(socket)方式進(jìn)行[8]。但通常的套接字程序只能響應(yīng)與自己硬件地址相匹配的,或是以廣播形式發(fā)出的數(shù)據(jù)幀,對(duì)于其他形式的數(shù)據(jù)幀,如已到達(dá)網(wǎng)絡(luò)接口但卻不是發(fā)給此地址的數(shù)據(jù)幀,網(wǎng)絡(luò)接口在驗(yàn)證投遞地址并非自身地址后將不引起響應(yīng),即應(yīng)用程序無(wú)法收取到達(dá)的數(shù)據(jù)包。而網(wǎng)絡(luò)嗅探器的目的恰恰在于從網(wǎng)卡接收所有經(jīng)過(guò)它的數(shù)據(jù)包。顯然,要達(dá)到此目的就不能再讓網(wǎng)卡按通常的模式工作,而必須將其設(shè)置為混雜模式[9,10]。這種對(duì)網(wǎng)卡混雜模式的設(shè)置是通過(guò)原始套接字(rawsocket)實(shí)現(xiàn)的,這也有別于通常使用的數(shù)據(jù)流套接字和數(shù)據(jù)報(bào)套接字。在創(chuàng)建了原始套接字后,需要通過(guò)setsockopt()函數(shù)設(shè)置IP頭操作選項(xiàng),然后再通過(guò)bind()函數(shù)將原始套接字綁定到本地網(wǎng)卡上。為了讓原始套接字能接受所有的數(shù)據(jù),還需要通過(guò)ioctlsocket()進(jìn)行設(shè)置,而且還可以指定是否親自處理IP頭。至此,就可以開始對(duì)網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行嗅探了,對(duì)數(shù)據(jù)包的獲取仍像流式套接字或數(shù)據(jù)報(bào)套接字那樣通過(guò)recv()函數(shù)完成。與其他兩種套接字不同的是,原始套接字此時(shí)捕獲到的數(shù)據(jù)包并不僅僅是單純的數(shù)據(jù)信息,而是包含有IP頭、TCP頭等信息頭的最原始的數(shù)據(jù)信息,這些信息保留了它在網(wǎng)絡(luò)傳輸時(shí)的原貌。通過(guò)對(duì)這些在低層傳輸?shù)脑夹畔⒌姆治隹梢缘玫接嘘P(guān)網(wǎng)絡(luò)的一些信息。由于這些數(shù)據(jù)經(jīng)過(guò)了網(wǎng)絡(luò)層和傳輸層的打包,因此需要根據(jù)其附加的幀頭對(duì)數(shù)據(jù)包進(jìn)行分析。2、研究現(xiàn)狀網(wǎng)絡(luò)嗅探器無(wú)論是在網(wǎng)絡(luò)安全還是在黑客攻擊方面扮演了很重要的角色。通過(guò)使用網(wǎng)絡(luò)嗅探器可以把網(wǎng)卡設(shè)置于混雜模式，并可以對(duì)網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)包的捕獲和分析。此分析結(jié)果可供網(wǎng)絡(luò)安全分析之用，但如為黑客所利用也可以為其發(fā)動(dòng)進(jìn)一步的攻擊提供有價(jià)值的信息。可見，嗅探器實(shí)際上是一把雙刃劍。雖然網(wǎng)絡(luò)嗅探器技術(shù)被黑客所利用后會(huì)對(duì)網(wǎng)絡(luò)構(gòu)成一定的威脅，但嗅探器本身的危害并不是很大，主要是用來(lái)為其他黑客軟件提供網(wǎng)絡(luò)情報(bào)，真正的攻擊主要是由其它黑客軟件來(lái)完成的。而在網(wǎng)絡(luò)安全方面，網(wǎng)絡(luò)嗅探手段可以有效地探測(cè)在網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)包信息，通過(guò)對(duì)這些信息的分析利用有助于網(wǎng)絡(luò)安全的維護(hù)。3、本課題研究的意義當(dāng)我們處理自身網(wǎng)絡(luò)問(wèn)題的時(shí)候，一個(gè)信息包嗅探器向我們展示出正在網(wǎng)絡(luò)上進(jìn)行的一切活動(dòng)。于是，借助一定的知識(shí)，我們就可以確定問(wèn)題的根源所在。但必須記住的是，網(wǎng)絡(luò)嗅探器并不會(huì)告訴你問(wèn)題究竟是什么，而只會(huì)告訴你究竟發(fā)生了什么。對(duì)網(wǎng)絡(luò)嗅探器的研究我加深了對(duì)通信協(xié)議的理解，網(wǎng)絡(luò)數(shù)據(jù)結(jié)構(gòu)的理解。對(duì)網(wǎng)絡(luò)嗅探器的深入研究更重要的是可以讓我們的互聯(lián)網(wǎng)世界更安全、信息更健康。4、本課題的研究方法嗅探偵聽主要有兩種途徑，一種是將偵聽工具軟件放到網(wǎng)絡(luò)連接的設(shè)備或者放到可以控制網(wǎng)絡(luò)連接設(shè)備的電腦上，(比如網(wǎng)關(guān)服務(wù)器，路由器)——當(dāng)然要實(shí)現(xiàn)這樣的效果可能也需要通過(guò)其他黑客技術(shù)來(lái)實(shí)現(xiàn):比如通過(guò)木馬方式將嗅探器發(fā)給某個(gè)網(wǎng)絡(luò)管理員，使其不自覺(jué)的為攻擊者進(jìn)行了安裝。另外一種是針對(duì)不安全的局域網(wǎng)(采用交換hub實(shí)現(xiàn))，放到個(gè)人電腦上就可以實(shí)現(xiàn)對(duì)整個(gè)局域網(wǎng)的偵聽，這里的原理是這樣的:共享hub獲得一個(gè)子網(wǎng)內(nèi)需要接收的數(shù)據(jù)時(shí)，并不是直接發(fā)送到指定主機(jī)，而是通過(guò)廣播方式發(fā)送到每個(gè)電腦，對(duì)于處于接受者地位的電腦就會(huì)處理該數(shù)據(jù)，而其他非接受者的電腦就會(huì)過(guò)濾這些數(shù)據(jù)，這些操作與電腦操作者無(wú)關(guān)，是系統(tǒng)自動(dòng)完成的，但是電腦操作者如果有意的話，他是可以將那些原本不屬于他的數(shù)據(jù)打開!5、程序?qū)崿F(xiàn)的功能該程序?qū)崿F(xiàn)了抓取本機(jī)在網(wǎng)絡(luò)通信數(shù)據(jù)并加以簡(jiǎn)單的分析的功能，實(shí)現(xiàn)了一個(gè)簡(jiǎn)單的網(wǎng)絡(luò)嗅探器。其中有一個(gè)主頁(yè)面，另一個(gè)詳細(xì)顯示包信息的頁(yè)面。6、主要軟件需求本程序使用VisualStudio2010開發(fā)平臺(tái)，使用C#語(yǔ)言編寫，編譯成功后的可執(zhí)行文件需要在裝有VisualStudio2010的平臺(tái)上才能運(yùn)行。測(cè)試平臺(tái)：裝有VisualStudio2010的WindowsXP系統(tǒng)使用軟件：VisualStudio20107、功能模塊與系統(tǒng)結(jié)構(gòu)(1)獲得計(jì)算機(jī)的IP地址(2)開始監(jiān)聽，獲得數(shù)據(jù)包的協(xié)議類型、源端口、目地端口和大小(3)停止監(jiān)聽，程序?qū)和＿\(yùn)行(4)清空列表，顯示列表被清空(5)幫助，彈出幫助對(duì)話框，顯示作者信息(6)詳細(xì)信息，雙擊列表中的任意行，顯示數(shù)據(jù)包的詳細(xì)信息8、測(cè)試報(bào)告及界面預(yù)覽1、主頁(yè)面預(yù)覽2、詳細(xì)界面預(yù)覽3、開始監(jiān)測(cè)界面4、清空列表5、暫停監(jiān)測(cè)9、心得結(jié)論 該系統(tǒng)設(shè)計(jì)最關(guān)鍵的是在怎么獲得IP地址，怎么獲取數(shù)據(jù)包經(jīng)過(guò)一段時(shí)間的思考和查閱，這些問(wèn)題都一一解決了。這樣方面完整的實(shí)現(xiàn)了設(shè)計(jì)的要求，很好的解決了這些問(wèn)題。 通過(guò)此次課程設(shè)計(jì)，對(duì)網(wǎng)絡(luò)終端監(jiān)控程序的編寫的方法及實(shí)現(xiàn)有了更深入的了解，基本具備了簡(jiǎn)單的網(wǎng)絡(luò)終端監(jiān)控程序開發(fā)的能力。為今后更好的學(xué)習(xí)及今后工作打下了堅(jiān)實(shí)的基礎(chǔ)。10、結(jié)語(yǔ)該程序使用非常簡(jiǎn)單,彈出對(duì)話界面后,點(diǎn)擊開始,程序即開始運(yùn)行,顯示從此刻開始截獲的本局域網(wǎng)內(nèi)的數(shù)據(jù)包。顯示出協(xié)議、IP源地址、IP目標(biāo)地址、TCP源端口號(hào)、TCP目標(biāo)端口號(hào)、數(shù)據(jù)包長(zhǎng)度和數(shù)據(jù)包內(nèi)容。點(diǎn)擊停止鍵,即停止對(duì)網(wǎng)絡(luò)的監(jiān)聽。本程序人機(jī)對(duì)話界面簡(jiǎn)潔,簡(jiǎn)單易懂,十分好用,占用系統(tǒng)資源也很少。網(wǎng)絡(luò)數(shù)據(jù)包嗅探器是系統(tǒng)管理員用來(lái)監(jiān)視和驗(yàn)證網(wǎng)絡(luò)流量情況的軟件程序,通常用來(lái)在網(wǎng)絡(luò)上截取/閱讀位于OSI協(xié)議模型中各個(gè)協(xié)議層次上的數(shù)據(jù)包。和其他大多數(shù)的安全軟件一樣,嗅探器軟件同樣能被同時(shí)用于正當(dāng)和不正當(dāng)?shù)哪康摹Ｋ軒椭到y(tǒng)管理人員監(jiān)視系統(tǒng)是否受到黑客攻擊,以便迅速找到問(wèn)題癥結(jié)所在,同時(shí)能監(jiān)視網(wǎng)絡(luò)是否發(fā)生錯(cuò)誤(如網(wǎng)絡(luò)瓶頸、錯(cuò)誤配置等)。但同時(shí)它也能造成巨大的危害,如截獲大量用戶的用戶名和密碼,從而危及他人計(jì)算機(jī)的安全。嗅探器不同于一般的鍵捕獲工具,鍵捕獲工具只能捕獲當(dāng)?shù)亟K端控制臺(tái)上的按鍵內(nèi)容,而嗅探器所嗅到的是動(dòng)態(tài)的以信息包形式(如IP數(shù)據(jù)包或者以太網(wǎng)包)封裝的信息流,其中可能攜帶了重要數(shù)據(jù)或敏感信息。嗅探器可以捕獲這些信息包并存檔,利用相應(yīng)工具可以作進(jìn)一步分析。如何將嗅探器應(yīng)用于更多的領(lǐng)域,將是下一步努力的方向。11、參考文獻(xiàn):[1]余梅.淺談網(wǎng)絡(luò)嗅探器[J].貴州教育學(xué)院學(xué)報(bào),2008,24(6):46..48.[2]王紹強(qiáng).網(wǎng)絡(luò)嗅探器的研究與實(shí)現(xiàn)[J].科技信息,2008(35):471.[3]龔偉.網(wǎng)絡(luò)嗅探器的檢測(cè)及安全對(duì)策[J].微計(jì)算機(jī)信息,2006,22(15):72..74..[4]萬(wàn)映輝,邸曉奕,張水平.基于NDIS的網(wǎng)絡(luò)嗅探器的設(shè)計(jì)與實(shí)現(xiàn)[J].計(jì)算機(jī)工程,2004,30(10):177..179.[5]宋方方.基于橋接技術(shù)的網(wǎng)絡(luò)嗅探器設(shè)計(jì)與實(shí)現(xiàn)[D].武漢:華中科技大學(xué),2007.[6]陳艷芳,申鉉京,謝沖.分布式入侵檢測(cè)監(jiān)視代理及數(shù)據(jù)融合算法[J].吉林大學(xué)學(xué)報(bào):信息科學(xué)版,2006,24(1):[7]楊宏宇,趙曉玲.應(yīng)用層并行重組在NIDS中的設(shè)計(jì)與實(shí)現(xiàn)[J].吉林大學(xué)學(xué)報(bào):理學(xué)版,2006,44(4):575..582.[8]趙樹升,范剛龍,張煥劍.一種Windows網(wǎng)絡(luò)嗅探器的檢測(cè)原理與實(shí)現(xiàn)[J].鄭州大學(xué)學(xué)報(bào):理學(xué)版,2005,37(3)