（电路与系统专业论文）基于winpcap的局域网监控系统的设计与实现.pdf

独创性声明 本 人所 呈 交 的 学 位 论 文 是 在 导 师 指 导 下进 行 的研 究 工 作 及 取 得 的成 果 。尽 我 所 知 ，除特 别加 以标注 的地 方外 ，论文 中不包含其他人 的研 究成 果 。与我一 同工作 的 同 志对本文 的研究工作和成果 的任何贡献均 已在论文 中作 了明确 的说 明并 已致谢 。 本 论文及其 相关 资料若 有 不 实之处 ， 由本人承担一切相关责任 论 文 作 者 签 “ 率 篮一;o / o 年 多 ” 介 学 位 论 文 使 用 授 权 声 明 本 人 . 伞鲜一 所 有 ， 本 人 今 后 在 使 用 在 导师 的指 导下创 作 完 成 学位 论 文 的知 识 产 权 归西 安理 工大 学 或 发 表 该 论文 涉 及 的研 究 内容 时 ，会 注 明西 安 理工大 学 。本人 作 为学位 论 文 著 作 权 拥 有 者 ， 同意 授 权 西 安 理 工 大 学拥 有 学位 论 文 的部 分 使 用权(在 以下 “口 ”中标 明 ，同 意 的划 “矿” ，不 同 意 的划 “x ，) ，即 : 本 人 提 交 的 印刷 版 和 电 子 版 学位 论 文 ， 口 学校 可 以采 用 影 印 、缩 印或其 他 复 制手 段保 存 ; 口 学 校 可 以将 学 位 论 文 的全 部 内容 编 入 公 开 的数 据 库 进 行 检 索 ; 口 学 校 可 以将 学 位 论 文 的摘 要 编 入 公 开 的数 据 库 进 行 检 索 ; 口 学 校 可 以将 公 开 的学位 论 文 或 解 密 后 的学位 论 文 作 为 资料 在 图书 馆 、资料 室 等 场 所 及 校 园 网上 供 校 内师 生 阅读 、浏 览 。 本 人 学 位 论 文 全 部 或 部 分 内容 的 公布 (包 括 刊 登 ) 授 权 西 安 理 工 大 学 研 究 生 学 院 办 理 。 (保 密 的学位 论文 在 解 密 后 ，适 用本授 权 说 明 ) 论 文 作 者 签 名 率毗-导 师 铃幼进全 /。钾 目录 论文题 目: 基于 wi n p c a p的局域 网监控系统 的设计与实现 学科 专业 : 通信 与信 息系 统 研究 生 : 邹 雄 杰签名 : 指导教师 : 王 林 教授签名 : 摘要 随着 网络技术在 国内的普 及 ，网络 在 日常工作 中发挥着越来越 重要 的作用 。 企事业 单 位 的 内网更 成 为 日常工作 中不 可 或缺 的重要 组 成部 分 。 内网 的安全 性 问题 的存在 会 对 企业 产 生很大 的威胁 ，必须 引起 企业 的足够 重视 。针对这种情况 ，本 文利用在 win d o w s 操 作系 统 下 比较 流行 网络 开发包 w in p ca p，设计 实现 了一 个局 域 网监 控 系统 。 本 文 首 先 介绍 了局域 网监控 的意 义及 现状 ，接 着 描 述 了 网卡 的工 作 原理和局 域 网监 控 的原理 ，其 次 阐述 了 w i n p ca p的体系 结构和使用方法 。然后 ，设计 实现 了基于 w i n p ca p 的局 域 网监控 系统 。作者建立 了系统 的整体框架 ，主要包括 3 个模块 : 网络数据包捕获模 块 、网络 协议解 析模块和存储模块 ，对各个模块进行 了设计和 实现 。在整个设计 中作者分 析和 实现 了网络数据 包捕 获技术 、协议 分析技 术和数据库存储 。 在 数据包捕 获部分设计 中 主要讨 论 了利用 win p ca p开发包 实现 w i n d o w s 下 网络 数据 包 的捕 获技术 。 在协议 分析 中详 细 讨 论 了 i p 、tcp、udp 、icmp 等协 议 的解 析 过程 。存储 部 分利 用 sql serve r 2000 数据 库 来 存 储 网络 数据 ，主要 供 事 后 分析所 用 。最 后 ，建立 了系统 硬 件 运 行环 境 ，通 过 测 试 ， 实现 了对 局 域 网的监 控功 能 。 关 键 词 : 局 域 网监控 ; window s; winpeap; 协议 分 析 ; sql server 2000 西安理 工 大学硕 士 学位论 文 t itlg :d e s ig n a n d im p l e m e n t a t io n o f e t h e r n e t m o n it o r in g b a s e d o n win p c a p m a j o r: c o m m u n icati o n and inf o rm ati o n s ystem n a me :x io n g j ie z o u s ig n a tu re : s u p e r vis o r:p ro f. l in 钟i an g s ig n a tu re : a b s t门 c t wit h t h e p op u l 而 t y o f in i em e t t e ch no lo gy in c h i n a ， n e仁 刀 o r k p l盯 5 a m o r e a nd m or e 加 p o r t a n t r ole i n d a i ly w or k.t he in tra ne t o f en t e印 r i ses a nd in stit u tio n s b ec o m ea n i n dispensa b le pa r t in da i l y w o氏 t he s a f e ty p r oblem s of t h e intranet w i ll af f eet the en t er p r i ses. 5 0 w e m ust p a y su f f icien i a t ten i io n t o i t . h i t h is ea se ，t h e p a per d e sig n a nd im p lem en t a tio na n et h em e t m o n i to r i ng sy s t em b a s ed o n win pea p，w h ieh 15 a m o r e p o p u la r n eb 刀o r k d ev elo p m en i k i t u n d er win d o w s 0 5 . f i r s t ， 面 5 p a per in t r o d u ce s t h e sig n i f i ea ne e o f et h er net m o n i to r i n g a s w ell a s t h e d ev elo p m en t o f r e sea r eh h om e a nd a br oa d. s eeo n d ，it d eser i b e s w or k in g elem en i s o f n e七 刀o r k ea r d a nd t h e p r i neip le o f e t heme t m o n i t o r i ng . t hi r d，it illu stra t e s t h e w o rk i n g m eeh 耐sm a nd t h e in ner a r ch itectu re o f win pea p. f in a l ly ，d esig n a nd im p lem en t a t io n a n et h emet m o n ito r i n g sy stem b a sed o n 钻n pca p. t he w ho le sy stemf r 田卫e 15 d iv id ed in to f o u r p a r ts: n et wo r k p aek et ca pt u re m o d u le ， n e扔 刀o r k p r o to eo l a na l y sis m o d u le a nd sto ra g e m o d u le . t h e au th o r d e sig ns a nd realiz e s t h e teeh no lo g y o f g et t in g t h e n eb 刀o r k d a t a ，t h e p r o to eo l an a ly sis a nd t h e d a t a ba s e sto ra ge . g et t in g t he n e勺刀o r k d a t a u sin g wi n p ea p u nd er wi n d o w s 0 5 a r e d iseu ssed in n etw o r k p a c k c t ea p tu r e m od u le.i n protoeol a n a l y sis t h e ip ， t c p ， u d p a n d ic m p a n a l ysis a r e disc u ssed i n detail.h i stora g e m od u le t h e ne朴 刀 or k da t a 15 stored in sq l ser v er 2000 da t aba s e.f t ea n be a na l y zed a f te柳 a r d s. f i n a l ly ，a sim ple h a r dw a r e n m m ng e n vir on men i 15 b u ilt. p a ssin g te s t ，th e so f l w a r e h a s a c h iev ed t h e p r osp eet i v e f u n c t io n . k e yw ord s: e t h er n etm o n itor i ng;w indow s;w in pea p :pr o t o eola na l ysis:sq l ser v e r 2000 目录 目录 1 绪 论 .1 1.1 局 域 网监 控 的意义 .1 1.2 局 域 网监 控 系统 的现 状 .1 1.3 本课题研 究 的 内容 . 2 1.4 论文 的组 织 结构 .2 2 局域 网监 控 原理 . 3 2.1 以太 网工 作 原理 . .3 2.1.1 以太 网简介 . 3 2.1.2网卡工 作 原理 .3 2.2 以太 网监控 的原理 . .4 2.3 小结 .4 3 形 npca p开发包介绍 . 5 3.1 w i np c a p 概述 . . 5 3.2 w i np c a p 体 系结 构 .5 3.3 w i n p 以p 开发包 的安装 使用 . 6 3.4 小结 . .7 4 基 于 win p ca p的局域 网监控 系统 的设计 .9 4.1 系统 总体 结 构 .9 4.2 网络数据 包捕 获模块 的设计 . . 9 4.2.1 主要 函数介绍 . 1 0 4.2.2 w i np c ap 过滤规则 . 1 2 4.2.3 编 写步骤 .1 2 4.3 网络 协 议 解 析 模 块 的设 计 .1 4 4.3.1 tcp/ip 协 议 解 析 基 础 .1 4 4.3.2 ip 协 议 .1 5 4.3.3 tcp 协 议 . .1 7 4.3.4 udp 协 议 .1 8 4.3.5 icmp 协 议 .1 9 4.3.6 arp 和 r a rp 协 议 . .1 9 4.3.7 协 议 解 析 的 实 现 过 程 .2 0 4.3.8 协 议 解 析 中使用 的数据 结构 .2 0 4.3.9 http 协 议 分 析 . .2 2 4.4 存 储 模块 的设计 .2 7 西安理工大学硕士 学位论文 4.4.1 设 计 原理 .2 7 4.4.2 sql server 2000 数据 库 .2 8 4.4.3 存 储 模块 实现 .2 8 4.4.4 数据 库 分 析 . .3 4 4.5 小 结 .3 8 5 局域 网监控 系统 的安装 部署及测试 结果 .3 9 5.1 监 控 软 件 的安装 部 署 . .3 9 5.2 具体 的程序测试结果 . 3 9 5.3 小 结 .42 6 结束 语 . .4 3 6.1 论 文 工 作 总 结 .4 3 6.2 进 一 步 工 作 . 4 3 致 谢 . .4 5 参 考 文献 .4 7 1 绪论 绪 论 ， .1 局域 网监控 的意义 随着信息 时代 的到来 ，网络用户 的数量不 断增 多 ， 互联 网 己经成 为人们 实现 资源 共享 和信 息交 流 的最 重 要 传播 媒 介 。 在 社会 需求和 通 信 技 术 的推 动 下 ，局 域 网正 以势 不 可挡 的 趋 势 向前 发展 。 伴 随着局域 网广泛 的应用 ，其 功 能 日益强大 ，复杂性也 日渐提 高 。任何事物都有两面 性 ，局域 网一方面给用户 带来 了方便 ，另一方面使得维护和保证局域 网安全变 得 困难 ，网 络 安全 方 面 的 问题 也越来 越 突 出 。据 调 查统计 ， 己发 生 的 网络 安全 事 件 中 ，70 % 的攻 击 是 来 自内部 ，因此 内部 网的安全 风 险更严 重 。内部 员工对 自身企 业 网络 结构 、 应 用 比较 熟悉 ， 自己攻 击 或 泄漏 重要 信 息 、 内外 勾 结 ，都将 可 能成 为最致 命 的安全 威 胁 川。 因此 ，研 究 内部 网络 用 户 行 为 的监 控 技 术 变 得 极 为迫 切 ，对 用 于 分 析 、诊 断 、测 试 网络 性 能和 安 全 性 的工 具 的需 求 不 断增 加 。这 类 工 具 可 以捕 获在 网络 中传 输 的任 意 数据 帧 ，而 不 管它 的源 地址 和 目的地 址 。当截 获这 些 数据 帧之 后 ，局 域 网监 控 系统 根据 网络 通 信协议对捕获 的数据 帧进行解析 ， 然后再按 既定 的策 略要求对 这些包进行相应处理 ，从而 实现对 网络 负载流量情 况 、 网络计算机 、网络通讯协议 、网络数据 等 的监控 。 通 过 对 局 域 网信 息 的监测 与 分析 ，可记 录局 域 网中数据 的流 量 ，对 局域 网信 息给 予适 当控 制 ，并有 助 于 分析局 域 网 的性 能 ，监控 网络 各层 的协议 和 服 务 ，分析 网 内各 主机 的处 理 能力 ，提 高对局 域 网的管 理 。局域 网信 息监控 的意 义还 体现 在 以下 几 点 : 可用 于 调试 网 络 应 用 程序 ，判 断应 用 程序 是 否 正确地 发送 或接 收 了数据 包 ; 可 以维护 网络 环 境 ，杜 绝 不 健康站 点 的不健康 内容 ; 可应用于 安全 防范 ，在计算机 网络上 实施有效 的攻击 与保护 。 1.2 局域 网监控 系统 的现 状 目前 ，随着 人 们 安全 意 识 的提 高 ，对 信 息 安 全 和 网络 安 全 越 来 越 重 视 ，实 时或 及 时 的 了解 和 掌握 受 控 局域 网的使用情 况 和局 域 网 中传 输 的各种 数 据 的要 求 也越 来 越 高 。 在 这 种 情况下 ，国 内外 的局域 网监控系统如雨后春笋般 被开发 出来 【 2， 。 从 局 域 网监 控 系 统 承 载 介 质 来 看 ，可 以划 分 为两类 : 一 是 硬 件 监 控 系 统 ，二 是 软 件 监 控 系统 。这 些监控 系 的主要 功 能都 是 实 时监 视 、控 制 和记 录 局 域 网 中的违 规 行 为 。 从 局 域 网监 控 产 品 的发 展 来 看 ， 目前 国外 主 要 有 美 国 netscout 推 出 的 sn i ffer pr o 网络 协 议 分 析 仪 和 开源 软 件 w i r e s ha r k 。sn i ffer pr o对 网管 具 有 重 要 意 义 ，能够 给 予 网 管 管 理 人 员 实 时 的 网络 监 视 、数 据 包 捕 获 以及 故 障诊 断分 析 能 力 。对 于 在 现 场 迎 行 快速 的 网络 和 应 用 问题 故 障诊 断 ， 能够 让 用 户 获 得 强 大 的 网管 和 应 用 故 障 诊 断功 能 3 。 w ir e sha r k (前 称et h e r e a l )是 一 个 网络 数 据 包 分 析 软 件 。 网络 数据 包 分 析 软 件 的功 能 是捕 获 网络 数 据 包 ，并尽 可 能显 示 出最 为详 细 的 网络 数 据 包 资料 。在 gnugp l通 用 许 可 证 的保 障 范 围 底 下 ， 使 用 者 可 以以免 费 的代 价 取 得 软件 与其源 代码 ， 并拥 有 针 对 其源 代码 修 改及 的权 利 。 西安理工大学硕士学位论文 e t he r ea l是 目前 全世 界最广泛 的 网络封 包 分析软 件之 一 “ 。 就 国 内来 说 ，局域 网监 控 的研 究 刚刚起 步 。北 京 理 工大 学 的 吕坤 和 王 轩 峰 对 网络 信 息监 测做 了一 些研 究 ， 提 出了用 w i n p c a p 捕 获 数据 包 的方 法 。 华 东师 范大 学 的陈卫军 利 用 a即欺 骗 实现 交 换 式局 域 网数据 包 的监 听 、如 何 更加 快 速 的对 所 捕 获 的数 据 包 进 行 处 理 等 ，最 终 实现 对 交换 式局域 网的 网络监控 。在 产 品的可 靠 性 ，检测 的准确 性 等 方 面 ，与 国 外 的产 品还 有 一 定 的距 离 ，对会话跟 踪 ，阻 断等 关键 技 术 的应 用还 不 是很 好 。这 些 都 需要 进 一步 的研 究来 解 决 。开发 高水平 的信 息 网络产 品更具有 必要 性 与紧迫 性 。 ， . 3 本 课题研 究 的 内容 目前 w indo w s 的普 及 使用 ，使 它在 p c机上 己经成 为 了主流 操 作 系统 。 所 以本人 选 择 研 究 w i n d o w s 平 台下 的局 域 网监 控 程 序 ，利 用 源 代 码 开 放 的底 层 开 发 包 w i n p ca p来 实现 。 本课题 主要 实现基于 以太 网的局域 网监控系统 ，对 局域 网 内实 时监控和分析 ，对局 域 网 的数 据 包 进 行 捕 获 和 分 析 ，从 而 获 得 各 种 协 议 的详 细 信 息 ，重 点 分 析 了 htt p协 议 ， 可 以查看 局域 网的所 有 历史 网页 ，对 局域 网历 史数据 利 用 数据 库存 储 ， 以便 于 历史 分 析 ， 帮 助 解 决 局 域 网故 障 ，分 析 局 域 网利 用 情 况 ，改 善 局 域 网 网络 质 量 。 本论文需要完成 以下几个方面 的工作 : (1 )深 入研 究 以太 网工 作原理 和 网卡 工 作 原理 。 (2 )深 入 研 究 w i n p ca p的体 系 结 构 ，并 熟练 掌握 利 用 w inpca p捕 获 数 据 包 的方 法 。 (3 )深入 研 究数据 包解 码技 术 ，提 出 了各层数据 包 的分析 方法 ，应 用层 协 议着 重 分 析 了 http 协 议 。 (4 )软 件 实现 。在 vc+ + 6.0 环 境 下 ，编 写软件 局域 网监 测 系统 的各种 功 能 。主要 的 模块 有 : 网络 数据 包捕 获模 块 、 网络协议 解 析模块 、存储模块 。对各 个 功 能 的实现 原理 都进 行 了深 入 的研 究 ，并详细地 给 出了各个 模块 的实现 过程 。 (5 )对 软 件进 行 调试 并最 终实现 预 期功 能 。 (6 ) 在 实 验 室 的 网络 环 境 下 ，对 本 系 统 进 行 测试 ，并对 测 试 结 果 进 行 分 析 。 (7 )最 后 ，在 测 试 的基 础 上 ，针 对 系 统 的一 些 不 足 提 出 了系 统 需 要 改进 的地 方 。 1 . 4论 文 的组 织 结构 本 论 文 包 括 以下 章 节 : 第 1 章 : 本章 主要 介绍 了课题 的研 究意义 ，国 内外发 展现 状和研 究 内容 。 第 2 章 : 本 章 主 要 说 明 了 以太 网工 作 原 理 ， 网卡 工 作 原理 和 以太 网监 控 的 原理 。 第 3 章 : 本 章 介 绍 了监 控 软 件 使 用 的 w i n p ca p开 发 包 的体 系 结 构 和 使 用 方 法 。 第 4 章 : 本 章 详 细 介 绍 了局 域 网监 控 软 件 的程 序 设 计 以及 各 个 模 块 的实现 过 程 。 第 5 章 : 本 章介 绍 了软件安装部署 方 法和在 实验 室 进行测试 的情况 。 第 6 章 : 对 整 个 论 文 工 作 做 出 了总 结 ，最 后 提 出 了进 一 步 的研 究 方 向 。 2 局 域 网监 控 原理 2 局 域 网监 控 原 理 2 .1以太 网工作 原 理 2 . 1.1 以太 网简介 由于 目前用 的最 多 的局 域 网是 以太 网，在 以太 网上 ，数据 是 以被称 为帧 的数据 结构 为 单 位 进 行 交 换 的 ， 而 帧 (数 据 包 ) 是 用 被 称 为 带 碰 撞 检 测 的 载 波 侦 听 多 址 访 问 即 csm a /cd (carr ier sense multilple aeeess w ith collision dete。 tion) 的方 式 发送 的 5 。 在 这 种 方 法 中 ，发送 到 指 定地 址 的帧 实 际上 是 发送 到所 有 计 算 机 的 ，只 是 如 果 网卡 检测 到经过 的数据 不是发往 自身 的 ， 会 简单忽略过去而 已。正是这种基于 c s 做 /c d的广播 机制 ，这就给连接在 网络上 的计算机捕 获来 自于其 他主机 的数据 带来 了可 能 ，即通 过对 网 的设置可 以使 网卡 能够接 收到所有经过该机器 的数据 ， 然后将 这些数据做相应 处理 并实 时 分析这 些 数据 的 内容 ，进 而 分析 网络 当前状 态和 整 体 布局 6 。 2.1. 2网卡工作 原理 网卡 (net w o r k i n terfa c e ca r d，简称 n i c )，也 称 网络适 配 器 ，是计算 机 与 局域 网相 互 连 接 的设 备 。无 论 是普 通 计 算 机 还 是 高端 服 务器 ，只要 连 接 到局域 网 ，就都 需要 安装 一 块 网卡 。如 果有必要 ，一 台计算机也可 以同时安装两块或 多块 网卡 。 网卡 的功 能主要有两个 : 一 是将 计算机 的数据封 装 为帧 ，并通 过 网线将数据 发送 到 网 络 上 去 ; 二 是接 收 网络 上 其 它 设 备传 过 来 的帧 ，并将 帧 重新 组 合 成 数据 ，发送 到所 在 的计 算机 中。网卡 能接 收所有在 网络上传输 的信 号 ， 但 正常情况 下只接受发送 到该计算机 的帧 和广播 帧 ， 将其 余 的帧丢弃 。 然后 ，传送 到系统 cp u做进 一步处理 。当计算机 发送 数据 时 ， 网卡等待合适 的时 间将 分组插入到数据流 中。接 收系统通 知计算机 消息是否完整地 到达 ， 如 果 出现 问题 ，将 要求 对 方 重新 发送 。网卡 的工 作 原理 如 图 2一 1 所 示 川。 网卡 具 有 如 下 的几 种 工 作模 式 : 1 )广 播 模 式 : m a c 地 址 是 oxffffff 的帧 为广 播 帧 ，工 作在 广 播 模 式 的 网卡 接 收广 播 帧 。 2 ) 多播 传送 : 多播 传送 地 址 作 为 目的物 理地 址 的帧 可 以被 组 内的其 它 主机 同时接 收 ， 而 组 外 主 机 却 接 收不 到 。但 是 ，如 果 将 网卡 设 置 为 多播 传 送 模 式 ，它 可 以接 收 所 有 的 多播 传 送 帧 ，而 不 论 它 是 不 是组 内成 员 。 3 )直 接 模 式 : 工 作在 直接 模 式 下 的 网卡 只接 收 目地 址 是 自己 m a c 地 址 的帧 。 4 )混 杂 模 式 : 工 作 在 混 杂 模 式 下 的 网卡 接 收所 有 的流 过 网卡 的帧 ，而 不 管 该 数据 是 否 是 传 给 它 。 网卡 的缺 省工 作 模 式 包含 广 播 模 式和 直 接模 式 ，即它只接 收广 播 帧和 发给 自己的帧 。 在 接 收 到 上 面 两 种 情 况 的数 据 包 时 ，网络 接 口通 过 cp u产 生 硬 件 中断 ，操 作 系 统 进 行 中断 处 理 后 将 帧 中所 包 含 的数据 传 送 给 网络 层 进 一 步 处 理 。 而 其 他 情 况 下 数 据 帧 将 被 丢 弃 不 作 3 西安理工大学硕士学位论文 处理 。如果采用混杂模式 ，一个站 点的网卡将接受 同一 网络 内所有站 点所发送 的数据包 ， 这 样 就可 以达 到对 于 网络 信 息监 视捕 获 的 目的 。 接接 收 网络 数据 包 包 解解析 出网络 数据包 的的 m m m a c 地 址 址 产产 生 中断 ，c pu 获得 控 制 制 权 权 利 利 产产 生 中断 ，c p u获得控 制 制 权权 利 ，处理所 有 数据 包 包 丢丢 弃 网络 数据 包 包 图 2一 1网卡 工作 原理 f ig z 一 1 wb r k in g e lem en t s o f n eb 邢 o r k c a r d 2 .2以太 网监控 的原 理 在 正 常 模 式 下 ，网卡 每接 收 到一个 到 达 的数据 包 ，就会 检 查该 数据 包 的 目的地 址 ，如 果是 本机 地 址 和广 播地址 ，则将 接 收数据 包 放 入缓 冲 区 ，其 他 目的地 址 的数据 包 则 直 接 丢 掉 。因此 ，正 常模 式下 主 机 仅 处理 以本 机 为 目的 的数据 包 。网卡 的混 杂模 式 则 不 同 ，在 此 种模式下， 网卡对所有接收到的帧都产生硬件中断以提醒操作系统处理流经该物理媒体上 的每 一 个 数 据 包 。操 作 系统 直接 访 问数据 链 路 层 ，捕 获 相 关 数据 ，由应 用 程 序 而 非 上 层 如 i p层 、tcp 层对 数据 过 滤 处理 ，这 样 就 可 以监 听到流经 网卡 的所有 数据 。以太 网监 控 必 须 利 用 网卡 的混 杂模 式 ，获得经 过 本 网段 的所 有 数据 信 息 ，从 而 实现 获取 数据 的功 能 【 8 。 2 . 3小 结 本 章 主 要 介 绍 了局域 网监 控 原理 的相 关 内容 。首 先 ，介 绍 了 以太 网 的定 义 和 以太 网 的 工 作 原理 。然 后 ，详 细 描述 了网卡 的工 作 原理 和 工作模 式 。最 后 ，介 绍 了 以太 网监 控 的原 理 。 3 w inpcap 开发 包介 绍 3 w inpcap 开发包介绍 3 .1 w in p ca p 概 述 w inpcap 是 由意 大利 人 fulvi。 risso 和 lor is degioanni 等 人 提 出并 实现 的 ，它 的 主要 思想来源 于 un i x系统 中最 著 名 的 bs d包 捕 获架 构 ，w i n p ca p现 在 作 为 一个 免 费公开 的软件 系统 ，主要 用来 实现 在 windows 平 台下进 行 网络数 据 包捕 获 ，是 为 l i bpc a p 在 w i ndows 平 台下 实现 数据 包 的捕 获而 设 计 的 。在 设计 w i n p ca p时参 照 了 l i bpca p，使用 方 法 与 libpca p相 似 ，可直 接 用 于 w indo w s 系 统 下 的 网络 编 程 ” 。 3 .2 w in p ca p 体 系结构 w inpcap 的体系 结构 是 由核 心 的包 过 滤 驱 动 程 序 、底层 的动 态 链 接库(pa c ket.dll) 和 高层 的独立于系统 的无关库(wpca p .dll )组成 ，其 结构 图如 图3一 1所示 【 。 一 3， 。 包包截 获应用 用用网络监测应应应数据存储应应应其它应 用 用 程 程序 序序 用程序 序序 用程序 序序 程序 序 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1. 直接 接 访访访访访访访访访访访访访访访访访访访访访访访访访 问n p f f f 单单单单单单单单单 单w p c a p d l l l l l l l l 2 . 调用 用 用用用 户态 态 态 态 态态w pc即 ， d n n n 缓缓缓冲 区 区 区 区 区区 3. 调用 用 p p p p p p p p p p p p p p p p p p p p p p p p p p p aek et.d ll l l p p p p p p p ack et.d n n n n n n n n n 其其其其其 其其 其 口口口口口 口它 它 协协 协协 协协 协 议议议议议 议议 议 栈栈栈栈栈 栈栈 栈 用用户 态 态 态用户 态态 态用户 态态态态态态态态 态 缓缓冲 区 区 区缓冲 区区 区缓冲区区区 区区 区 数据 链 路 层驱动 程 序 网 络 层 数 据 包 图 3一 1 w in p cap 的结 构 体 系 f ig 3 一 1 s tru c l 刀ra l s y s t em o f v 八n pea p 第 一 个 模 块 np f(netgroup pa c ket f i lter )，是 一个虚 拟 设备 驱 动 程 序 文 件 。它 是运 西安理工大学硕士学位论文 行于操 作系统 内核 中，直接与 网卡驱动程序进行交互 ，获取在 网络上传输 的原始数据包 。 npf 的结构来源 于 bpf (berkley paeket filter) ，bpf 是用 于 unix 系统 中的一种 网络监 控工 具 ， 它使用 由 u n i x操作系统提供 的 内核级别 的可访 问未处理 的原始 网络 数据 的功 能 。 实 际上 np f是 bp f的一个虚拟机 ， 但 np f不是 由操作系统提供而 是 w i n p ca p的一部分 ， 其 主要 任 务是从 网络 系统 中获取数据链路层 的数据 帧 ，将 它转 发给上层模块 。np f与操 作系 统 有 关 ，wi n pc a p开 发 组 针 对 不 同 的 wi n d o w s操 作 系 统 提 供 了不 同版 本 的 np f，在 w in95/98/me 系统 中，它 以 vxd 文件形式存在 ，在 windows xp 和 windows 2000 系统 中 ， 它 以 sys 文件 形式存在 。 该模块提供 了捕获数据 包 以及发送 数据 包 的基本功 能 ， 此 外还提 供 了一 些 高级 功 能 ，如 数据 包 过 滤 系统和 检测 引擎 。 第二个模块 pa c ke t .d l l 是一组用户 级 的函数库 ，在 win 3 2 平 台上提供 了与 np f的一 个 通 用 接 口 ， 不 同 版 本 的 w in d o w s 系 统 都 有 自己 的 内核 模 块 和 用 户 层 模 块 。 调 用 packet.dn的程序 可 以运行在 不 同版本 的 win d o w s 平 台上 ， 而无 需重新编译 。 pa c ke t .d l l 还 有 几 个 附加 功 能 ，它可用 来取 得适 配 器 名称 、动 态驱 动器 加 载 以及 获 得 主 机 掩 码 及 以太 网冲 突 次 数等 。 第 三 个 模 块wpc a p.d l l 与 操 作 系 统 无 关 ， 它 和 应 用 程 序 编 译 在 一 起 ， 使 用 由 pa c k e t.d l l 提 供 的服 务 ，响应程序提供 完善 的接 口函数 ，提供 了更加 高层 、抽象 的函数 ， 含 有诸 如 产 生过 滤 器 ，用户 级 缓冲 等 高级 功 能 。 w i n p ca p主 要 由以上三 部 分 组成 ，它 的功 能也 是 以上 各 部 分功 能 的合 成 体 。w i n p ca p 的主要 功 能包 括 【 “ 一 ， 7 : l )捕 获 原始数据 包 ，包括共享 网络上各主机 发送/接 收 以及相互之 间交 换 的数据 包 ; 2 ) 在数据 包发往应用程序之前 ，按照 自定义 的规则将 某些特殊 的数据 包过滤 掉 ; 3 )在 网络 上 发送 原始 的数据 包 ; 4 )收集 网络通信过程 中的统计信 息 。 w i np c ap 能独立于主机协议 (如 tcp一 工 p ) 而 发送 和接 收原始 数据包 。 也就 是说 ， w inpca p 不 能 阻塞 ，过 滤 或 控 制其 他应 用 程 序 数据 包 的发 收 ，它仅 仅 只 是 监 听共享 网络 上 传送 的数 据 包 。因此 ，它 不 能用 于 qo s调 度 程序 或个人 防火墙 。 3 . 3 w in p c ap 开 发包 的安装使 用 本 系统采用基 于 w i n p c a p 开发包 的软件来 实现 ，在编写软件之前 ，要先 安装 win p ca p 开 发 包 ，w i n p ca p开发包 的安装 过 程 如下 。 (1)到 http :刀 .w 下 载 w inpeap 的最 新 版 本 安装 文 件 w inpeap4.0 和 程 序 员 开发 包 ; (2 ) 执 行 安装 文 件 ，本 机就 能运 行 w i n p ca p程 序 了; (3)解 压 开 发 包 ，在 vc+ 的 option 的 inelude 和 lib 中加 入 w inpeap 的 inelude 和 1 ib ; (4) 在 程 序 中 加 入 #include(peap.h ， # include(remote一 ext.h ， 然 后 在 工 程 的 6 3 w inpeap 开发 包介绍 setting 中导入 wpeap.lib 库 ; (5 ) 接下来就可 以编 写 w i npca p程序 。 3 . 4小结 本 章 主要 介 绍 了 winpca p的相 关 内容 。首先 ，对 win p ca p进 行 简 要 描述 。然后 ，讲解 了 winpcap 的体系 结构和 w i n p ca p的主 要 功 能 ，使大 家 对 它有 初 步 的 了解 。最 后 ，讲 述 了 在 vc+6.0 环 境 下 使用 w i n p ca p开发包 的方法 。 西安理工大学硕士学位论文 4 基 于 w inp c ap 的局域 网监控 系统 的设计 4 基 于 w inpcap 的局域 网监 控 系统 的设计 4 .1 系统 总体 结构 一个局域 网监控系统从逻 辑上主要分 为数据采集 、数据 分析 和数据 显示三 部分 。总体 结构 由网络数据包捕 获模块 、网络协议 分析模块和存储模 块组成 ” 。 此 系统 由 3 个模 块 组成 ，下 面对 它们 进 行 介 绍 。 (l ) 网络 数 据 包捕 获 模 块 此模块是整个局域 网监控 系统最 开始 的部 分 ， 因为局域 网监控 系统 的操作对象是 网络 数据包 ，那么首先把所有 的数据 包捕获下来 ， 所 以此模块 的主要 功 能是从 以太 网中捕获数 据 包 。怎样捕 获数据 包 ，不 同的操 作 系统 和 不 同的环境 都有 不 同的实现 方 式 ，本文 是在 w i n d o w s 系 统下利用 w i npca p函数库 实现 了数据 包 的捕 获 。 (2 ) 网络 协议 分析模块 网络协议分析模 块 的功能是对捕获 到 的数据 包进行协议分析 ， 检测 出每个数据 包 的类 型和特 征 ，这 是此系统 的核心部分 。此模块 是本系统 中一个十分重要 的部分 ，只有在完全 对 捕获 到 的数据 包进行详细 分析之后 ，才能 在此基础上进一步地 分析局域 网的网络状 况 。 而此模块 的设计功能是否齐全 、 是否优 良将直接影响到局域 网监控 的性能， 所 以此模块是 局 域 网监 控 的基 础 与 核心 。 (3 ) 存 储模 块 存储模块 的功 能在于将 网络协议分析模块解 析 出的网络数据 保存起来 ， 用于进 行历 史 分析 ，在此基础上可 以分析 出网络 的流量情 况 ，例如 : 分析 i p协议 的分布情 况 ; 分析某 个 i p地址 的活动情 况等等 。 存 储 模 块 可 以采 用 多种 存 储方 式 ，既可 以存 储 在 简单 的文 本 文 件 中