Windows下网络端口数据包捕捉分析程序设计.doc

Windows下网络端口数据包捕捉分析程序设计科技信息计算机与网络Windows下网络端口数据包捕捉分析程序设计郑州铁路职业技术学院王璨河南质量工程职业技术学院王淑静摘要随着互联网的普及和网络技术的发展,网络的安全问题也越来越突出.如何及时发现网络故障和安全隐患是保障网络正常运行的重要组成部分.在众多的网络安全技术中,网络监听是非常重要且被计算机应用人员广泛关注的技术.该论文从网络数据捕获中的关键技术出发,主要研究了一个基于Windows以太网的数据包捕获和分析的程序的设计与实现,该程序采用基于创建原始套接字,修改I/O选项实现的IP数据包捕获.关键词线程以太网数据包捕获网络监听一,网络监听概述数据包捕获是网络监听的主要方面.网络监听,也可称为网络嗅探,可以理解为一个安装在计算机上的窃听设备,它可以用来窃听计算机在网络上所产生的众多的信息.简单一点解释:计算机网络嗅探器可以窃听计算机程序在网络上发送和接收到的数据.可是,计算机直接传送的数据,事实上是大量的二进制数据.因此,一个网络监听程序必须也使用特定的网络协议来分解嗅探到的数据,嗅探器也就必须能够识别出哪个协议对应于这个数据片段,只有这样才能够进行正确的解码.很多的计算机网络采用的是共享媒体.也就是说,你不必中断他的通讯,并且配置特别的线路,再安装嗅探器,你几乎可以在热和连接着的网络上窃听到你同一掩码范围内的计算机网络数据.我们称这种窃听方式为基于混杂模式的嗅探片(promiscuousmode).尽管如此,这种共享的技术发展得很快,慢慢转向交换技术,这种技术可以实现有目的选择的收发数据.以太网的数据传输是基于共享原理的:所有的同一本地网范围内的计算机共享接收到的相同的数据包.这意味着计算机直接的通讯都是透明可见的.正是因为如此,以太网卡都构造了硬件的过滤器,这个过滤器将忽略掉一切和自己无关的网络信息.事实上是忽略掉了与自身MAC地址不符合的信息.嗅探程序正是利用了这个特点,也就是前面提到的设置网卡混杂模式.因此,嗅探程序就能够接收到整个以太网内的网络数据信息.由于大量的计算机在以太网内共享数据流,所以必须有一个统一的办法用来区分传递给不同计算机的数据流.这种问题不会发生在拨号用户身上,因为计算机会假定一切数据流都由你发送给modem然后通过电话线传送出去.可是,当你发送数据到以太网上的时候,你必须弄清楚,哪台计算机是你发送数据的对象.的确,现在有大量的双向通讯程序出现了,看上去,他们好像是只会在两台机器内交换信息,可是你要明白,以太网的信息是共享的,其他用户其实一样接收到了你发送的数据,只不过是被网卡给忽略掉了.这是因为正常情况下网卡只响应两种数据帧:一种是帧的目标区域具有和本机网络接口相匹配的硬件地址;另一种就是帧的目标区域具有广播地址.二,TCP/IP协议与TCP/lP整体构架概述TCP/IP协议并不完全符合OSI的七层参考模型.传统的开放式互连参考模型是一种通信协议的七层抽象的参考模型,其中每一层执行某一特定任务.该模型的目的是使各种硬件在相同的层次上相互通信.这七层是:物理层,数据链路层,网络层,传输层,会话层,表示层和应用层.而TCP/IP通讯协议分成五个概念层次:建立在第五层饵口硬件层)上的是四个软件层.图1给出了这些概念性的层次结构以及在这些层次之间传输的数据格式.概念性层通过层间的对象应用I一报文或数据流I传输1.I.一传输协议分组I网络I,1.一IP数据报I网络接口l一特定于网络的帧;硬件i图1TCP/IP协议层次之间传输的数据格式三,数据包捕获的理论基础以太网数据传输通过广播实现.在同一个共享局域网的所有网络接口都有访问在物理媒体上传输的所有数据的能力.但是在系统正常工作时,应用程序只能接收到以本主机为目标主机的数据包,其它数据包过滤后将被丢弃不做处理,其数据包过滤机制分为链路层,网络层和传输层几个层次.链路层主要指网卡驱动程序判断所收到的包的目的MAC地址,如果不是自己的MAC地址,又不为广播地址和组播地址,将直接丢弃.网络层判断目标IP地址是否为本机所绑定的IP地址,如果不是则不向上层提交.传输层中的TCP或者UDP判断目标端口是否在本机已经打开,如果没有打开则丢弃包而不向上层提交.要监听到流经网卡的不属于自己主机的数据,必须绕过系统正常工作的处理机制,直接访问网络底层.首先将网卡工作模式置于混杂模式(Promiscuous),使之可以接收所有数据包,从而实现信息的监听.四,系统开发环境与实现功能本程序的设计所要求的环境如下:操作系统Windows2000/XP,程序设计界面采用MFC类库,编译应用程序使用VisualC+6.0.程序采用多线程技术实现,以提高数据的处理速度和效率.包括3个线程:界面交互线程,核心工作线程和记录文件存储线程.借助MFC类库实现友好的界面,用户可以实时看到捕获到的数据包信息.界面交互线程负责与用户进行信息交互,创建套接字,设置网卡模式并进行绑定.核心工作线程为程序的主要部分,负责网络数据的接收,数据包的处理,并将数据信息显示在界面上,同时还负责数据包的简单过滤,其过滤原理是通过分析IP数据报头部信息并与设定规则比较,舍弃不符合规则的数据.文件存储线程用于将捕获的数据信息写入文件,可由用户选择是否运行.系统基本实现功能如图2所示:五,捕获数据包其内部逻辑结构流程如图3图2图3六,总结通过对基于Windows网络端口的数据包捕获程序设计分析,网络数据包捕获,网络监控具有广阔的研究前景,并深刻认识到网络中潜在的许多不安全因素,保障网络的绝对安全是不可能的,但是我们可以采取有效的措施使我们所处的网络更加安全可靠.参考文献1美HeatherOsterloh着.TCP/IPPrim