网络抓包与协议分析软件的设计与开发 网络0601 陈金锋VIP

毕业设计主题：网络捕获和协议分析软件。的设计和开发学生：陈金锋指导老师：邹复民讲师类别：计算机和信息科学系专业：网络工程。类：网络0601类学位： 03061091112010年6月福建工程学院本科毕业设计(论文)作者答应保证书本人认真约定：本篇毕业设计(论文)的内容真实可靠。 如果有说谎或模仿的事情，本人想承担全部责任。学生签名：年月日福建工程学院本科毕业设计(论文)指导教师承诺保证书本人认真答应：我根据有关规定对本毕业设计(论文)的选题和内容进行了指导和审查，但在该学生的毕业设计(论文)中没有发现虚假、模仿，本人愿承担指导教师的责任。指导教师签名：年月日目录1绪论11.1课题源11.2今天的网络数据安全现状11.3网络数据安全的技术研究22主要技术介绍32.1数据包的介绍32.2网络包的捕获原理42.3捕获网络分组的方法52.3.1原始插座52.3.2 LibPcap52.3.3 WinPcap52.3.4 PS PS 62.4 WinPcap研究62.5 WinPcap内部结构72.6 WinPcap的主要通信库83系统设计103.1捕获数据的分析和恢复103.1.1 802.3标准数据帧分析和恢复103.1.2 IP消息的分析和还原103.1.3对UDP分组进行封装123.1.4对TCP分组进行封装143.1.5 ICMP数据包的封装154实现和分析164.1 WinPcap环境配置164.1.1 WinPcap下载164.1.2 WinPcap配置164.2实现程序164.2.1网络数据收集的基本流程164.2.2网卡信息的获取部174.2.3捕获数据包184.2.4分组20的分析4.3程序编译过程中出现的问题234.4问题的解决234.5程序功能234.5.1程序主画面234.5.2工具栏244.6程序执行结果265总结和展望285.1正文的主要工作285.2展望28谢词29参考文献30网络捕获和协议分析软件的设计与开发摘要：网络包捕获是网络分析的基础，通过在Windows操作系统平台上论述网络包捕获模式，详细介绍和分析基于NDIS的优秀包捕获开发包WinPcap的结构和功能实现了一种在VC 6.0环境下利用WinPcap提供的每个接口函数对网卡进行编程以捕获和分析网络分组的方法，强调了分组捕获在网络分析中的应用。关键字：数据包捕获、数据包、WinPcap设计和开发apacketcapture与协议分析软件.abstract:networkpacketcaptionistheprecitionfornetworkaptionandthemodesoftworkdataption thestructureandfinconfofwinpcapbase dedindetail andhowtoprogrationthenetworkadardandhowtocaptionandanalyzethenetworkdatapacketthroughwinpcaparerealizedundertheenvi theapplicationsofnetworkdatacturefornetworkanalysisnarratedidetail。key words :分组捕获，数据分组，WinPcap1绪言1.1课题源随着互联网技术的迅速发展和互联网时代的到来，互联网的影响渗透到国民经济的各领域和人民生活的各方面，社会整体对网络的依赖度越来越大，全世界通过网络迅速一体化，而计算机网络则是连接形式的多样性， 由于终端分布的不均匀性和网络的开放性、互连性等特征，网络容易受到黑客、恶意软件和其他不轨的攻击。 广义上，关于网络信息的机密性、完整性、可用性、完整性和控制性的技术和理论都是网络安全应该研究的领域。 与网络安全相关的内容既有技术问题，也有管理问题，双方必须互相补充。 技术方面主要以防止外部非法用户的攻击为重点，管理方面主要以内部人为管理为重点。 更有效地保护重要的信息数据和提高计算机网络系统的安全性，已经成为所有计算机网络应用都必须考虑和解决的重要问题。网络数据的安全性是指保护网络系统的硬件、软件和数据信息，防止由于偶然或恶意原因而破坏、更改、泄露，同时确保系统持续工作，防止网络服务中断。 但是在现实中，没有绝对安全的网络1。 IT行业企业团体ITAA的调查显示，90%的美国IT企业缺乏黑客攻击的准备。现在，美国75%到85%的网站无法抵抗黑客的攻击，约75%的企业在网络上被盗信息，其中25%的企业损失了25万美元以上。 因此，了解网络面临的各种威胁，防止、消除这些威胁，实现真正的网络安全已经成为网络发展中最重要的事情。1.2当今的网络数据安全现状因为计算机网络的核心是网络协议，所以研究协议和网络安全的关系很重要。 目前，网络中使用的协议都是先前设计的，许多协议的实现非常友好，是基于通信双方充分信赖的基础。 在通常的网络环境中，用户的信息包括密码在内也在网络上以明文形式被传送，如果将网络接口设定为监听模式，则能够一个接一个地截取在网络上传输的信息，因此，进行网络监听并不困难获得用户的信息例如，虽然目前最广泛使用的TCP/IP协议有很多安全缺陷，但很多网络攻击对这些安全缺陷造成，因为FTP、POP、Telnet协议本质上不安全。 1994年发现了最大的监听程序(Sniffer，网络数据监听程序)攻击，这次攻击一般被认为是记录中最严重的，攻击者在Rahul.Net，因此以FTP、Telnet或远程登录的主机系统在这个事故中，嗅探只运行了18个小时。 在这期间，数百台主机泄露了。 攻击者包括麻省理工大学、美国海军和空军、SUN微系统公司、IBM、NASA、CERFNET和加拿大、以色列、荷兰、比利时大学的机器等268个站点。协议的安全认证方式也有弱点，容易受到“中间服务器”方式的攻击。 “中间服务器”攻击方式是指接收“中间服务器”冒充真服务器发送给服务器的数据，然后冒充用户将数据发送给真服务器。 如果服务器和用户之间的数据传输被转发到“中间服务器”并被加工，则会产生严重的问题。 例如，冒充域名服务器的攻击，即DNS欺骗。 这是攻击者冒充域服务器的欺诈行为，主要用于向主机提供错误的DNS信息，如果用户尝试阅览网页，例如，IP地址为XXX.XX.XX.XX，www.XXXXX.com， 实际登录的确实IP地址是YYY.YY.YY.YY的www.XXXX.com，用户只能阅览攻击者的主页，以盗取网络上的银行登录证明书和帐户信息。 据统计，目前，网络攻击手段已成千上万的美国商务杂志信息周刊发表的一份调查报告显示，黑客攻击和病毒等安全问题在2000年造成了数兆美元的经济损失，世界上每隔几秒就发生一次对网络的各种攻击事件。1.3网络数据安全的技术研究为了确保网络的安全和防止网络攻击，除了信息采用加密技术外，还采用防火墙技术、入侵监视技术、安全扫描技术、协议分析技术、分组生成技术等与网络协议有关的网络安全手段。 在这些技术中，数据包的捕获和分析是最重要的手段，是许多网络安全技术实现的基础。2主要技术介绍2.1数据包的介绍“分组”是TCP/IP协议通信传输中的数据单元，通常也称为“分组”。 似乎有人说通过局域网传输的不是“帧”，TCP/IP协议在OSI模型的第3层(网络层)、第4层(传输层)上工作，帧在第2层(数据链路层)上工作由于上层内容是通过下层内容传输的，所以在局域网中，“分组”包含在“帧”中。 图像的几个例子说明了包的概念。 在邮局邮寄产品时，产品本身有自己的包装，但是邮寄时不能明确只用产品的原始包装。 如果不把内置产品的箱子放进邮局指定的专用纸箱里，就不能邮寄。 其中，产品的箱子相当于数据包，里面的产品相当于可用的数据，专用箱子相当于帧，每帧只有一个数据包。 “包”听起来很抽象，但是通过一定的技术手段，能感知数据包的存在。 例如，如果可以使用互联网，将鼠标移动到任务栏右下角的nic图标上并单击，就会如图2-1所示显示“发送：数据包，接收：数据包”的信息。图2-1网络连接状态我们在互联网上打开网页这种简单的动作，是我们首先把数据包发送到web站点，在web站点收到后，根据发送的数据包的IP地址，网页的数据包，即网页的阅览，实际上是pap 通过捕获包，并分析这些数据，可以知道转发网络上的这些包的信息。 如何捕获这些数据包呢？的人呢？2.2网络包的捕获原理由于当前被使用最多的网络形式是以太网2，因此在以太网上，数据以被称为帧的数据结构单位来交换，并且帧(分组)是具有冲突检测的载波侦听多址的csma/CD (电信接入接入接入dimplectionaccedctionaccedctionaccederivementaccedimp，电信接入DD )在该方法中，发送到指定地址的帧实际上是发送给所有计算机的，但是网卡通过该基于CSMS/CD的广播机制使连接到网络的计算机能够捕获来自其他主机的数据，只要配置网络接口，网卡就能接收通过该机器的所有数据此处，本稿不讨论通过设置硬路由器的监听端口来捕捉包的方式。从广义上看，包捕获机构由三个主要部分组成。 首先，特定操作系统的分组捕捉机构，以及最上层的用户程序的接口，第三部分是分组过滤机构。 根据操作系统的不同，实现的基础包捕获机制可能不同，但形式上相似。 分组的正常传输路径到达网卡、设备驱动层、数据链路层、IP层、传输层，并且最后到达应用程序。 包捕捉机构在数据链路层追加旁路处理，进行过滤/缓冲接收到的包等相关处理，最后直接传递给应用程序。 值得注意的是，包的捕获机制是操作系统不影响包的网络堆栈处理. 对于用户程序，包捕获机制提供了一个统一的接口，使用户程序只需调用几个函数就能获取所需的包。 这样，特定操作系统的捕获机制对用户是透明的，用户程序的可移植性也得到提高。 分组过滤机构根据用户的请求来筛选捕捉到的分组，最终仅将满足过滤条件的分组传递给用户程序。2.3网络分组的捕获方法2.3.1原始插座套接字“3”是网络应用程序的编程接口。 应用程序可以用于网络通信，而无需了解基础发生的细节。 有时想生成自己定制的分组和功能，绕过插座的功能，原始插座(raw插座)满足这样的要求。 原始套接字可以生成自己的数据消息，并且包含申请和数据报本身的内容。 原始套接字允许您更自由地控制Windows中的各种协议，并控制作为网络基础的传输机制。原始套接字可以用于发送和接收IP层或更高层的原始包，如ICMP、TCP和UDP，并控制网络的基础传输机制。 原始插座的作用主要有以下三个1 )接收发往本装置的ICMP、IGMP协议包，或者发送这些协议包2 )接收发往本装置的IP分组3 )发送定制的IP分组。2.3.2 LibPcapLibPcap4是被广泛使用的系统捕获库。 LibPcap与系统无关，是一种采用包捕获机制的包捕获库，采用在不同平台上统一的编程接口，以访问数据链路层，并由LibPcap创建的程序同