網(wǎng)絡(luò)嗅探器的設(shè)計(jì)與實(shí)現(xiàn)-畢業(yè)設(shè)計(jì)

1、 畢業(yè)論文題目： 網(wǎng)絡(luò)嗅探器的設(shè)計(jì)與實(shí)現(xiàn) 學(xué)院： 數(shù)學(xué)與信息工程學(xué)院 專業(yè)： 計(jì)算機(jī)科學(xué)與技術(shù) 此畢業(yè)設(shè)計(jì)還包括以下文件，需要的下載后留下郵箱方便發(fā)給大家網(wǎng)絡(luò)嗅探器的設(shè)計(jì)與實(shí)現(xiàn)摘要：嗅探器，英文可以翻譯為Sniffer，是一種基于被動偵聽原理的網(wǎng)絡(luò)分析方式。使用這種技術(shù)方式，可以監(jiān)視網(wǎng)絡(luò)的狀態(tài)、數(shù)據(jù)流動情況以及網(wǎng)絡(luò)上傳輸?shù)男畔?。?shí)際上Sniffer技術(shù)被廣泛地應(yīng)用于網(wǎng)絡(luò)故障診斷、協(xié)議分析、應(yīng)用性能分析和網(wǎng)絡(luò)安全保障等各個領(lǐng)域。本次設(shè)計(jì)完成了一個較為簡單的嗅探器，它實(shí)現(xiàn)了對本機(jī)的網(wǎng)絡(luò)監(jiān)控的作用，對IP包進(jìn)行了分析，獲得其運(yùn)行的信息。信息包括了源IP地址，目標(biāo)IP地址，協(xié)議，時間，吞吐量，識別碼，

2、校驗(yàn)碼，長度等等。也可以保存所需要的包信息，也可選擇所要嗅探的協(xié)議類型，以便獲得要想的信息。同時，通過POP3服務(wù)器設(shè)置端口的值來獲取數(shù)據(jù)包，得到登入郵箱的帳號和密碼。關(guān)鍵詞：嗅探器；協(xié)議；數(shù)據(jù)包；監(jiān)聽；吞吐量Design and Implementation of snifferZhang yin(College of Mathematics and Information Engineering, Jinxing University)Abstract： Sniffer, can be translated into English Sniffer,is a passive network

3、 analysis method based on the principle of listener. The use of such technology, can monitor the status of networks, data flows and information of network transmission. In fact Sniffer technology is widely used in network diagnosis, analysis of the agreement, performance analysis of the application

4、and network security, and other fields.The design complete a relatively simple sniffer, it realized that the local network monitoring role, analysis the information of IP packet and get their information about the running system. Information includes the source address,destination address, protocol,

5、 time, throughput, identification, checking code, length and so on. It can save the information of required packet, and can choose the type of protocol to be sniffing, in order to get to the information.Meanwhile,it can get the Emails log-mail account and password by analysis the port valu of the PO

6、P3 Server.Keywords：Sniffer; Protocol; Data packet; Monitor; Throughput目 錄1 緒論41.1 課題背景41.2 網(wǎng)絡(luò)嗅探器的概述51.2.1 網(wǎng)絡(luò)嗅探器的概念與原理51.2.2 網(wǎng)絡(luò)嗅探的檢測和防范61.2.3 網(wǎng)絡(luò)嗅探器軟件需要解決的問題72 網(wǎng)絡(luò)嗅探器設(shè)計(jì)相關(guān)技術(shù)簡述72.1 在交錯環(huán)境下的嗅探技術(shù)72.1.1 ARP欺騙72.1.2 交換機(jī)MAC地址表溢出82.1.3 MAC地址偽造82.1.4 ICMP路由器發(fā)現(xiàn)協(xié)議欺騙82.1.5 ICMP重定向攻擊82.2 C#語言編程92.3 網(wǎng)絡(luò)協(xié)議92.3.1 IP92.3

7、.2 TCP102.3.3 UDP103 系統(tǒng)需求分析113.1 系統(tǒng)性能要求113.2 軟件實(shí)現(xiàn)的功能114 網(wǎng)絡(luò)嗅探器的相關(guān)拓展13總 結(jié)15致 謝15參考文獻(xiàn)16附 件171 緒論嗅探器，Sniffer是一種常用的收集有用數(shù)據(jù)方法，這些數(shù)據(jù)可以是用戶的帳號和密碼，可以是一些商用機(jī)密數(shù)據(jù)等等。Sniffer可以作為能夠捕獲網(wǎng)絡(luò)報(bào)文的設(shè)備，IIS是這樣給Sniffer定義的：Sniffer是利用計(jì)算機(jī)的網(wǎng)絡(luò)接口截獲目的地為其他計(jì)算機(jī)的數(shù)據(jù)報(bào)文的一種工具。1Sniffer的正當(dāng)用處主要是分析網(wǎng)絡(luò)的流量，以便找出所關(guān)心的網(wǎng)絡(luò)中潛在的問題。在合理的網(wǎng)絡(luò)中，Sniffer的存在對系統(tǒng)管理員是致關(guān)重要

8、的，系統(tǒng)管理遠(yuǎn)通過它可以診斷出大量的不可見模糊問題，這些問題涉及兩臺乃至多臺計(jì)算機(jī)之間的異常通訊有些甚至牽涉到各種的協(xié)議，借助于Sniffer系統(tǒng)管理員可以方便的確定出多少的通訊量屬于哪個網(wǎng)絡(luò)協(xié)議、占主要通訊協(xié)議的主機(jī)等等，這些信息為管理員判斷網(wǎng)絡(luò)問題、管理網(wǎng)絡(luò)區(qū)域提供了非常寶貴的信息。計(jì)算機(jī)網(wǎng)絡(luò)與電話電路不同，計(jì)算機(jī)網(wǎng)絡(luò)是共享通訊通道的。共享意味著計(jì)算機(jī)能夠接收到發(fā)送給其它計(jì)算機(jī)的信息。捕獲在網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)信息就稱為sniffing（竊聽）。1.1 課題背景Sniffer網(wǎng)絡(luò)嗅探器，它與當(dāng)前的網(wǎng)絡(luò)生活有很大的關(guān)系，一些網(wǎng)絡(luò)管理員普遍應(yīng)用它，也有很多黑客通過使用它來獲得他們想要的信息資料。與

9、電話線路不同，計(jì)算機(jī)網(wǎng)絡(luò)是共享通信通道的，著就意味著計(jì)算機(jī)能夠接收到發(fā)送給其他計(jì)算機(jī)的信息。捕獲在網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)信息就稱為Sniffing(竊聽)。在內(nèi)部網(wǎng)上，黑客要想迅速獲得大量的帳號（包括用戶名和密碼），最有效的手段是使用 Sniffer程序。這種方法要求運(yùn)行Sniffer程序的主機(jī)和被監(jiān)聽的主機(jī)必須在同一個以太網(wǎng)段上。以太網(wǎng)Sniffing則是對以太網(wǎng)設(shè)備上傳送的數(shù)據(jù)包進(jìn)行偵聽，來探測感興趣的包。如果發(fā)現(xiàn)符合條件的包，就把它存到一個LOG文件中去。通常設(shè)置的這些條件是包含username或者password字的包。Sniffer通常運(yùn)行在路由器或有路由器功能的主機(jī)，這樣就能對大量的數(shù)據(jù)

10、的進(jìn)行監(jiān)控。Sniffer屬于第二層次的攻擊，通常是攻擊者已經(jīng)進(jìn)入了目標(biāo)系統(tǒng)后，再使用Sniffer這種攻擊手段，以便得到更多的信息。2信息革命正在改造我們的生活，這場革命早在工業(yè)化進(jìn)程中就開始孕育。20世紀(jì)50年代前的電報(bào)電話等基礎(chǔ)通信技術(shù)和計(jì)算機(jī)技術(shù)的出現(xiàn)，為20世紀(jì)60年代計(jì)算機(jī)聯(lián)網(wǎng)實(shí)驗(yàn)提供了最初的條件，20世紀(jì)70年代半導(dǎo)體微電子技術(shù)的飛躍以及數(shù)字花技術(shù)的成熟為計(jì)算機(jī)網(wǎng)絡(luò)走出軍事的封鎖環(huán)境、研究所和校園的象牙之塔奠定了技術(shù)基礎(chǔ)。美國著名的未來學(xué)家阿爾溫.托夫勒很早就預(yù)感到信息革命的巨大影響，出版了他的“第三次浪潮”等名著。他深刻地指出：“電腦網(wǎng)絡(luò)的建立與普及將徹底地改變?nèi)祟惖纳婕吧?/p>

11、模式，而控制與掌握網(wǎng)絡(luò)的人就是人類未來的主宰。誰掌握了信息，控制了網(wǎng)絡(luò)，誰就擁有整個世界?！眘niffers(嗅探器)幾乎和internet有一樣久的歷史了。Sniffer是一種常用的收集有用數(shù)據(jù)方法，這些數(shù)據(jù)可以是用戶的帳號和密碼，可以是一些商用機(jī)密數(shù)據(jù)等等。隨著Internet及電子商務(wù)的日益普及，Internet的安全也越來越受到重視。在Internet安全隱患中扮演重要角色之一的Sniffer以受到越來越大的關(guān)注。31.2 網(wǎng)絡(luò)嗅探器的概述1.2.1 網(wǎng)絡(luò)嗅探器的概念與原理通常在同一個網(wǎng)段的所有網(wǎng)絡(luò)接口都有訪問在物理媒體上傳輸?shù)乃袛?shù)據(jù)的能力，而每個網(wǎng)絡(luò)接口都還應(yīng)該有一個硬件地址，該硬

12、件地址不同于網(wǎng)絡(luò)中存在的其他網(wǎng)絡(luò)接口的硬件地址，同時，每個網(wǎng)絡(luò)至少還要一個廣播地址。在正常情況下，一個合法的網(wǎng)絡(luò)接口應(yīng)該只響應(yīng)這樣的兩種數(shù)據(jù)幀：1、幀的目標(biāo)區(qū)域具有和本地網(wǎng)絡(luò)接口相匹配的硬件地址。2、幀的目標(biāo)區(qū)域具有廣播地址。在接受到上面兩種情況的數(shù)據(jù)包時，nc通過cpu產(chǎn)生一個硬件中斷，該中斷能引起操作系統(tǒng)注意，然后將幀中所包含的數(shù)據(jù)傳送給系統(tǒng)進(jìn)一步處理。而sniffer就是一種能將本地nc狀態(tài)設(shè)成（promiscuous）狀態(tài)的軟件，當(dāng)nc處于這種混雜方式時，該nc具備廣播地址，它對所有遭遇到的每一個幀都產(chǎn)生一個硬件中斷以便提醒操作系統(tǒng)處理流經(jīng)該物理媒體上的每一個報(bào)文包。（絕大多數(shù)的nc具

13、備置成promiscuous方式的能力）可見，sniffer工作在網(wǎng)絡(luò)環(huán)境中的底層，它會攔截所有的正在網(wǎng)絡(luò)上傳送的數(shù)據(jù)，并且通過相應(yīng)的軟件處理，可以實(shí)時分析這些數(shù)據(jù)的內(nèi)容，進(jìn)而分析所處的網(wǎng)絡(luò)狀態(tài)和整體布局。值得注意的是：sniffer是極其安靜的，它是一種消極的安全攻擊。Sniffer程序是一種利用以太網(wǎng)的特性把網(wǎng)絡(luò)適配卡（NIC，一般為以太網(wǎng)卡）置為雜亂（promiscuous）模式狀態(tài)的工具，一旦網(wǎng)卡設(shè)置為這種模式，它就能接收傳輸在網(wǎng)絡(luò)上的每一個信息包。普通的情況下，網(wǎng)卡只接收和自己的地址有關(guān)的信息包，即傳輸?shù)奖镜刂鳈C(jī)的信息包。要使Sniffer能接收并處理這種方式的信息，系統(tǒng)需要支持BP

14、F，Linux下需要支持SOCKET一PACKET。但一般情況下，網(wǎng)絡(luò)硬件和TCPIP堆棧不支持接收或者發(fā)送與本地計(jì)算機(jī)無關(guān)的數(shù)據(jù)包，所以，為了繞過標(biāo)準(zhǔn)的TCPIP堆棧，網(wǎng)卡就必須設(shè)置為我們剛開始講的混雜模式。一般情況下，要激活這種方式，內(nèi)核必須支持這種偽設(shè)備Bpfilter，而且需要root權(quán)限來運(yùn)行這種程序，所以sniffer需要root身份安裝，如果只是以本地用戶的身份進(jìn)入了系統(tǒng)，那么不可能喚探到root的密碼，因?yàn)椴荒苓\(yùn)行Sniffer。也有基于無線網(wǎng)絡(luò)、廣域網(wǎng)絡(luò)(DDN, FR)甚至光網(wǎng)絡(luò)(POS、Fiber Channel)的監(jiān)聽技術(shù)，這時候略微不同于以太網(wǎng)絡(luò)上的捕獲概念，其中通常

15、會引入TAP (測試介入點(diǎn))這類的硬件設(shè)備來進(jìn)行數(shù)據(jù)采集。41.2.2 網(wǎng)絡(luò)嗅探的檢測和防范網(wǎng)絡(luò)監(jiān)聽是很難被發(fā)現(xiàn)的，因?yàn)檫\(yùn)行網(wǎng)絡(luò)監(jiān)聽的主機(jī)只是被動地接收在局域局上傳輸?shù)男畔?，不主動的與其他主機(jī)交換信息，也沒有修改在網(wǎng)上傳輸?shù)臄?shù)據(jù)包。51. 對可能存在的網(wǎng)絡(luò)監(jiān)聽的檢測(1)對于懷疑運(yùn)行監(jiān)聽程序的機(jī)器，用正確的IP地址和錯誤的物理地址ping，運(yùn)行監(jiān)聽程序的機(jī)器會有響應(yīng)。這是因?yàn)檎５臋C(jī)器不接收錯誤的物理地址，處理監(jiān)聽狀態(tài)的機(jī)器能接收，但如果他的IP stack不再次反向檢查的話，就會響應(yīng)。(2)向網(wǎng)上發(fā)大量不存在的物理地址的包，由于監(jiān)聽程序要分析和處理大量的數(shù)據(jù)包會占用很多的CPU資源，這將導(dǎo)致

16、性能下降。通過比較前后該機(jī)器性能加以判斷。這種方法難度比較大。(3)使用反監(jiān)聽工具如antisniffer等進(jìn)行檢測2. 對網(wǎng)絡(luò)監(jiān)聽的防范措施(1)從邏輯或物理上對網(wǎng)絡(luò)分段網(wǎng)絡(luò)分段通常被認(rèn)為是控制網(wǎng)絡(luò)廣播風(fēng)暴的一種基本手段，但其實(shí)也是保證網(wǎng)絡(luò)安全的一項(xiàng)措施。其目的是將非法用戶與敏感的網(wǎng)絡(luò)資源相互隔離，從而防止可能的非法監(jiān)聽。(2)以交換式集線器代替共享式集線器對局域網(wǎng)的中心交換機(jī)進(jìn)行網(wǎng)絡(luò)分段后，局域網(wǎng)監(jiān)聽的危險(xiǎn)仍然存在。這是因?yàn)榫W(wǎng)絡(luò)最終用戶的接入往往是通過分支集線器而不是中心交換機(jī)，而使用最廣泛的分支集線器通常是共享式集線器。這樣，當(dāng)用戶與主機(jī)進(jìn)行數(shù)據(jù)通信時，兩臺機(jī)器之間的數(shù)據(jù)包(稱為單播包U

17、nicast Packet)還是會被同一臺集線器上的其他用戶所監(jiān)聽。因此，應(yīng)該以交換式集線器代替共享式集線器，使單播包僅在兩個節(jié)點(diǎn)之間傳送，從而防止非法監(jiān)聽。當(dāng)然，交換式集線器只能控制單播包而無法控制廣播包(Broadcast Packet)和多播包(Multicast Packet)。但廣播包和多播包內(nèi)的關(guān)鍵信息，要遠(yuǎn)遠(yuǎn)少于單播包。(3)使用加密技術(shù)數(shù)據(jù)經(jīng)過加密后，通過監(jiān)聽仍然可以得到傳送的信息,但顯示的是亂碼。使用加密技術(shù)的缺點(diǎn)是影響數(shù)據(jù)傳輸速度以及使用一個弱加密術(shù)比較容易被攻破。系統(tǒng)管理員和用戶需要在網(wǎng)絡(luò)速度和安全性上進(jìn)行折中。(4)劃分VLAN運(yùn)用VLAN(虛擬局域網(wǎng))技術(shù)，將以太網(wǎng)通

18、信變?yōu)辄c(diǎn)到點(diǎn)通信，可以防止大部分基于網(wǎng)絡(luò)監(jiān)聽的入侵。1.2.3 網(wǎng)絡(luò)嗅探器軟件需要解決的問題1、學(xué)習(xí)C#語言，了解網(wǎng)絡(luò)數(shù)據(jù)報(bào)的詳解。實(shí)現(xiàn)各種功能的編程。2、了解網(wǎng)絡(luò)嗅探器的工作原理。還有之前需要一定的準(zhǔn)備知識，如：HUB工作原理，網(wǎng)卡工作原理，局域網(wǎng)工作原理等等。3、網(wǎng)絡(luò)報(bào)文的解析和協(xié)議解析問題。本次設(shè)計(jì)中主要的問題是TCP和UDP的嗅探已經(jīng)針對使用OutLook Express時的用戶名和密碼的嗅探。2 網(wǎng)絡(luò)嗅探器設(shè)計(jì)相關(guān)技術(shù)簡述2.1 在交錯環(huán)境下的嗅探技術(shù)2.1.1 ARP欺騙在基于IP通信的內(nèi)部網(wǎng)中，我們可以使用 ARP欺騙的手段，ARP欺騙攻擊的根本原理是因?yàn)橛?jì)算機(jī)中維護(hù)著一個 AR

19、P高速緩存，并且這個ARP高速緩存是隨著計(jì)算機(jī)不斷的發(fā)出ARP請求和收到ARP響應(yīng)而不斷的更新的，ARP高速緩存的目的是把機(jī)器的IP地址和MAC地址相互映射。你可以使用 arp命令來查看你自己的 ARP高速緩存。假設(shè)機(jī)器A：IP地址為 ,MAC地址為 20-53-52-43-00-01 ,機(jī)器B：IP地址為 ,MAC地址為20-53-52-43-00-02,機(jī)器C：IP地址為 ,MAC地址為20-53-52-43-00-03 ?，F(xiàn)在機(jī)器B向機(jī)器A發(fā)出一個 ARP Reply（協(xié)議沒有規(guī)定一定要等ARP Request出現(xiàn)才能發(fā)送ARPRepl

20、y，也沒有規(guī)定一定要發(fā)送過ARP Request才能接收ARPReply），其中的目的IP地址為，目的MAC地址為20-53-52-43-00-01 ，而源IP地址為，源MAC地址為20-53-52-43-00-02 ，好了，現(xiàn)在機(jī)器A更新了他的 ARP高速緩存，并相信了IP地址為的機(jī)器的MAC地址是20-53-52-43-00-02 。當(dāng)機(jī)器A發(fā)出一條FTP命令時-ftp，數(shù)據(jù)包被送到了Switch，Switch查看數(shù)據(jù)包中的目的地址，發(fā)現(xiàn)MAC為20-53-52-43-00-02，于是，他把數(shù)據(jù)包發(fā)到了機(jī)器B上。你可以同時欺騙

21、他們雙方，完成中間人欺騙攻擊 。 當(dāng)然，在實(shí)際的操作中你還需要考慮到一些其他的事，比如某些操作系統(tǒng)在會主動的發(fā)送ARP請求包來更新相應(yīng)的ARP入口等。62.1.2 交換機(jī)MAC地址表溢出Switch之所以能夠由數(shù)據(jù)包中目的MAC地址判斷出他應(yīng)該把數(shù)據(jù)包發(fā)送到那一個端口上是根據(jù)他本身維護(hù)的一張地址表。對于動態(tài)的地址表，并且地址表的大小是有上限的，可以通過發(fā)送大量錯誤的地址信息而使SWITCH維護(hù)的地址表“溢出”，從而使他變成廣播模式來達(dá)到我們要sniff 機(jī)器A與機(jī)器C之間的通信的目的。2.1.3 MAC地址偽造偽造MAC地址也是一個常用的辦法，不過這要基于你網(wǎng)絡(luò)內(nèi)的Switch是動態(tài)更新其地址

22、表，這和ARP欺騙有些類似，只不過現(xiàn)在你是想要Switch相信你，而不是要機(jī)器A相信你。因?yàn)镾witch是動態(tài)更新其地址表的，你要做的事情就是告訴Switch你是機(jī)器C。換成技術(shù)上的問題你只不過需要向Switch發(fā)送偽造過的數(shù)據(jù)包，其中源MAC地址對應(yīng)的是機(jī)器C的MAC地址，現(xiàn)在Switch就把機(jī)器C和你的端口對應(yīng)起來了。不過同時你需要DOS掉主機(jī)C。2.1.4 ICMP路由器發(fā)現(xiàn)協(xié)議欺騙這主要是由ICMP路由器發(fā)現(xiàn)協(xié)議(IRDP)的缺陷引起的，在Windows95、98、2000及SunOS、Solaris2.6等系統(tǒng)中，都使用了IRDP協(xié)議，SunOS系統(tǒng)只在某些特定的情況下使用該協(xié)議，而

23、Windows95,Windows95b, Windows98, Windows98se, 和Windows2000都是默認(rèn)的使用IRDP協(xié)議。IRDP協(xié)議的主要內(nèi)容就是告訴人們誰是路由器，設(shè)想一下，一個攻擊者利用IRDP宣稱自己是路由器的情況會有多么的糟糕！所有相信攻擊者的請求的機(jī)器把他們所有的數(shù)據(jù)都發(fā)送給攻擊者所控制的機(jī)器。2.1.5 ICMP重定向攻擊所謂ICMP重定向，就是指告訴機(jī)器向另一個不同的路由發(fā)送他的數(shù)據(jù)包，ICMP重定向通常使用在這樣的場合下，假設(shè)A與B兩臺機(jī)器分別位于同一個物理網(wǎng)段內(nèi)的兩個邏輯子網(wǎng)內(nèi)，而A和B都不知道這一點(diǎn)，只有路由器知道，當(dāng)A發(fā)送給B的數(shù)據(jù)到達(dá)路由器的時候

24、，路由器會向A送一個ICMP重定向包，告訴A直接送到B那里就可以了。設(shè)想一下，一個攻擊者完全可以利用這一點(diǎn)，使得A發(fā)送給B的數(shù)據(jù)經(jīng)過他。2.2 C#語言編程為適應(yīng)未來社會的發(fā)展，Microsoft推出了.NET戰(zhàn)略，以此作為下一代的網(wǎng)絡(luò)應(yīng)用基礎(chǔ)。Microsoft的所有產(chǎn)品包括操作系統(tǒng)、辦公軟件和開發(fā)工具等都將轉(zhuǎn)移到.NET平臺撒謊能夠來。.NET所包含的技術(shù)全面而先進(jìn)，必將對今后的軟件開發(fā)和應(yīng)用形式產(chǎn)生巨大的影響，因此，及時地了解與掌握.NET技術(shù)，對于大多數(shù)開發(fā)人員說都是必要的。為了促進(jìn).NET應(yīng)用程序的開發(fā)，Microsoft推出了Visual Studio.NET集成開發(fā)環(huán)境。這個集成

25、環(huán)境中包含了許多強(qiáng)大的工具，并且支持多種編程語言，如：C+托管擴(kuò)展，JAVASCRIPT，DHTML，C#等，其中C#就是Microsoft為適應(yīng)未來網(wǎng)絡(luò)技術(shù)的發(fā)展而推出的新一代的編程語言，它專為.NET戰(zhàn)略所開發(fā)的語言。C#本身作為一種功能強(qiáng)大的編程語言，它從著名的C+進(jìn)化而來，并綜合了C+和JAVA的優(yōu)點(diǎn)，是.NET的主推語言，在.NET中起著不可或缺的作用。72.3 網(wǎng)絡(luò)協(xié)議2.3.1 IP網(wǎng)絡(luò)協(xié)議是網(wǎng)絡(luò)上所有設(shè)備（網(wǎng)絡(luò)服務(wù)器、計(jì)算機(jī)及交換機(jī)、路由器、防火墻等）之間通信規(guī)則的集合，它定義了通信時信息必須采用的格式和這些格式的意義。大多數(shù)網(wǎng)絡(luò)都采用分層的體系結(jié)構(gòu)，每一層都建立在它的下層之上

26、，向它的上一層提供一定的服務(wù)，而把如何實(shí)現(xiàn)這一服務(wù)的細(xì)節(jié)對上一層加以屏蔽。一臺設(shè)備上的第 n層與另一臺設(shè)備上的第n層進(jìn)行通信的規(guī)則就是第n層協(xié)議。在網(wǎng)絡(luò)的各層中存在著許多協(xié)議，接收方和發(fā)送方同層的協(xié)議必須一致，否則一方將無法識別另一方發(fā)出的信息。網(wǎng)絡(luò)協(xié)議使網(wǎng)絡(luò)上各種設(shè)備能夠相互交換信息。常見的協(xié)議有：TCP/IP協(xié)議、IPX/SPX協(xié)議、NetBEUI協(xié)議等。在局域網(wǎng)中用得的比較多的是IPX/SPX.。用戶如果訪問Internet，則必須在網(wǎng)絡(luò)協(xié)議中添加TCP/IP協(xié)議。TCP/IP是“transmission Control Protocol/Internet Protocol”的簡寫，中文

27、譯名為傳輸控制協(xié)議/互聯(lián)網(wǎng)絡(luò)協(xié)議）協(xié)議， TCP/IP（傳輸控制協(xié)議/網(wǎng)間協(xié)議）是一種網(wǎng)絡(luò)通信協(xié)議，它規(guī)范了網(wǎng)絡(luò)上的所有通信設(shè)備，尤其是一個主機(jī)與另一個主機(jī)之間的數(shù)據(jù)往來格式以及傳送方式。TCP/IP是INTERNET的基礎(chǔ)協(xié)議，也是一種電腦數(shù)據(jù)打包和尋址的標(biāo)準(zhǔn)方法。在數(shù)據(jù)傳送中，可以形象地理解為有兩個信封，TCP和IP就像是信封，要傳遞的信息被劃分成若干段，每一段塞入一個TCP信封，并在該信封面上記錄有分段號的信息，再將TCP信封塞入IP大信封，發(fā)送上網(wǎng)。在接受端，一個TCP軟件包收集信封，抽出數(shù)據(jù)，按發(fā)送前的順序還原，并加以校驗(yàn)，若發(fā)現(xiàn)差錯，TCP將會要求重發(fā)。因此，TCP/IP在INTE

28、RNET中幾乎可以無差錯地傳送數(shù)據(jù)。 對普通用戶來說，并不需要了解網(wǎng)絡(luò)協(xié)議的整個結(jié)構(gòu)，僅需了解IP的地址格式，即可與世界各地進(jìn)行網(wǎng)絡(luò)通信。82.3.2 TCP該協(xié)議主要用于在主機(jī)間建立一個虛擬連接，以實(shí)現(xiàn)高可靠性的數(shù)據(jù)包交換。IP協(xié)議可以進(jìn)行IP數(shù)據(jù)包的分割和組裝，但是通過IP協(xié)議并不能清楚地了解到數(shù)據(jù)包是否順利地發(fā)送給目標(biāo)計(jì)算機(jī)。而使用TCP協(xié)議就不同了，在該協(xié)議傳輸模式中在將數(shù)據(jù)包成功發(fā)送給目標(biāo)計(jì)算機(jī)后，TCP會要求發(fā)送一個確認(rèn)；如果在某個時限內(nèi)沒有收到確認(rèn)，那么TCP將重新發(fā)送數(shù)據(jù)包。另外，在傳輸?shù)倪^程中，如果接收到無序、丟失以及被破壞的數(shù)據(jù)包，TCP還可以負(fù)責(zé)恢復(fù)。傳輸控制協(xié)議（Tra

29、nsmission Control Protocol，TCP）是一種面向連接的、可靠的、基于字節(jié)流的運(yùn)輸層通信協(xié)議，通常由IETF的RFC 793說明。在簡化的計(jì)算機(jī)網(wǎng)絡(luò)OSI模型中，它完成運(yùn)輸層所指定的功能。92.3.3 UDP用戶數(shù)據(jù)報(bào)協(xié)議（UDP）是 OSI 參考模型中一種無連接的傳輸層協(xié)議，提供面向事務(wù)的簡單不可靠信息傳送服務(wù)。 UDP 協(xié)議基本上是 IP 協(xié)議與上層協(xié)議的接口。 UDP 協(xié)議適用端口分別運(yùn)行在同一臺設(shè)備上的多個應(yīng)用程序。由于大多數(shù)網(wǎng)絡(luò)應(yīng)用程序都在同一臺機(jī)器上運(yùn)行，計(jì)算機(jī)上必須能夠確保目的地機(jī)器上的軟件程序能從源地址機(jī)器處獲得數(shù)據(jù)包，以及源計(jì)算機(jī)能收到正確的回復(fù)。這是通

30、過使用 UDP 的“端口號”完成的。例如，如果一個工作站希望在工作站 上使用域名服務(wù)系統(tǒng)，它就會給數(shù)據(jù)包一個目的地址 ，并在 UDP 頭插入目標(biāo)端口號 53 。源端口號標(biāo)識了請求域名服務(wù)的本地機(jī)的應(yīng)用程序，同時需要將所有由目的站生成的響應(yīng)包都指定到源主機(jī)的這個端口上。 UDP 端口的詳細(xì)介紹可以參照相關(guān)文章。與 TCP 不同， UDP 并不提供對 IP 協(xié)議的可靠機(jī)制、流控制以及錯誤恢復(fù)功能等。由于 UDP 比較簡單， UDP 頭包含很少的字節(jié)，比 TCP 負(fù)載消耗少。UDP 適用于不需要 TCP 可靠機(jī)制的情形，比如，當(dāng)高層協(xié)議或應(yīng)用程序提供錯

31、誤和流控制功能的時候。 UDP 是傳輸層協(xié)議，服務(wù)于很多知名應(yīng)用層協(xié)議，包括網(wǎng)絡(luò)文件系統(tǒng)（NFS）、簡單網(wǎng)絡(luò)管理協(xié)議（SNMP）、域名系統(tǒng)（DNS）以及簡單文件傳輸系統(tǒng)（TFTP）。103 系統(tǒng)需求分析3.1 系統(tǒng)性能要求1準(zhǔn)確性和及時性軟件處理的準(zhǔn)確性和及時性是軟件的必要性能。在軟件設(shè)計(jì)和開發(fā)過程中，要充分考慮軟件當(dāng)前和將來可能承受的工作量，使軟件的處理能力和響應(yīng)時間能夠滿足企業(yè)對信息處理的需求。2標(biāo)準(zhǔn)性如規(guī)范的界面、作為業(yè)界標(biāo)準(zhǔn)的TCP/IP網(wǎng)絡(luò)協(xié)議所要求的質(zhì)量規(guī)范等；同時，在自主開發(fā)本軟件時，要進(jìn)行良好的設(shè)計(jì)工作，制訂行之有效的軟件工程規(guī)范，保證代碼的易讀性、可操作性和可移植性。3開放性

32、和可擴(kuò)充性網(wǎng)絡(luò)嗅探軟件在開發(fā)過程中，應(yīng)該充分考慮以后的可擴(kuò)充性。例如增添其它功能，用戶的需求也會不斷的更新和完善。所有這些，都要求軟件提供足夠的手段進(jìn)行功能的調(diào)整和擴(kuò)充。而要實(shí)現(xiàn)這一點(diǎn)，應(yīng)通過軟件的開放性來完成，既軟件應(yīng)是一個開放軟件，只要符合一定的規(guī)范，可以簡單的加入和減少軟件的模塊。通過軟件的修補(bǔ)、替換完成軟件的升級和更新?lián)Q代。4易用性和易維護(hù)性由于網(wǎng)絡(luò)嗅探軟件是面向的使用人員廣泛，這些使用人員不一定對計(jì)算機(jī)非常熟悉。這就要求軟件能夠提供良好的用戶接口，易用的人機(jī)交互界面。要實(shí)現(xiàn)這一點(diǎn)，就要求軟件應(yīng)該盡量使用用戶熟悉的術(shù)語和中文信息的界面；針對用戶可能出現(xiàn)的使用問題，要提供足夠的幫助，縮短

33、用戶對軟件熟悉的過程。113.2 軟件實(shí)現(xiàn)的功能如今的電子信息市場上已經(jīng)有很多種類的嗅探軟件，所以可以說是五花八門的功能都已經(jīng)有了，而這次畢業(yè)設(shè)計(jì)我選擇這個課題是因?yàn)橄肓私飧嗑W(wǎng)絡(luò)安全方面的知識。在制作程序的語言上選擇了從未接觸過的C#，所以有一定的難度存在。因此在功能上就實(shí)現(xiàn)了IP數(shù)據(jù)包的截取，分析他們的截獲時間，源地址，目標(biāo)地址，協(xié)議類型，生存時間，版本，優(yōu)先級，頭長度，總長度，校驗(yàn)碼，識別碼，吞吐量，可靠性等信息。而本設(shè)計(jì)設(shè)置了TCP，UDP的識辨，同時為了方便信息的篩選，提供了UDP和TCP的選擇監(jiān)聽。由于這些信息有可能一時間比較難處理，所以又設(shè)置了一個保存功能，用戶可以選擇你想要留下

34、的信息。為了真正意義上實(shí)現(xiàn)嗅探器，我還設(shè)置了POP監(jiān)控，就是說在本機(jī)上的用戶一旦使用了OutLook Express，那么登入的帳號和密碼就會被嗅探出來，從而實(shí)現(xiàn)攻擊。軟件圖示如下：圖1、嗅探器的主界面圖2、選擇后的IP包的詳細(xì)信息4 網(wǎng)絡(luò)嗅探器的相關(guān)拓展網(wǎng)絡(luò)監(jiān)聽是黑客們常用的一種方法。當(dāng)成功地登錄進(jìn)一臺網(wǎng)絡(luò)上的主機(jī)，并取得了這臺主機(jī)的超級用戶的權(quán)限之后，往往要擴(kuò)大戰(zhàn)果，嘗試登錄或者奪取網(wǎng)絡(luò)中其他主機(jī)的控制友。而網(wǎng)絡(luò)監(jiān)聽則是一種最簡單而且最有效的方法，它常常能輕易地獲得用其他方法很難獲得的信息。在網(wǎng)絡(luò)上，監(jiān)聽效果最好的地方是在網(wǎng)關(guān)、路由器、防火墻一類的設(shè)備處，通常由網(wǎng)絡(luò)管理員來操作。使用最方便

35、的是在一個以太網(wǎng)中的任何一臺上網(wǎng)的主機(jī)上，這是大多數(shù)黑客的做法。在電話線路和無線電、微波中監(jiān)聽傳輸?shù)男畔⒈容^好理解，但是人們常常不太理解為什么局域網(wǎng)中可以進(jìn)行監(jiān)聽。甚至有人問：能不能監(jiān)聽不在同一網(wǎng)段的信息。下面就講述在以太網(wǎng)中進(jìn)行監(jiān)聽的一些原理。在令牌環(huán)中，道理是相似的。 對于一個施行網(wǎng)絡(luò)攻擊的人來說，能攻破網(wǎng)關(guān)、路由器、防火墻的情況極為少見，在這里完全可以由安全管理員安裝一些設(shè)備，對網(wǎng)絡(luò)進(jìn)行監(jiān)控，或者使用一些專門的設(shè)備，運(yùn)行專門的監(jiān)聽軟件，并防止任何非法訪關(guān)。然而，潛入一臺不引人注意的計(jì)算機(jī)中，悄悄地運(yùn)行一個監(jiān)聽程序，一個黑客是完全可以做到的。監(jiān)聽是非常消耗CPU資源的，在一個擔(dān)負(fù)繁忙任務(wù)的

36、計(jì)算機(jī)中進(jìn)行監(jiān)聽，可以立即被管理員發(fā)現(xiàn)，因?yàn)樗l(fā)現(xiàn)計(jì)算機(jī)的響應(yīng)速度令人驚奇慢。 對于一臺連網(wǎng)的計(jì)算機(jī)，最方便的是在以太網(wǎng)中進(jìn)行監(jiān)聽，只須安裝一個監(jiān)聽軟件，然后就可以坐在機(jī)器旁瀏覽監(jiān)聽到的信息了。以太網(wǎng)協(xié)議的工作方式為將要發(fā)送的數(shù)據(jù)包發(fā)往連在一起的所有主機(jī)。在包頭中包含著應(yīng)該接收數(shù)據(jù)包的主機(jī)的正確地址。因此，只有與數(shù)據(jù)包中目標(biāo)地址一致的那臺主機(jī)才能接收信包。但是，當(dāng)主機(jī)工在監(jiān)聽模式下，無論數(shù)據(jù)包中的目標(biāo)物理地址是什么，主機(jī)都將接收。 在Internet上，有許多這樣的局域網(wǎng)。幾臺甚至十幾臺主機(jī)通過一條電纜一個集線器連在一起。在協(xié)議的高層或用戶看來，當(dāng)同一網(wǎng)絡(luò)中的兩臺主機(jī)通信時，源主機(jī)將寫有目的主

37、機(jī)IP地址的數(shù)據(jù)包發(fā)向網(wǎng)關(guān)。但是，這種數(shù)據(jù)包并不能在協(xié)議棧的高層直接發(fā)送出去。要發(fā)送的數(shù)據(jù)包必須從TCP/IP協(xié)議的IP層交給網(wǎng)絡(luò)接口，即數(shù)據(jù)鏈路層。 網(wǎng)絡(luò)接口不能識別IP地址。在網(wǎng)絡(luò)接口，由IP層來的帶有IP地址的數(shù)據(jù)包又增加了一部分信息：以太幀的幀頭。在帖頭中，有兩個域分別為只有網(wǎng)絡(luò)接口才能識別的源主機(jī)和目的主機(jī)的物理地址，這是一個48位的地址。這個48位的地址是與IP地址對應(yīng)的。也就是說，一個IP地址，必然對應(yīng)一個物理地址。對于作為網(wǎng)關(guān)的主機(jī)，由于它連接了多個網(wǎng)絡(luò)，因此它同時具有多個IP地址，在每個網(wǎng)絡(luò)中，它都有一個。發(fā)向局域網(wǎng)之外的幀中攜帶的是網(wǎng)關(guān)的物理地址。在以太網(wǎng)中，填寫了物理地址

38、的幀從網(wǎng)絡(luò)接口中，也就是從網(wǎng)卡中發(fā)送出去，傳送到物理的線路上。如果局域網(wǎng)是由一條粗纜或細(xì)纜連接機(jī)而成，則數(shù)字信號在電纜上傳輸，信號能夠到達(dá)線路上的每一臺主機(jī)。當(dāng)使用集線器時，發(fā)送出去的信號到達(dá)集線器，由集線器再發(fā)向連接在信線器上的每一條線路。于是，在物理線路上傳輸?shù)臄?shù)字信號也能到達(dá)連接在集線器上的每一主機(jī)。 數(shù)字信號到達(dá)一臺主機(jī)的網(wǎng)絡(luò)接口時，在正常情況下，網(wǎng)絡(luò)接口讀入數(shù)據(jù)幀，進(jìn)行檢查，如果數(shù)據(jù)幀中攜帶的確良物理地址是自己的，或者物理地址是廣播地址，則將數(shù)據(jù)幀交給上層協(xié)議軟件，也就是IP層軟件，否則就將這個幀丟棄。對于每一個到達(dá)網(wǎng)絡(luò)接口的數(shù)據(jù)幀，都要進(jìn)行這個過程。然而，當(dāng)主機(jī)工作在監(jiān)聽模式下，則

39、所有的數(shù)據(jù)幀都將被交給上層協(xié)議軟件處理。 局域網(wǎng)的這種工作方式，一個形象的例子是，大房間就像是一個共享的信道，里面的每個人好像是一臺主機(jī)。人們所說的話是信息包，在大房間中到處傳播。當(dāng)我們對其中某個人說話時，所有的人都能聽到。但只有名字相同的那個人，才會對這些話語做出反映，進(jìn)行處理。其余的人聽到了這些談話，只能從發(fā)呆中猜測，是否在監(jiān)聽他人的談話。當(dāng)連接在同一條電纜或集線器上的主機(jī)被邏輯地分為幾個子網(wǎng)時，如果一臺主機(jī)處于監(jiān)聽模式下，它還能接收到發(fā)向與自己不在同一子網(wǎng)(使用了不同的掩碼、IP地址和網(wǎng)關(guān))的主機(jī)的那些信包。也就是說，在同一條物理信道上傳輸?shù)乃行畔⒍伎梢员唤邮盏健Ａ硗?，要說明的是，In

40、ternet中使用的大部分協(xié)議都是很早設(shè)計(jì)的，許多協(xié)議的實(shí)現(xiàn)都是基于一種非常友好的，通信的雙方充分信任的基礎(chǔ)之上。因此，直到現(xiàn)在，網(wǎng)絡(luò)安全還是非常脆弱的。在通常的網(wǎng)絡(luò)環(huán)境下，用戶的所有信息，包手戶頭和口令信息都是以明文的方式在網(wǎng)上傳輸。因此，對于一個網(wǎng)絡(luò)黑客和網(wǎng)絡(luò)攻擊者進(jìn)行網(wǎng)絡(luò)監(jiān)聽，獲得用戶的各種信息并不是一件很困難的事。只要具有初步的網(wǎng)絡(luò)和TCP/IP協(xié)議知識，便能輕易地從監(jiān)聽到的信息中提取出感興趣的部分。12首先，網(wǎng)絡(luò)監(jiān)聽軟件運(yùn)行時，需要消耗大量的處理器時間，如果在此時，就詳細(xì)地分析包中的內(nèi)容，許多包就會來不信接收而漏掉。因此，網(wǎng)絡(luò)監(jiān)聽軟件通常都是將監(jiān)聽到的包存放在文件中，待以后再分析。其

41、次，網(wǎng)絡(luò)中的數(shù)據(jù)包非常復(fù)雜，兩臺主機(jī)之間即使連續(xù)發(fā)送和接受數(shù)據(jù)包，在監(jiān)聽到的結(jié)果中，中間必然會夾雜了許多別的主機(jī)交互的數(shù)據(jù)包。監(jiān)聽軟件將同一TCP會話的包整理到一起，已經(jīng)是很不錯了。如果還希望將用戶的詳細(xì)信息整理出瞇，需要根據(jù)協(xié)議對包進(jìn)行大量的分析。面對網(wǎng)絡(luò)上如此眾多的協(xié)議，這個監(jiān)聽軟件將會十分龐大?？?結(jié)本文主要研究了網(wǎng)絡(luò)嗅探器的基本原理，相關(guān)技術(shù)，探討了網(wǎng)絡(luò)嗅探器的實(shí)現(xiàn)方法。在此基礎(chǔ)上，設(shè)計(jì)并實(shí)現(xiàn)了這個網(wǎng)絡(luò)嗅探器。主要工作包括：（1）掌握網(wǎng)絡(luò)嗅探器的出現(xiàn)與發(fā)展、概念與基本原理。（2）在掌握C# 編程基礎(chǔ)上，進(jìn)行IP數(shù)據(jù)包的截取和分析，同時對TCP和IP進(jìn)行不同分析。（3）利用上述知識，研究

42、并開發(fā)了網(wǎng)絡(luò)嗅探器，經(jīng)實(shí)踐證明，其能有效地工作。致 謝論文完成之際，首先向我尊敬的導(dǎo)師郭步老師表示衷心的感謝。郭步老師在我的畢業(yè)設(shè)計(jì)研究過程中不斷的給予幫助和耐心的指導(dǎo)畢業(yè)設(shè)計(jì)的注意點(diǎn)，對我的學(xué)習(xí)進(jìn)程和研究方向提出了可貴的建議，并在百忙之中對課題研究給予了指導(dǎo)和幫助，使我順利完成論文并實(shí)現(xiàn)了網(wǎng)絡(luò)嗅探器的功能要求。同時我也要衷心的感謝給我們?nèi)握n的各位老師，謝謝你們在大學(xué)四年的時間里耐心的細(xì)心教學(xué)，讓我在計(jì)算機(jī)方面有很大的進(jìn)步，把我完全的洗腦了，使我成功的從“電腦”跨越到“計(jì)算機(jī)”，再次謝謝所有老師，謝謝！參考文獻(xiàn)1小彭.網(wǎng)絡(luò)竊聽器嗅探器J.電腦愛好者.2002年，24期：32頁2戴英俠，許劍卓等

43、.計(jì)算機(jī)網(wǎng)絡(luò)安全M.北京：清華大學(xué)出版社.2005.13哈頓.穆格(譯). 網(wǎng)絡(luò)安全手冊(黑客札記) M,2004 4石志國，薛為民，尹浩. 計(jì)算機(jī)網(wǎng)絡(luò)安全教程M. 清華大學(xué)出版社. 2007.02.5劉文濤.絡(luò)安全開發(fā)包詳解M.北京：電子工業(yè)出版社.2005.106蔡開裕.范金鵬. 計(jì)算機(jī)網(wǎng)絡(luò)M.北京: 機(jī)械工業(yè)出版社.7胡道元. 網(wǎng)絡(luò)設(shè)計(jì)師M.北京:清華大學(xué)出版社,2001.58小高知宏著，葉明譯.TCPIP數(shù)據(jù)包分析程序篇M.北京：科學(xué)出版社.20039井口信和著，吳松芝等譯 .TCPIP網(wǎng)絡(luò)工具篇M.北京：科學(xué)出版社.200310謝希仁.計(jì)算機(jī)網(wǎng)絡(luò)（第四版）M.北京：電子工業(yè)出版社.2

44、003.611武新華.翟長霖. 黑客攻防秘技大曝光 M.清華大學(xué)出版社,2006.1112蔡勇，錢兆豐，何正宏等.防毒反黑，就這么幾招M.北京：中國電力出版社.200513 R. Agrawal and R. Srikant. Fast algorithms for mining association rules in large databasesM. In Research Report RJ 9839, Almaden. San Jose, CA, June 199414 Bernadette Schell. Webster's New World Hacker Diction

45、aryJ.2006.12.15 W.Richard Stevens. TCP/IP Illustracted Volum 1:The ProtocolsM. Addison Wesley/Pearson. 1999.11附 件主界面代碼部分：using System;using System.Drawing;using System.Collections;using System.ComponentModel;using System.Windows.Forms;using System.Data;using System.Net;namespace PacketMonitor public

46、 class PacketMonitormForm : System.Windows.Forms.Form private delegate void UpdatePacketList(Packet p); private ArrayList users; private string user; private MenuItem popMonitor; private string pass; public PacketMonitormForm() InitializeComponent();Initialize(); users = new ArrayList();protected ov

47、erride void Dispose( bool disposing ) if( disposing ) if (components != null) components.Dispose();base.Dispose( disposing );static void Main() try Application.Run(new PacketMonitormForm(); catch (Exception e) MessageBox.Show(e.Message, "M Packet Monitor", MessageBoxButtons.OK,

48、MessageBoxIcon.Error);private void Initialize() / get all interfaces on this computer and list themIPAddress hosts = Dns.Resolve(Dns.GetHostName().AddressList;if (hosts.Length = 0)throw new NotSupportedException("This computer does not have non-loopback interfaces installed!");for(int i =

49、0; i < hosts.Length; i+) MonitorMenuItem.MenuItems.Add(hostsi.ToString(), new EventHandler(this.OnHostsClick);HostsMenu.MenuItems.Add(hostsi.ToString(), new EventHandler(this.OnHostsClick);m_PacketMonitors = new PacketMonitorHostsMenu.MenuItems.Count;for(int i = 0; i < m_PacketMonitors.Length;

50、 i+) m_PacketMonitorsi = new PacketMonitor(hostsi);m_PacketMonitorsi.NewPacket += new NewPacketEventHandler(this.OnNewPacket); m_PacketMonitorsi.NewPacket += new NewPacketEventHandler(this.EmailSniffer);m_Packets = new ArrayList();private void PacketMonitormForm_Closing(object sender, CancelEventArg

51、s e) OnToolBarClick(this, new ToolBarButtonClickEventArgs(StopButton);public void OnToolBarClick(object sender, ToolBarButtonClickEventArgs e) if (e.Button = StopButton) / stop listening on all interfacesfor(int i = 0; i < m_PacketMonitors.Length; i+) m_PacketMonitorsi.Stop();HostsMenu.MenuItemsi

52、.Checked = false;MonitorMenuItem.MenuItemsi.Checked = false;StatusBar.Text = "Stopped monitoring" else if (e.Button = StartButton) / start listening on all interfacesfor(int i = 0; i < m_PacketMonitors.Length; i+) try m_PacketMonitorsi.Start(); catch (Exception ex) MessageBox.Show(this,

53、 "There was a problem starting the packet monitor for interface " + m_PacketMonitorsi.IP.ToString() + "rnrn" + ex.Message + "", "M Packet Monitor", MessageBoxButtons.OK, MessageBoxIcon.Error);HostsMenu.MenuItemsi.Checked = true;MonitorMenuItem.MenuI

54、temsi.Checked = true;StatusBar.Text = "Monitoring all interfaces" else if (e.Button = ClearButton) / clear the packet listPacketList.Items.Clear();m_Packets.Clear();StatusBar.Text = "Cleared packet list" else if (e.Button = AboutButton) AboutForm af = new AboutForm();af.ShowDialog(this);public void OnHostsClick(object sender, EventArgs e) / start or stop listening on the specified interfaceint index = (MenuItem)sender).Index;HostsMenu.MenuItemsindex