VC++基于數(shù)據(jù)包捕獲與分析的個(gè)人防火墻論文及畢業(yè)設(shè)計(jì)_答辯稿

1、課題：個(gè)人防火墻技術(shù)與實(shí)現(xiàn)說明: 1.需本辯論稿配套的程序及論文,可以訪問 下載 2.有什么不明白的地方,可以聯(lián)系作者本人開發(fā)背景 隨著網(wǎng)絡(luò)平安問題日益嚴(yán)重，網(wǎng)絡(luò)平安產(chǎn)品也被人們重視起來。防火墻作為最早出現(xiàn)的網(wǎng)絡(luò)平安產(chǎn)品和使用量最大的平安產(chǎn)品，也受到用戶和研發(fā)機(jī)構(gòu)的青睞。 如果一臺(tái)計(jì)算機(jī)上沒有安裝防火墻，它內(nèi)部的信息就很容易暴露給Internet上的其它計(jì)算機(jī)，一旦受到攻擊，計(jì)算機(jī)便沒有能力來抵抗，保密信息有可能會(huì)被盜取，甚至連整臺(tái)計(jì)算機(jī)上的數(shù)據(jù)都有可能被破壞掉，很容易造成無法晚會(huì)的損失。個(gè)人防火墻的研究意義 個(gè)人防火墻，作為一種網(wǎng)絡(luò)平安工具，廣泛應(yīng)用于個(gè)人PC機(jī)上，受到廣闊網(wǎng)民的親睞。個(gè)人防

2、火墻能保衛(wèi)PC和機(jī)密資料，使其防止受網(wǎng)絡(luò)漫游可能造成的平安威脅。在網(wǎng)絡(luò)上執(zhí)行任何工作時(shí)，個(gè)人防火墻都會(huì)阻止網(wǎng)絡(luò)效勞器在背景竊取您的電子郵件地址或其它個(gè)人信息。個(gè)人防火墻具有許多的優(yōu)點(diǎn)，增加了個(gè)人計(jì)算機(jī)的保護(hù)級(jí)別，為用戶隱蔽暴露在網(wǎng)絡(luò)上的信息，而且不需要額外的硬件資源，個(gè)人防火墻除了可以抵擋外來攻擊的同時(shí)，還可以抵擋內(nèi)部的攻擊。 主要開發(fā)技術(shù) (一) 要進(jìn)行防火墻的開發(fā)，必須首先清楚主機(jī)與主機(jī)之間是如何進(jìn)行數(shù)據(jù)傳輸?shù)?。而主機(jī)之間通信的規(guī)那么都在網(wǎng)絡(luò)協(xié)議里定義。在整個(gè)網(wǎng)絡(luò)通信中，TCP/IP協(xié)議是使用最為廣泛的通信協(xié)議。它是網(wǎng)絡(luò)互連的標(biāo)準(zhǔn)協(xié)議，連入Internet的計(jì)算機(jī)進(jìn)行的信息交換和傳輸都需要

3、采用該協(xié)議。網(wǎng)絡(luò)封包截獲技術(shù)可分為兩類：應(yīng)用層和核心層。Winsock2 SPI封包截獲技術(shù)工作在應(yīng)用層，NDIS中間驅(qū)動(dòng)程序那么是核心層封包截獲技術(shù)。作為防火墻功能的擴(kuò)展，引入了與入侵檢測技術(shù)聯(lián)動(dòng)。 主要開發(fā)技術(shù) (二) 在WINDOWS 2000 DDK中，微軟包含了稱為Filter-Hook Driver的新型網(wǎng)絡(luò)驅(qū)動(dòng)?？梢允褂盟鼇磉^濾所有進(jìn)出接口的數(shù)據(jù)。實(shí)際上，F(xiàn)ilter-Hook Driver并不是網(wǎng)絡(luò)驅(qū)動(dòng)，它是一種內(nèi)核模式驅(qū)動(dòng)(Kernel Mode Driver)。這種方法可以過濾所有IP層或以上的通訊，但不能過濾更低層的頭部數(shù)據(jù)，比方以太幀數(shù)據(jù)。這是一種簡單的方法。安裝防火墻

4、和執(zhí)行過濾功能非常簡單。但包過濾API(Packet Filtering API)更加容易使用，盡管它缺少彈性，例如不能處理包的內(nèi)容，不能用包過濾API修改內(nèi)容。比較以上兩中方案，考慮到時(shí)間和能力的限制我們選擇了第二種。數(shù)據(jù)包過濾是怎樣工作的 包過濾技術(shù)可以允許或不允許某些包在網(wǎng)絡(luò)上傳遞，它依據(jù)以下的根據(jù)：將包的目的地址作為判斷依據(jù)；將包的源地址作為判斷依據(jù)；將包的傳送協(xié)議作為判斷依據(jù)。大多數(shù)包過濾系統(tǒng)判斷是否傳送包時(shí)都不關(guān)心包的具體內(nèi)容。作為防火墻包過濾系統(tǒng)只能讓我們進(jìn)行類似以下情況的操作：不允許任何用戶從外部網(wǎng)用Telnet登錄；允許任何用戶使用SMTP往內(nèi)部網(wǎng)發(fā)電子郵件；只允許某臺(tái)機(jī)器通

5、過NNTP往內(nèi)部網(wǎng)發(fā)新聞。包過濾的優(yōu)點(diǎn) 包過濾方式有許多優(yōu)點(diǎn)，而其主要優(yōu)點(diǎn)之一是僅用一個(gè)放置在戰(zhàn)略要津上的包過濾路由器就可保護(hù)整個(gè)網(wǎng)絡(luò)。如果站點(diǎn)與因特網(wǎng)間只有一臺(tái)路由器，那么不管站點(diǎn)規(guī)模有多大，只要在這臺(tái)路由器上設(shè)定適宜的包過濾，我們的站點(diǎn)就可以獲得很好的網(wǎng)絡(luò)平安保護(hù)。 包過濾不需要用戶軟件的支撐，也不要求對(duì)客戶機(jī)做特別的設(shè)置，也沒有必要對(duì)用戶做任何培訓(xùn)。當(dāng)包過濾路由器允許包通過時(shí)，它看起來與普通的路由器沒有任何區(qū)別。此時(shí)，用戶甚至感覺不到包過濾功能的存在，只有在有些包在禁入和禁出時(shí)，用戶才認(rèn)識(shí)到它與普通路由器的不同。包過濾工作對(duì)用戶來講是透明的。這種透明就是可在不要求用戶作任何操作的前提下完

6、成包過濾。功能分析封包過濾防火墻的核心技術(shù)主要是包過濾。入侵檢測、控管規(guī)那么過濾、實(shí)時(shí)監(jiān)控及電子郵件過濾這些功能都是基于封包過濾技術(shù)的，所以應(yīng)保存對(duì)應(yīng)用程序封包過濾的功能。 提供封包監(jiān)視界面。 碰到被攔阻的封包，根據(jù)系統(tǒng)參數(shù)配置進(jìn)行報(bào)警。 提供清空監(jiān)視列表、停止/開始監(jiān)控及停止/開始滾動(dòng)功能。日志存儲(chǔ)和查詢 把封包信息記錄到日志文件中。提供日志查詢界面。對(duì)封包信息進(jìn)行查詢。報(bào)警能判斷出含有危險(xiǎn)或不利內(nèi)容的封包具有聲音報(bào)警機(jī)制，給用戶一個(gè)提示。功能分析規(guī)那么設(shè)置 手工添加、修改及刪除控管規(guī)那么 自學(xué)習(xí)添加控管規(guī)那么 控管規(guī)那么字段屬性設(shè)置端口掃描一個(gè)端口就是一個(gè)潛在的通信通道，也可能成為一個(gè)入侵

7、的通道，例如FTP文件傳輸協(xié)議使用端口21。對(duì)目標(biāo)計(jì)算機(jī)進(jìn)行端口掃描，能得到許多有用的信息，從而發(fā)現(xiàn)系統(tǒng)的平安漏洞。進(jìn)行掃描的方法很多，可以是手工進(jìn)行掃描，也可以用端口掃描軟件進(jìn)行。在手工進(jìn)行掃描時(shí)，需要熟悉各種命令，對(duì)命令執(zhí)行后的輸出進(jìn)行分析。系統(tǒng)工作流程圖 查詢模塊設(shè)計(jì)但凡在要用到文件記錄的軟件中，都提供了對(duì)記錄的查詢功能，防火墻更應(yīng)該要求有完善的日志記錄，以及方便的查詢條件。為滿足用戶不同的查詢需求，我們設(shè)計(jì)了“按照日期查詢和“按照協(xié)議查詢兩種查詢方式。當(dāng)然，能夠進(jìn)行查詢的前提是有對(duì)應(yīng)的日志記錄，并且記錄必須記錄完全，同時(shí)記錄要相應(yīng)地進(jìn)行更新。為了實(shí)現(xiàn)“按照日期查詢和“按照協(xié)議查詢，我們

8、定義了兩個(gè)函數(shù)compareDate和getpro，其中前者是用來將用戶輸入的時(shí)間和記錄中的時(shí)間進(jìn)行比較，后者是用來獲取記錄中的協(xié)議局部，取出后用來比較。另外還定義了一個(gè)函數(shù)* line來按條提取封包記錄。流量統(tǒng)計(jì)模塊設(shè)計(jì) 網(wǎng)絡(luò)流量監(jiān)控程序的本質(zhì)是對(duì)流入和流出網(wǎng)卡的數(shù)據(jù)包進(jìn)行測量，在單位時(shí)間內(nèi)的流入量實(shí)際上就是在單位時(shí)間里流入網(wǎng)卡的數(shù)據(jù)包的字節(jié)數(shù)，在單位時(shí)間內(nèi)的流出量實(shí)際上就是在單位時(shí)間內(nèi)流出網(wǎng)卡的數(shù)據(jù)包的字節(jié)數(shù)。而總流量就是流入和流出量之和。 如果以上的工作能由操作系統(tǒng)完成，那么只需要訪問操作系統(tǒng)提供的性能參數(shù)的接口便可以得到這些數(shù)據(jù)。Windows NT/2000/XP 系統(tǒng)為程序自動(dòng)完成

9、了這項(xiàng)的工作，而我們所需要做的只是訪問注冊表得到這些性能數(shù)據(jù)。在Windows注冊表中提供一個(gè)叫KEY_PERFORMANCE_DATA的根主鍵，它和Windows的性能數(shù)據(jù)有關(guān)，它可以讓用戶訪問Windows 的系統(tǒng)性能評(píng)估數(shù)據(jù)，其中包括操作系統(tǒng)組件和效勞器應(yīng)用程序的性能參數(shù)。當(dāng)軟件組建安裝或者運(yùn)行時(shí)，在該目錄樹下創(chuàng)立相應(yīng)的對(duì)象和計(jì)數(shù)器的項(xiàng)，通過訪問該目錄樹可以獲取運(yùn)行性能。該目錄樹是比特殊的，它并不在注冊表文件中存放實(shí)際的內(nèi)容，當(dāng)通過注冊表API函數(shù)訪問目錄樹時(shí)，實(shí)際上是直接從軟件組件處獲取性能數(shù)據(jù)。系統(tǒng)界面-端口掃描 更多運(yùn)行結(jié)果，請參見源程序開發(fā)總結(jié)本文在分析和研究防火墻的根本知識(shí)和根

10、本技術(shù)的根底上，采用Winsock2 SPI 和NDIS中間驅(qū)動(dòng)相結(jié)合的雙重包過濾技術(shù)，實(shí)現(xiàn)了一個(gè)Windows個(gè)人防火墻，即PFWall。它能穩(wěn)定地運(yùn)行在Windows XP上，較好地監(jiān)視一個(gè)網(wǎng)絡(luò)的活動(dòng)狀態(tài)，保護(hù)PC機(jī)的平安。當(dāng)然，PFWall個(gè)人防火墻也存在一定的缺點(diǎn)和缺乏，需要進(jìn)一步改進(jìn)和完善。首先是可移值性差，在Windows 2000系統(tǒng)或以下不能正常運(yùn)行。入侵檢測功能需要增加響應(yīng)事件和數(shù)據(jù)存儲(chǔ)的功能。產(chǎn)生的控制規(guī)那么缺乏自學(xué)習(xí)功能，仍需人為地手工添加。NDIS中間驅(qū)動(dòng)技術(shù)工作在核心層，功能十分強(qiáng)大。我們可以在它的根底上做一些改進(jìn)和擴(kuò)展，包括增加加密與解密的功能，以及進(jìn)一步地對(duì)數(shù)據(jù)包中的數(shù)據(jù)進(jìn)行分析，這樣實(shí)現(xiàn)的平安保護(hù)就更強(qiáng)大更完善了。 在本次畢業(yè)設(shè)計(jì)中，我從指導(dǎo)老師李濤老師身上學(xué)到了很多東西。他不但善于與學(xué)生溝通理解和支持學(xué)生的開發(fā)設(shè)計(jì)工程，而且認(rèn)真負(fù)責(zé)的工作態(tài)度，嚴(yán)謹(jǐn)?shù)闹螌W(xué)精神和深厚的理論水平都使我收益匪淺。雖然他不能親自指導(dǎo)我，但是他在網(wǎng)上給我很大的幫助，使我得到不少的提高這對(duì)于我以后的工作和學(xué)習(xí)都有