計算機網(wǎng)絡(luò)課程設(shè)計報告-大風車網(wǎng)絡(luò)嗅探器

課程設(shè)計報告2014—2015學年第一學期課程名稱計算機網(wǎng)絡(luò)設(shè)計題目大風車網(wǎng)絡(luò)嗅探器目錄引言1、網(wǎng)絡(luò)嗅探器的基本原理........................12、研究現(xiàn)狀...................................13、本課題研究的意義...........................34本課題的研究方法...........................35、程序?qū)崿F(xiàn)的功能...........................46、主要軟件需求.............................47、功能模塊與系統(tǒng)結(jié)構(gòu)........................58、測試報告及界面預覽........................59、心得結(jié)論..................................810、結(jié)語....................................811、參考文獻.................................9引..言隨著計算機網(wǎng)絡(luò)技術(shù)的飛速發(fā)展,借助網(wǎng)絡(luò)嗅探器進行網(wǎng)絡(luò)流量監(jiān)控和網(wǎng)絡(luò)問題分析已成為網(wǎng)絡(luò)管理員不可缺少的工作內(nèi)容。網(wǎng)絡(luò)嗅探器是利用計算機的網(wǎng)絡(luò)接口截獲在網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)信息的一種工具,主要用于分析網(wǎng)絡(luò)的流量,以便找出所關(guān)心的網(wǎng)絡(luò)中潛在的問題[1,2]。網(wǎng)絡(luò)嗅探器原本是提供給網(wǎng)絡(luò)管理者監(jiān)視網(wǎng)絡(luò)運行狀態(tài)和數(shù)據(jù)流動情況的有效管理工具,可以是軟件,也可以是硬件。硬件的網(wǎng)絡(luò)嗅探器也稱為協(xié)議分析器,是一種監(jiān)視網(wǎng)絡(luò)數(shù)據(jù)運行的設(shè)備,協(xié)議分析器既能用于合法網(wǎng)絡(luò)管理也能用于竊取網(wǎng)絡(luò)信息[3],但協(xié)議分析器價格非常昂貴。狹義的網(wǎng)絡(luò)嗅探器是指軟件嗅探器,由于簡單實用,目前對于軟件網(wǎng)絡(luò)嗅探器的研究日益成為熱點。將網(wǎng)絡(luò)接口卡NIC(NetworkInterfaceCard)設(shè)置為雜收模式,嗅探器程序就有了捕獲經(jīng)過網(wǎng)絡(luò)傳輸報文的能力[4]。一般地,網(wǎng)絡(luò)嗅探器是個網(wǎng)絡(luò)實時監(jiān)控軟件,通過對網(wǎng)絡(luò)上的數(shù)據(jù)進行捕獲并對其進行檢查分析,找出網(wǎng)絡(luò)中潛在的問題,然后用嗅探器做出精確判斷[5]。因此,一個簡單實用的網(wǎng)絡(luò)嗅探器對入侵檢測系統(tǒng)[6,7]的性能十分重要。據(jù)在網(wǎng)絡(luò)以幀(Frame)為單位傳輸。幀通過網(wǎng)絡(luò)驅(qū)動程序進行成型,然后通過網(wǎng)卡發(fā)送到網(wǎng)線上。通過網(wǎng)線到達其目的機器,在目的機器的一端執(zhí)行相反的過程。接收端機器捕獲到這些幀,并告訴操作系統(tǒng)幀的到達,然后對其進行存儲。但是在這個傳輸和接收的過程中,嗅探器存在安全問題。為此,筆者開發(fā)了一種簡單實用的網(wǎng)絡(luò)嗅探器。1、網(wǎng)絡(luò)嗅探器的基本原理網(wǎng)絡(luò)嗅探器通常由4部分組成。1)網(wǎng)絡(luò)硬件設(shè)備。2)監(jiān)聽驅(qū)動程序。截獲數(shù)據(jù)流,進行過濾并把數(shù)據(jù)存入緩沖區(qū)。3)實時分析程序。實時分析數(shù)據(jù)幀中所包含的數(shù)據(jù),目的是發(fā)現(xiàn)網(wǎng)絡(luò)性能問題和故障,與入侵檢測系統(tǒng)不同之處在于它側(cè)重于網(wǎng)絡(luò)性能和故障方面的問題,而不是側(cè)重發(fā)現(xiàn)黑客行為。4)解碼程序。將接收到的加密數(shù)據(jù)進行解密,構(gòu)造自己的加密數(shù)據(jù)包并將其發(fā)送到網(wǎng)絡(luò)中。網(wǎng)絡(luò)嗅探器作為一種網(wǎng)絡(luò)通訊程序,是通過對網(wǎng)卡的編程實現(xiàn)網(wǎng)絡(luò)通訊的,對網(wǎng)卡的編程使用通常的套接字(socket)方式進行[8]。但通常的套接字程序只能響應(yīng)與自己硬件地址相匹配的,或是以廣播形式發(fā)出的數(shù)據(jù)幀,對于其他形式的數(shù)據(jù)幀,如已到達網(wǎng)絡(luò)接口但卻不是發(fā)給此地址的數(shù)據(jù)幀,網(wǎng)絡(luò)接口在驗證投遞地址并非自身地址后將不引起響應(yīng),即應(yīng)用程序無法收取到達的數(shù)據(jù)包。而網(wǎng)絡(luò)嗅探器的目的恰恰在于從網(wǎng)卡接收所有經(jīng)過它的數(shù)據(jù)包。顯然,要達到此目的就不能再讓網(wǎng)卡按通常的模式工作,而必須將其設(shè)置為混雜模式[9,10]。這種對網(wǎng)卡混雜模式的設(shè)置是通過原始套接字(rawsocket)實現(xiàn)的,這也有別于通常使用的數(shù)據(jù)流套接字和數(shù)據(jù)報套接字。在創(chuàng)建了原始套接字后,需要通過setsockopt()函數(shù)設(shè)置IP頭操作選項,然后再通過bind()函數(shù)將原始套接字綁定到本地網(wǎng)卡上。為了讓原始套接字能接受所有的數(shù)據(jù),還需要通過ioctlsocket()進行設(shè)置,而且還可以指定是否親自處理IP頭。至此,就可以開始對網(wǎng)絡(luò)數(shù)據(jù)包進行嗅探了,對數(shù)據(jù)包的獲取仍像流式套接字或數(shù)據(jù)報套接字那樣通過recv()函數(shù)完成。與其他兩種套接字不同的是,原始套接字此時捕獲到的數(shù)據(jù)包并不僅僅是單純的數(shù)據(jù)信息,而是包含有IP頭、TCP頭等信息頭的最原始的數(shù)據(jù)信息,這些信息保留了它在網(wǎng)絡(luò)傳輸時的原貌。通過對這些在低層傳輸?shù)脑夹畔⒌姆治隹梢缘玫接嘘P(guān)網(wǎng)絡(luò)的一些信息。由于這些數(shù)據(jù)經(jīng)過了網(wǎng)絡(luò)層和傳輸層的打包,因此需要根據(jù)其附加的幀頭對數(shù)據(jù)包進行分析。2、研究現(xiàn)狀網(wǎng)絡(luò)嗅探器無論是在網(wǎng)絡(luò)安全還是在黑客攻擊方面扮演了很重要的角色。通過使用網(wǎng)絡(luò)嗅探器可以把網(wǎng)卡設(shè)置于混雜模式，并可以對網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)包的捕獲和分析。此分析結(jié)果可供網(wǎng)絡(luò)安全分析之用，但如為黑客所利用也可以為其發(fā)動進一步的攻擊提供有價值的信息?？梢?，嗅探器實際上是一把雙刃劍。雖然網(wǎng)絡(luò)嗅探器技術(shù)被黑客所利用后會對網(wǎng)絡(luò)構(gòu)成一定的威脅，但嗅探器本身的危害并不是很大，主要是用來為其他黑客軟件提供網(wǎng)絡(luò)情報，真正的攻擊主要是由其它黑客軟件來完成的。而在網(wǎng)絡(luò)安全方面，網(wǎng)絡(luò)嗅探手段可以有效地探測在網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)包信息，通過對這些信息的分析利用有助于網(wǎng)絡(luò)安全的維護。3、本課題研究的意義當我們處理自身網(wǎng)絡(luò)問題的時候，一個信息包嗅探器向我們展示出正在網(wǎng)絡(luò)上進行的一切活動。于是，借助一定的知識，我們就可以確定問題的根源所在。但必須記住的是，網(wǎng)絡(luò)嗅探器并不會告訴你問題究竟是什么，而只會告訴你究竟發(fā)生了什么。對網(wǎng)絡(luò)嗅探器的研究我加深了對通信協(xié)議的理解，網(wǎng)絡(luò)數(shù)據(jù)結(jié)構(gòu)的理解。對網(wǎng)絡(luò)嗅探器的深入研究更重要的是可以讓我們的互聯(lián)網(wǎng)世界更安全、信息更健康。4、本課題的研究方法嗅探偵聽主要有兩種途徑，一種是將偵聽工具軟件放到網(wǎng)絡(luò)連接的設(shè)備或者放到可以控制網(wǎng)絡(luò)連接設(shè)備的電腦上，(比如網(wǎng)關(guān)服務(wù)器，路由器)——當然要實現(xiàn)這樣的效果可能也需要通過其他黑客技術(shù)來實現(xiàn):比如通過木馬方式將嗅探器發(fā)給某個網(wǎng)絡(luò)管理員，使其不自覺的為攻擊者進行了安裝。另外一種是針對不安全的局域網(wǎng)(采用交換hub實現(xiàn))，放到個人電腦上就可以實現(xiàn)對整個局域網(wǎng)的偵聽，這里的原理是這樣的:共享hub獲得一個子網(wǎng)內(nèi)需要接收的數(shù)據(jù)時，并不是直接發(fā)送到指定主機，而是通過廣播方式發(fā)送到每個電腦，對于處于接受者地位的電腦就會處理該數(shù)據(jù)，而其他非接受者的電腦就會過濾這些數(shù)據(jù)，這些操作與電腦操作者無關(guān)，是系統(tǒng)自動完成的，但是電腦操作者如果有意的話，他是可以將那些原本不屬于他的數(shù)據(jù)打開!5、程序?qū)崿F(xiàn)的功能該程序?qū)崿F(xiàn)了抓取本機在網(wǎng)絡(luò)通信數(shù)據(jù)并加以簡單的分析的功能，實現(xiàn)了一個簡單的網(wǎng)絡(luò)嗅探器。其中有一個主頁面，另一個詳細顯示包信息的頁面。6、主要軟件需求本程序使用VisualStudio2010開發(fā)平臺，使用C#語言編寫，編譯成功后的可執(zhí)行文件需要在裝有VisualStudio2010的平臺上才能運行。測試平臺：裝有VisualStudio2010的WindowsXP系統(tǒng)使用軟件：VisualStudio20107、功能模塊與系統(tǒng)結(jié)構(gòu)(1)獲得計算機的IP地址(2)開始監(jiān)聽，獲得數(shù)據(jù)包的協(xié)議類型、源端口、目地端口和大小(3)停止監(jiān)聽，程序?qū)和＿\行(4)清空列表，顯示列表被清空(5)幫助，彈出幫助對話框，顯示作者信息(6)詳細信息，雙擊列表中的任意行，顯示數(shù)據(jù)包的詳細信息8、測試報告及界面預覽1、主頁面預覽2、詳細界面預覽3、開始監(jiān)測界面4、清空列表5、暫停監(jiān)測9、心得結(jié)論 該系統(tǒng)設(shè)計最關(guān)鍵的是在怎么獲得IP地址，怎么獲取數(shù)據(jù)包經(jīng)過一段時間的思考和查閱，這些問題都一一解決了。這樣方面完整的實現(xiàn)了設(shè)計的要求，很好的解決了這些問題。 通過此次課程設(shè)計，對網(wǎng)絡(luò)終端監(jiān)控程序的編寫的方法及實現(xiàn)有了更深入的了解，基本具備了簡單的網(wǎng)絡(luò)終端監(jiān)控程序開發(fā)的能力。為今后更好的學習及今后工作打下了堅實的基礎(chǔ)。10、結(jié)語該程序使用非常簡單,彈出對話界面后,點擊開始,程序即開始運行,顯示從此刻開始截獲的本局域網(wǎng)內(nèi)的數(shù)據(jù)包。顯示出協(xié)議、IP源地址、IP目標地址、TCP源端口號、TCP目標端口號、數(shù)據(jù)包長度和數(shù)據(jù)包內(nèi)容。點擊停止鍵,即停止對網(wǎng)絡(luò)的監(jiān)聽。本程序人機對話界面簡潔,簡單易懂,十分好用,占用系統(tǒng)資源也很少。網(wǎng)絡(luò)數(shù)據(jù)包嗅探器是系統(tǒng)管理員用來監(jiān)視和驗證網(wǎng)絡(luò)流量情況的軟件程序,通常用來在網(wǎng)絡(luò)上截取/閱讀位于OSI協(xié)議模型中各個協(xié)議層次上的數(shù)據(jù)包。和其他大多數(shù)的安全軟件一樣,嗅探器軟件同樣能被同時用于正當和不正當?shù)哪康?。它能幫助系統(tǒng)管理人員監(jiān)視系統(tǒng)是否受到黑客攻擊,以便迅速找到問題癥結(jié)所在,同時能監(jiān)視網(wǎng)絡(luò)是否發(fā)生錯誤(如網(wǎng)絡(luò)瓶頸、錯誤配置等)。但同時它也能造成巨大的危害,如截獲大量用戶的用戶名和密碼,從而危及他人計算機的安全。嗅探器不同于一般的鍵捕獲工具,鍵捕獲工具只能捕獲當?shù)亟K端控制臺上的按鍵內(nèi)容,而嗅探器所嗅到的是動態(tài)的以信息包形式(如IP數(shù)據(jù)包或者以太網(wǎng)包)封裝的信息流,其中可能攜帶了重要數(shù)據(jù)或敏感信息。嗅探器可以捕獲這些信息包并存檔,利用相應(yīng)工具可以作進一步分析。如何將嗅探器應(yīng)用于更多的領(lǐng)域,將是下一步努力的方向。11、參考文獻:[1]余梅.淺談網(wǎng)絡(luò)嗅探器[J].貴州教育學院學報,2008,24(6):46..48.[2]王紹強.網(wǎng)絡(luò)嗅探器的研究與實現(xiàn)[J].科技信息,2008(35):471.[3]龔偉.網(wǎng)絡(luò)嗅探器的檢測及安全對策[J].微計算機信息,2006,22(15):72..74..[4]萬映輝,邸曉奕,張水平.基于NDIS的網(wǎng)絡(luò)嗅探器的設(shè)計與實現(xiàn)[J].計算機工程,2004,30(10):177..179.[5]宋方方.基于橋接技術(shù)的網(wǎng)絡(luò)嗅探器設(shè)計與實現(xiàn)[D].武漢:華中科技大學,2007.[6]陳艷芳,申鉉京,謝沖.分布式入侵檢測監(jiān)視代理及數(shù)據(jù)融合算法[J].吉林大學學報:信息科學版,2006,24(1):[7]楊宏宇,趙曉玲.應(yīng)用層并行重組在NIDS中的設(shè)計與實現(xiàn)[J].吉林大學學報:理學版,2006,44(4):575..582.[8]趙樹升,范剛龍,張煥劍.一種Windows網(wǎng)絡(luò)嗅探器的檢測原理與實現(xiàn)[J].鄭州大學學報:理學版,2005,37(3)