信息安全课程设计Word格式.doc

1、 2011年 月 日摘 要随着网络技术的飞速发展，以及越来越多的信息资源放在了网上，网络安全问题越来越被人们所重视，其安全性和可靠性也越发重要。嗅探技术作为网络安全攻防中最基础的技术，它既可以用于获取网络中传输的大量的敏感信息，又可以用来进行网络管理。但同时它又有另一方面的影响，即攻击者可以利用它来监听网络中的数据，达到非法获得信息的目的。因此对网络嗅探器的研究具有重要意义，分析其通过获取网络包得流向和内容等信息，从而进行网络安全分析和网络威胁应对。本课程设计是关于网络嗅探器的简单设计与实现，同时对网络嗅探技术进行了简要分析，研究了网络数据包的捕获机制，以VS2010为开发平台，使用Windo

2、ws环境下的网络数据包捕获开发库WinPcap认真学习和掌握网络嗅探器工作原理，设计出一个嗅探器程序，使其实现网络层抓包，并对获得包的源和目的地址、端口、协议等进行分析及显示，实现简单的包嗅探器功能。 关键字：网络嗅探 数据包捕获 数据包分析 网络协议 WinPcap VS2010目 录1、引言.11.1 开发背景11.2 开发意义11.3 正文安排12、系统分析.22.1 需求分析2 2.1.1 功能需求.2 2.1.2 适用范围.2 2.1.3 基本思路.2 2.1.4 使用环境.2 2.1.5 可行性分析.22.2 技术分析2 2.2.1 嗅探原理.2 2.2.2 捕获机制.3 2.2.

3、3 WinPcap 技术.33、程序设计与实现.43.1 主要流程43.2 总体规划43.3 函数说明43.4 分块设计6 3.4.1 获得网卡列表信息.6 3.4.2 数据包捕获.7 3.4.2 数据包过滤.7 3.4.2 数据包分析.84、问题分析及测试.94.1 问题分析94.2 测试105、结论.115.1 设计心得115.1 谢辞11参考文献.12附录（源程序）.131、引 言1.1 开发背景随着网络技术的迅速发展，加速了全球信息化进程，各种重要数据在网上的传播日益普遍，使得网络安全问题越来越为人们所关注。网络嗅探器作为一种网络数据监听程序，在网络安全攻防方面扮演了很重要的角色，多数

4、黑客入侵成功并植入后门后的第一件事就是选择一个合适当前网络的嗅探器，以获得更多的受侵者的信息。嗅探器是一种常用的收集有用数据的方法，可以作为网络数据包的设备，如果把网络嗅探器放置于网络节点处，对网络中的数据帧进行捕获的一种被动监听手段，是一种常用的收集有用数据的方法，可以分析各种信息包并描述出网络的结构和使用的机器，由于它接收任何一个在同一网段上传输的数据包，所以也就存在着捕获密码、各种信息、秘密文档等一些没有加密的信息的可能性。1.2 开发意义本次课程设计是基于VS的网络嗅探器的设计与实现，由于本人编程能力有限，只是对抓取到的本机在网络中的通信数据,比如说协议类型，源、目的地址和端口、数据包

5、的大小等加以分析，而无法做到像Sniffer那种成熟的嗅探器所拥有的强大功能。作为网络技术人员来说，要想有效地利用它、防范它，就得深入地学习、分析网络嗅探技术。最为重要的是，对于网络嗅探器的设计与实现，使我对网络通信，数据传输和网络信息安全等有了切身的体会与融入，同时也是对大学三年来内容的学以致用，不断提高自我的一种有效途径。1.3 正文安排 作为论文的主要部分，本文正文的安排如下： 第一部分是系统分析，包括程序需求分析和技术分析。讨论用户需求，功能需求，性能需求，运行环境等因素，对嗅探工具开发的思想和过程作初步的分析和论证。并介绍出现网络嗅探器工具的原理和方法，以及本次设计中用到的Winpc

6、ap技术； 第二部分是功能设计，包括系统的设计与实现。详细介绍使用Winpcap开发程序的一般流程及相关功能函数，以及数据包捕获，分析，过滤等各个模块的具体实现。 第三部分是问题分析及解决，同时介绍测试环境及过程，作为课程设计的最后一部分，将严格地对网络嗅探器进行测试。第四部分总结这次课程设计的心得、谢辞以及列出参考文献。2、 系统分析2.1 需求分析l 2.1.1 功能需求本程序主要实现了对流经网络的数据包进行捕获及分析，通过对网卡的选择，设置过滤规则，来制定对特定的协议进行解析，主要运用到套接字编程，WinPcap编程等技术，在程序上每一步都有详细的解释，很容易了解本嗅探程序的功能。 l

7、2.1.2 适用范围这个程序是面向用户的，简单易行，是对网络协议进行分析，只要电脑上有流经网络的数据包，通过本程序的执行，均可捕获该数据报，并对其内容进行分析，操作步骤简单，每一过程均有明显的提示信息。l 2.1.3基本思路该嗅探程序的总体架构划分为5部分，分别是监听网络适配器，选择网卡设备，设置过滤规则，捕获数据包，数据的分析及显示。良好的实现了嗅探器的一般功能。l 2.1.4使用环境 （1）、一台主机 （2）、操作系统（Windows XP）（3）、开发工具（VS2010，WinPcap）l 2.1.5可行性分析在日异月新的网络时代中，网络信息与安全一是其中重要的一环，网络嗅探更是网络攻防

8、重基础的技术，用来监听网络数据，保障信息安全，这项技术有着广大的发展空间，其类的嗅探工具更是层出不穷，有着良好的发展前景及经济利益，而且操作运行时所需人员不是很多，这种工具的开发节省了大量的人力及物力，在广大市场中是被需求的，并且无论是生活中还是企业里都得到了广泛的应用，它所带来的经济效益是无可厚非的。2.2 技术分析l 2.2.1嗅探原理 嗅探器是一种常用的收集有用数据的方法，嗅探器是利用计算机的网络接口截获目的地为其它计算机的数据报文的一种工具。由于组网方式不同，嗅探器的工作原理也有所不同，总共可以分为三类：（1） 基于网卡混杂模式的嗅探原理；（2） 基于ARP欺骗的网络嗅探原理；（3）

9、基于中间人攻击的嗅探原理。本次课程设计就是利用第一种方式来实现嗅探器的功能，从网卡原理上来说，在一个实际的系统中，网卡的主要功能就是接收和发送网络数据包，它根据网卡内的单片程序接收数据帧的目的MAC地址，根据计算机上的网卡驱动程序设置的接收模式判断该不该接收，认为该接收就接收后产生中断信号通知CPU，认为不该接收就丢掉不管，所以不该接收的数据网卡就截断了，计算机根本就不知道。而本次设计嗅探工具正是利用了这个特点，把网卡设置为“混杂模式”。网卡的混杂模式可以接受所有的网络数据包，无论其目的地址是否等于自己的地址，都一并接受。l 2.2.2捕获机制很多网络安全系统最首要的任务就是捕获网络上的数据信

10、息，而网络数据包捕获技术就解决了这个问题。不同的网络有不同的捕获技术，不同的操作系统其捕获机理也有所不同。以太网采用了CSMA/CD技术，它使用了广播机制，所有与网络连接的机器都可以看到网络上传播的数据，操作系统提供的捕获机制主要有以下三种：（1） SOCK_PACKET类型套接口；（2） 数据链路提供者接口（Data Link Provider Interface,DLPI）；（3） 伯克利数据包过滤器（Berkeley Packet Filter,BPF）。BPF主要由两部分组成：网络转发部分和数据包过滤部分。网络转发部分是从链路层中捕获数据包并把它们转发给数据包过滤部分，数据包过滤部分是

11、从接收到的数据包中接受过滤规则决定的网络数据包，其他数据包就抛弃。捕获数据包和过滤数据包都是在操作系统内核中完成的，而且使用了数据缓存机制。从效率上来讲，BPF在三种机制中是性能最高的，而SOCK_PACKET是最弱的。在实际应用中，实现网络数据包捕获技术的代表是Libpcap。它是一个专业的跨平台的网络数据包捕获开发包。使用Libpcap可以很轻松地实现网络数据包的捕获功能，它的捕获机制就是BPF捕获机制。在Windows平台下有与Libpcap兼容的WinPcap开发包，它是专门针对Windows平台而开发的，本次程序的开发就是利用WinPcap库函数实现的。l 2.2.3 WinPcap 技术WinPcap（Windows Packet Capture）是Windows平台下的一个免费、公平的专业网络数据包捕获开发包。WinPcap的功能为：捕获数据包（主要功能）、流量统计功能、数据包发送功能。它包括三部分，即数据包捕获和过滤块NPF、较低层的网络编程接口packer.dll、较高层