发布时间 : 星期一 文章网络嗅探技术探索与设计毕业论文 - 图文更新完毕开始阅读
网络嗅探器技术探索与设计
2008级计算机科学与技术
指导教师
【摘要】随着计算机网络技术的迅速发展,网络的安全问题也显得越来越重要。网络监听技术是很多网络安全软件实现的基础,也是设计网络分析软件的基础,所以研究相关的数据包嗅探和分析技术对保证网络的安全运行是很有现实意义的。网络监听是一种监视网络状态、数据流程以及网络上信息传输的软件管理工具,它可以将网络界面设定成监听模式,并且可以截获网络上所传输的信息。数据包捕获技术是设计网络分析软件的基础,而WinPcap则是Windows系统中实现的一个优秀的包捕获架构。文中结合该软件包的结构与功能对包捕获原理进行了详细的分析,并介绍了其在网络安全监控系统中的应用。该系统的基本原理是通过调用WinPcap库捕获本地网络上的所有数据包,然后对数据包进行协议分析,从而可以实时地监控网络。 【关键词】网络嗅探;WinPcap;数据包捕获;协议分析
Exploration and design of the network sniffer
【Abstract】With the rapid development and extensive application of computer network technology, the security problem of network becomes more important. Network sniffer is the base of many network safety softwares,and it is also the base of network analysis. So,the research of the sniffer and analysis of network is very helpful to the safety of the network. Network sniffer is a way which is used in network monitor, load analysis; at the same time it is also a way which is used by hacker to get the information illegally. Network sniffer tools snap packets to get the network’s current status by the shared characteristic of the network transmission medium.Packet capturing technology is the basis for designing analyzing software. WinPcap is one of the excellent packet capturing architectures under Windows. This paper analyzes packet capturing principle in detail combined with the structure and functions of the software and introduces its application in designing a network security and watch system. The fundamental principle of this system is to capture all packets of the local network using WinPcap library, and perform protocol analyzing and decoding on these packets, so can monitor the network on real-time and find its problem and alarm automatically. The result from the application in LAN also confirms that the system is steady and very effective.
【Key words】Network Sniffer; WinPcap; Packet capture; Protocol Analysis
山东农业大学学士学位论文
1 引言
嗅探器是一种利用计算机网络接口监视网络数据运行,截获网络数据的工具,可用于网络管理,网络协议分析以及网络安全等众多方面。在网络攻防技术中,嗅探器技术是最为基础的一种技术。从攻方的角度,黑客可以利用嗅探器程序非法获取网络中传输的大量敏感信息,如账号和口令等,对网络安全极具威胁;从防守的角度,嗅探技术是基于网络的入侵检测系统的最底层环节,是整个系统的数据来源。 1.1 课题背景
随着计算机网络技术的快速发展,网络己成为人们生活中的必备工具,计算机网络在政治、经济、军事、社会生活等各个领域正发挥着日益重要的作用,人们对计算机网络的依赖性也大大增强,一些网络新业务如电子商务、电子政务、网络支付等,这些都对网络安全提出了较高的要求。但是由于计算机网络具有连接形式多样性、开放性、互联性等特点, 而且多数都采用TCP/TP协议,而TCP/TP在设计上力求运行效率,并建立在相互信任的基础上,其本身就是造成网络不安全的主要因素,这也是TCP/TP协议在设计上的缺陷,从而导致针对网络系统的攻击事件频繁发生,所以网络安全已成为网络建设的一个非常重要的方面。现在人们对计算机信息安全要求越来越高,随着计算机网络的资源共享进一步加强,随之而来的网络安全问题使得计算机网络安全保护将会变得越来越重要。所以当我们在享受网络所带来的方便和快捷的同时也要认识到网络安全所面临的严峻考验。
网络监听是信息安全领域内一项非常重要和实用的技术,它的起源是网络管理员为了诊断网络故障的需要,而监听网络中传输的数据信息。在网络管理和维护中,网络管理和维护人员常常利用网络监听技术监控网络当前的信息状况、网络流量,进行网络访问统计分析等等。更重要的是,可以发现网络中存在的漏洞和隐患,提高网络和系统的安全性。但在实际应用中,网络监听技术往往被黑客加以利用,用来窃取网络用户的机密资料。对于一般网站来说,被网络监听往往意味着用户个人隐私资料的丢失;而对于金融机构,恶意的网络监听更会带来难以弥补的金钱和信用损失。
在防范网络攻击方面,通过数据截取及分析输出结果可以捕获到透过防火墙而进入网络的非法数据,成功的监视记录黑客的入侵过程,保
1
山东农业大学学士学位论文
障网络的安全。而且数据截取和协议分析是入侵检测系统的重要部分,是入侵检测系统的最基础的环节。因此网络监听无论是在网络攻击还是安全防御方面都扮演着重要的角色。 1.2 网络安全现状
通过对国内外的文献调研发现,网络嗅探中的数据包捕获主要可以分为两种方式 ,一种是基于操作系统内核的,如Unix、Linux系统,它们系统内核本身就提供包捕获机制;第二种就是基于外界提供的驱动程序库,如Unix下的Libpcap和Windows下的Winpcap。
由操作系统内核提供的捕获机制主要有以下四种:BPF(Berkeley Packet Filter),DLPI(Data Link Provider Internet Interface),NIT(Network Interface Tap),SOCK_PACKET套接口。其中BPF由基于BSD的Unix系统内核所实现,而DLPI是Solaris系统的子系统,对于NIT则是SunOS4系统的一部分,但在Solaris系统中已经被DLPI取代,Linux系统内核则实现了SOCK PACKET的包捕获机制。从性能上看,BPF比DLPI及NIT效率要高的多,而SOCK PACKET最差。
Winpcap是一个基于Win32的开源的包捕获驱动架构,它弥补了Windows系统内核本身提供很少包捕获接口的劣势,可以直接捕获到链路层的数据帧。基于Winpcap开发的监听程序具有很好的可移植性,可以很容易的移植到Unix系统上,所以在Windows系统上基于Winpcap来开发嗅探软件是一种很好的选择。
网络嗅探技术的出现已经有较长一段时间了,因为Unix类系统内核提供了对网络嗅探很好的支持,而Windows内核却没有,导致Unix类系统下的网络嗅探产品比Windows下的多。现在已经有一些Unix下的嗅探器被移植到了Windows下,目前比较流行的网络嗅探器有: (1)Sniffit:由Lawrence Berkeley实验室开发,运行于Solaris、SGI和Linux等平台。可以选择源、目标地址或地址集合,还可选择监听的端口,协议和网络接口等。
(2)NetXRay:在Windows9X和WindowsNT上,NetXRay是一个功能强大、使用方便的协议分析和网络监控工具。它是一个优秀的软件,能监控多个网段,并且允许多监控实例存在,同时还能捕捉所需要的任何类型的报文。使用NetXRay还可以设置许多过滤条件,而且其操作界面也比较漂亮。
(3)WinPcap:WinPcap是由伯克利分组捕获库派生而来的分组捕获库,它是在Windows 操作平台上来实现对底层包的截取过滤。WinPcap为
2
山东农业大学学士学位论文
用户级的数据包提供了Windows下的一个平台。
目前使用的最多的是Sniffit、WinPcap监听软件,由于在Unix和Linux系统中,发送这些命令需要超级用户的权限,这一点限制了在UNIX系统中的使用,普通用户是不能进行网络监听的,只有获得超级用户权限,才能进行网络监听,而在Windows操作系统中,则没有这个限制,只要运行这一类的监听软件即可;目前网络数据捕获器大多数是基于过滤器技术来实现的,大多数的过滤程序都是建立在伯克利实验室的Libpcap基础之上的。因此本文涉及的是在以太网环境下并在Windows操作系统中,使用数据捕获器WinPcap这一软件实现对底层数据进行监听。
由监听技术发展的现状来看,目前主流的网络监听工具软件几乎都是国外生产的软件。随着中国信息技术的发展,监听系统必将大有用武之地,因此监听技术的研究势在必行。 1.3 开发意义
本次设计只是对抓取到的本机在网络中的通信数据,比如说协议类型,源、目的地址和端口、数据包的大小等加以分析,而无法做到像Sniffer那种成熟的嗅探器所拥有的强大功能。作为从事网络技术方面的人员来说,要想有效地利用它、防范它,就得深入地学习、分析网络嗅探技术。最为重要的是,对于网络嗅探器的设计与实现,使我对网络通信,数据传输和网络信息安全等有了切身的体会与融入,学以致用,是不断提高自我的一种有效途径。
3