计算机网络课程设计报告-大风车网络嗅探器

课程设计报告2014—2015学年第一学期课程名称计算机网络设计题目大风车网络嗅探器目录引言1、网络嗅探器的基本原理........................12、研究现状...................................13、本课题研究的意义...........................34本课题的研究方法...........................35、程序实现的功能...........................46、主要软件需求.............................47、功能模块与系统结构........................58、测试报告及界面预览........................59、心得结论..................................810、结语....................................811、参考文献.................................9引..言随着计算机网络技术的飞速发展,借助网络嗅探器进行网络流量监控和网络问题分析已成为网络管理员不可缺少的工作内容。网络嗅探器是利用计算机的网络接口截获在网络中传输的数据信息的一种工具,主要用于分析网络的流量,以便找出所关心的网络中潜在的问题[1,2]。网络嗅探器原本是提供给网络管理者监视网络运行状态和数据流动情况的有效管理工具,可以是软件,也可以是硬件。硬件的网络嗅探器也称为协议分析器,是一种监视网络数据运行的设备,协议分析器既能用于合法网络管理也能用于窃取网络信息[3],但协议分析器价格非常昂贵。狭义的网络嗅探器是指软件嗅探器,由于简单实用,目前对于软件网络嗅探器的研究日益成为热点。将网络接口卡NIC(NetworkInterfaceCard)设置为杂收模式,嗅探器程序就有了捕获经过网络传输报文的能力[4]。一般地,网络嗅探器是个网络实时监控软件,通过对网络上的数据进行捕获并对其进行检查分析,找出网络中潜在的问题,然后用嗅探器做出精确判断[5]。因此,一个简单实用的网络嗅探器对入侵检测系统[6,7]的性能十分重要。据在网络以帧(Frame)为单位传输。帧通过网络驱动程序进行成型,然后通过网卡发送到网线上。通过网线到达其目的机器,在目的机器的一端执行相反的过程。接收端机器捕获到这些帧,并告诉操作系统帧的到达,然后对其进行存储。但是在这个传输和接收的过程中,嗅探器存在安全问题。为此,笔者开发了一种简单实用的网络嗅探器。1、网络嗅探器的基本原理网络嗅探器通常由4部分组成。1)网络硬件设备。2)监听驱动程序。截获数据流,进行过滤并把数据存入缓冲区。3)实时分析程序。实时分析数据帧中所包含的数据,目的是发现网络性能问题和故障,与入侵检测系统不同之处在于它侧重于网络性能和故障方面的问题,而不是侧重发现黑客行为。4)解码程序。将接收到的加密数据进行解密,构造自己的加密数据包并将其发送到网络中。网络嗅探器作为一种网络通讯程序,是通过对网卡的编程实现网络通讯的,对网卡的编程使用通常的套接字(socket)方式进行[8]。但通常的套接字程序只能响应与自己硬件地址相匹配的,或是以广播形式发出的数据帧,对于其他形式的数据帧,如已到达网络接口但却不是发给此地址的数据帧,网络接口在验证投递地址并非自身地址后将不引起响应,即应用程序无法收取到达的数据包。而网络嗅探器的目的恰恰在于从网卡接收所有经过它的数据包。显然,要达到此目的就不能再让网卡按通常的模式工作,而必须将其设置为混杂模式[9,10]。这种对网卡混杂模式的设置是通过原始套接字(rawsocket)实现的,这也有别于通常使用的数据流套接字和数据报套接字。在创建了原始套接字后,需要通过setsockopt()函数设置IP头操作选项,然后再通过bind()函数将原始套接字绑定到本地网卡上。为了让原始套接字能接受所有的数据,还需要通过ioctlsocket()进行设置,而且还可以指定是否亲自处理IP头。至此,就可以开始对网络数据包进行嗅探了,对数据包的获取仍像流式套接字或数据报套接字那样通过recv()函数完成。与其他两种套接字不同的是,原始套接字此时捕获到的数据包并不仅仅是单纯的数据信息,而是包含有IP头、TCP头等信息头的最原始的数据信息,这些信息保留了它在网络传输时的原貌。通过对这些在低层传输的原始信息的分析可以得到有关网络的一些信息。由于这些数据经过了网络层和传输层的打包,因此需要根据其附加的帧头对数据包进行分析。2、研究现状网络嗅探器无论是在网络安全还是在黑客攻击方面扮演了很重要的角色。通过使用网络嗅探器可以把网卡设置于混杂模式，并可以对网络上传输的数据包的捕获和分析。此分析结果可供网络安全分析之用，但如为黑客所利用也可以为其发动进一步的攻击提供有价值的信息。可见，嗅探器实际上是一把双刃剑。虽然网络嗅探器技术被黑客所利用后会对网络构成一定的威胁，但嗅探器本身的危害并不是很大，主要是用来为其他黑客软件提供网络情报，真正的攻击主要是由其它黑客软件来完成的。而在网络安全方面，网络嗅探手段可以有效地探测在网络上传输的数据包信息，通过对这些信息的分析利用有助于网络安全的维护。3、本课题研究的意义当我们处理自身网络问题的时候，一个信息包嗅探器向我们展示出正在网络上进行的一切活动。于是，借助一定的知识，我们就可以确定问题的根源所在。但必须记住的是，网络嗅探器并不会告诉你问题究竟是什么，而只会告诉你究竟发生了什么。对网络嗅探器的研究我加深了对通信协议的理解，网络数据结构的理解。对网络嗅探器的深入研究更重要的是可以让我们的互联网世界更安全、信息更健康。4、本课题的研究方法嗅探侦听主要有两种途径，一种是将侦听工具软件放到网络连接的设备或者放到可以控制网络连接设备的电脑上，(比如网关服务器，路由器)——当然要实现这样的效果可能也需要通过其他黑客技术来实现:比如通过木马方式将嗅探器发给某个网络管理员，使其不自觉的为攻击者进行了安装。另外一种是针对不安全的局域网(采用交换hub实现)，放到个人电脑上就可以实现对整个局域网的侦听，这里的原理是这样的:共享hub获得一个子网内需要接收的数据时，并不是直接发送到指定主机，而是通过广播方式发送到每个电脑，对于处于接受者地位的电脑就会处理该数据，而其他非接受者的电脑就会过滤这些数据，这些操作与电脑操作者无关，是系统自动完成的，但是电脑操作者如果有意的话，他是可以将那些原本不属于他的数据打开!5、程序实现的功能该程序实现了抓取本机在网络通信数据并加以简单的分析的功能，实现了一个简单的网络嗅探器。其中有一个主页面，另一个详细显示包信息的页面。6、主要软件需求本程序使用VisualStudio2010开发平台，使用C#语言编写，编译成功后的可执行文件需要在装有VisualStudio2010的平台上才能运行。测试平台：装有VisualStudio2010的WindowsXP系统使用软件：VisualStudio20107、功能模块与系统结构(1)获得计算机的IP地址(2)开始监听，获得数据包的协议类型、源端口、目地端口和大小(3)停止监听，程序将暂停运行(4)清空列表，显示列表被清空(5)帮助，弹出帮助对话框，显示作者信息(6)详细信息，双击列表中的任意行，显示数据包的详细信息8、测试报告及界面预览1、主页面预览2、详细界面预览3、开始监测界面4、清空列表5、暂停监测9、心得结论 该系统设计最关键的是在怎么获得IP地址，怎么获取数据包经过一段时间的思考和查阅，这些问题都一一解决了。这样方面完整的实现了设计的要求，很好的解决了这些问题。 通过此次课程设计，对网络终端监控程序的编写的方法及实现有了更深入的了解，基本具备了简单的网络终端监控程序开发的能力。为今后更好的学习及今后工作打下了坚实的基础。10、结语该程序使用非常简单,弹出对话界面后,点击开始,程序即开始运行,显示从此刻开始截获的本局域网内的数据包。显示出协议、IP源地址、IP目标地址、TCP源端口号、TCP目标端口号、数据包长度和数据包内容。点击停止键,即停止对网络的监听。本程序人机对话界面简洁,简单易懂,十分好用,占用系统资源也很少。网络数据包嗅探器是系统管理员用来监视和验证网络流量情况的软件程序,通常用来在网络上截取/阅读位于OSI协议模型中各个协议层次上的数据包。和其他大多数的安全软件一样,嗅探器软件同样能被同时用于正当和不正当的目的。它能帮助系统管理人员监视系统是否受到黑客攻击,以便迅速找到问题症结所在,同时能监视网络是否发生错误(如网络瓶颈、错误配置等)。但同时它也能造成巨大的危害,如截获大量用户的用户名和密码,从而危及他人计算机的安全。嗅探器不同于一般的键捕获工具,键捕获工具只能捕获当地终端控制台上的按键内容,而嗅探器所嗅到的是动态的以信息包形式(如IP数据包或者以太网包)封装的信息流,其中可能携带了重要数据或敏感信息。嗅探器可以捕获这些信息包并存档,利用相应工具可以作进一步分析。如何将嗅探器应用于更多的领域,将是下一步努力的方向。11、参考文献:[1]余梅.浅谈网络嗅探器[J].贵州教育学院学报,2008,24(6):46..48.[2]王绍强.网络嗅探器的研究与实现[J].科技信息,2008(35):471.[3]龚伟.网络嗅探器的检测及安全对策[J].微计算机信息,2006,22(15):72..74..[4]万映辉,邸晓奕,张水平.基于NDIS的网络嗅探器的设计与实现[J].计算机工程,2004,30(10):177..179.[5]宋方方.基于桥接技术的网络嗅探器设计与实现[D].武汉:华中科技大学,2007.[6]陈艳芳,申铉京,谢冲.分布式入侵检测监视代理及数据融合算法[J].吉林大学学报:信息科学版,2006,24(1):[7]杨宏宇,赵晓玲.应用层并行重组在NIDS中的设计与实现[J].吉林大学学报:理学版,2006,44(4):575..582.[8]赵树升,范刚龙,张焕剑.一种Windows网络嗅探器的检测原理与实现[J].郑州大学学报:理学版,2005,37(3)