第1章：网络监听及防御技术.ppt

数据包详细分析 这11个数据包的含义如下： 1~3：三次握手，建立连接 4~5：第一次发送数据 6~7：第二次发送数据 8~11：断开连接 下面将对这11个数据包进行详细分析。 * * 1 C?S SYN SEQ=X+0 与TCP报文格式相对应 * * 2 S?C SYN,ACK SEQ=Y+0 ACK=X+1 * * 3 C?S ACK SEQ=X+1 ACK=Y+1 三次握手结束 * * 4 C?S PSH,ACK SEQ=X+1, data length=256, next seq=257 ACK=Y+1 数据内容见下页图 * * 相关开发库 (1) 基于UNIX系统的开发库libpcap * * 相关开发库 (1) 基于UNIX系统的开发库libpcap (packet capture library)对开发者而言，网卡驱动程序和BPF(分组过滤器)捕获机制是透明的，需要掌握的是libpcap库的使用。libpcap隐藏了用户程序和操作系统内核交互的细节，完成了如下工作： 向用户程序提供了一套功能强大的抽象接口。 根据用户要求生成过滤指令。 管理用户缓冲区。 负责用户程序和内核的交互。 * * 相关开发库 (2)基于Windows系统的WinPcap WinPcap是基于Windows 操作系统环境的Libpcap ，其在监听程序中起的作用和UNIX 系统下的libpcap类似。但是比libpcap多一些功能，如WinPcap可以发送数据，但是libpcap则不行。 * * 相关开发库 WinPcap的架构包括： 内核级的数据包监听设备驱动程序NPF（Netgroup packet Filter）：关键组件,把设备驱动增加在Windows，它直接从数据链路层取得网络数据包不加修改地传递给运行在用户层的应用程序上，也允许用户发送原始数据包。 低级动态连接库packet.dll：运行在用户层，?把应用程序和数据包监听设备驱动程序隔离开，使得应用程序可以不加修改地在不同Windows系统上运行。 高级系统无关库Wpcap.dll：它和应用程序编译在一起，它使用低级动态链接库提供的服务，向应用程序提供完善的监听接口，不同Windows平台上的高级系统无关库是相同的。 * * 相关开发库 WinPcap架构图 * * 相关开发库 Pcap_open_live Pcap_setfilter Pcap_next_ex MyPacketProcess Pcap_dump 使用Winpcap的流程 打开网卡接口，设置为混杂模式 设置过滤器(捕获前过滤) 捕获数据 对捕获到的数据进行处理 将捕获到的数据进行存储 * * linux 设置网卡为混杂模式 #include stdio.h #include errno.h #include sys/ioctl.h #include stdlib.h #include sys/socket.h #include sys/types.h #include string.h #include linux/in.h #include linux/if_ether.h #include unistd.h #include net/if.h int main(int argc, char **argv) { int sock, n; struct ifreq ethreq; if ( (sock=socket(PF_PACKET, SOCK_RAW, htons(ETH_P_ALL)))0) { perror(socket); exit(1); } * * linux 设置网卡为混杂模式 /* Set the network card in promiscuos mode */ strncpy(ethreq.ifr_name,eth0,IFNAMSIZ);//把网络设备的名字填充到ifr结构中 if (ioctl(sock,SIOCGIFFLAGS,ethreq)==-1) {//获取接口标志 perror(ioctl); close(sock); exit(1); } ethreq.ifr_flags|=IFF_PROMISC; //获取接口标志后将其设置成混杂模式 if (ioctl(sock,SIOCSIFFLAGS,ethreq)==-1) { perror(ioctl); close(sock); exit(1); } printf(Success to set eth0 to promiscuos mode..