windows平台下网络数据包捕获的设计与实现 design and implementation of capturing network packets based on windows platform.pdfVIP

·网络通讯及安全······ 本栏目责任编辑：冯蕾 Windows平台下网络数据包捕获的设计与实现 廖敏。吴文庆 (广东水利电力职业技术学院，广东广州510635) 出了包捕获的详细设计方案和捕获流程。对捕获原理进行了简单介绍和分析。 关键词：入侵检测；包捕获；线程；Winpcap 中图分类号：TP393文献标识码：A 文章编号：1009-3044(2008)10-20028-03 and of NetworkPacketsBasedonWindowsPlatform DesignImplementationCapturing LIAOMAn，WU Wen—q堍 TechnicalofWaterResourcesandElectric 510635，China) (GuangdongCollege Engineering，Guangzhou to thenetworkincommonuseintrusiondetection the ofthe technology，The Abstract：Analyzepackets Winpcapprovidetechniquecap- network onWindows theVC6．0tooland can thenetworkon turing packets pLatform．Use Winpcapempolderpacketcapturing packets model Windows network makeuseofthethread the platformeasiest，The packets efficiency．This capturing technique，improvecapturing detailedf13inewotkand and the elementsinbrief． the flow，introduce paperprovide design capturing analyzecapture words：intrusion Key dececdon；packetcapture；thread；Winpcap l引言 随着Intemet的飞速发展和普及，网络系统在整个社会活动中发挥的作用越来越大，同时其安全问题也日益严重。如同计算机 病毒一样，网络黑客也是无所不在，其攻击手段不断更新，如何保障网络安全已经成为当前研究热点之一。 入侵检测技术作为网络安全防范主要技术之一已经越来越受到业界的高度重视。它是继防火墙、数据加密等传统安全保护措 施之后的新一代动态安全保障技术。对于现有的网络入侵检测技术，均需要对网络数据包进行分析，只有先得到数据包，才能进行 分析检测。本文详细介绍了在Windows平台下数据包捕获的方法。 2TCP／口协议族与数据包捕获原理 层、网络层、网络接口层。这4层概括了OSI参考模型中的7层。其中网络接口层包括用于物理连接和传输的所有功能。它对应OSI 参考模型的物理层和数据链路层，用来保证数据端到端的有效传输。该层功能由主机的网络接口卡(俗称网卡)用来完成，主机的网 络数据均会流经网卡。因此实现数据包捕获的最直接的方法就是从主机网卡上获得。 正常情况下，一个网络接口卡应该只响应这样的两种数据帧：(1)与自己的MAC地址相匹配的数据帧；(2)发向所有机器的广 播数据帧。 网络中的主机系统．数据的收发是由网卡来完成的。网卡接收到传来的数据帧，其内嵌的处理程序会检查数据帧的目的MAC 地址，并根据网卡驱动程序设置的接收