Sniffer 的项目的报告.pdfVIP

文档编号：RP 版 本 号： 1.0 Sniffer 项目报告 项目负责 Fm 文档撰写 Fm 日期 2009 年12 月 所属单位 CS 目录 1 引言3 1.1 引言3 1.2 Sniffer 概述[1] 3 1.3 任务概述4 1.4 技术选择5 1.5 编译运行环境5 2 任务实现6 2.1 系统设计6 2.2 主要数据结构7 2.3 主要算法描述9 3 系统的实现与使用10 3.1 Rule 定义10 3.2 用户界面12 3.2.1 主界面12 3.2.2 浏览特定包12 3.2.3 Dump 14 3.2.4 搜索功能14 4 遇到的问题和解决方法15 5 体会和建议16 6 参考文献16 1 引言 1.1 引言 本文档的撰写，旨在验收阶段，总结Fm’s Sniffer 的功能。并且回顾其设计要点， 以便于积累经验，在将来其他项目中有所受益。 1.2 Sniffer 概述[1] Sniffer ，中文可以翻译为嗅探器，是一种威胁性极大的被动攻击工具。使用这种工 具，可以监视网络的状态、数据流动情况以及网络上传输的信息。当信息以明文的形式 在网络上传输时，便可以使用网络监听的方式来进行攻击。将网络接口设置在监听模式， 便可以将网上传输的源源不断的信息截获。黑客们常常用它来截获用户的口令。据说某 个骨干网络的路由器曾经被黑客攻入，并嗅探到大量的用户口令。 每一个在局域网（LAN ）上的工作站都有其硬件地址，这些地址惟一地表示了网 络上的机器（这一点与 Internet 地址系统比较相似）。当用户发送一个数据包时，这些 数据包就会发送到LAN 上所有可用的机器。 在一般情况下，网络上所有的机器都可以“听”到通过的流量，但对不属于自己的 数据包则不予响应（换句话说，工作站A 不会捕获属于工作站B 的数据，而是简单地 忽略这些数据）。如果某个工作站的网络接口处于混杂模式（关于混杂模式的概念会在 后面解释），那么它就可以捕获网络上所有的数据包和帧。 基于Sniffer 这样的模式，可以分析各种信息包并描述出网络的结构和使用的机器， 由于它接收任何一个在同一（物理）网段上传输的数据包，所以也就存在着捕获密码、 各种信息、秘密文档等一些没有加密的信息的可能性。这成为黑客们常用的扩大战果的 方法，用来夺取其他主机的控制权 1.3 任务概述 为了加深对TCP/IP 协议的理解，我们开展本次任务。本次任务要求如下： 1. 实现Sniffer 的基本功能。Sniffer 是一种用于监测网络性能、使用情况的工具。 2. 能够指定需要侦听的网卡（考虑一台机器上多张网卡的情况） 3. 能够侦听所有进出本主机的数据包，解析显示数据包（ICMP、IP、TCP、UDP 等）各个字段。比如，对IP 头而言，需要显示 版本、头长度、服务类型、数据包长度、 标识、DF/MF 标志、段内偏移、生存期、协议类型、源目的IP 地址、选项内容、数据 内容。要求显示数据的实际含义（例如用ASCII 表示）； 4. 能够侦听来源于指定IP 地址的数据包，能够侦听指定目的IP 地址的数据包，显 示接收到的TCP 和UDP 数据包的全部实际内容。需要考