基于VC6.0软件嗅探器网络防火墙设计.docVIP

基于VC6.0软件嗅探器网络防火墙设计 　　摘 要 从嗅探器的基本工作原理出发进行分析，提出基于嗅探器的网络防火墙设计思路，并利用其嗅探器的基本原理构建防火墙系统，以此提高防火墙的工作效率，更好的提高网络安全。 　　【关键词】嗅探器 安全监测 防火墙 设计要点 　　网络嗅探器是一种利用网络数据传输进行捕获和解析网络数据性质的工具，其可以解析来自链路层、网络层、传输层等数据特征。随着网络应用的广泛拓展，保持网络运行性能的难度增加，网络嗅探器可以对网络进行有效的监控，快速的对网络故障进行定位与分析，保持网络运行的高效率。 　　1 嗅探器原理的防火墙设计 　　防火墙是位于内部网络与外部网络之间的一种网络安全系统，其主要功能是控制网络流量，并使网络流量能够从一个链路快速的转发到其他链路，并采用对应的端口接收网络流量。接收流量后按照TCP/IP协议栈的设定顺序进行上传，送出符合要求的报文，阻断不符合要求的报文。 　　防火墙通过过滤网络端口的数据包，能够完成以下工作：检查IP地址、ACK、TCP和UDP端口；阻断非法访问行为并发出警报；管理合法访问行为；记录防火墙的运行信息。此外，防火墙的检查对象还包括对确认号、TCP序号、IP地址校验、分割偏移等。对数据包进行协议分析，也就是对数据包进行解包，逐层对其报文进行检查。 　　在数据传输中，每一层传递的数据都由报头和有效信息构成，报头中包括了数据的各种基本信息，如协议和服务、地址源头、源头端口、目标地质、地址端口、帧格式等等，通过对这些基本信息的检查，防火墙可以有效的检查数据特征，捕捉相关的重要信息，方便识别危害性事件。 　　嗅探器的基本原理是对网络数据包进行检查，因此可以利用嗅探器的基本原理设计防火墙，以此让防火墙更加的有效。即对异常行为进行检测，查找特征数据库中匹配的过程，决定是否对其进行拦截。其中包括以下过程，其主要包括的过程有：套接字系统构建和混杂模式设置，让其能够接纳所有类型网络介质信息包；缓冲区与取样时间设置，并对抓取长度进行合理设计；对过滤器做合理设置，挑选攻击者兴趣比重高网络包，从而降低资源浪费；在读取过程中，于文件描述过程中获取数据，也即指数据层链路帧，也称之为太网帧。用过滤、分析、解释、输出过程拷贝和释放网络包，并释放在客户空间中，然后客户做分析与过滤。以太网包头和TCP/IP包头基本信息进行过程分析，例如协议类型、目的IP、源头IP、数据长度等等；检查异常行为，统计并分析异常行为，进行基本行为比对设置，对行为是否友善进行判断，例如用户登录次数增加、磁盘空间骤减、文件被锁定或CPU利用率激增等等。进行特征检查，发现和特征数据库匹配行为，则认定入侵行为出现。若网络中有特定字符串出现，则判断某种特定手段控制漏洞和入侵行为在对应时间点或时间段中正在发生。防火墙线程启动，发现入侵后系统应采用有效措施应对，将事件进行记录，保持攻击信息，包括入侵者的IP、受害者IP、协议信息和数据内容等，同时进行报警，启动特殊事件的处理方案，关闭危险端口。 　　2 基于C++6.0的嗅探器防火墙设计 　　2.1 嗅探器防火墙运行流程 　　系统应用C++6.0实现嗅探器为基础的防火墙设计，其实施过程如下：设置相关winsock2.h和相关的头文件，建立socket套接字，其相关参数必须按照文件性质设定，否则将不能使用向文件属性。需要将打开的套接字同本地计算机的某个端口进行对接绑定，但是不能设置为INADDR-ANY。将WSAIictl（）对绑定的套接字设置属性，以方便读取流经端口的网络数据包。保证防火墙系统 的内核不被阻塞，在在设置好属性后，应创建一个新的线程来读取对应的socket。在对信息进行读取时应对recv（）反复调用，实现接受、检查过程。以IP数据包结构为参考对其中各项内容进行读取，对数据包性质进一步分析，判断所收数据包是不是可靠的地址，若并非本系统所指派的防火墙线程则需控制这一数据包的目的端口。将入侵检测分析线程启动后重点分析、检验所捕获数据包，将数据组护环上双向链表转动，将现在作用接收节点换成下一接收节点，准备好下一数据包的接收工作。 　　2.2 防火墙编程 　　完成多个绑定后，就是对防火墙进行编程，先向防火墙线程上传递捕获的数据包信息，数据包的捕获应采用嗅探器进行；然后需对其结构体进行备份，其主要是由于其结构体为tz-FWUseInfo，属于火墙编程公用结构的一种，故而需备份以防其他线程篡改的现象发生。对数据包的具体类型进行分析判定，以更准确的控制、分析所对应的端口，进而顺利、正确的完成各项操作。判断数据包的地址性质，与计算机中保存的黑名单进行对比，分析异常数据的特征，对比检测库中的数据，如果满足性质则进行拦截处理。对上一步打开的套接字设置进行选项并重新绑定，