网络嗅探器的实现.docVIP

网络安全·课程设计 第 PAGE 2页/共 NUMPAGES 4页 . 研究 网络嗅探器的设计与实现 Design and implementation of network sniffer? 摘要 网络嗅探器无论是在网络安全还是在黑客攻击方面均扮演了很重要的角色。通过使用网络嗅探器可以把网卡设置于混杂模式，并可实现对网络上传输的数据包的捕获与分析。此分析结果可供网络安全分析之用，但如为黑客所利用也可以为其发动进一步的攻击提供有价值的信息。可见，嗅探器实际是一把双刃剑。虽然网络嗅探器技术被黑客利用后会对网络安全构成一定的威胁，但嗅探器本身的危害并不是很大，主要是用来为其他黑客软件提供网络情报，真正的攻击主要是由其他黑软来完成的。而在网络安全方面，网络嗅探手段可以有效地探测在网络上传输的数据包信息，通过对这些信息的分析利用是有助于网络安全维护的。　　 本设计是网络嗅探器的设计与实现，介绍一种在Visual C++下用C语言和网络数据包分析开发工具来实现捕获并分析在网络上传输的数据包的简单方法。本程序实现的基本功能：指定局域网内的任一ip地址，能分析包的类型，结构，流量的大小。附加功能：输出目的ip地址，目的端口，udp数据地址，ip头部长度，udp头部长度，数据包大小。 关键词：网络嗅探器 数据包 捕获分析 网络协议 WinPcap编程接口 多线程 目录 TOC \o 1-2 \h \z \u HYPERLINK \l _Toc218471761 摘要 PAGEREF _Toc218471761 \h 2 HYPERLINK \l _Toc218471762 关键词 PAGEREF _Toc218471762 \h 2 HYPERLINK \l _Toc218471763 1 网络嗅探概述 4 HYPERLINK \l _Toc218471764 1.1 网络嗅探的背景 4 HYPERLINK \l _Toc218471765 1.2 相关的网络知识 PAGEREF _Toc218471765 \h 4 HYPERLINK \l _Toc218471766 1.3 嗅探器设计原理 5 HYPERLINK \l _Toc218471767 1.4 嗅探器的具体实现 9 HYPERLINK \l _Toc218471770 2 附录（源代码） 13 HYPERLINK \l _Toc218471776 小 结 16 HYPERLINK \l _Toc218471777 参考资料 16 网络嗅探概述 1.1 网络嗅探的背景 网络嗅探是指利用计算机的网络接口截获目的地为其它计算机的数据报文的一种手段。 网络嗅探需要用到网络嗅探器，其最早是为网络管理人员配备的工具，有了嗅探器网络管理员可以随时掌握网络的实际情况，查找网络漏洞和检测网络性能，当网络性能急剧下降的时候，可以通过嗅探器分析网络流量，找出网络阻塞的来源。嗅探器也是很多程序人员在编写网络程序时抓包测试的工具，因为我们知道网络程序都是以数据包的形式在网络中进行传输的，因此难免有协议头定义不对的。 网络嗅探的基础是数据捕获，网络嗅探系统是并接在网络中来实现对于数据的捕获的，这种方式和入侵检测系统相同，因此被称为网络嗅探。网络嗅探是网络监控系统的实现基础。 1.2 相关网络知识 我们通常所说的“Packet sniffer”指的是一种插入到计算机网络中的偷听网络通信的设备，就像是电话监控能听到其他人通过电话的交谈一样。与电话电路不同，计算机网络是共享通信通道的。共享意味着计算机能够接收到发送给其他计算机的信息。捕获在网络中传输的数据信息就称为Sniffing（窃听）。 以太网是现在应用最广泛的计算机联网方式，它就是一个共享的介质。以太网协议是在同一回路向所有主机发送数据包信息。数据包头包含有目标主机的正确地址。一般情况下只有具有该地址的主机会接受这个数据包。如果一台主机能够接收所有数据包，而不理会数据包头内容，这种方式通常称为“混杂”模式。由于在一个普通的网络环境中，账号和口令信息以明文方式在以太网中传输，一旦入侵者获得其中一台主机的root权限，并将其置于混杂模式以窃听网络数据，从而有可能入侵网络中的所有计算机。计算机能够接收到发送给其他计算机的信息。这就意味着你不必打开配线盒来安装你的偷听设备，你几乎在连接到你的邻居的任何一条连接上对于你的邻居进行监听。这就被称为“混杂模式”的监听。但是这种的“共享”技术很快就被“交换”技术所取代，这样利用混杂模式进行监听已经不可能了，这就意味着你不得不进行实际的接线来实现监听。目前一些交换机的监视端口就提供了这种接听方式。 在黑客的手中，嗅探器就变成了一个黑客利器，如利用ARP欺骗手段，很多攻击方式