文档介绍:计算机与信息学院
《计算机网络系统实践》报告
设计题目:嗅探器的设计与实现
学生姓名:***
学号:
专业班级:信息安全****
2013 年 9 月 25
一、设计要求
,可以使用Libpcap、WinPcap 或 Linux的原始套接字;
、具有图形界面的Sniffer,主线程响应用户界面操作,工作线程完成抓包等工作;
,能够过滤TCP、UDP等数据包;
;
。
二、开发环境与工具
操作系统:windows7
开发工具:visual studio
开发语言:C++
附加库:Winpcap
三、设计原理
网络嗅探器是一种常用的监听网络的工具。所谓嗅探器( Sniffer) ,是一种利用计算机网络接口截获网络数据的软件或硬件,可用于网络管理、网络协议分析以及网络安全等众多方面。嗅探器不同于一般的键捕获工具,后者只能捕获当地终端控制台上的按键内容,而嗅探器所“嗅”到的是动态的以信息包形式( 如IP 数据包或者以太网包) 封装的信息流。其中可能携带了重要数据或敏感信息。可以将这些捕获到的信息包存档,以利用相应工具可以作进一步分析。
计算机网络的设计为嗅探器的使用创造了最基本的条件。在目前的网络环境中,所有计算机节点都是共享传输介质,任意节点发出或发往任意节点的数据帧必将经过网内每一个节点的网络接口,此时只需对嗅探节点的网络接口( 网卡) 进行适当的设置便可为实现嗅探的做好准备工作。在计算机网络系统中,网卡是用来接收网络上其他节点发来的数据帧,其内嵌的单片处理程序会检测数据帧来源的MAC 地址,并根据网卡所设置的接收方式来是否接收处理数据,如果认为应该处理,则网卡就会产生中断信号通知中央处理器,接收该数据帧并传输给操作系统处理。否则就简单丢弃,所对应节点的网卡就截断,计算机的中央处理器并不参与。
网卡是网络中节点主机的关键硬件设备。对数据的接收一般有四种设置模式: 广播模式: 接收在网络中进行广播数据信息。组播模式: 接收组播数据信息。单播模式: 只有匹配的目的网卡才能接收数据信息。混杂模式: 网卡能够可以接收一切通过它的数据信息。
系统功能描述及软件模块划分
系统功能设计
本系统的基本功能为实现网络数据包的捕获, 并将其数据内容解析显示。网络数据包捕获功能主要负责从网络中捕获和过滤数据,这可以通过调用winPcap提供的丰富的API函数来实现; 数据解析及显示部分主要负责界面数据转化、解析、处理、格式化、协议分析等, 这一部分主要通过MFC 来设计一个单文档图形用户界面GUI,解析结果将通过MFC的类库显示到GUI中
系统总系结构
网络嗅探器的整体设计由三个模块组成, 自底向上分别是嗅探器设置模块, 数据包捕获模块, 解析和显示模块。嗅探器设置模块主要调用w inP c aP 提供的API,分为获取网络设备信息,设置并编译过滤器,打开网络设备三个步骤。数据包捕获模块创建了新的线程,利用了winPcap的非回调函数Pcap_ next_ex()函数从winPcap底层驱动的数据缓冲区中读取数据包,并将数据包存储在系统临时文件中, 以便之后的分析。用Pcap_open_offline()函数从离线文件中读取包。读取到的任意一个符合捕获条件数据包, 将其内容解析, 并显示本数据包。捕获完成后, 进人解析和显示模块。(嗅探器总体结构如图1 )
五、设计步骤
嗅探器的设置模块
a .获取已连接的网络设备列表, winPcap提供了pcap_findalldevs_ex()函 数, 这个函数返回一个PcaP-if结构的链表, 每个这样的结构都包含了一个 适配器的详细信息。
,winPcap提供了pcap_open()函数,该函数第一参数制定要 捕获数据包的哪些部分, 第二参数用来制定适配器是否为混杂模式, 第三 参数为读取数据的超时时间, 当适配器被打开后, 就可以进行捕获工作了;
, pile()和pc ap_setfilter()。pile()它将一个高层的布尔过滤表达式编译成一 个能够被过滤引擎所解释的低层的字节码。pcap_setfilter()将一个过滤器 与内核捕获会话相关联。当pcap_set_filter()被调用时, 这个过滤器将被 应用到来自网络的所有数据包, 并且, 所有的符合要求的数据包(即那些经 过过滤器以后, 布尔表达式为真的包), 将会立即复制给应用程序。
数据包的捕获模块
该部分创建了一个用于捕获数据包的线程, 在该线程中调用winPcap提供的 pc