网络嗅探器的设计实现

- - -.

《网络与信息安全》课程设计报告

2011年1月

目录

一、开发背景

1、网络安全现状。

2、开发意义。

二、设计分析

1、实现目标。

2、开发技术简介。

三、详细设计

1、嗅探原理。

2、代码设计。

四、测试运行

五、总结

六、参考文献

摘要

网络嗅探器是作用在网络上的一种监听程序，它是系统管理员的一个得力助手，管理员可以用它来分析网络。例如当网络繁忙时可利用它来查找是哪一段网络繁忙，数据报文是属于哪一种协议，这样可以计算出哪种业务受欢迎。但是当有黑客使用它时，它又变得很可怕。它可以非法获取一些XX性信息，如XX、密码等，它带来的负面破坏是非常大的。作为从事网络安全技术方面的人员来说，要想有效地利用它、防X它就得深入地学习、分析网络嗅探技术。

1、本设计的基本任务是设计一个嗅探软件，实现对常用网络数据包抓取、分析。

2、软件所要完成对本机在网络中的通信数据,比如协议类型，源、目的地址和端口、数据包

的大小等加以分析的功能。

3、本设计用到的开发工具为Microsoft Visual Studio 2010 开发环境为Windows 7。

4、程序由韩瑞彬同学和我共同完成，本人主要负责主界面的设计和网络数据包的抓取，韩

瑞彬同学负责对数据包的解析设计。

关键字：嗅探器，安全，黑客，数据报文

一、开发背景

1、网络安全现状

随着各种新的网络技术的不断出现、应用和发展，计算机网络的应用越来越广泛，其作用也越来越重要。但是由于计算机系统中软硬件的脆弱性和计算机网络的脆弱性以及地理分布的位置、自然环境、自然破坏以及人为因素的影响，不仅增加了信息存储、处理的风险，也给信息传送带来了新的问题。计算机网络安全问题越来越严重，网络破坏所造成的损失越来越大。Internet 的安全已经成为亟待解决的问题。多数黑客入侵成功并植入后门后的第一件事就是选择一个合适当前网络的嗅探器，以获得更多的受侵者的信息。嗅探器是一种常用的收集有用数据的方法，可以作为分析网络数据包的设备。网络嗅探器就是利用计算机的网络接口截获其他计算机的数据报文的一种工具，而且它与一般的键盘捕获程序不同。键盘捕获程序捕获在终端上输入的键值，而嗅探器捕获的则是真实的网络报文.如果把网络嗅探器放置于网络节点处，对网络中的数据帧进行捕获的一种被动监听手段，是一种常用的收集有用数据的方法，可以分析各种信息包并描述出网络的结构和使用的机器，由于它接收任何一个在同一网段上传输的数据包，所以也就存在着捕获密码、各种信息、秘密文档等一些没有加密的信息的可能性。这成为黑客们常用的扩大战果的方法，用来夺取其他主机的控制权。当然嗅探器的正当用处主要是网络管理人员分析网络的流量，以便找出所关心的网络中潜在的问题。例如，假设网络的某一段运行得不是很好，报文的发送比较慢，而我们又不知道问题出在什么地方，此时就可以用嗅探器截获网络中的数据包，分析问题

的所在。

2、开发意义

本次设计只是对抓取到的本机在网络中的通信数据,比如说协议类型，源、目的地址和端口、数据包的大小等加以分析，而无法做到像Sniffer 或者影音神探那种成熟的嗅探器所拥有的强大功能。作为从事网络技术方面的人员来说，要想有效地利用它、防X它，就得深入地学习、分析网络嗅探技术。最为重要的是，对于网络嗅探器的设计与实现，使我对网络通信，数据传输和网络信息安全等有了切身的体会与融入，同时也是对网络安全技术这门课的学以致用，不断提高自我的一种有效途径。

二、设计分析

1、实现目标

（1）实现网络嗅探器的界面。

（2）实现抓取数据包的功能。

（3）实现暂停抓取数据包功能。

（4）实现清空列表功能。

2、开发技术简介

（1）TCP/IP协议分析

TCP/IP 是供已连接因特网的计算机进行通信的通信协议。

TCP/IP 定义了电子设备（比如计算机）如何连入因特网，以及数据如何在它们之间传输的标准。

TCP/IP是一个四层的分层体系结构。高层为传输控制协议，它负责聚集信息或把文件拆分成更小的包。这些包通过网络传送到接收端的TCP层，接收端的TCP层把包还原为原始文件。低层是网际协议，它处理每个包的地址部分，使这些包正确的到达目的地。网络上的网关计算机根据信息的地址来进行路由选择。即使来自同一文件的分包路由也有可能不同，但最后会在目的地汇合。TCP/IP使用客户端/服务器模式进行通信。TCP/IP 通信是点对点的，意思是通信是网络中的一台主机与另一台主机之间的。TCP/IP与上层应用程序之间可以说是“没有国籍的”，因为每个客户请求都被看做是与上一个请求无关的。正是它们之间的“无国籍的”释放了网络路径，才是每个人都可以连续不断的使用网络。许多用户熟悉使用TCP/IP协议的高层应用协议。

众所周知，如今电脑上因特网都要作TCP/IP协议设置，显然该协议成了当今地球村“人与人”之间的“牵手协议”。通俗而言：TCP负责发现传输的问题，一有问题就发出信号，要求重新传输，直到所有数据安全正确地传输到目的地。而IP是给因特网的每一台电脑规定一个地址。1974年12月，卡恩、瑟夫的第一份TCP协议详细说明正式发表。当时美国国防部与三个科学家小组签定了完成TCP/IP的协议，结果由瑟夫领衔的小组捷足先登，首先制定出了通过详细定义的TCP/IP协议标准。当时作了一个试验，将信息包通过点对点的卫星网络，再通过陆地电缆，再通过卫星网络，再由地面传输，贯串欧洲和美国，经过各种电脑系统，全程9.4万公里竟然没有丢失一个数据位，远距离的可靠数据传输证明了TCP/IP协议的成功。

1983年1月1日，运行较长时期曾被人们习惯了的NCP被停止使用，TCP/IP协议作为因特网上所有主机间的共同协议，从此以后被作为一种必须遵守的规则被肯定和应用。正是由于TCP/IP协议，才有今天“地球村”因特网的巨大发展。

以下简单介绍TCP/IP中的协议都具备什么样的功能，都是如何工作的：

1、IP

IP层接收由更低层（网络接口层例如以太网设备驱动程序）发来的数据包，并把该数据包发送到更高层---TCP或UDP层；相反，IP层也把从TCP或UDP层接收来的数据包传送到更低层。IP数据包是不可靠的，因为IP并没有做任何事情来确认数据包是按顺序发送的或者没有被破坏。IP数据包中含有发送它的主机的地址（源地址）和接收它的主机的地址（目的地址）。

高层的TCP和UDP服务在接收数据包时，通常假设包中的源地址是有效的。也可以这样说，IP地址形成了许多服务的认证基础，这些服务相信数据包是从一个有效的主机发送来的。IP确认包含一个选项，叫做IP source routing，可以用来指定一条源地址和目的地址之间的直接路径。对于一些TCP和UDP的服务来说，使用了该选项的IP包好像是从路径上的最后一个系统传递过来的，而不是来自于它的真实地点。这个选项是为了测试而存在的，说明了它可以被用来欺骗系统来进行平常是被禁止的连接。那么，许多依靠IP源地址做确认的服务将产生问题并且会被非法入侵。

2、TCP

如果IP数据包中有已经封好的TCP数据包，那么IP将把它们向‘上’传送到TCP层。TCP将包排序并进行错误检查，同时实现虚电路间的连接。TCP数据包中包括序号和确认，所以未按照顺序收到的包可以被排序，而损坏的包可以被重传。