局域网数据包抓取与分析器的设计

作者：王维颀

来源：《科技资讯》 2011年第32期

王维颀

(吉林省松原市排水公司 吉林松原 138000)

摘 要:随着网络技术的发展和网络应用的普及,越来越多的信息资源放在了互联网上,网络的安全性和可靠性显得越发重要。因此,对于分析、诊断网络,测试网络性能与安全的工具软件的需求也越来越迫切。数据包抓取分析器(以下简称网络嗅探器)是应用在网络上的一种监听程序,完成对数据包进行解包、分析数据包的功能,是网络管理员的一个得力助手,管理员可以用它来分析网络。例如当网络繁忙时可利用它来查找是哪一段网络繁忙,数据报文是属于哪一种协议,这样可以计算出哪种业务受欢迎。但是当有黑客使用它时,它又变得很可怕。它可以非法获取一些保密性信息,如账号、密码等,它带来的负面破坏是非常大的。作为从事网络安全技术方面的人员来说,要想有效地利用它、防范它就得深入地学习、分析网络嗅探技术。

关键词:网络嗅探器 安全 黑客 数据报文

中图分类号:TN957 文献标识码:A 文章编号:1672-3791(2011)11(b)-0015-01

1 绪论

1.1 本软件开发的意义

随着各种新的网络技术的不断出现、应用和发展,计算机网络的应用越来越广泛,其作用也越来越重要。本次设计只是对抓取到的本机在网络中的通信数据,比如说协议类型,源、目的地址和端口、数据包的大小等加以分析,而无法做到像Sniffer 或者影音神探那种成熟的嗅探器所拥有的强大功能。作为从事网络技术方面的人员来说,要想有效地利用它、防范它,就得深入地学习、分析网络嗅探技术。最为重要的是,对于网络嗅探器的设计与实现,使我对网络通信,数据传输和网络信息安全等有了切身的体会与融入,同时也是对网络安全技术这门课的学以致用,不断提高自我的一种有效途径。本文通过对网络嗅探器对网络上传输的数据包的捕获与分析功能的进一步了解,做到知己知彼。通过网络嗅探器对网络上传输的数据包进行捕获和分析,获取所需要的信息,利用对这些信息进行网络安全分析。因此,对网络嗅探器的研究具有重要意义。

1.2 本软件研究的内容

本文的研究主要围绕以下几个方面进行:(1)网络嗅探器的概念及技术的研究。主要包括网络嗅探器的概念、网络嗅探器的工作原理及常见网络嗅探器的实现原理等。(2)入侵检测与嗅探器之间的联系,入侵检测的实现由四部分组成:数据包嗅探解析部分、数据行为检测部分、算法部分和扫描检测部分。数据包嗅探技术是实现入侵检测的基础,将数据包从共享网络线路中捕获,并将其提取到应用程序中。(3)网络嗅探程序的实现。主要工作包括:给出了一个网络嗅探程序的系统框架、数据包捕获程序的设计、数据包的解析、数据的显示等。(4)网络嗅探程序的性能测试与评价,得出结论。

2 设计分析

2.1 实现目标

(1)实现网络嗅探器的界面;(2)实现抓取数据包的功能;(3)实现暂停抓取数据包功能;(4)实现清空列表功能。

2.2 嗅探技术简介

数据在网络上是以很小的称为帧(Frame)的单位传输的,帧由几部分组成,不同的部分执行不同的功能。帧通过特定的称为网络驱动程序的软件进行成型,然后通过网卡发送到网线上,通过网线到达它们的目的机器,在目的机器的一端执行相反的过程。接收端机器的以太网卡捕获到这些帧,并告诉操作系统帧已到达,然后对其进行存储。就是在这个传输和接收的过程中,存在安全方面的问题。

嗅探器工作在网络的底层,在网络上监听数据包来获取敏感信息。从原理上来说,在一个实际的系统中,数据的收发是由网卡来完成的,网卡接收到传输来的数据,网卡内的单片程序接收数据帧的目的MAC 地址,根据计算机上的网卡驱动程序设置的接收模式判断该不该接收,认为该接收就接收后产生中断信号通知CPU,认为不该接收就丢掉不管,所以不该接收的数据网卡就截断了,计算机根本就不知道。对于网卡来说一般有四种接收模式:广播方式、组播方式、直接方式、混杂模式。

网络嗅探器程序是一种利用以太网的特性把网络适配卡(NIC,一般为以太网卡)置为混杂模式状态的工具,一旦网卡设置为这种模式,它就能接收传输在网络上的每一个信息包, 而不管该数据是否传给它的。

2.3 入侵检测系统与嗅探器

入侵检测(简称IDS)的实现由四部分组成:数据包嗅探解析部分、数据行为检测部分、算法部分和扫描检测部分。在这里以误用检测方法对入侵检测的实现做更详细的介绍。在编写入侵检测系统时,需要遵循CIDF 标准来进行系统的设计,首先通过数据包嗅探技术获得网络上流通的数据包;其次通过攻击特征库对嗅探到的数据包进行入侵行为的检测;再次对入侵数据包做出报警;最后将这些入侵事件纪录到数据库,便于查询和分析。

(1)入侵检测的实现与嗅探器的关系。数据包嗅探技术是实现入侵检测的基础,将数据包从共享网络线路中捕获,并将其提取到应用程序中,这个过程要依赖于网络物理层到应用层以及操作系统本身各方面进行协调、设置。

(2)数据包嗅探技术在入侵检测系统中的应用。为了嗅探到网络中的任意一个数据包,必须对物理线路、网卡、操作系统进行完全的配合,首先从网络构成上讲,嗅探技术并不是适合所有类型的网络,不同传输介质的网络的可监听性是不同的。一般来说,以太网被监听的可能性比较高,因为以太网是一个广播型的网络,在一个标准的以太网子网上,多台计算机通过一条线路互联,且任何时刻,电缆上只有一个数据包存在,为了保证多台计算机能共享同一线路,以太网使用了CSMA/CD载波侦听多路访问/冲突检测,这样一来,共享线路上的所有以太网卡及相关设备总是处于对线路上的信号进行监听的状态中,这使得每一台机器都能够探知并接受线路上的数据流。

3 详细设计

3.1 嗅探原理

要知道在以太网中,所有的通讯都是广播的,也就是说通常在同一个网段的所有网络接口都可以访问在物理媒体上传输的所有数据,而每一个网络接口都有一个唯一的硬件地址,这个硬件地址也就是网卡的MAC地址,大多数系统使用48比特的地址,这个地址用来表示网络中的每一个

设备,一般来说每一块网卡上的MFC地址都是不同的,每个网卡厂家得到一段地址,然后用这段地址分配给其生产的每个网卡一个地址。在硬件地址和IP地址间使用ARP和RARP协议进行相互转换。

3.2 代码设计

主界面的设计对程序的成败起着至关重要的作用,所以在设计代码的时候要兼顾程序的可扩展性和简洁性(源代码略)。

4 结语

现在的社会是信息爆炸的时代,网络的诞生在给我们带来便利的同时,也隐藏着许多的隐患。我们在网络上要保护自己的隐私不被别人侵犯,就要用到网络安全工具,虽然网络嗅探器知识其中的一种,但是意义也是不容忽视的。

参考文献

[1]哈顿.穆格(译).网络安全手册(黑客札记).2004.

[2]卢昱,等.网络安全技术[M].中国物质出版社,2001.

[3]谢希仁.计算机网络(第4版)[M].北京:电子工业出版社,2003,6.