winpcap网络嗅探器课程设计报告

1、.课程设计题目：基于WinPcap的网络嗅探器设计与实现专业班级：网络工程完成时间：2015年1月目录目录2一引言11.1 编写目的11.2 问题背景1二需求分析12.1 需求规定12.1.1 用户需求12.1.2 功能需求12.1.3 性能需求12.2 开发平台1三概要设计13.1 TCP/IP协议族和WinPcap简介13.1.1 TCP协议族13.1.2 WinPcap简介13.2 系统总体分析与设计13.2.1系统总体结构分析与设计13.2.2 系统总体流程13.2.3系统数据结构分析与设计1四系统详细设计与实现14.1数据捕获模块的设计与实现14.2协议解析模块的设计与实现14.3用户界面模块的设计与实现14.3.1控件写数据的基本操作14.3.2 根据不同协议显示不同颜色14.3.3对数据格式化显示1五结语1六附录16.1 参考文献16.2主要函数代码1-.一引言1.1 编写目的本需求的编写是为了研究基于WinpCap网络嗅探网络抓包程序的开发途径和应用方法。同时它也是进行项目策划、概要设计和详细设计的基础，是维护人员进行部维护，信息更新，验收和测试的依据，是用户操作说明的

2、指导文档，是开发人员和用户交互的良好界面。1.2 问题背景随着网络技术的飞速发展，加速了全球信息化的进程，各种重要数据在网上的传播日益普遍，使得网络安全问题越来越为人们所关注。网络嗅探网络抓包工具作为一种网络数据监听程序，在网络安全攻防方面扮演了很重要的角色，目前已经有不少网络嗅探网络抓包工具，譬如在Windows环境下，最富盛名的工具是Netxray、WireShark原Ethereal。网络嗅探网络抓包工具实际上是一把双刃剑，通过使用网络嗅探网络抓包工具，可以把网卡设置于混杂模式，并可实现对网络上传输的数据包的捕获与分析，此分析结果可供网络安全分析之用，也可为黑客发动进一步的攻击提供有价值的信息。而在网络安全方面，目前使用最广泛的TCP/IP协议存在许多安全缺陷，网络嗅探网络抓包工具可以有效地探测在网络上传输的数据包信息，通过对这些信息的分析是有助于网络安全维护的。根据?网络安全技术发展分析?一文中的数据，2007年以来网络监听技术出现了新额重要特征，传统的Sniffer技术是被动地监听网络通信、用户名和口令，而新的Sniffer技术那么主动地控制通信数据。我们通过对网络嗅探网络抓

3、包工具的数据包的捕获与分析功能的进一步了解，才能做到知己知彼，有针对性地获取所需要的信息，利用这些信息进行网络安全分析的网络威胁应对。因此对网络嗅探网络抓包技术的研究具有重要的意义。计算机网络的设计为嗅探器的使用创造了最基本的条件。在目前的网络环境中，所有计算机节点都是共享传输介质，任意节点发出或发往任意节点的数据帧必将经过网每一个节点的网络接口，此时只需对嗅探节点的网络接口( 网卡) 进行适当的设置便可为实现嗅探的做好准备工作。在计算机网络系统中，网卡是用来接收网络上其他节点发来的数据帧，其嵌的单片处理程序会检测数据帧来源的MAC 地址，并根据网卡所设置的接收方式来是否接收处理数据，如果认为应该处理，那么网卡就会产生中断信号通知中央处理器，接收该数据帧并传输给操作系统处理。否那么就简单丢弃，所对应节点的网卡就截断，计算机的中央处理器并不参与。网卡是网络中节点主机的关键硬件设备。对数据的接收一般有四种设置模式: 广播模式: 接收在网络中进行广播数据信息。组播模式: 接收组播数据信息。单播模式: 只有匹配的目的网卡才能接收数据信息。混杂模式: 网卡能够可以接收一切通过它的数据信息。二需求

4、分析2.1 需求规定2.1.1 用户需求网络嗅探网络抓包是一种利用计算机的网络接口截获其它计算机数据报文的工具。使用网络嗅探网络抓包工具的主要人群是黑客或网络安全技术人员，从攻击的角度，黑客可以使用网络嗅探网络抓包程序非法获取网络中传输的大量敏感信息，如账号和口令等，对网路安全极具威胁；从防守的角度，网络嗅探网络抓包技术是居于网络的入侵检测系统的最底层环节，是整个系统的数据来源，为技术人员提供重要的依据。无论是黑客还是安全人员，他们对抓包技术的利用途径都是一样的，即对网络上传输的数据包进行捕获与分析，获取不要的信息，但是他们的目的是不一样的，前者是专门利用计算机网络搞破坏或恶作剧，而后者是通过对这些信息的分析利用。维护网络安全与稳定。因此用户提出了以下要求：(1)能够捕获网络数据包，并能对数据包进行简单的分析。(2)精确的设置捕捉规那么和灵活的过滤策略，能使用户方便、准确地捕获所需要的信息。(3)界面友好，操作简单。2.1.2 功能需求尽管网络嗅探网络抓包工具作为网络安全方面最常见的工具被广泛使用，但是它的基本原理其实很简单，就是先把同卡设备设为混杂模式，然后直接接收链路层的数据。为了

5、实现用户所提出的各种需求，抓包工具必需达到以下功能：(1)运行于数据链路层，监视网络状态，对数据帧进行捕捉和统计，为优化网络性能、增强系统安全性提供充分有效的依据。此时的工作网卡处于混杂模式。(2)能够对网络中捕捉的数据包解码，用于故障分析。如数据包的编号、长度、硬件地址类型、协议地址类型、MAC地址长度、IP地址长度、操作代码、发送者硬件地址、目标硬件地址、源IP、目的IP等相关信息。(3)友好的图形化界面，不需要复杂的命令，大部分功能通过鼠标点击就可达到，操作简单、方便。(4)用户能够自定义过滤规那么，使数据包的捕获更加精准和具有灵活性，增强了软件功能以及与用户的交互能力。2.1.3 性能需求一个程序除了能正常运行并且达到相应的功能外，对程序性能也有严格的要求，性能需求决定了整个系统的性能档次、所采用的技术和设备档次，本程序除了达到常用软件对响应时间以及差错控制的要求外，还提出以下要求：(1)数据精确性：捕获到的数据包并不仅仅是单纯的数据信息，而是包含有IP头、TCP头等信息头的最原始的数据信息，这些信息保留了它在网络传输时的原貌，为分析网络信息提供了重要资料。(2)适应围：优秀的

6、抓包工具能够分析几百种协议。一般情况下，大多数的抓包工具至少能够分析下面的协议：IP、TCP、UDP、ICMP、ARP等。2.2 开发平台开发平台：Windows 7开发语言：C+集成开发环境：Visual Studio 2010辅助开发工具：WinPcap开发包WinPcap 4.0.2三概要设计3.1 TCP/IP协议族和WinPcap简介本系统使用的开发包WinPcap是Windows平台下的专业网络数据包捕获开发包。3.1.1 TCP协议族TCP协议和IP协议指两个用在Internet上的网络协议或数据传输的方法。它们分别是传输控制协议和互联网协议。这两个协议属于众多的TCP/IP协议族的一部分。在TCP/IP协议族中，有很多种协议。图2-1给出了TCP/IP协议族中不同层次的协议。图2-1 TCP/IP协议族中不同层次的协议（1） TCP数据报格式传输控制协议TCPtransmission control protocol是专门用于在不可靠的因特网上提供可靠的、端到端的字节流通信协议。TCP虽然是面向字节流的，但TCP传送的数据单元却是报文段。一个TCP报文段分为首部和数据两

7、部分，而TCP的全部功能都表达在它首部中各字段的作用。图2-2给出了TCP报文段的首部格式。图2-2 TCP报文段的首部格式2UDP数据报格式用户数据报UDP有两个字段：数据字段和首部字段。首部字段很简单，只有8个字节图2-3，由四个字段组成，每个字段的长度都是两个字节。图2-3 UDP用户数据报的首部和伪首部3IP数据报格式IP是TCP/IP协议族中最为核心的协议。所有的TCP、UDP、ICMP及IGMP数据都以IP数据报格式传输。图2-4是IP数据报的完整格式。图2-4 IP数据报格式4ICMP数据报格式ICMP报文是在IP数据报部被传输的。ICMP报文的格式如图2-5所示。所有的报文的前4个字节都是一样的，但是剩下的其他字节那么互不相同。类型字段可以有15个不同的值，以描述特定类型的ICMP报文。某些ICMP报文还使用代码字段的值来进一步描述不同的条件。检验和字段覆盖整个ICMP报文。图2-5 ICMP报文格式5ARP数据报格式在以太网上解析IP地址时，ARP请求和应答分组的格式如图2-6所示ARP可以用于其他类型的网络，可以解析IP地址以外的地址。紧跟着帧类型字段的前四个字段指

8、定了最后四个字段的类型和长度。图2-6 用于以太网的ARP请求或应答分组格式3.1.2 WinPcap简介WinPcap(Windows Packet Capture)是Windows平台下一个免费，公共的网络访问系统。是Libpcap在Windows平台下的版本，针对Windows进行了优化处理和扩展。WinPcap驱动有如下功能：1、捕获原始数据包，包括在共享网络上各主机发送/接收的以及相互之间交换的数据WinPcap结构包。2、在数据包发往应用程序之前，按照自定义的规那么将某些特殊的数据包过滤掉。3、在网络上发送原始的数据包。4、收集网络通信工程中的统计信息。WinPcap的主要功能在于独立于主机协议如TCP/IP)而发送和接收原始数据包。也就是说，WinPcap不能阻塞、过滤或控制其他应用程序数据包的发收，它仅仅只是监听共享网络上传送的数据包。WinPcap提供给用户两个不同级别的编程接口：一个基于Libpcap的wpcap.dll，另一个是较底层的packet.dll。WinPcap的配置过程如下(以Microsoft Visual C+ 6.0为例)：1、添加头文件目录：工

9、具选项目录Include files添加WpdPackInclude目录。2、添加库文件目录：工具选项目录Library files添加WpdPackLib目录。3、添加预处理定义WPCAP和HAVE_REMOTE：工程设置C/C+预处理程序定义添加WPCAP和HAVE_REMOTE。4、添加wpcap.lib库函数：工程设置连接对象/库模块添加wpcap.lib。5、添加pcap.h头文件在每个使用了WinPcap函数的源文件中添加pcap.h。3.2 系统总体分析与设计在以太网中，信息是以明文的形式在网络上传输的，当将网络适配器设置为混杂模式时，由于采用以太网广播信道争用的方式，使得监听系统与正常通信的网络能够并联连接，并可以捕获任何一个在同一冲突域上传输的数据包。运用这一原理使信息捕获系统能够拦截我们所要的信息，这是捕获数据包的物理基础。首先抓包系统必须绕过操作系统的协议栈来访问在网络上传输的原始数据包。WinPcap提供了两个不同的库：packet.dll和wpcap.dll。wpcap.dll提供了更加友好、功能更加强大的函数调用。3.2.1系统总体结构分析与设计本系统基于WinPcap捕获和分析网络数据包的思想和方法进行设计，整体结构按功能分为3个部分，分别是数据捕获模块、协议解析模块和用户显示模块。系统的总体结构如图2-7所示。网络嗅探器用户界面协议解析模块数据捕获模块图2-7 系统的总体结构3.2.2 系统总体流程用

《winpcap网络嗅探器课程设计报告》由会员公****分享，可在线阅读，更多相关《winpcap网络嗅探器课程设计报告》请在金锄头文库上搜索。