陸 奎，王 海

(安徽理工大學(xué)計(jì)算機(jī)科學(xué)與工程學(xué)院，安徽 淮南 232001)

?

基于網(wǎng)絡(luò)安全開(kāi)發(fā)包的網(wǎng)絡(luò)監(jiān)聽(tīng)檢測(cè)系統(tǒng)的研究與實(shí)現(xiàn)

陸 奎，王 海

(安徽理工大學(xué)計(jì)算機(jī)科學(xué)與工程學(xué)院，安徽 淮南 232001)

網(wǎng)絡(luò)安全是研究與計(jì)算機(jī)網(wǎng)絡(luò)相關(guān)聯(lián)的安全問(wèn)題，隨著網(wǎng)絡(luò)監(jiān)聽(tīng)造成的安全問(wèn)題日益嚴(yán)重，對(duì)網(wǎng)絡(luò)監(jiān)聽(tīng)、檢測(cè)和防范的研究顯得十分重要。本文首先對(duì)網(wǎng)絡(luò)監(jiān)聽(tīng)檢測(cè)技術(shù)的概念和原理進(jìn)行了描述，然后著重對(duì)Libpcap和Winpcap兩種常用的網(wǎng)絡(luò)開(kāi)發(fā)包技術(shù)進(jìn)行研究，采用網(wǎng)絡(luò)數(shù)據(jù)包捕獲開(kāi)發(fā)包Libpcap，對(duì)Libpcap的核心數(shù)據(jù)結(jié)構(gòu)，其定義方式進(jìn)行探討，基于Winpcap捕獲技術(shù)使用網(wǎng)絡(luò)安全開(kāi)發(fā)包對(duì)網(wǎng)絡(luò)監(jiān)聽(tīng)進(jìn)行檢測(cè)，最后對(duì)網(wǎng)絡(luò)監(jiān)聽(tīng)檢測(cè)系統(tǒng)進(jìn)行了設(shè)計(jì)與實(shí)現(xiàn)。

網(wǎng)絡(luò)安全；網(wǎng)絡(luò)監(jiān)聽(tīng)；網(wǎng)絡(luò)安全開(kāi)發(fā)包；Libpcap；Winpcap

傳統(tǒng)的計(jì)算機(jī)網(wǎng)絡(luò)雖然提供了高速的信息傳輸，卻忽略了對(duì)信息內(nèi)容的保護(hù)。為了實(shí)現(xiàn)安全的網(wǎng)絡(luò)通信，目前主流解決方案采用數(shù)據(jù)加密來(lái)提升通信安全。雖然采用加密機(jī)制有效提升了數(shù)據(jù)安全，但是由于網(wǎng)絡(luò)監(jiān)聽(tīng)依然存在，網(wǎng)絡(luò)通信安全仍然不能得到徹底保障。因此對(duì)網(wǎng)絡(luò)監(jiān)聽(tīng)檢測(cè)技術(shù)的研究變得十分重要。絡(luò)監(jiān)聽(tīng)也稱為網(wǎng)絡(luò)嗅探(sinff)，即將網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)包捕獲并進(jìn)行分析的行為。網(wǎng)絡(luò)監(jiān)聽(tīng)器也叫做嗅探器(sinffer)，它是利用計(jì)算機(jī)的網(wǎng)絡(luò)接口捕獲目的地為其他計(jì)算機(jī)數(shù)據(jù)包的一種工具，sinffer就是網(wǎng)絡(luò)上的“竊聽(tīng)器”。它工作在網(wǎng)絡(luò)的底層，能夠記錄網(wǎng)絡(luò)中傳輸?shù)娜繑?shù)據(jù)。網(wǎng)絡(luò)監(jiān)聽(tīng)系統(tǒng)的優(yōu)勢(shì)是可以為網(wǎng)絡(luò)管理人員方便查找網(wǎng)絡(luò)漏洞、檢測(cè)網(wǎng)絡(luò)性能、分析網(wǎng)絡(luò)流量，不足是它是一種在他方無(wú)法察覺(jué)的情況下，捕獲網(wǎng)絡(luò)信息的。

1 網(wǎng)絡(luò)監(jiān)聽(tīng)的危害性及工作原理

網(wǎng)絡(luò)監(jiān)聽(tīng)是黑客們常用的工具，當(dāng)信息以明文形式在網(wǎng)絡(luò)傳輸?shù)臅r(shí)候，就可以使用網(wǎng)絡(luò)監(jiān)聽(tīng)的方式進(jìn)行攻擊。在局域網(wǎng)中，數(shù)據(jù)幾乎都是以明文形式傳輸?shù)模@就就給網(wǎng)絡(luò)監(jiān)聽(tīng)提供的可趁之機(jī)。通常監(jiān)聽(tīng)造成的危害有：

1) 捕獲口令；網(wǎng)絡(luò)嗅探器可以捕獲明文形式的密碼或口令；

2) 捕獲專用或者機(jī)密的信息，包括用戶姓名、口令、信用卡密碼、個(gè)人帳號(hào)和pin碼；

3) 偷窺機(jī)密敏感信息，通過(guò)攔截?cái)?shù)據(jù)包，可以竊聽(tīng)整個(gè)Email會(huì)話全過(guò)程；

4) 獲取更高級(jí)別的訪問(wèn)權(quán)限。一旦入侵者得到用戶密碼和帳號(hào)，必然可以通過(guò)信任關(guān)系危害整個(gè)網(wǎng)絡(luò)安全，從而獲取更高級(jí)別的訪問(wèn)權(quán)限。

一般來(lái)說(shuō)網(wǎng)絡(luò)監(jiān)聽(tīng)分為主動(dòng)監(jiān)聽(tīng)和被動(dòng)監(jiān)聽(tīng)兩種監(jiān)聽(tīng)模式。所謂主動(dòng)監(jiān)聽(tīng)一般多采用于公共機(jī)房，重要用于一個(gè)機(jī)房中的終端機(jī)對(duì)各工作站實(shí)行監(jiān)聽(tīng)。所有的主機(jī)連接到SWITCH，對(duì)于發(fā)送給某個(gè)特定主機(jī)的數(shù)據(jù)包會(huì)被SWITCH從特定的端口送出，而不是想HUB一樣廣播給網(wǎng)絡(luò)中的所有主機(jī)。這種傳播形式使得以太網(wǎng)的性能大大提高，但是卻破壞了監(jiān)聽(tīng)的第一條件：網(wǎng)絡(luò)上的的數(shù)據(jù)能到達(dá)監(jiān)聽(tīng)主機(jī)。

網(wǎng)絡(luò)監(jiān)聽(tīng)的工作原理：每個(gè)網(wǎng)卡廠家得到一段地址，然后用這段地址分配給其生產(chǎn)的每個(gè)網(wǎng)卡一個(gè)地址。在硬件地址和IP地址間使用ARP和ARP協(xié)議進(jìn)行相互轉(zhuǎn)換。在正常的情況下，一個(gè)網(wǎng)絡(luò)接口應(yīng)該只響應(yīng)這樣的兩種數(shù)據(jù)幀：① 與自己硬件地址相匹配的數(shù)據(jù)幀。② 網(wǎng)絡(luò)上的廣播數(shù)據(jù)幀。在一個(gè)實(shí)際的系統(tǒng)中，數(shù)據(jù)的收發(fā)是由網(wǎng)卡來(lái)完成的。當(dāng)收到網(wǎng)絡(luò)上傳輸來(lái)的數(shù)據(jù)時(shí)，首先由網(wǎng)卡對(duì)數(shù)據(jù)幀的目的MAC地址進(jìn)行檢查，如果目的MAC地址與本地的MAC地址相匹配，則認(rèn)為應(yīng)接收該數(shù)據(jù)并產(chǎn)生相應(yīng)的中斷信號(hào)通知CPU；如果不匹配，則直接丟棄該數(shù)據(jù)幀，本地計(jì)算機(jī)將根本不知道有數(shù)據(jù)幀的到來(lái)。在得到中斷信號(hào)后，CPU產(chǎn)生中斷，操作系統(tǒng)調(diào)用驅(qū)動(dòng)程序接收數(shù)據(jù)，驅(qū)動(dòng)程序接收數(shù)據(jù)后放入信號(hào)堆棧讓操作系統(tǒng)處理。對(duì)于網(wǎng)卡來(lái)說(shuō)一般有四種接收模式：

廣播模式、多播模式、直接模式，這三種模式統(tǒng)稱為普通模式(Normal model)；混雜模式(Promiscuous model)。

而對(duì)于網(wǎng)卡來(lái)說(shuō)，接受幀的目的MAC地址是以下幾種地址之一：

1) 本機(jī)的MAC地址是目的地址；

2) 本機(jī)的MAC地址不是目的地址；

3) 組播地址是目的MAC地址，多播列表中本機(jī)此時(shí)已注冊(cè)；

4) 組播地址是目的MAC地址，多播列表中本機(jī)此時(shí)沒(méi)有注冊(cè)；

5) 廣播地址是目的MAC地址；

針對(duì)不同MAC地址不同的網(wǎng)卡工作模式的過(guò)濾方式如表1所示。

表1 網(wǎng)卡工作模式的過(guò)濾方式

從上表可以看出，“√”表示網(wǎng)卡工作可以接受的過(guò)濾方式，“×”表示網(wǎng)卡工作不可接受的過(guò)濾方式。通常網(wǎng)卡工作在normal model模式下只接受以下幾種類型的數(shù)據(jù)：目的MAC地址是本機(jī)的、目的MAC地址是組播地址，本機(jī)此時(shí)在多播列表中已注冊(cè)以及目的MAC地址是廣播地址。而對(duì)于不屬于以上類型的數(shù)據(jù)包均做丟棄處理。而網(wǎng)卡處于Promiscuous model的主機(jī)，網(wǎng)卡根本不檢查MAC地址，只要是網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)包，無(wú)論類型全部接受。這樣就實(shí)現(xiàn)了對(duì)網(wǎng)絡(luò)上所有數(shù)據(jù)包接受的效果，達(dá)到網(wǎng)絡(luò)全監(jiān)聽(tīng)的條件。

由此可見(jiàn)，要實(shí)現(xiàn)網(wǎng)絡(luò)監(jiān)聽(tīng)必須滿足兩個(gè)條件：

1) 網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)包可以到達(dá)監(jiān)聽(tīng)主機(jī)；

2) 監(jiān)聽(tīng)主機(jī)的網(wǎng)卡設(shè)置為Promiscuous model。

2 網(wǎng)絡(luò)安全開(kāi)發(fā)包對(duì)網(wǎng)絡(luò)監(jiān)聽(tīng)進(jìn)行檢測(cè)

網(wǎng)絡(luò)安全開(kāi)發(fā)包是指用于網(wǎng)絡(luò)安全研究和開(kāi)發(fā)的一些專業(yè)開(kāi)發(fā)函數(shù)庫(kù)。它的目的是提供用于網(wǎng)絡(luò)安全研究的基本功能實(shí)現(xiàn)，為研究者和開(kāi)發(fā)者提供進(jìn)一步研究和開(kāi)發(fā)網(wǎng)絡(luò)安全提供編程接口，為網(wǎng)絡(luò)安全的實(shí)現(xiàn)提供便利。

網(wǎng)絡(luò)安全開(kāi)發(fā)包的種類非常多，其實(shí)現(xiàn)的功能也不一樣。新的網(wǎng)絡(luò)安全開(kāi)發(fā)包不斷涌現(xiàn)，很多原先不成熟的網(wǎng)絡(luò)安全開(kāi)發(fā)包也在日趨完善，在實(shí)際應(yīng)用上使用比較多的網(wǎng)絡(luò)安全開(kāi)發(fā)包包括：網(wǎng)絡(luò)數(shù)據(jù)包捕獲開(kāi)發(fā)包Libpcap、Windows平臺(tái)專業(yè)數(shù)據(jù)包捕獲開(kāi)發(fā)包WinPcap、網(wǎng)絡(luò)數(shù)據(jù)包構(gòu)造和發(fā)送開(kāi)發(fā)包Libnet、網(wǎng)絡(luò)入侵檢測(cè)開(kāi)發(fā)包Libnids、通用網(wǎng)絡(luò)安全開(kāi)發(fā)包Libdnet。

一個(gè)網(wǎng)絡(luò)安全開(kāi)發(fā)包是針對(duì)特定的網(wǎng)絡(luò)安全技術(shù)而開(kāi)發(fā)的，它可能實(shí)現(xiàn)某一個(gè)網(wǎng)絡(luò)安全技術(shù)，也可能實(shí)現(xiàn)某一類網(wǎng)絡(luò)安全技術(shù)，網(wǎng)絡(luò)安全開(kāi)發(fā)包的最大功能就是設(shè)計(jì)網(wǎng)絡(luò)安全系統(tǒng)，其直接功能是實(shí)現(xiàn)部分網(wǎng)絡(luò)安全技術(shù)，如網(wǎng)絡(luò)數(shù)據(jù)包捕獲技術(shù)、網(wǎng)絡(luò)數(shù)據(jù)包生成技術(shù)等，利用它們可以很快的實(shí)現(xiàn)網(wǎng)絡(luò)安全系統(tǒng)的基本功能。下面對(duì)兩種比較常見(jiàn)的網(wǎng)絡(luò)安全開(kāi)發(fā)包進(jìn)行解析。

1) Libpcap分組捕獲函數(shù)庫(kù)。Libpcap(the Packet Capture Library)是一個(gè)平臺(tái)獨(dú)立的網(wǎng)絡(luò)數(shù)據(jù)包捕獲技術(shù)。由于Libpcap與操作系統(tǒng)平臺(tái)無(wú)關(guān)，能夠獨(dú)立訪問(wèn)網(wǎng)絡(luò)鏈路層，并讀取鏈路層數(shù)據(jù)，所以也是使用最多的網(wǎng)絡(luò)數(shù)據(jù)包捕獲技術(shù)。Libpcap是一個(gè)高層的編程接口，隱藏了操作系統(tǒng)的細(xì)節(jié)，可以捕獲網(wǎng)絡(luò)上的任何數(shù)據(jù)包，包括到達(dá)其他主機(jī)的數(shù)據(jù)包。 pcap數(shù)據(jù)結(jié)構(gòu)是Libpcap的核心數(shù)據(jù)結(jié)構(gòu)，其定義為

struct pcap{

#ifdef WIN32

ADAPTER*adapter； /*網(wǎng)絡(luò)接口*/

LPPACKET Packet；

int timeout； /*時(shí)間*/

int nonblock； /*非阻塞模式參數(shù)*/

#else

int fd；

int selectable-fd；

#endif/*WIN32*/

int snapshot；

int linktype； /*鏈路層類型*/

int tzoff； /*時(shí)間域*/

int offset； /*偏移*/

int break-loop； /*循環(huán)結(jié)束標(biāo)志*/

struct pcap-sf sf；

struct pcap-md md；

int bufsize； /*緩沖區(qū)大小*/

u-char buffer； /*緩沖區(qū)*/

u-char *bp；

int cc；

u-char *pkt；

int (*read-op) (pcap-t*，int cnt， pcap-handler，u-char*)；

int (*setfilter-op) (pcap-t*，struct bpf-program*)；

int (*set-datalink-op) (pcap-t*，int)；

int (*getnonblock-op) (pcap-t*，int，char*)；

int (*stats-op) (pcap-t*，struct pcap-stat*)；

void (*close-op) (pcap-t*)；

struct bpf-program fcode；

char errbuf [PCAP-ERRBUF-SIZE+1]； /*錯(cuò)誤信息*/

int dlt-count； /*鏈路層個(gè)數(shù)*/

int dlt-list； /*鏈路層類型列表*/

struct pcap-pkthdr pcap-header；

}；

typedef struct pcap pcap-t；

此數(shù)據(jù)結(jié)構(gòu)表示的是Libpcap句柄的數(shù)據(jù)結(jié)構(gòu)，是Libpcap的內(nèi)部數(shù)據(jù)結(jié)構(gòu)，在Libpcap內(nèi)部實(shí)現(xiàn)過(guò)程中經(jīng)常用到。一般使用人不會(huì)與它直接打交道，而一般是通過(guò)函數(shù)進(jìn)行操作。Libpcap使用了BPF過(guò)濾機(jī)制，支持DLPI和SOCK PACKET，基于內(nèi)核的過(guò)濾模塊。它可以過(guò)濾網(wǎng)絡(luò)上不需要的數(shù)據(jù)包，而捕獲用戶感興趣的數(shù)據(jù)包[4]。使用Libpcap可以將網(wǎng)絡(luò)上捕獲的數(shù)據(jù)包存儲(chǔ)到特定的文件中，也可以隨時(shí)從該文件中讀取數(shù)據(jù)包的信息，且讀出數(shù)據(jù)的結(jié)果和從網(wǎng)絡(luò)上捕獲的數(shù)據(jù)包數(shù)據(jù)完全一致。Libpcap具體的工作流程如圖1所示，它是通過(guò)調(diào)用相應(yīng)的函數(shù)庫(kù)來(lái)實(shí)現(xiàn)的。

Pcap lookupdev( ) /*掃描有效網(wǎng)絡(luò)設(shè)備端口*/

Pcap lookupnet( ) /*獲得網(wǎng)絡(luò)地址及網(wǎng)絡(luò)掩碼*/

Pcap open live( ) /*打開(kāi)網(wǎng)絡(luò)設(shè)備*/

Pcap compile( ) /*過(guò)濾字符串編譯到過(guò)濾程序中*/

Pcap setfilter( ) /*設(shè)置網(wǎng)絡(luò)過(guò)濾器*/

Pcap dispatch( ) /*捕獲數(shù)據(jù)包進(jìn)行中*/

Pcap close( ) /*數(shù)據(jù)包捕獲退出*/

圖1 Libpcap捕獲函數(shù)庫(kù)的工作流程

在未設(shè)定可監(jiān)視的網(wǎng)絡(luò)端口而進(jìn)行有效網(wǎng)絡(luò)端口掃描時(shí)，如果發(fā)現(xiàn)幾個(gè)網(wǎng)絡(luò)端口的時(shí)候，Libpcap將選擇序號(hào)最小的端口進(jìn)行操作。 若指定了網(wǎng)絡(luò)接口，系統(tǒng)會(huì)把網(wǎng)絡(luò)接口直接傳遞給應(yīng)用程序。利用Libpcap捕獲數(shù)據(jù)包功能，可以實(shí)現(xiàn)其他很多功能。例如，對(duì)傳輸?shù)木W(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行分析，讀出所有網(wǎng)絡(luò)數(shù)據(jù)包的詳細(xì)信息。

2) Winpcap捕獲技術(shù)。Winpcap(Windows Packet Capture)，是為L(zhǎng)ibpcap在Windows平臺(tái)下實(shí)現(xiàn)數(shù)據(jù)包的捕獲而設(shè)計(jì)的。它們具有相同的接口，使用者只需要調(diào)用相應(yīng)函數(shù)即可。Winpcap主要有三部分組成[5]：

第一部分是內(nèi)核層的數(shù)據(jù)包過(guò)濾模塊NPF(Netgroup Packet Filter)這也是Winpcap的核心部分，它相當(dāng)于Libpcap使用的BPF過(guò)濾模塊，它的主要作用是捕獲數(shù)據(jù)包，同時(shí)發(fā)送數(shù)據(jù)包、存儲(chǔ)數(shù)據(jù)包以及對(duì)網(wǎng)絡(luò)進(jìn)行統(tǒng)計(jì)分析，實(shí)現(xiàn)了內(nèi)核層的統(tǒng)計(jì)功能，完成了高效的的網(wǎng)絡(luò)數(shù)據(jù)包捕獲和過(guò)濾。NPF與前文所提的BPF的工作原理基本一致，它就是BPF變形而得到的一種捕獲機(jī)制。此過(guò)濾模塊實(shí)際是一個(gè)驅(qū)動(dòng)程序。

第二部分是動(dòng)態(tài)鏈接庫(kù)packet.dll。它是提供給開(kāi)發(fā)者的一個(gè)接口，使用它可以直接調(diào)用Winpcap的函數(shù)，它只是一個(gè)較低層的開(kāi)發(fā)接口。

第三部分是動(dòng)態(tài)鏈接庫(kù)wpcap.dll。它同樣是提供給開(kāi)發(fā)者的一個(gè)接口，但它是一個(gè)更高層的開(kāi)發(fā)編程接口，其調(diào)用與系統(tǒng)無(wú)關(guān)，因?yàn)槭腔贚ibpcap而設(shè)計(jì)的，所以使用此編程接口其函數(shù)調(diào)用幾乎和Libpcap完全一樣，函數(shù)名稱和參數(shù)定義也是一樣。

Winpcap的捕獲數(shù)據(jù)包結(jié)構(gòu)如圖2所示。

圖2 Winpcap的捕獲數(shù)據(jù)包結(jié)構(gòu)

網(wǎng)絡(luò)驅(qū)動(dòng)程序直接從網(wǎng)絡(luò)鏈路層取得數(shù)據(jù)包，且在不修改的情況下完成數(shù)據(jù)包的統(tǒng)計(jì)、存儲(chǔ)、過(guò)濾最終傳遞給用戶層的應(yīng)用程序，而低級(jí)的動(dòng)態(tài)鏈接數(shù)據(jù)在用戶層直接和內(nèi)核層隔離開(kāi)，這樣使得應(yīng)用程序在不加修改的情況下在不同的Windows系統(tǒng)下運(yùn)行。

3 網(wǎng)絡(luò)監(jiān)聽(tīng)檢測(cè)系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)

為了實(shí)現(xiàn)在局域網(wǎng)絡(luò)內(nèi)實(shí)施監(jiān)聽(tīng)主機(jī)的檢測(cè)，首先要獲得工作主機(jī)的所有地址信息，包括IP和MAC地址，其次以本機(jī)工作為發(fā)起點(diǎn)對(duì)網(wǎng)段內(nèi)所有主機(jī)進(jìn)行掃描，獲取網(wǎng)段 內(nèi)所有主機(jī)活動(dòng)列表，然后采用ARP包對(duì)這些主機(jī)的網(wǎng)卡的工作模式進(jìn)行探測(cè)，從而發(fā)現(xiàn)有無(wú)混雜模式工作的主機(jī)網(wǎng)卡，最后生成檢測(cè)報(bào)告。依照此工作步驟，系統(tǒng)大體可以劃分為以下幾個(gè)模塊。

1) 捕獲本機(jī)信息模塊：使用winpcap提供的pcap-if-t結(jié)構(gòu)描述網(wǎng)卡和pcap-findalldevs-ex函數(shù)獲取本機(jī)網(wǎng)卡信息，獲取本機(jī)ip和子網(wǎng)掩碼。然后使用pcap-sendpacket和Pcap-next-ex函數(shù)，通過(guò)給自己發(fā)送arp request包，接收reply包獲取本機(jī)MAC地址。也就是通過(guò)arp包對(duì)本機(jī)進(jìn)行一次欺騙，從而獲得了本機(jī)的所有地址信息。

2) 掃描主機(jī)模塊：主機(jī)掃描通過(guò)兩個(gè)線程實(shí)現(xiàn)：發(fā)送arp request包和處理arp reply獲取活動(dòng)主機(jī)列表。其中發(fā)送arp request線程根據(jù)本機(jī)ip和子網(wǎng)掩碼，計(jì)算本網(wǎng)段ip地址的范圍，依次發(fā)送arp request包。處理 arp reply線程則接收arp響應(yīng)包，提取其中的ip和mac地址，生成活動(dòng)主機(jī)地址列表(采用鏈表存儲(chǔ))。最后輸出地址列表。

3) 監(jiān)聽(tīng)檢測(cè)模塊：這是本程序的核心部分，該部分針對(duì)活動(dòng)主機(jī)鏈表中的每個(gè)地址，調(diào)用Pcap-Sendpaeke函數(shù)發(fā)送arp-request包(幀的目的地址僅以oxff開(kāi)頭的偽廣播地址，其它的信息均正確)，然后等待，使用pcap-next-ex函數(shù)接收數(shù)據(jù)包，如果收到對(duì)應(yīng)的arp reply，則將其混雜標(biāo)志置1。

4) 檢測(cè)報(bào)告模塊：得出檢測(cè)結(jié)論，生成報(bào)告文件。整個(gè)系統(tǒng)的設(shè)計(jì)過(guò)程如圖3所示。

圖3 網(wǎng)絡(luò)監(jiān)聽(tīng)檢測(cè)系統(tǒng)的設(shè)計(jì)

通過(guò)對(duì)學(xué)校其中一個(gè)公共計(jì)算機(jī)實(shí)驗(yàn)室進(jìn)行隨機(jī)測(cè)試，可以檢查出計(jì)算機(jī)被監(jiān)聽(tīng)情況，下面是一次測(cè)試的結(jié)果如圖4所示。

圖4 實(shí)驗(yàn)結(jié)果圖

4 結(jié)束語(yǔ)

本文在介紹了網(wǎng)絡(luò)監(jiān)聽(tīng)的基本概念及原理之后，著重探討了如何使用(采用)網(wǎng)絡(luò)安全開(kāi)發(fā)包對(duì)網(wǎng)絡(luò)監(jiān)聽(tīng)進(jìn)行檢測(cè)，并對(duì)相關(guān)的技術(shù)進(jìn)行了分析，最后在基于網(wǎng)絡(luò)安全開(kāi)發(fā)包的網(wǎng)絡(luò)監(jiān)聽(tīng)檢測(cè)技術(shù)研究的基礎(chǔ)上對(duì)網(wǎng)絡(luò)監(jiān)聽(tīng)檢測(cè)系統(tǒng)的設(shè)計(jì)。本系統(tǒng)運(yùn)行的結(jié)果可以檢測(cè)出局域網(wǎng)網(wǎng)段中所有計(jì)算機(jī)網(wǎng)卡的工作模式，借此判斷計(jì)算機(jī)是否被監(jiān)聽(tīng)。

同時(shí)程序中存在幾點(diǎn)不足：(1)沒(méi)有考慮到不同操作系統(tǒng)可能產(chǎn)生的軟件過(guò)濾。(2)程序僅從網(wǎng)卡的工作模式進(jìn)行檢測(cè)，存在不準(zhǔn)確因素；(3)如果監(jiān)聽(tīng)行為僅針對(duì)本機(jī)，而不對(duì)網(wǎng)卡設(shè)置修改，那么這種方法就無(wú)法檢測(cè)出監(jiān)聽(tīng)行為。

[1] 姚小蘭.網(wǎng)絡(luò)安全管理與技術(shù)防護(hù)[M].北京：北京理工大學(xué)出版社，2002：47-99.

[2] 曾光裕，薛瑩瑩，徐冰，等. 基于ARP協(xié)議的網(wǎng)絡(luò)監(jiān)聽(tīng)技術(shù)研究[J].計(jì)算機(jī)工程，2010 (6)：58-60.

[3] 胡濱.基于Windows平臺(tái)的底層網(wǎng)絡(luò)數(shù)據(jù)包捕獲技術(shù)[J].計(jì)算機(jī)工程與設(shè)計(jì)，2011(11)：337-338.

[4] 杜建亮，計(jì)算機(jī)網(wǎng)絡(luò)安全隱患與主動(dòng)防御[J].山西財(cái)經(jīng)大學(xué)學(xué)報(bào)，2012(2)：78-81.

[5] 向昕，李志蜀. 基于ARP欺騙的網(wǎng)絡(luò)監(jiān)聽(tīng)原理及實(shí)現(xiàn) [J] 四川大學(xué)學(xué)報(bào)(自然科學(xué)版)，2011(1)：89-95.[6] 陳國(guó)震. 網(wǎng)絡(luò)監(jiān)聽(tīng)在基于網(wǎng)絡(luò)流量計(jì)費(fèi)中的應(yīng)用[J]計(jì)算機(jī)科學(xué)，2011，8(2)：101-105.

[7] 宋政斌. 網(wǎng)絡(luò)監(jiān)聽(tīng)技術(shù)在飛行試驗(yàn)機(jī)載測(cè)試中的應(yīng)用與研究[J] 計(jì)算機(jī)測(cè)量與控制，2009，17(10)： 1 917-1 919.

(責(zé)任編輯：李 麗，范 君)

Research and Implementation of Network Monitoring System Based on Network Data Packet

LU Kui,WANG Hai

(School of Computer Science and Engineering ,Anhui Univercity of Science and Technology, Anhui Huainan 232001 ,China)

Network safety is the security problem of the research and computer network. As the security of the network monitoring becomes more and more serious, it is very important to study the network monitoring, detection and prevention. Firstly, this paper described the concept and principle of network monitoring technology, and then focuses on the research of Libpcap and Winpcap, two kinds of commonly used network safety data packet technology. By using Libpcap of network safety data packet, the core data structure of Libpcap and the definition of the method were discussed. Finally, the network monitoring system were designed and realized based on Winpcap capture technology and using network safety packet.

network safety; network monitoring；network safety packet；Libpcap; Winpcap

2015-03-11

陸奎(1963-)，男，安徽懷遠(yuǎn)人，教授，博士，研究方向：計(jì)算機(jī)網(wǎng)絡(luò)與監(jiān)控。

TP393

A

1672-1098(2016)05-0041-05