文/王一軍

1 基于局域網(wǎng)的IP數(shù)據(jù)包監(jiān)控軟件的實(shí)現(xiàn)原理

本軟件具有對(duì)IP數(shù)據(jù)包的監(jiān)控分析的基本功能，主要采用嗅探器的基本原理抓取網(wǎng)絡(luò)有效信息，通過微軟的系統(tǒng)網(wǎng)絡(luò)編程，從中過濾抓取有用的數(shù)據(jù)，從而完成對(duì)IP數(shù)據(jù)包的監(jiān)控，并以此保證程序的安全性得到保障。

常見的捕包方式有三種，分別為NDIS，WinPcaP，Raw Socket三種技術(shù)。本軟件要完成對(duì)IP數(shù)據(jù)包的監(jiān)控技術(shù)，大致需要五個(gè)步驟才能完成。首先是成功捕獲IP數(shù)據(jù)包，然后分析捕獲的IP數(shù)據(jù)包，一般是根據(jù)用戶提供的條件對(duì)IP數(shù)據(jù)包篩選從而確認(rèn)數(shù)據(jù)包狀態(tài)，分類匯總流量，然后保存下來。

2 基于局域網(wǎng)的IP數(shù)據(jù)包監(jiān)控軟件的功能介紹

2.1 數(shù)據(jù)監(jiān)聽功能

因特網(wǎng)是由無數(shù)的局域網(wǎng)連接形成的?；ヂ?lián)網(wǎng)的內(nèi)部網(wǎng)絡(luò)的連接方式是什么？它是基于拓?fù)浣Y(jié)構(gòu)來完成基礎(chǔ)網(wǎng)絡(luò)的架構(gòu)?；A(chǔ)架構(gòu)規(guī)定一段信息的傳輸都是從一點(diǎn)到另外一點(diǎn)的模式，這里有客戶端和服務(wù)器端的區(qū)分，服務(wù)器端卻是基于它的特性分布在局域網(wǎng)當(dāng)中。但互聯(lián)網(wǎng)上的主機(jī)通常是在局域網(wǎng)中，局域網(wǎng)通常都會(huì)連接到外網(wǎng)，局域網(wǎng)是一種廣播網(wǎng)絡(luò)，在服務(wù)器端放上信息，像網(wǎng)站源碼，應(yīng)用程序之類都可發(fā)布到IIS服務(wù)器上，任何一個(gè)客戶端都可以在互聯(lián)網(wǎng)上通過IP地址或者具體域名來進(jìn)行訪問。如果以太網(wǎng)中計(jì)算機(jī)的網(wǎng)卡接受模式設(shè)置為混合模式，則網(wǎng)卡將捕獲所有數(shù)據(jù)包并向上傳遞數(shù)據(jù)包。通過這種方式，可以竊聽和攔截以太網(wǎng)內(nèi)傳輸?shù)男畔?，軟件就是基于此原理來完成?duì)數(shù)據(jù)的監(jiān)聽。

2.2 網(wǎng)絡(luò)流量監(jiān)控功能

根據(jù)監(jiān)聽的原理，本監(jiān)控軟件主要完成了監(jiān)聽局域網(wǎng)內(nèi)數(shù)據(jù)包、對(duì)數(shù)據(jù)包進(jìn)行拆分并且以不同方式顯示，對(duì)攔截的數(shù)據(jù)包的端口、協(xié)議類型以及P地址進(jìn)行過濾。為了實(shí)現(xiàn)這些功能，將其分為四個(gè)部分：數(shù)據(jù)包截獲、分組分割、分組過濾和分組顯示。

2.3 掃描程序功能

該軟件能夠?qū)钟蚓W(wǎng)中的一切計(jì)算機(jī)信息和共享文件完成掃描，這其中又分為高速掃描模式和完全掃描模式。掃描后可獲得計(jì)算機(jī)名稱、IP地址、MAC地址、共享資源等信息。

2.4 ping程序

Ping是網(wǎng)絡(luò)中非常有用的TCP/IP工具，能夠經(jīng)過Ping查看連通性問題。這個(gè)問題卻是可以由于許多因素引發(fā)的，例如系統(tǒng)配置出錯(cuò)、網(wǎng)絡(luò)協(xié)議故障，當(dāng)然還可能是電腦或者服務(wù)器故障。

2.5 路由追蹤功能

路由跟蹤可用于確定IP數(shù)據(jù)包的最終目標(biāo)的路徑。tracert命令使用IP生存期（TTL）字段和ICMP錯(cuò)誤消息來確定網(wǎng)絡(luò)上從一個(gè)主機(jī)到另一個(gè)主機(jī)的路由，通過向目標(biāo)發(fā)送不同IP生存時(shí)間(TTL)值的“Internet控制消息協(xié)議(ICMP)”回應(yīng)數(shù)據(jù)包，Tracert診斷程序確定到目標(biāo)所采取的路由。在轉(zhuǎn)發(fā)數(shù)據(jù)包之前，對(duì)于路徑也會(huì)有一定的規(guī)定，要求路徑上的每個(gè)路由器的數(shù)據(jù)包里的TTL屬性最少要往下減1。數(shù)據(jù)包的TTL屬性的波動(dòng)幅度可能會(huì)不斷減少，當(dāng)其變?yōu)?時(shí)，路由器會(huì)發(fā)送超時(shí)的信息到客戶端，當(dāng)數(shù)據(jù)包的TTL為1時(shí)，軟件會(huì)發(fā)送相應(yīng)的響應(yīng)包，數(shù)據(jù)包發(fā)送一次，TTL值就會(huì)增加1，目標(biāo)會(huì)隨著數(shù)據(jù)包的發(fā)送進(jìn)行響應(yīng)，路由就會(huì)得到確認(rèn)，或者是TTL增加到最大值，此時(shí)路由也會(huì)確定。路由確定時(shí)，路由器會(huì)發(fā)送相應(yīng)的超時(shí)消息來進(jìn)行提醒。有些路由器丟棄TTL過期的數(shù)據(jù)包而不提出任何疑問，這在本程序中卻是看不到的。

3 監(jiān)控軟件實(shí)現(xiàn)的關(guān)鍵技術(shù)

3.1 NDIS技術(shù)

NDIS的主要目的就是為NIC制定出標(biāo)準(zhǔn)的API接口。MAC設(shè)備驅(qū)動(dòng)封裝了所有的NIC硬件實(shí)現(xiàn)這一點(diǎn)，以便能夠經(jīng)過公共編程接口訪問應(yīng)用同一媒體的任意NIC。NDIS同時(shí)也提供一個(gè)函數(shù)庫（又時(shí)也稱作wrapper），這個(gè)庫中的函數(shù)可以被MAC驅(qū)動(dòng)調(diào)用，它還能由高級(jí)協(xié)議（如TCP/IP）驅(qū)動(dòng)程序來進(jìn)行調(diào)用。同時(shí)，這些包裝器函數(shù)減少了驅(qū)動(dòng)程序?qū)ぷ髋_(tái)的依賴。早期版本的NDIS是由微軟和3COM開發(fā)的。在Windows9x和Windows NT中，WFW（用于工作組的Windows）使用的當(dāng)前NDIS版本由Microsoft開發(fā)。

3.2 winPcap技術(shù)

Winpcap是windows平臺(tái)下一個(gè)免費(fèi)的公共的網(wǎng)絡(luò)訪問系統(tǒng)，通過Winpcap技術(shù)可以完成對(duì)數(shù)據(jù)包的抓取和發(fā)送等操作?？捎猛ㄟ^對(duì)Winpcap的int pcap_f indalldevs_exAPI的調(diào)用來獲得所有本地的網(wǎng)絡(luò)接口，然后通過pcap_t* pcap_open對(duì)指定的網(wǎng)絡(luò)設(shè)備進(jìn)行抓包/發(fā)包，通過int pcap_next_ex()和int pcap_sendpacket()實(shí)現(xiàn)具體的抓包和發(fā)包操作。

3.3 Raw Socket技術(shù)

要使用原始套接字，必須經(jīng)過創(chuàng)建原始套接字、設(shè)置套接字選項(xiàng)（ioctlsocket函數(shù)）和創(chuàng)建并填充相應(yīng)協(xié)議頭這三個(gè)步驟。

3.4 TCP/IP協(xié)議的分析技術(shù)

分析IP數(shù)據(jù)包格式、TCP、UDP等數(shù)據(jù)格式，如源IP地址和目標(biāo)IP地址可以通過IP分組獲取，IP數(shù)據(jù)包信息包標(biāo)識(shí)可以計(jì)數(shù)IP數(shù)據(jù)包流量。而端口信息可從TCP，UDP獲得。

3.5 IP數(shù)據(jù)包的構(gòu)成

IP數(shù)據(jù)包主要由版本，頭長(zhǎng)，服務(wù)類型，包裹總長(zhǎng)，重組標(biāo)識(shí)，標(biāo)志，段偏移量，生存時(shí)間，協(xié)議代碼，頭校驗(yàn)和32位源碼地址已經(jīng)32位目的地址組成。

3.6 網(wǎng)絡(luò)數(shù)據(jù)包捕獲技術(shù)

網(wǎng)絡(luò)數(shù)據(jù)抓包，有必要監(jiān)控軟件和服務(wù)器之間的網(wǎng)絡(luò)節(jié)點(diǎn)，監(jiān)控任何一個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)（網(wǎng)卡），獲取通過網(wǎng)卡的所有數(shù)據(jù)，并根據(jù)網(wǎng)絡(luò)協(xié)議解析數(shù)據(jù)。這就是數(shù)據(jù)包捕獲的基本原理。

4 總結(jié)

本文主要是基于局域網(wǎng)的功能的基礎(chǔ)上來對(duì)IP數(shù)據(jù)包進(jìn)行監(jiān)控的技術(shù)軟件進(jìn)行了可行性分析，主要對(duì)IP數(shù)據(jù)包的抓取和發(fā)送的原理進(jìn)行分析，對(duì)數(shù)據(jù)監(jiān)聽，Ping程序的使用以及路由追蹤技術(shù)的分析，基于這些基本技術(shù)之上也就完成了一個(gè)IP數(shù)據(jù)包監(jiān)控軟件的一個(gè)組成和架構(gòu)。