局域网监听软件的设计与实现.doc

《局域网监听软件的设计与实现.doc》由会员分享，可在线阅读，更多相关《局域网监听软件的设计与实现.doc（51页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、 . 毕 业 设 计（论 文）设计（论文）题目： 局域网监听软件的设计与实现学 院 名 称： 电子与信息工程学院专 业：计算机科学与技术班级：10计科（2）姓 名：XXXX学号XXXXXXXX指 导 教 师：XXXX职 称教授定稿日期：2014年 4月30日50 / 51局域网监听软件的设计与实现摘 要互联网给我们的社会和个人带来了太多的便利和益处。社会运作包括公共设施与其服务、政府运作和个人生活，已经越来越离不开电脑和互联网了。这使得互联网安全这一潜在威胁迅速、悄然但又爆炸式地产生了。公民个人的隐私、通讯和表达自由受到直接冲击。从、到电子文档和其他资料，乃至行踪、消费记录等，我们似乎可以变成

2、透明。最近沸沸扬扬的棱镜门和Heartbleed漏洞更是为世人敲响了网络安全的警钟。对局域网数据监听系统的研究，对于维护网络的稳定性和解决网络安全问题有着重要的意义，它可以用来帮助诊断网络中的路由设备，其他的网络连接设备，查看网络上数据报的传送情况，利于网络管理员的管理与维护。本局域网监听软件主要采用WinPCap开发工具和C+语言在VisualStudio2008编译器下进行开发。软件实现了对局域网的数据进行捕获以与过滤，并分析出每一协议层的传输数据的主要字段和容。之后再将其显示，同时进行动态更新。经过长时间的使用，证明该软件运行可靠稳定，捕获数据准确，易于使用。关键词：互联网安全，局域网监

3、听，WinPCap，多协议分析DESIGN AND IMPLEMENTATION OFLAN MONITORING SOFTWAREABSTRACTInternet has brought much convenience and benefits to our everyday life.Social functioning, including public facilities and services, government operations and personal life has become increasingly dependent on computers and t

4、he Internet. This makes the potential threat to Internet security quickly, quietly but explosively generated. The privacy of individual citizens, freedom of communication and expression direct impact. From , telephone to electronic documents and other information, as well as the whereabouts of consu

5、mer records, it seems that we can become transparent. Recent uproar the US surveillance program PRISM and Heartbleed loophole is for the world sounded the alarm for network security. Research on data monitoring system in LAN, plays an important role in maintainingthe stability of the network and sol

6、ve the problem of network security, it can be used to help diagnose routing equipment in the network, the other network connection device, check the transmission of the data on the network,management and maintenance to the network administrator.This LAN monitoring software developed with WinPcap, us

7、ing the C + + language compiler under VisualStudio2008.This software is mainly realizes in monitoring the network ,data analyzes and analyze the main field data for each protocol layer.After that,it shows with carries on the dynamic renewal. After a long period of use, the software is reliable and s

8、table, also able to accurately capture data and easy to use.Key Words: internet security,lan monitoring,winpcap,multi-protocol analysis目录摘要IABSTRACTII目录IV第1章绪论61.1研究目的和意义61.2局域网监听技术的发展71.2.1 局域网监听技术原理71.2.2 局域网监听的实现方法7第2章网络传输技术概述92.1网络传输模型92.1.1 TCP/IP模型92.1.2 OSI模型112.1.3 TCP/IP模型和OSI模型的关系122.2主要数据

9、包结构142.2.1 以太网帧格式142.2.2 IP数据包格式152.2.3 TCP数据报162.3WinPCap简介182.3.1 WinPCap主要函数182.3.2 WinPCap过滤器表达式20第3章需求分析223.1用户需求223.2功能需求223.3性能需求23第4章系统设计244.1开发环境244.2系统结构244.2.1 结构描述244.2.2 系统架构244.3设计思路254.4基于WinPCap开发应用程序254.5程序流程26第5章系统实现285.1总体设计285.2模块设计295.2.1网卡初始化295.2.2 数据包捕获295.2.3 数据包分析335.2.4 过滤

10、器模块设计35第6章总结38参考文献39致40作品（软件）使用说明书41第1章 绪论1.1 研究目的和意义随着计算机技术的发展，网络与我们的生活紧密相连，甚至已经成为生活中的一部分，然而越来越多的网络攻击正在一步步侵犯着我们的网络安全。黑客们很容易截获在局域网中传输的数据包，通过对数据包进行分析，就能得到数据包的重要信息。通过这种方式，我们使用的密码，发送的等私密信息无疑就暴露在别人面前，给个人隐私等信息带来很大的安全威胁！当然，我们也可以利用网络监听技术，获取黑客入侵的信息，甚至可以提前做好预防工作，这样对保护我们的信息安全无疑是一个获得了巨大的先机。因此，了解网络监听的实现原理就显得尤为重

11、要1 林莲芳. 浅谈局域网监听的原理与其防范对策J. 科技广场，2011.3：82-84。网络监听是信息安全领域一项非常重要和使用的技术，他的起源是网络管理员为了诊断网络故障的需要，而监听网络中传输的数据信息。在网络管理和维护中，网络管理和维护人员常常利用网络监听技术监控网络当前的信息状况，网络流量，进行网络访问统计分析等等。除此之外，网络监听还可以发现网络中存在的安全隐患，与时采取相应措施，不让黑客有机可乘。但在现实生活中，网络监听技术往往能在黑客手中发挥更大的作用，它们利用网络监听技术窃取用户的私密资料。对于普通用户来说，被监听也许只是泄露个人隐私资料；而对于金融机构等资料敏感用户，恶意的

12、网络监听更会带来难以弥补的金钱和信用损失。综上所述，对于局域网数据监听系统的研究，有利于维护计算机网络安全。对于网络管理者来说，局域网监听可以识别网络中的路由设备，查看局域网中传输的数据包，统计网络的流量，并可以侦测到非法的入侵，找出网络中潜在的问题等。同时，管理员还可以利用网络监听软件解决一些网络故障，比如网络延时，丢包等问题。如果不凭借监听软件，就无法准确的知道问题出在何处。在大型的网络中，它的存在对系统管理员是非常重要的，凭借从局域网监听软件获取的信息，系统管理员可以了解网络中出现的问题，给出相应的解决方法，这给网络环境的管理与维护提供了非常宝贵的信息。1.2 局域网监听技术的发展1.2

13、.1 局域网监听技术原理局域网监听的基本原理是数据在局域网环境下进行传输时，包含物理地址的帧数据能送达到线路上的每一台主机。当数据到达一台主机的网卡时，在正常情况下，网卡读取数据帧，并进行检查，如果数据帧中所包含的物理地址和本机的物理地址或者广播地址一样，则将该数据帧交由IP层进行处理，否则就将该数据帧丢弃。当主机将该网卡置于混杂模式时，所有的数据帧都将交由IP层进行处理，并不会发生因物理地址不符而将该数据帧丢弃的情况。也就是说，在局域网环境下同一根线缆上传输的所有数据都会被该主机接收到，进而可以将所有接收到的数据进行分析，从而得出用户所需要的数据2 周茜, 谢智学. 网络监听技术的原理与应用

14、J . 科技信息, 2008( 2): 533 John Wiley. Preparing Your Network to Survive Security Attacks/ ColeM. Sons Inc，2003。1.2.2 局域网监听的实现方法要在局域网中监听, 就需要主机工作在监听模式下,需要向网络接口发出I/O 控制命令，将其设置成监听模式。在Unix系统中，需要超级用户权限来发送命令。但在Windows系统中，就没这个限制。这种工作并不复杂，目前有太多的工具软件可以做到这一点，在很多黑客或者从事网络安全管理的都能找到。在Unix环境下，监听工具非常多，如Sniffit、Snoop、

15、Dsniff等都是常见的，他们都免费发布源代码，可以进行研究。而在Windows环境下，常用的网络监听工具当然是著名的Sniffer pro了，实际上很多人都是用它在Windows环境下抓包来分析4 胡晓元,史浩山. WinPcap包截获系统的分析与其应用J. 计算机工程, 2005, 31(2): 96-98.。(1) Sniffit：Sniffit可以运行在Solaris、SGI和Linux等平台上，是由Lawrence Berkeley Laboratory开发的一个免费的网络监听软件。举例说明:# Sniffit- a- p21- t xxx. xxx. xxx. xxx监听流向机器x

16、xx. xxx. xxx. xxx的21端口( FTP)的信息，并以ASCII显示5 方文. 网络监听利器一sniffit简介J.XX微型计算机，2000-10-23.。(2)Sniffer pro：通过对用监听工具捕获的数据帧进行分析，可以很容易的发现敏感信息和重要信息。例如，在使用Sniffer pro对局域网进行一段时间的监听后，分析所得的数据，就能直接看到一些在监听期间该网用户名和口令，都以明码显示，由此也可以看到局域网监听技术如果用于不正当的目的会有多大的危害6 邱亮, 孙亚刚著. 网络安全工具与案例分析M. ：电子工业，2004。第2章 网络传输技术概述2.1 网络传输模型计算机网

17、络采用两种传输模型进行传输：协议模型和参数模型。协议模型提供了与特定协议族结构精确匹配的模型。TCP/IP模型描述了TCP/IP 协议族中每个协议层实现的功能，因此属于协议模型。参考模型为各类网络协议和分服务之间保持一致性提供了通用的参考，参考模型的主要用途是帮组人们更清晰地理解涉与的功能和过程。开放式系统互联（OSI）模型是一种参考模型。2.1.1 TCP/IP模型TCP/IP是Transmission Control Protocol/Internet Protocol的简写，中译名为传输控制协议/因特网互联协议，又名网络通讯协议，是Internet最基本的协议、Internet国际互联网

18、络的基础，由网络层的IP协议和传输层的TCP协议组成。TCP/IP 定义了电子设备如何连入因特网，以与数据如何在它们之间传输的标准。协议采用了4层的层级结构，每一层都呼叫它的下一层所提a供的协议来完成自己的需求。通俗而言：TCP负责发现传输的问题，一有问题就发出信号，要求重新传输，直到所有数据安全正确地传输到目的地。而IP是给因特网的每一台电脑规定一个地址7 W .Richard Stevens. TCP/IP 详解卷M . ：机械工业，2000。(1)网络接口层物理层是定义物理介质的各种特性：1、机械特性；2、电子特性；3、功能特性；4、规程特性。数据链路层是负责接收IP数据包并通过网络发送

19、，或者从网络上接收物理帧，抽出IP数据包，交给IP层。ARP是正向地址解析协议，通过已知的IP，寻找对应主机的MAC地址。RARP是反向地址解析协议，通过MAC地址确定IP地址。比如无盘工作站还有DHCP服务。常见的接口层协议有：Ethernet 802.3、Token Ring 802.5、X.25、Frame relay、HDLC、PPP ATM等。(2)网络层负责相邻计算机之间的通信。其功能包括三方面。处理来自传输层的分组发送请求，收到请求后，将分组装入IP数据报，填充报头，选择去往信宿机的路径，然后将数据报发往适当的网络接口。处理输入数据报：首先检查其合法性，然后进行寻径-假如该数据报

20、已到达信宿机，则去掉报头，将剩下部分交给适当的传输协议；假如该数据报尚未到达信宿，则转发该数据报。处理路径、流控、拥塞等问题。网络层包括：IP(Internet Protocol）协议、ICMP(Internet Control Message Protocol)控制报文协议、ARP(Address Resolution Protocol）地址转换协议、RARP(Reverse ARP)反向地址转换协议。IP是网络层的核心，通过路由选择将下一条IP封装后交给接口层。IP数据报是无连接服务。ICMP是网络层的补充，可以回送报文。用来检测网络是否通畅。Ping命令就是发送ICMP的echo包，通过

21、回送的echo relay进行网络测试。(3)传输层提供应用程序间的通信。其功能包括：一、格式化信息流；二、提供可靠传输。为实现后者，传输层协议规定接收端必须发回确认，并且假如分组丢失，必须重新发送，即耳熟能详的“三次握手”过程，从而提供可靠的数据传输。传输层协议主要是：传输控制协议TCP(Transmission Control Protocol）和用户数据报协议UDP(User Datagram protocol）。(4)应用层向用户提供一组常用的应用程序，比如电子、文件传输访问、远程登录等。远程登录TELNET使用TELNET协议提供在网络其它主机上注册的接口。TELNET会话提供了基于

22、字符的虚拟终端。文件传输访问FTP使用FTP协议来提供网络机器间的文件拷贝功能。应用层协议主要包括如下几个：FTP、TELNET、DNS、SMTP、NFS、 。FTP(File Transfer Protocol）是文件传输协议，一般上传下载用FTP服务，数据端口是20H，控制端口是21H。Telnet服务是用户远程登录服务，使用23H端口，使用明码传送，性差、简单方便。DNS(Domain Name Service）是域名解析服务，提供域名到IP地址之间的转换，使用端口53。SMTP(Simple Mail Transfer Protocol）是简单传输协议，用来控制信件的发送、中转，使用端

23、口25。NFS（Network File System）是网络文件系统，用于网络中不同主机间的文件共享。 (Hypertext Transfer Protocol）是超文本传输协议，用于实现互联网中的WWW服务，使用端口808 百度百科. TCP/IP协议EB/OL. :/baike.baidu /link?url=c610J_B3Rj7afxdB7TrAyHP6OB91_PtO-wgvI7hzj3_fTTnfweD0EzOzLv60O9Zo, 2014-04-09。2.1.2 OSI模型OSI是Open System Interconnect的缩写，意为开放式系统互联。 一般都叫OSI参考模

24、型，是ISO（国际标准化组织）组织在1985年研究的网络互联模型。该体系结构标准定义了网络互连的七层框架。主要如下：(1)应用层(Application Layer)应用层是OSI参考模型的顶层，该层通过应用程序来完成用户的需求，是用户与网络的接口。主要完成文件传输、收发电子等功能。(2)表示层(Presentation Layer)早期的表示层用来转化字符数据的编码等显示相关功能。现在由于应用层能完成一部分表示层功能，因此功能有所淡化。(3)会话层(Session Layer)会话指的是用户与用户的连接。会话层负责在两台计算机之间建立，管理和终止通信，就如同两台计算机之间的对话。会话层因此而

25、得名。(4)传输层(Transport Layer)传输层是整个OSI模型中最关键的一层，是模型中的中心层，充当心脏的作用。在它之下的层级实现通信，而它之上的层级则对通信进行管理。它负责数据传输和控制，提供端到端的数据控制。传输层独立于物理网络运行。另外它还负责数据重传任务。(5)网络层(Network Layer)网络层定义了通信的协议，它把逻辑地址转换成物理地址。同时，网络层还提供选择路由功能，路由器的功能就在这一层实现。它为传输层提供支持。(6)数据链路层(Data Link Layer)数据链路层位于物理层与网络层之间。在数据链路层上传输的数据为帧。该层的目的是保证在节点之间传输数据帧

26、的正确性。(7)物理层(Physical Layer)物理层是OSI参考模型的最底层。顾名思义，它为数据传输建立物理连接。完成通过物理线路在两个节点间传输比特流9 百度百科. OSI参考模型EB/OL. :/baike.baidu /link?url=rGe9VmBYQuwJ0l7F40IVEVbiJ_Jn_zJLujGHKGG0DFidL2n8mG_xEA32FQ_jMkcJ, 2014-03-27。2.1.3 TCP/IP模型和OSI模型的关系TCP/IP协议并不能够与OSI模型完全匹配，TCP/IP不是使用7层，而是使用4层，它通常也叫做Internet协议套件，它分为下面的4层：1.

27、网络接口层2. 互连网层3. 传输层4. 应用层这4层的每一层对应于OSI模型的一层或者多个层。表2-1 TCP/IP协议簇和OSI对应层级比较OSI层级TCP/IP协议功能应用层TFTP, ,SNMP,FTP等文件传输，电子，文件服务等表示层无数据格式化，代码转换，数据加密会话层无解除或建立别的连接点联系传输层TCP,UDP提供端对端的接口网络层IP,ICMP,OSPF,ARP等为数据包选择路由数据链路层SLIP,PPP,MTU,RARP等传输有地址的帧以与错误检测功能物理层ISO2110,IEEE802等二进制形式在物理媒体上传输数据TCP/IP协议簇对应OSI的相应层级，如下图所示：图2

28、-1TCP/IP协议簇对应OSI的相应层级2.2 主要数据包结构2.2.1 以太网帧格式以太网帧是OSI参考模型数据链路层的封装。它是对网络层传输的数据包加上帧头帧尾进行封装，从而构成了可被数据链路层识别的数据帧。在以太网帧当中，帧头和帧尾的数据大小是固定不变的，但是因为被封装的数据包大小是可变的，所以以太网帧的大小是可变不固定的。大小围在64-1518字节之间。以太网V2的MAC帧格式。该标准由5个字段组成：目的地址、源地址、类型、数据报、效验。前导码：包括同步码（用来使局域网中的所有节点同步，7字节长）和帧标志（帧的起始标志，1字节）两部分；目的地址：接收端的MAC地址，6字节长；源地址：

29、发送端的MAC地址，6字节长；类型：数据包的类型（即上层协议的类型），2字节长；数据：被封装的数据包，46-1500字节长：校验码：错误检验，4字节长。分析每一帧可以得到此数据包的源MAC地址和目的MAC地址，并且可以得到IP数据报的完整容（如果是ARP协议则没有IP数据包）。IP数据报的第4至7位是IP首部长度，该字段可以用来准确定位上层协议的起始位置。第10字节是协议字段，指出该IP数据报携带的数据使用何种协议。以太网头数据结构描述如下：typedef struct ethernet_headeru_char dstmac6; /目标mac地址u_char srcmac6; /源mac地址

30、u_short eth_type; /以太网类型ethernet_header;10 D. S. Malik 著，晏海华，蔡旭辉译. C+编程数据结构与程序设计方法 M . ：电子工业, 20032.2.2 IP数据包格式图2-2 IP数据报首部的组成表2-2 IP数据包总体结构数据包IP首部信息首部（如TCP、UDP首部）数据以太网V2标准的主要特点是通过类型域标识了封装在帧里的数据包所采用的协议，类型域是一个有效的指针，通过它，数据链路层就可以承载多个上层（网络层）协议。但是，它的缺点是没有标识帧长度的字段。根据前面的定义，数据包一般都从数据链路层获取，因此，本软件按照获取数据格式的先后，

31、先处理链路层之上的数据帧，之后分别是网络层，传输层以与应用层上的数据。在对数据链路层上的太网帧进行分析之后，我们就可以得到IP数据包。IP数据包数据结构描述如下:typedef struct ip_header u_char ihl:4; /*首部长度(4 bits)*/ u_char ver:4;/*版本(4 bits)*/u_char tos; /* 服务类型 */ u_short tlen; /*总长度*/ u_short identification; /*标识*/ u_short fo:13; /*片偏移(13 bits)*/ u_short flags:3;/*标志 (3 bits

32、) */u_char ttl; /*生存时间*/ u_char proto; /*协议*/ u_short crc; /*首部检验和 */ ip_address saddr;/*源地址*/ ip_address daddr;/*目标地址*/ u_int op_pad; /*可选+填充*/ ip_header;2.2.3 TCP数据报图2-3TCP数据报的组成源端口和目的端口字段各占2字节。端口是传输层与应用层的服务接口。传输层的复用和分用功能都要通过端口才能实现。序号字段占4字节。TCP连接中传送的数据流中的每一个字节都编上一个序号。序号字段的值则指的是本报文段所发送的数据的第一个字节的序号。

33、确认号字段占4字节，是期望收到对方的下一个报文段的数据的第一个字节的序号。数据偏移占4bit，它指出TCP报文段的数据起始处距离 CP报文段的起始处有多远。“数据偏移”的单位不是字节而是32bit字（4字节为计算单位）。保留字段占6bit，保留为今后使用，但目前应置为0。紧急比特URG当URG1时，表明紧急指针字段有效。它告诉系统此报文段中有紧急数据，应尽快传送(相当于高优先级的数据)。确认比特ACK只有当ACK1时确认号字段才有效。当ACK0时，确认号无效。复位比特RST(Reset) 当RST1时，表明TCP连接中出现严重差错（如由于主机崩溃或其他原因），必须释放连接，然后再重新建立运输连

34、接。同步比特SYN同步比特SYN置为1，就表示这是一个连接请求或连接接受报文。终止比特FIN用来释放一个连接。当FIN1时，表明此报文段的发送端的数据已发送完毕，并要求释放运输连接。窗口字段占2字节。窗口字段用来控制对方发送的数据量，单位为字节。TCP连接的一端根据设置的缓存空间大小确定自己的接收窗口大小，然后通知对方以确定对方的发送窗口的上限。检验和占2字节。检验和字段检验的围包括首部和数据这两部分。在计算检验和时，要在TCP报文段的前面加上12字节的伪首部。紧急指针字段占16bit。紧急指针指出在本报文段中的紧急数据的最后一个字节的序号。选项字段长度可变。TCP首部可以有多达40字节的可选

35、信息，用于把附加信息传递给终点，或用来对齐其它选项。填充字段这是为了使整个首部长度是4字节的整数倍。TCP数据报的数据结构描述如下：typedef struct tcp_header /20 bytes : defaultu_short sport; /源端口u_short dport; /目标端口u_long seqno; /Sequence nou_long ackno; /Ack nou_char reserved_1:4; /保留6位中的4位首部长度u_char offset:4; /tcp头部长度u_char flag:6; /6位标志u_char reserved_2:2; /保留

36、6位中的2位u_short win;u_short checksum;u_short uptr;tcp_header;2.3 WinPCap简介WinPCap是在Windows环境下的链路层网络访问的行业标准工具。它允许应用程序绕过协议栈进行数据捕获和发送，并且还有其他的功能，其中包括核级别的包过滤，网络流量统计以与远程数据包捕获等功能。WinPCap扩展了操作系统所提供的低级别的网络访问功能，它也提供了一个库用于更方便的访问网络层级中的底层。该库也包含了UNIX下的众所周知的libpcap API的Windows版本11 The WinPcap Team. WinPcap 中文技术文档EB/

37、OL. :/ ferrisxu /WinPcap/html/index.html, 2007-05-2512 全天形, 程伟. TCPDUMP-网络分析的利器J.计算机应用研究, 2000(11): 54-55.。WinPCap主要提供以下功能：(1)捕获原始数据包，无论它是发往某台机器的，还是在其他设备（共享媒介）上进行交换的，在数据包发送给某应用程序前，根据用户指定的规则过滤数据包，将原始数据包通过网络发送出去。(2)设置filter,只捕获自己敢兴趣的数据包。(3)方便的把捕获的数据包输出到文件和从文件输入。(4)统计网络流量。2.3.1 WinPCap主要函数1.pcap_if_t结构

38、体，表示适配器列表中的一项。struct pcap_if struct pcap_if *next; char *name; /* name to hand to pcap_open_live() */ char *description; /* textual description of interface, or NULL */ struct pcap_addr *addresses; bpf_u_int32 flags; /* PCAP_IF_ interface flags */2.pcap_findalldevs_ex() 获取适配器列表，返回0表示正常，-1表示出错。int pc

39、ap_findalldevs_ex(char *source, struct pcap_rmtauth *auth, pcap_if_t *alldevs, char *errbuf);3.pcap_freealldevs() 释放适配器链表空间。void pcap_freealldevs(pcap_if_t *);4.pcap_open() 通过名字打开适配器。pcap_t *pcap_open(const char *source, int snaplen, int flags, int read_timeout, struct pcap_rmtauth *auth, char *errb

40、uf);5.pcap_compile() 编译数据包过滤器，将程序中高级的过滤表达式，转换成能被核级的过滤引擎所处理的东西。对于bpf_program结构体我们只需要知道它是pcap_compile()最终要得到用来过滤的东西。13 谢小特，王勇军. 基于WinPcap的捕包程序设计J. 软件导刊2007，(21)int pcap_compile(pcap_t *, struct bpf_program *, const char *, int, bpf_u_int32);6.pcap_setfilter() 在捕获过程中绑定一个过滤器。至于pcap结构体，它是一个已打开的捕捉实例的描述符。这

41、个结构体对用户来说是不透明的，它通过wpcap.dll提供的函数，维护了它的容。int pcap_setfilter(pcap_t *, struct bpf_program *);7.pcap_next_ex() 直接获得一个数据包，非回调方法；pcap_pkthdr结构体表示dump文件中数据包首。int pcap_next_ex ( pcap_t * p, struct pcap_pkthdr * pkt_header, const u_char * pkt_data )8.pcap_dump_open() 打开一个文件来写入数据包；而pcap_dumper结构体表示libpcap存储文

42、件的描述符pcap_dumper_t *pcap_dump_open(pcap_t *, const char *);typedef struct pcap_dumper pcap_dumper_t;2.3.2 WinPCap过滤器表达式WinPCap过滤器语法基于一个声明式的谓词语法。过滤器则是一个包含了过滤表达式的ASCII字符串。Pcap_compile()获取这个表达式并将其翻译为一个核级包过滤器的程序。这个过滤表达式用于选择需要dump的数据包。如果没有给定的过滤表达式，核级过滤引擎将会接收所有的数据包。否则，只有带入表达式之后其值为true的包才会被接收。主要规则如下：(1) 表达

43、式支持逻辑操作符，可以使用关键字 and、or、not对子表达式进行组合，同时支持使用小括号。 (2) 基于协议的过滤要使用协议限定符，协议限定符可以为ip、arp、rarp、tcp、udp等。 (3) 基于MAC地址的过滤要使用限定符ether（代表以太网地址）、当该MAC地址仅作为源地址时表达式为ether src mac_addr，仅作为目的地址时，表达式为ether dst mac_addr，既作为源地址又作为目的地址时的表达式为ether host mac_addr。此外应注意mac_addr应该遵从00:E0:4C:E0:38:88的格式，否则编译过滤器时会出错。 (4) 基于IP

44、地址的过滤应该使用限定符host（代表主机地址）。当该IP地址仅作为源地址时过滤表达式应为 src host ip_addr，仅作为目的地址时的表达式为 dst host ip_addr，既作为源地址又作为目的地址时表达式为 host ip_addr。 (5) 基于端口的过滤应使用限定符 port。例如仅接收80端口的数据包则表达式为port 8014 The Tcpdump Team. Tcpdump用户手册EB/OL. :/ tcpdump.org, 2013-12-03。下边给出两个例子：例1：只捕获arp或icmp数据包。过滤表达式：arp or（ip and icmp）。例2：捕获主

45、机192.168.1.23与192.168.1.28之间传递的所有UDP数据包。过滤表达式：（ip and udp）and（ host 192.168.1.23 or host 192.168.1.28）。第3章 需求分析3.1 用户需求网络攻击严重威胁到了用户的上网安全。从攻击者的角度而言，攻击者可以利用网络抓包技术非法获取网络中传输的大量敏感信息。如用户的隐私，密码等。对网络安全极具威胁性。从防护的角度而言，网络抓包技术从网络传输的最底层，把握整个传输数据的来龙去脉，这无疑给发现非法攻击者提供了诸多有价值的信息。并可以根据这些信息提早最好防护措施，从而避免产生灾难性的后果。我们通过对该软件

46、对数据进行分析利用，维护网络的安全稳定，因此提出了以下需求:(1)能够捕获网络数据包，并能对所捕获的数据包进行分析。 (2)能定制一定的过滤规则，过滤掉一部分不需要的数据，从而降低分析复杂度。(3)界面友好，操作简单。(4)程序健壮，不易崩溃。3.2 功能需求目前局域网监听抓包技术趋于多样化，本文实现的方式是将网卡设备置于混杂模式，这样网卡可以直接接受数据链路层的数据。为了实现用户所提出的各种需求，抓包工具必需达到以下功能：(1)运行于数据链路层，监视网络状态，对数据帧进行捕捉和统计，为优化网络性能、增强系统安全性提供充分有效的依据。此时的工作网卡处于混杂模式。(2)能够对网络中捕捉的数据包解码，用于故障分析。如数据包的编号、时间戳、数据包长度、协议类型、源IP地址、目的IP地址、源端口号、目的端口号源、MAC地址、目的MAC地址等相关信息。(3)友好的图形化界面，不需要复杂的命令，大部分功能通