使用winpcap库打造网络端口监听程序.pdfVIP

使用winpcap库打造网络端口监听程序(一) 一个月以前老师留了一个作业：大型网络软件综合课程设计。我选择的题目是网络端口监听 程序。于是开始各种搜集资料+各种研究... 3个礼拜之后制作完成了一个简单的网络端口监听的软件。我为其取名为NIM(Nic Interface Monitor)软件。软件的主要功能就是监听ARP数据报、IP数据报，并分析报文内 容，提取源MAC、目的MAC、源IP、目的IP、所使用的协议，以及ARP攻击检测等内容。 软件截图如下： 本文是我辛苦了3个礼拜的结果，如要转载，请指明原作者及出处，谢谢哈！^_^ 如对本 篇文章有不解的地方可以随时联系我，共同探讨问题。 Email:zp_sun@ 下面我将具体介绍一下需要的理论知识以及NIM的实现方法。 一、ARP协议 关于ARP协议，大家可以参考百度百科的解释 /view/96557.htm?fr=ala0 ，以下是我结合了资料后的理解： 以太网设备比如网卡都有自己全球唯一的MAC地址，也就是我们经常说的“物理地址”， 是一个48位的二进制代码。MAC地址是厂家生产的时候就固化在设备上的。网卡是以MAC地 址来传输以太网数据包的，但是它们却识别不了我们IP包中的IP地址，所以我们在以太网 中进行IP通信的时候就需要一个协议来建立IP地址与MAC地址的对应关系，以使数据包能 发到一个确定的地方去。这就是ARP(Address Resolution Protocol，地址解析协议)。 IP与MAC的关系就相当于学号与宿舍号的关系。 我们来做个小实验：在运行里面输入cmd打开dos窗口，输入arp-a 将会看到如下信息： 这个就是我们计算机内的arp缓存列表，里面记录了最近和本机通信的主机的IP-MAC映射 信息。动态表示临时存储在ARP缓存中的条目，过一段时间就会超时被删除(xp/2003系统是 2分钟)。我们的电脑如果想和别的主机通信就会来查这个arp缓存列表，然后找到对应的MAC 地址，并将数据发送到出去。 读到这里，有的朋友可能会问，如果这个列表里面没有我们要的地址映射该怎么办呢， 那么我们就继续实验，找一个列表中没有的地址，和它通信，比如我们选择IP为 0的主机，在dos窗口中输入ping 0 那么电脑会向局域网发送 ARP广播包，询问0对应的MAC地址，网络中每台电脑都会收到这个请求包， 但是它们发现0并非自己，就不会做出相应，而主机0就会给我 们的电脑回复一个ARP应答包，告诉我们它的MAC地址是 00-13-a9-44-13-25,于是我们电 脑的ARP缓存就会相应刷新,多了这么一条： ARP包格式：物理帧头+ARP帧 物理帧头： ARP帧： 似乎很清晰明了了吧，ARP包结构就是这个样子。以上内容也涵盖了ARP广播的概念。关于 如何实现抓取数据包将在后续文章中介绍。 使用winpcap库打造网络端口监听程序(二) 关于ARP协议，我们在上一节使用winpcap库打造网络端口监听程序(一)中已经作了简要 介绍，这节我们主要介绍一下ARP欺骗的相关内容以及IP数据报、TCP数据报、UDP数据报 的相关内容。 二、ARP欺骗以及基于ARP欺骗的监听原理 (1)ARP欺骗 ARP广播包与请求包都可以造成ARP欺骗。举个例子，如下图所示： 即主机A的ARP缓存中存有主机B的IP-MAC映射，主机B的ARP缓存中存有主机A的IP-MAC 映射。主机A与B可以正常通信，现在主机C伪造一个ARP广播包，发给主机A，广播包主 要内容如下： 当A接到这个广播包之后，将会更新其ARP缓存，为： IP-MAC: 0d-dd-ee-fe-54-dd 此后，主机A将把主机C误认为是主机B，因此就发生了ARP欺骗或者说ARP攻击。当然， 主机B也可以是网关。这是ARP欺骗的一种情况。 （2）基于ARP欺骗的监听原理 上文讲到，主机A被攻击是因为其ARP缓存更新过程中，IP-MAC映射的IP未变，而MAC变 了，但是ARP缓存更新时不会检查这种变化。为了检测这种变化，我们采取了，如下措施： 当监听程序运行的时候，即实时监听网卡接口上的ARP数据报，并分析其内容，建立相应的 ARP表（IP-MAC映射表），并动态维护ARP表，当发现从ARP包提取的IP-MAC映射与ARP 表中对应条目发生冲突时，即提示发生ARP攻击行为。 三、IP协议分析及实现原理 关于IP协议可以参