- - -.《网络与信息安全》课程设计报告2011年1月目录一、开发背景1、网络安全现状。

2、开发意义。

二、设计分析1、实现目标。

2、开发技术简介。

三、详细设计1、嗅探原理。

2、代码设计。

四、测试运行五、总结六、参考文献摘要网络嗅探器是作用在网络上的一种监听程序，它是系统管理员的一个得力助手，管理员可以用它来分析网络。

例如当网络繁忙时可利用它来查找是哪一段网络繁忙，数据报文是属于哪一种协议，这样可以计算出哪种业务受欢迎。

但是当有黑客使用它时，它又变得很可怕。

它可以非法获取一些XX性信息，如XX、密码等，它带来的负面破坏是非常大的。

作为从事网络安全技术方面的人员来说，要想有效地利用它、防X它就得深入地学习、分析网络嗅探技术。

1、本设计的基本任务是设计一个嗅探软件，实现对常用网络数据包抓取、分析。

2、软件所要完成对本机在网络中的通信数据,比如协议类型，源、目的地址和端口、数据包的大小等加以分析的功能。

3、本设计用到的开发工具为Microsoft Visual Studio 2010 开发环境为Windows 7。

4、程序由韩瑞彬同学和我共同完成，本人主要负责主界面的设计和网络数据包的抓取，韩瑞彬同学负责对数据包的解析设计。

关键字：嗅探器，安全，黑客，数据报文一、开发背景1、网络安全现状随着各种新的网络技术的不断出现、应用和发展，计算机网络的应用越来越广泛，其作用也越来越重要。

但是由于计算机系统中软硬件的脆弱性和计算机网络的脆弱性以及地理分布的位置、自然环境、自然破坏以及人为因素的影响，不仅增加了信息存储、处理的风险，也给信息传送带来了新的问题。

计算机网络安全问题越来越严重，网络破坏所造成的损失越来越大。

Internet 的安全已经成为亟待解决的问题。

多数黑客入侵成功并植入后门后的第一件事就是选择一个合适当前网络的嗅探器，以获得更多的受侵者的信息。

嗅探器是一种常用的收集有用数据的方法，可以作为分析网络数据包的设备。

网络嗅探器就是利用计算机的网络接口截获其他计算机的数据报文的一种工具，而且它与一般的键盘捕获程序不同。

键盘捕获程序捕获在终端上输入的键值，而嗅探器捕获的则是真实的网络报文.如果把网络嗅探器放置于网络节点处，对网络中的数据帧进行捕获的一种被动监听手段，是一种常用的收集有用数据的方法，可以分析各种信息包并描述出网络的结构和使用的机器，由于它接收任何一个在同一网段上传输的数据包，所以也就存在着捕获密码、各种信息、秘密文档等一些没有加密的信息的可能性。

这成为黑客们常用的扩大战果的方法，用来夺取其他主机的控制权。

当然嗅探器的正当用处主要是网络管理人员分析网络的流量，以便找出所关心的网络中潜在的问题。

例如，假设网络的某一段运行得不是很好，报文的发送比较慢，而我们又不知道问题出在什么地方，此时就可以用嗅探器截获网络中的数据包，分析问题的所在。

2、开发意义本次设计只是对抓取到的本机在网络中的通信数据,比如说协议类型，源、目的地址和端口、数据包的大小等加以分析，而无法做到像Sniffer 或者影音神探那种成熟的嗅探器所拥有的强大功能。

作为从事网络技术方面的人员来说，要想有效地利用它、防X它，就得深入地学习、分析网络嗅探技术。

最为重要的是，对于网络嗅探器的设计与实现，使我对网络通信，数据传输和网络信息安全等有了切身的体会与融入，同时也是对网络安全技术这门课的学以致用，不断提高自我的一种有效途径。

二、设计分析1、实现目标（1）实现网络嗅探器的界面。

（2）实现抓取数据包的功能。

（3）实现暂停抓取数据包功能。

（4）实现清空列表功能。

2、开发技术简介（1）TCP/IP协议分析TCP/IP 是供已连接因特网的计算机进行通信的通信协议。

TCP/IP 定义了电子设备（比如计算机）如何连入因特网，以及数据如何在它们之间传输的标准。

TCP/IP是一个四层的分层体系结构。

高层为传输控制协议，它负责聚集信息或把文件拆分成更小的包。

这些包通过网络传送到接收端的TCP层，接收端的TCP层把包还原为原始文件。

低层是网际协议，它处理每个包的地址部分，使这些包正确的到达目的地。

网络上的网关计算机根据信息的地址来进行路由选择。

即使来自同一文件的分包路由也有可能不同，但最后会在目的地汇合。

TCP/IP使用客户端/服务器模式进行通信。

TCP/IP 通信是点对点的，意思是通信是网络中的一台主机与另一台主机之间的。

TCP/IP与上层应用程序之间可以说是“没有国籍的”，因为每个客户请求都被看做是与上一个请求无关的。

正是它们之间的“无国籍的”释放了网络路径，才是每个人都可以连续不断的使用网络。

许多用户熟悉使用TCP/IP协议的高层应用协议。

众所周知，如今电脑上因特网都要作TCP/IP协议设置，显然该协议成了当今地球村“人与人”之间的“牵手协议”。

通俗而言：TCP负责发现传输的问题，一有问题就发出信号，要求重新传输，直到所有数据安全正确地传输到目的地。

而IP是给因特网的每一台电脑规定一个地址。

1974年12月，卡恩、瑟夫的第一份TCP协议详细说明正式发表。

当时美国国防部与三个科学家小组签定了完成TCP/IP的协议，结果由瑟夫领衔的小组捷足先登，首先制定出了通过详细定义的TCP/IP协议标准。

当时作了一个试验，将信息包通过点对点的卫星网络，再通过陆地电缆，再通过卫星网络，再由地面传输，贯串欧洲和美国，经过各种电脑系统，全程9.4万公里竟然没有丢失一个数据位，远距离的可靠数据传输证明了TCP/IP协议的成功。

1983年1月1日，运行较长时期曾被人们习惯了的NCP被停止使用，TCP/IP协议作为因特网上所有主机间的共同协议，从此以后被作为一种必须遵守的规则被肯定和应用。

正是由于TCP/IP协议，才有今天“地球村”因特网的巨大发展。

以下简单介绍TCP/IP中的协议都具备什么样的功能，都是如何工作的：1、IPIP层接收由更低层（网络接口层例如以太网设备驱动程序）发来的数据包，并把该数据包发送到更高层---TCP或UDP层；相反，IP层也把从TCP或UDP层接收来的数据包传送到更低层。

IP数据包是不可靠的，因为IP并没有做任何事情来确认数据包是按顺序发送的或者没有被破坏。

IP数据包中含有发送它的主机的地址（源地址）和接收它的主机的地址（目的地址）。

高层的TCP和UDP服务在接收数据包时，通常假设包中的源地址是有效的。

也可以这样说，IP地址形成了许多服务的认证基础，这些服务相信数据包是从一个有效的主机发送来的。

IP确认包含一个选项，叫做IP source routing，可以用来指定一条源地址和目的地址之间的直接路径。

对于一些TCP和UDP的服务来说，使用了该选项的IP包好像是从路径上的最后一个系统传递过来的，而不是来自于它的真实地点。

这个选项是为了测试而存在的，说明了它可以被用来欺骗系统来进行平常是被禁止的连接。

那么，许多依靠IP源地址做确认的服务将产生问题并且会被非法入侵。

2、TCP如果IP数据包中有已经封好的TCP数据包，那么IP将把它们向‘上’传送到TCP层。

TCP将包排序并进行错误检查，同时实现虚电路间的连接。

TCP数据包中包括序号和确认，所以未按照顺序收到的包可以被排序，而损坏的包可以被重传。

TCP将它的信息送到更高层的应用程序，例如Telnet的服务程序和客户程序。

应用程序轮流将信息送回TCP层，TCP层便将它们向下传送到IP层，设备驱动程序和物理介质，最后到接收方。

3、UDPUDP与TCP位于同一层，但它不管数据包的顺序、错误或重发。

因此，UDP不被应用于那些使用虚电路的面向连接的服务，UDP主要用于那些面向查询---应答的服务，例如NFS。

相对于FTP或Telnet，这些服务需要交换的信息量较小。

使用UDP的服务包括NTP （网络时间协议）和DNS（DNS也使用TCP）。

4、ICMPICMP与IP位于同一层，它被用来传送IP的控制信息。

它主要是用来提供有关通向目的地址的路径信息。

ICMP的‘Redirect’信息通知主机通向其他系统的更准确的路径，而‘Unreachable’信息则指出路径有问题。

另外，如果路径不可用，ICMP可以使TCP连接‘体面地’终止。

PING是最常用的基于ICMP的服务。

(2)数据包简介包是TCP/IP协议通信中的基本的数据单位之一，一般也叫数据包。

必须把内装产品的包装盒放到一个邮局指定的专用纸箱里，这样才能够邮寄。

这里，产品包装盒相当于数据包，里面放着的产品相当于可用的数据，而专用纸箱就相当于帧，且一个帧中只有一个数据包。

“包”听起来非常抽象，那么是不是不可见的呢？通过一定技术手段，是可以感知到数据包的存在的。

通过数据包捕获软件，也可以将数据包捕获并加以分析。

就是用网络嗅探器捕获数据包，可以查看捕获到的数据包的MAC 地址、IP 地址、协议类型端口号等细节。

通过分析这些数据，网管员就可以知道网络中到底有什么样的数据包在活动了。

数据包的结构非常复杂，不是三言两语能够说清的，在这里主要了解一下它的关键构成就可以了，这对于理解TCP/IP 协议的通信原理是非常重要的。

数据包主要由“目的IP 地址”、“源IP 地址”、“净载数据”等部分构成。

数据包的结构与我们平常写信非常类似，目的IP 地址是说明这个数据包是要发给谁的，相当于收信人地址；源IP 地址是说明这个数据包是发自哪里的，相当于发信人地址；而净载数据相当于信件的内容。

正是因为数据包具有这样的结构，安装了TCP/IP 协议的计算机之间才能相互通信。

我们在使用基于TCP/IP 协议的网络时，网络中其实传递的就是数据包。

比如说当你上网打开网页，这个简单的动作，就是你先发送数据包给，它接收到了之后，根据你发送的数据包的IP 地址，返回给你网页的数据包，也就是说，网页的浏览，实际上就是数据包的交换。

理解数据包，对于网络管理的网络安全具有至关重要的意义。

(3)C#语言简介C#是微软于2000 年提出的一种源于C++、类似于Java 的面向对象编程语言，适合于分布式环境中的组件开发。

C# 是专门为.NET 设计的，也是.NET 编程的首选语言。

C＃的产生是因为微软在.NET 上需要一种类似Java 的语言，而Java 本身却不能胜任这一需求。

C＃太像C++了，以至于它很难给人带来体验新事物时的那种兴奋。

不过，绝大部分的C++开发者将会因为C＃保留了C++中大部分其喜欢的、强大的、令人激动的功能而选择使用它。

C＃通过避免一般的编程错误和自动资源管理，使得C＃的稳定性得到了极大的增强。

另外，C#语言功能强大且可以实现对象之间的转换，轻松实现各种对象转换成字符串。

（4）嗅探技术简介数据在网络上是以很小的称为帧（Frame）的单位传输的，帧由几部分组成，不同的部分执行不同的功能。