陸 奎，王 海

(安徽理工大學(xué)計算機科學(xué)與工程學(xué)院，安徽 淮南 232001)

?

基于網(wǎng)絡(luò)安全開發(fā)包的網(wǎng)絡(luò)監(jiān)聽檢測系統(tǒng)的研究與實現(xiàn)

陸 奎，王 海

(安徽理工大學(xué)計算機科學(xué)與工程學(xué)院，安徽 淮南 232001)

網(wǎng)絡(luò)安全是研究與計算機網(wǎng)絡(luò)相關(guān)聯(lián)的安全問題，隨著網(wǎng)絡(luò)監(jiān)聽造成的安全問題日益嚴重，對網(wǎng)絡(luò)監(jiān)聽、檢測和防范的研究顯得十分重要。本文首先對網(wǎng)絡(luò)監(jiān)聽檢測技術(shù)的概念和原理進行了描述，然后著重對Libpcap和Winpcap兩種常用的網(wǎng)絡(luò)開發(fā)包技術(shù)進行研究，采用網(wǎng)絡(luò)數(shù)據(jù)包捕獲開發(fā)包Libpcap，對Libpcap的核心數(shù)據(jù)結(jié)構(gòu)，其定義方式進行探討，基于Winpcap捕獲技術(shù)使用網(wǎng)絡(luò)安全開發(fā)包對網(wǎng)絡(luò)監(jiān)聽進行檢測，最后對網(wǎng)絡(luò)監(jiān)聽檢測系統(tǒng)進行了設(shè)計與實現(xiàn)。

網(wǎng)絡(luò)安全；網(wǎng)絡(luò)監(jiān)聽；網(wǎng)絡(luò)安全開發(fā)包；Libpcap；Winpcap

傳統(tǒng)的計算機網(wǎng)絡(luò)雖然提供了高速的信息傳輸，卻忽略了對信息內(nèi)容的保護。為了實現(xiàn)安全的網(wǎng)絡(luò)通信，目前主流解決方案采用數(shù)據(jù)加密來提升通信安全。雖然采用加密機制有效提升了數(shù)據(jù)安全，但是由于網(wǎng)絡(luò)監(jiān)聽依然存在，網(wǎng)絡(luò)通信安全仍然不能得到徹底保障。因此對網(wǎng)絡(luò)監(jiān)聽檢測技術(shù)的研究變得十分重要。絡(luò)監(jiān)聽也稱為網(wǎng)絡(luò)嗅探(sinff)，即將網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)包捕獲并進行分析的行為。網(wǎng)絡(luò)監(jiān)聽器也叫做嗅探器(sinffer)，它是利用計算機的網(wǎng)絡(luò)接口捕獲目的地為其他計算機數(shù)據(jù)包的一種工具，sinffer就是網(wǎng)絡(luò)上的“竊聽器”。它工作在網(wǎng)絡(luò)的底層，能夠記錄網(wǎng)絡(luò)中傳輸?shù)娜繑?shù)據(jù)。網(wǎng)絡(luò)監(jiān)聽系統(tǒng)的優(yōu)勢是可以為網(wǎng)絡(luò)管理人員方便查找網(wǎng)絡(luò)漏洞、檢測網(wǎng)絡(luò)性能、分析網(wǎng)絡(luò)流量，不足是它是一種在他方無法察覺的情況下，捕獲網(wǎng)絡(luò)信息的。

1 網(wǎng)絡(luò)監(jiān)聽的危害性及工作原理

網(wǎng)絡(luò)監(jiān)聽是黑客們常用的工具，當信息以明文形式在網(wǎng)絡(luò)傳輸?shù)臅r候，就可以使用網(wǎng)絡(luò)監(jiān)聽的方式進行攻擊。在局域網(wǎng)中，數(shù)據(jù)幾乎都是以明文形式傳輸?shù)?，這就就給網(wǎng)絡(luò)監(jiān)聽提供的可趁之機。通常監(jiān)聽造成的危害有：

1) 捕獲口令；網(wǎng)絡(luò)嗅探器可以捕獲明文形式的密碼或口令；

2) 捕獲專用或者機密的信息，包括用戶姓名、口令、信用卡密碼、個人帳號和pin碼；

3) 偷窺機密敏感信息，通過攔截數(shù)據(jù)包，可以竊聽整個Email會話全過程；

4) 獲取更高級別的訪問權(quán)限。一旦入侵者得到用戶密碼和帳號，必然可以通過信任關(guān)系危害整個網(wǎng)絡(luò)安全，從而獲取更高級別的訪問權(quán)限。

一般來說網(wǎng)絡(luò)監(jiān)聽分為主動監(jiān)聽和被動監(jiān)聽兩種監(jiān)聽模式。所謂主動監(jiān)聽一般多采用于公共機房，重要用于一個機房中的終端機對各工作站實行監(jiān)聽。所有的主機連接到SWITCH，對于發(fā)送給某個特定主機的數(shù)據(jù)包會被SWITCH從特定的端口送出，而不是想HUB一樣廣播給網(wǎng)絡(luò)中的所有主機。這種傳播形式使得以太網(wǎng)的性能大大提高，但是卻破壞了監(jiān)聽的第一條件：網(wǎng)絡(luò)上的的數(shù)據(jù)能到達監(jiān)聽主機。

網(wǎng)絡(luò)監(jiān)聽的工作原理：每個網(wǎng)卡廠家得到一段地址，然后用這段地址分配給其生產(chǎn)的每個網(wǎng)卡一個地址。在硬件地址和IP地址間使用ARP和ARP協(xié)議進行相互轉(zhuǎn)換。在正常的情況下，一個網(wǎng)絡(luò)接口應(yīng)該只響應(yīng)這樣的兩種數(shù)據(jù)幀：① 與自己硬件地址相匹配的數(shù)據(jù)幀。② 網(wǎng)絡(luò)上的廣播數(shù)據(jù)幀。在一個實際的系統(tǒng)中，數(shù)據(jù)的收發(fā)是由網(wǎng)卡來完成的。當收到網(wǎng)絡(luò)上傳輸來的數(shù)據(jù)時，首先由網(wǎng)卡對數(shù)據(jù)幀的目的MAC地址進行檢查，如果目的MAC地址與本地的MAC地址相匹配，則認為應(yīng)接收該數(shù)據(jù)并產(chǎn)生相應(yīng)的中斷信號通知CPU；如果不匹配，則直接丟棄該數(shù)據(jù)幀，本地計算機將根本不知道有數(shù)據(jù)幀的到來。在得到中斷信號后，CPU產(chǎn)生中斷，操作系統(tǒng)調(diào)用驅(qū)動程序接收數(shù)據(jù)，驅(qū)動程序接收數(shù)據(jù)后放入信號堆棧讓操作系統(tǒng)處理。對于網(wǎng)卡來說一般有四種接收模式：

廣播模式、多播模式、直接模式，這三種模式統(tǒng)稱為普通模式(Normal model)；混雜模式(Promiscuous model)。

而對于網(wǎng)卡來說，接受幀的目的MAC地址是以下幾種地址之一：

1) 本機的MAC地址是目的地址；

2) 本機的MAC地址不是目的地址；

3) 組播地址是目的MAC地址，多播列表中本機此時已注冊；

4) 組播地址是目的MAC地址，多播列表中本機此時沒有注冊；

5) 廣播地址是目的MAC地址；

針對不同MAC地址不同的網(wǎng)卡工作模式的過濾方式如表1所示。

表1 網(wǎng)卡工作模式的過濾方式

從上表可以看出，“√”表示網(wǎng)卡工作可以接受的過濾方式，“×”表示網(wǎng)卡工作不可接受的過濾方式。通常網(wǎng)卡工作在normal model模式下只接受以下幾種類型的數(shù)據(jù)：目的MAC地址是本機的、目的MAC地址是組播地址，本機此時在多播列表中已注冊以及目的MAC地址是廣播地址。而對于不屬于以上類型的數(shù)據(jù)包均做丟棄處理。而網(wǎng)卡處于Promiscuous model的主機，網(wǎng)卡根本不檢查MAC地址，只要是網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)包，無論類型全部接受。這樣就實現(xiàn)了對網(wǎng)絡(luò)上所有數(shù)據(jù)包接受的效果，達到網(wǎng)絡(luò)全監(jiān)聽的條件。

由此可見，要實現(xiàn)網(wǎng)絡(luò)監(jiān)聽必須滿足兩個條件：

1) 網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)包可以到達監(jiān)聽主機；

2) 監(jiān)聽主機的網(wǎng)卡設(shè)置為Promiscuous model。

2 網(wǎng)絡(luò)安全開發(fā)包對網(wǎng)絡(luò)監(jiān)聽進行檢測

網(wǎng)絡(luò)安全開發(fā)包是指用于網(wǎng)絡(luò)安全研究和開發(fā)的一些專業(yè)開發(fā)函數(shù)庫。它的目的是提供用于網(wǎng)絡(luò)安全研究的基本功能實現(xiàn)，為研究者和開發(fā)者提供進一步研究和開發(fā)網(wǎng)絡(luò)安全提供編程接口，為網(wǎng)絡(luò)安全的實現(xiàn)提供便利。

網(wǎng)絡(luò)安全開發(fā)包的種類非常多，其實現(xiàn)的功能也不一樣。新的網(wǎng)絡(luò)安全開發(fā)包不斷涌現(xiàn)，很多原先不成熟的網(wǎng)絡(luò)安全開發(fā)包也在日趨完善，在實際應(yīng)用上使用比較多的網(wǎng)絡(luò)安全開發(fā)包包括：網(wǎng)絡(luò)數(shù)據(jù)包捕獲開發(fā)包Libpcap、Windows平臺專業(yè)數(shù)據(jù)包捕獲開發(fā)包WinPcap、網(wǎng)絡(luò)數(shù)據(jù)包構(gòu)造和發(fā)送開發(fā)包Libnet、網(wǎng)絡(luò)入侵檢測開發(fā)包Libnids、通用網(wǎng)絡(luò)安全開發(fā)包Libdnet。

一個網(wǎng)絡(luò)安全開發(fā)包是針對特定的網(wǎng)絡(luò)安全技術(shù)而開發(fā)的，它可能實現(xiàn)某一個網(wǎng)絡(luò)安全技術(shù)，也可能實現(xiàn)某一類網(wǎng)絡(luò)安全技術(shù)，網(wǎng)絡(luò)安全開發(fā)包的最大功能就是設(shè)計網(wǎng)絡(luò)安全系統(tǒng)，其直接功能是實現(xiàn)部分網(wǎng)絡(luò)安全技術(shù)，如網(wǎng)絡(luò)數(shù)據(jù)包捕獲技術(shù)、網(wǎng)絡(luò)數(shù)據(jù)包生成技術(shù)等，利用它們可以很快的實現(xiàn)網(wǎng)絡(luò)安全系統(tǒng)的基本功能。下面對兩種比較常見的網(wǎng)絡(luò)安全開發(fā)包進行解析。

1) Libpcap分組捕獲函數(shù)庫。Libpcap(the Packet Capture Library)是一個平臺獨立的網(wǎng)絡(luò)數(shù)據(jù)包捕獲技術(shù)。由于Libpcap與操作系統(tǒng)平臺無關(guān)，能夠獨立訪問網(wǎng)絡(luò)鏈路層，并讀取鏈路層數(shù)據(jù)，所以也是使用最多的網(wǎng)絡(luò)數(shù)據(jù)包捕獲技術(shù)。Libpcap是一個高層的編程接口，隱藏了操作系統(tǒng)的細節(jié)，可以捕獲網(wǎng)絡(luò)上的任何數(shù)據(jù)包，包括到達其他主機的數(shù)據(jù)包。 pcap數(shù)據(jù)結(jié)構(gòu)是Libpcap的核心數(shù)據(jù)結(jié)構(gòu)，其定義為

struct pcap{

#ifdef WIN32

ADAPTER*adapter； /*網(wǎng)絡(luò)接口*/

LPPACKET Packet；

int timeout； /*時間*/

int nonblock； /*非阻塞模式參數(shù)*/

#else

int fd；

int selectable-fd；

#endif/*WIN32*/

int snapshot；

int linktype； /*鏈路層類型*/

int tzoff； /*時間域*/

int offset； /*偏移*/

int break-loop； /*循環(huán)結(jié)束標志*/

struct pcap-sf sf；

struct pcap-md md；

int bufsize； /*緩沖區(qū)大小*/

u-char buffer； /*緩沖區(qū)*/

u-char *bp；

int cc；

u-char *pkt；

int (*read-op) (pcap-t*，int cnt， pcap-handler，u-char*)；

int (*setfilter-op) (pcap-t*，struct bpf-program*)；

int (*set-datalink-op) (pcap-t*，int)；

int (*getnonblock-op) (pcap-t*，int，char*)；

int (*stats-op) (pcap-t*，struct pcap-stat*)；

void (*close-op) (pcap-t*)；

struct bpf-program fcode；

char errbuf [PCAP-ERRBUF-SIZE+1]； /*錯誤信息*/

int dlt-count； /*鏈路層個數(shù)*/

int dlt-list； /*鏈路層類型列表*/

struct pcap-pkthdr pcap-header；

}；

typedef struct pcap pcap-t；

此數(shù)據(jù)結(jié)構(gòu)表示的是Libpcap句柄的數(shù)據(jù)結(jié)構(gòu)，是Libpcap的內(nèi)部數(shù)據(jù)結(jié)構(gòu)，在Libpcap內(nèi)部實現(xiàn)過程中經(jīng)常用到。一般使用人不會與它直接打交道，而一般是通過函數(shù)進行操作。Libpcap使用了BPF過濾機制，支持DLPI和SOCK PACKET，基于內(nèi)核的過濾模塊。它可以過濾網(wǎng)絡(luò)上不需要的數(shù)據(jù)包，而捕獲用戶感興趣的數(shù)據(jù)包[4]。使用Libpcap可以將網(wǎng)絡(luò)上捕獲的數(shù)據(jù)包存儲到特定的文件中，也可以隨時從該文件中讀取數(shù)據(jù)包的信息，且讀出數(shù)據(jù)的結(jié)果和從網(wǎng)絡(luò)上捕獲的數(shù)據(jù)包數(shù)據(jù)完全一致。Libpcap具體的工作流程如圖1所示，它是通過調(diào)用相應(yīng)的函數(shù)庫來實現(xiàn)的。

Pcap lookupdev( ) /*掃描有效網(wǎng)絡(luò)設(shè)備端口*/

Pcap lookupnet( ) /*獲得網(wǎng)絡(luò)地址及網(wǎng)絡(luò)掩碼*/

Pcap open live( ) /*打開網(wǎng)絡(luò)設(shè)備*/

Pcap compile( ) /*過濾字符串編譯到過濾程序中*/

Pcap setfilter( ) /*設(shè)置網(wǎng)絡(luò)過濾器*/

Pcap dispatch( ) /*捕獲數(shù)據(jù)包進行中*/

Pcap close( ) /*數(shù)據(jù)包捕獲退出*/

圖1 Libpcap捕獲函數(shù)庫的工作流程

在未設(shè)定可監(jiān)視的網(wǎng)絡(luò)端口而進行有效網(wǎng)絡(luò)端口掃描時，如果發(fā)現(xiàn)幾個網(wǎng)絡(luò)端口的時候，Libpcap將選擇序號最小的端口進行操作。 若指定了網(wǎng)絡(luò)接口，系統(tǒng)會把網(wǎng)絡(luò)接口直接傳遞給應(yīng)用程序。利用Libpcap捕獲數(shù)據(jù)包功能，可以實現(xiàn)其他很多功能。例如，對傳輸?shù)木W(wǎng)絡(luò)數(shù)據(jù)包進行分析，讀出所有網(wǎng)絡(luò)數(shù)據(jù)包的詳細信息。

2) Winpcap捕獲技術(shù)。Winpcap(Windows Packet Capture)，是為Libpcap在Windows平臺下實現(xiàn)數(shù)據(jù)包的捕獲而設(shè)計的。它們具有相同的接口，使用者只需要調(diào)用相應(yīng)函數(shù)即可。Winpcap主要有三部分組成[5]：

第一部分是內(nèi)核層的數(shù)據(jù)包過濾模塊NPF(Netgroup Packet Filter)這也是Winpcap的核心部分，它相當于Libpcap使用的BPF過濾模塊，它的主要作用是捕獲數(shù)據(jù)包，同時發(fā)送數(shù)據(jù)包、存儲數(shù)據(jù)包以及對網(wǎng)絡(luò)進行統(tǒng)計分析，實現(xiàn)了內(nèi)核層的統(tǒng)計功能，完成了高效的的網(wǎng)絡(luò)數(shù)據(jù)包捕獲和過濾。NPF與前文所提的BPF的工作原理基本一致，它就是BPF變形而得到的一種捕獲機制。此過濾模塊實際是一個驅(qū)動程序。

第二部分是動態(tài)鏈接庫packet.dll。它是提供給開發(fā)者的一個接口，使用它可以直接調(diào)用Winpcap的函數(shù)，它只是一個較低層的開發(fā)接口。

第三部分是動態(tài)鏈接庫wpcap.dll。它同樣是提供給開發(fā)者的一個接口，但它是一個更高層的開發(fā)編程接口，其調(diào)用與系統(tǒng)無關(guān)，因為是基于Libpcap而設(shè)計的，所以使用此編程接口其函數(shù)調(diào)用幾乎和Libpcap完全一樣，函數(shù)名稱和參數(shù)定義也是一樣。

Winpcap的捕獲數(shù)據(jù)包結(jié)構(gòu)如圖2所示。

圖2 Winpcap的捕獲數(shù)據(jù)包結(jié)構(gòu)

網(wǎng)絡(luò)驅(qū)動程序直接從網(wǎng)絡(luò)鏈路層取得數(shù)據(jù)包，且在不修改的情況下完成數(shù)據(jù)包的統(tǒng)計、存儲、過濾最終傳遞給用戶層的應(yīng)用程序，而低級的動態(tài)鏈接數(shù)據(jù)在用戶層直接和內(nèi)核層隔離開，這樣使得應(yīng)用程序在不加修改的情況下在不同的Windows系統(tǒng)下運行。

3 網(wǎng)絡(luò)監(jiān)聽檢測系統(tǒng)的設(shè)計與實現(xiàn)

為了實現(xiàn)在局域網(wǎng)絡(luò)內(nèi)實施監(jiān)聽主機的檢測，首先要獲得工作主機的所有地址信息，包括IP和MAC地址，其次以本機工作為發(fā)起點對網(wǎng)段內(nèi)所有主機進行掃描，獲取網(wǎng)段 內(nèi)所有主機活動列表，然后采用ARP包對這些主機的網(wǎng)卡的工作模式進行探測，從而發(fā)現(xiàn)有無混雜模式工作的主機網(wǎng)卡，最后生成檢測報告。依照此工作步驟，系統(tǒng)大體可以劃分為以下幾個模塊。

1) 捕獲本機信息模塊：使用winpcap提供的pcap-if-t結(jié)構(gòu)描述網(wǎng)卡和pcap-findalldevs-ex函數(shù)獲取本機網(wǎng)卡信息，獲取本機ip和子網(wǎng)掩碼。然后使用pcap-sendpacket和Pcap-next-ex函數(shù)，通過給自己發(fā)送arp request包，接收reply包獲取本機MAC地址。也就是通過arp包對本機進行一次欺騙，從而獲得了本機的所有地址信息。

2) 掃描主機模塊：主機掃描通過兩個線程實現(xiàn)：發(fā)送arp request包和處理arp reply獲取活動主機列表。其中發(fā)送arp request線程根據(jù)本機ip和子網(wǎng)掩碼，計算本網(wǎng)段ip地址的范圍，依次發(fā)送arp request包。處理 arp reply線程則接收arp響應(yīng)包，提取其中的ip和mac地址，生成活動主機地址列表(采用鏈表存儲)。最后輸出地址列表。

3) 監(jiān)聽檢測模塊：這是本程序的核心部分，該部分針對活動主機鏈表中的每個地址，調(diào)用Pcap-Sendpaeke函數(shù)發(fā)送arp-request包(幀的目的地址僅以oxff開頭的偽廣播地址，其它的信息均正確)，然后等待，使用pcap-next-ex函數(shù)接收數(shù)據(jù)包，如果收到對應(yīng)的arp reply，則將其混雜標志置1。

4) 檢測報告模塊：得出檢測結(jié)論，生成報告文件。整個系統(tǒng)的設(shè)計過程如圖3所示。

圖3 網(wǎng)絡(luò)監(jiān)聽檢測系統(tǒng)的設(shè)計

通過對學(xué)校其中一個公共計算機實驗室進行隨機測試，可以檢查出計算機被監(jiān)聽情況，下面是一次測試的結(jié)果如圖4所示。

圖4 實驗結(jié)果圖

4 結(jié)束語

本文在介紹了網(wǎng)絡(luò)監(jiān)聽的基本概念及原理之后，著重探討了如何使用(采用)網(wǎng)絡(luò)安全開發(fā)包對網(wǎng)絡(luò)監(jiān)聽進行檢測，并對相關(guān)的技術(shù)進行了分析，最后在基于網(wǎng)絡(luò)安全開發(fā)包的網(wǎng)絡(luò)監(jiān)聽檢測技術(shù)研究的基礎(chǔ)上對網(wǎng)絡(luò)監(jiān)聽檢測系統(tǒng)的設(shè)計。本系統(tǒng)運行的結(jié)果可以檢測出局域網(wǎng)網(wǎng)段中所有計算機網(wǎng)卡的工作模式，借此判斷計算機是否被監(jiān)聽。

同時程序中存在幾點不足：(1)沒有考慮到不同操作系統(tǒng)可能產(chǎn)生的軟件過濾。(2)程序僅從網(wǎng)卡的工作模式進行檢測，存在不準確因素；(3)如果監(jiān)聽行為僅針對本機，而不對網(wǎng)卡設(shè)置修改，那么這種方法就無法檢測出監(jiān)聽行為。

[1] 姚小蘭.網(wǎng)絡(luò)安全管理與技術(shù)防護[M].北京：北京理工大學(xué)出版社，2002：47-99.

[2] 曾光裕，薛瑩瑩，徐冰，等. 基于ARP協(xié)議的網(wǎng)絡(luò)監(jiān)聽技術(shù)研究[J].計算機工程，2010 (6)：58-60.

[3] 胡濱.基于Windows平臺的底層網(wǎng)絡(luò)數(shù)據(jù)包捕獲技術(shù)[J].計算機工程與設(shè)計，2011(11)：337-338.

[4] 杜建亮，計算機網(wǎng)絡(luò)安全隱患與主動防御[J].山西財經(jīng)大學(xué)學(xué)報，2012(2)：78-81.

[5] 向昕，李志蜀. 基于ARP欺騙的網(wǎng)絡(luò)監(jiān)聽原理及實現(xiàn) [J] 四川大學(xué)學(xué)報(自然科學(xué)版)，2011(1)：89-95.[6] 陳國震. 網(wǎng)絡(luò)監(jiān)聽在基于網(wǎng)絡(luò)流量計費中的應(yīng)用[J]計算機科學(xué)，2011，8(2)：101-105.

[7] 宋政斌. 網(wǎng)絡(luò)監(jiān)聽技術(shù)在飛行試驗機載測試中的應(yīng)用與研究[J] 計算機測量與控制，2009，17(10)： 1 917-1 919.

(責任編輯：李 麗，范 君)

Research and Implementation of Network Monitoring System Based on Network Data Packet

LU Kui,WANG Hai

(School of Computer Science and Engineering ,Anhui Univercity of Science and Technology, Anhui Huainan 232001 ,China)

Network safety is the security problem of the research and computer network. As the security of the network monitoring becomes more and more serious, it is very important to study the network monitoring, detection and prevention. Firstly, this paper described the concept and principle of network monitoring technology, and then focuses on the research of Libpcap and Winpcap, two kinds of commonly used network safety data packet technology. By using Libpcap of network safety data packet, the core data structure of Libpcap and the definition of the method were discussed. Finally, the network monitoring system were designed and realized based on Winpcap capture technology and using network safety packet.

network safety; network monitoring；network safety packet；Libpcap; Winpcap

2015-03-11

陸奎(1963-)，男，安徽懷遠人，教授，博士，研究方向：計算機網(wǎng)絡(luò)與監(jiān)控。

TP393

A

1672-1098(2016)05-0041-05