基于WinPcap网络抓包系统的设计与实现.docx

基于WinPcap网络抓包系统的设计与实现

摘要：随着互联网的不断发展与普及，越来越多人遇到过网络安全问题，相关的报道也层出不穷，同时网络安全造成的损失和影响也很大。网络抓包，数据包分析技术可以有效的进行网络维护减少网络入侵。所以研究网络抓包和分析技术对网络健康运转是很有意义的。本论文通过对Winpcap的开发使用，研究网络抓包系统的实现和设计，最终完成到了一个小型的基础网络抓包工具。关键词：winpcap；数据包捕获；网络安全

引言

研究背景

随着计算机技术的发展，网络的应用也早已普及到各行各业，成为生活中不可或缺的工具。全世界每天都有几十亿人口在不同的时间内使用着网络，网络与我们的生活紧密联系，所负载的各种私密重要信息越来越多，以至于人们的对信息安全也越来越重视。从最高层次来说网络信息安全关系到一个国家的安全和主权，国家的经济发展以及社会稳定，成为生产力的重要因素。网络安全与我们国家的安全密切联系，我们的个人隐私和财产，组织的持续发展和正常运行都需要信息安全的保障。

研究意义

在网络中的信息进行互相交换的过程中，对数据包进行一些系列包括捕获、转存、编辑、重发、等操作叫做抓包。抓包工具的出现使得对数据的捕获和分析变得更加方便快捷，通过对数据的分析可以得到很多有用的信息，可以用来分析网络通讯的真实内容、做网络故障分析等等。通常使用该工具较多的有两类人，分别为网络管理员和网络黑客。黑客通常用来监测网络，收集敏感信息，例如重要的用户名和密码。网络管理员可以利用抓包工具监听网络的实时状态、查找网络上可能存在的漏洞、检测网络的性能和修复网络的故障等等。目前很多抓包工具被应用在

网络安全领域，且有着非常重要的作用，而且许多的网络信息安全系统第一步就是抓包。所以本文研究网络抓包系统的设计和实现不仅仅利于网络管理和维护实现网络的健康运转，还能分析指导黑客的网络攻击的机理，从而有目的性的进行入侵检测以避免黑客进行攻击破坏和资料窃取。

研究现状

当前的网络安全研究从广义上讲，目前对于网络安全的研究主要是密码学和网络安全协议研究两个方面，

密码学理论和技术又主要分为两个内容——基于数学和非数学的密码理论与技术。原理上又可以分为单钥和双钥两个体制，双钥体制是1976年Diffle和Hellen首次引入的，之后出现了很多密码体系例如数字签名、Hash函数、消息认证等等，可以应用在电子商务网站的消费认证、网络数据存储、个人账户密码等方面。安全协议建立于密码体制的基础上，用来保障网络中消息的安全传递方面其中数据包的捕获和分析是一个重要的研究内容。目前TCP/IP这类不安全协议被我们广泛使用而且不能完全抛弃，不安全协议用在类似军事这类机密领域就可能造成巨大的危害和损失，所以人们一直对安全协议进行不断的研究，而且可以预测采用安全的网络协议也是我们今后的一个研究使用发展方向。目前网络安全协议有很多种类，处在不同的层次有着不同的功能。当前较常用的几个网络协议有，网络层的IPSec协议，传输层的SSL、TLS协议，应用层的PGP协议等。

网络抓包工具研究

当前我们大致可以将抓包工具分为两类：一类是通过HTTP代理进行抓包，代表有Charles、mitmproxy等；第二类是直接抓取通过网卡的协议包，代表有wireshark、tcpdump等。Charles这款http抓包工具，可以在我们访问页面时配置代理然后直接进行抓包使用简单，且通过安装charles证书就可以抓取https协议，charles和mitmproxy都有个缺陷就是只支持http抓包，但是mitmproxy性能比较强大，除了抓包还可以进行拦截重现等操作。Wireshark功能强大可以抓取所有协议的包，且易分析，但是因为wireshark实在链路层进行抓包的，获取到的https包已经进行的加密，所以无法分析https数据包。虽然可以进行解密但是操作较复杂、较消耗时间。Tcpdump是linux系统上自带的抓包工具，功能强大但是由于是命令行工具和wireshark比起来捕获到的数据包就没有那么容易进行分析。通常需要将捕获的数据包进行导出拷贝进wireshark进行分析。

抓包系统可以成为协议分析仪，同时还存在一个工具叫做嗅探器（sniffer）。它和协议分析仪相比功能更加侧重于对数据包的捕获和侦听而不是分析。但是在一些特殊的情况下，这种界限其实是模糊的，他们都可以实现对数据包的捕获和分析。

本文研究内容和结构

本文主要通过对数据包的捕获原理以及网络协议进行研究，基于Winpcp设计实现一个网络抓包系统。对网络协议进行更深入的分析的同时，也对winpcap的结构进行了研究。最终该网络抓包系统将实现抓包过滤分析的功能，并有较友好人机交互界面。本文的结构以及各章的内容如