winpcap开发网络嗅探器毕业设计.doc

《winpcap开发网络嗅探器毕业设计.doc》由会员分享，可在线阅读，更多相关《winpcap开发网络嗅探器毕业设计.doc（54页珍藏版）》请在三一办公上搜索。

1、西 南 交 通 大 学 本科毕业设计(论文)网络嗅探器开发年 级:2005级学 号:20059306姓 名:；李飞专 业:计算机科学与技术指导老师:刘捷 2009年6月院 系 计算机与通信工程系 专 业 计算机科学与技术 年 级 2005 姓 名 李飞 题 目 网络嗅探器开发 指导教师评 语 指导教师 （签章）评 阅 人评 语 评阅人 （签章）成绩 答辩委员会主任 （签章）年 月 日毕业设计（论文）任务书班级 2005级计算机网络工程 1班 学生姓名 李飞 学号 20059306 发题日期： 2009 年 2 月 26 日 完成日期：2009 年 6 月 8 日 题 目 网络嗅探器开发 1、本

2、论文的目的、意义 当前嗅探产业已成为IT产业的重要领域，作为业余休闲娱乐的方式之一，盗号受到人们的喜爱，而嗅探器的开发开发也成为一个重要的专业计算机领域。 在该设计中将把重点放在基于网络IP探测创作开发，学习和熟悉网络技术嗅探制作的路径，以及熟悉开发中常见的技术、物理等相关技术，了解开发的原理。 计算机专业本科学生虽然都系统的学习了相关的计算机专业课程，但对相关专业认识的认识还停留在理论层次，对计算机专业知识的应用还不够熟悉。在他们的毕业设计中给出这样一个设计题目去做，确是很有意义，通过做设计既可从温所学理论；又能理论联系实际，培养学生分析解决问题的能力，增长才干，把知识转化为智力；同时也有利

3、于学生科研作风和能力的培养。 2、学生应完成的任务 独立完成网络嗅探器的开发与设计。 （1）了解网络嗅探器开发的原理和方法； （2）熟悉网络嗅探器开发工具； （3）完成嗅探器的分析和架构； （4）要求所编制的软件在答辩时演示； （5）应完成不少于一万英文字符的翻译及将毕业设计的中文摘要翻译成英文。 3、论文各部分内容及时间分配：（共 17 周）第一部分 资料搜集、文献检索、阅读、消化； （ 3 周）第二部分 开发原理、开发方法的学习和研究； （ 5 周）第三部分 嗅探器系统分析和架构； （ 3 周）第四部分 开发嗅探器程序； （ 3 周）第五部分 毕业论文撰写、装订； （ 2 周）评阅及答辩

4、（ 1 周）备 注 答辩前应向指导老师交毕业设计说明书（书面文档应不少于2万8千个汉字）和电子文档（含毕业设计（论文）说明书及应用软件）。 指导教师： 2008年 2 月 26 日审 批 人： 年 月 日第1章 绪论31.1网络数据安全问题31.2网络数据安全相关理论与技术41.2.1网络攻击的技术前提41.2.2 数据包捕获51.2.3数据包过滤与分解71.2.4网络协议分析81.3本课题研究意义81.4国内外研究有关现状91.4.1当今网络安全的研究91.4.2现有的网络测试分析系统101.5本文所做的工作11第2章 捕获基础及LIBPCAP介绍112.1网络的数据捕获的原理11致 谢47

5、摘 要随着计算机技术的发展，网络的应用迅速普及，网络已日益成为生活中不可或缺的工具。同时，网络的安全性与可靠性日益受到人们的重视，安全性指的是网络上的信息不被泄露、更改和破坏，可靠性指的是网络系统能够连续、可靠地运行，网络服务不被中断。网络数据包捕获、监听与分析技术是网络安全维护的一个基础技术同时也是网络入侵的核心手段。所以研究有关数据包捕获和分析技术对保证网络的健康、安全运行是很有意义的。本课题针对网络数据包的捕获和分析技术做了比较深入的阐述。首先，概括介绍了当今网络数据安全的相关现状、理论及技术，并着重介绍了网络数据捕获和分析的有关基本实现机理、方法和手段，还列举了当前正在应用的网络分析系

6、统。其次，重点介绍了伯克利 (Berkeley)数据包过滤器BPF用于数据包捕获、过滤的原理和优势，并讲解了网络安全开发函数库的概念。在介绍了基于BPF的网络数据包捕获函数库Libpcap之后，又对比了在BPF基础上发展出来的NPF捕获和过滤引擎，藉此不但追溯了Winpcap和Libpcap的渊源，还列举了基于Winpcap的捕包技术在windows下的多种实现并说明了它们各自的特点。接下去，详细地阐述了Winpcap网络数据捕获函数库的工作机理和内部架构，对其内部的功能函数做了介绍，并对它们在数据包捕获和分析上的实现过程做了总结和概括。最后，具体分析了目的在于网络数据包捕获和分析的程序的层次

7、结构，给出了具体的通过调用Winpcap来捕获和分析数据包的程序的设计与实现方法，并通过编程实现了基于winpcap的网络数据捕获和分析系统。对于今后网络数据的监测和分析方案(比如对无线网络和交换环境捕获和分析)，本文也在最后部分做了相应的阐述和预测。目前，以winpcap(Libpcap)为代表的网络数据包的捕获和分析系统的研究由于其技术的开放性还在不断地进行着。而且随着网络技术的不断革新，对这个应用最广泛的系统进行跟进性的研究，不但有利于对其本身的完善还为持续发展和变化的网络安全问题提供了最新的解决方案。关键词:数据包，捕获，函数库，过滤AbstractThe application of

8、 networks popularize rapidly along with the development of computer technology，networks become a necessary toll in peoples daily。Life，At same time，people pay more attention to the security and dependability of networks，Security means that the information in networks is not been worked，revealed and c

9、hanged。Dependability menas that the network clould run continuously and stably。The technology of capturing，monitoring and analyzing of network data is the basic of networks maintenance and the main means of network in break as well。So it is significative to research the technology of capturing monit

10、oring and analyzing of network data.This paper is focus on the technology capturing and analyzing of network data。Firstly，illuminate the actuality，theoretics and technology of security of network data and the real system today briefly，and emphasize the elements and advantage of Berkeley package filt

11、er(BPF) that aimed to capture and filter the data in network。Explain the developer library of network security。After the presentation of Libpcap that based on BPF，this article make a comparison between the NPF capture and filter engine and the BPF，and enumerate the variedly application of Winpcap in

12、 Windows system and show each advantage of these Subsequently，expatiate the principle and construction of Winpcap and the inside function of it as well。Summarize the layout and the configuration programs that aimed for the capturing and analyzing of network data。Bring out the method of design and re

13、alization of capturing and analyzing of network data and realize function by means of Winpcap programming。Finally,this paper forecast the technology of network data monitoring and analyzing in the future (e.g.in WLAN and switching net).Nowadays，the research of technology of capturing and analyzing o

14、f network data that based on Winpcap is keep for its open source，it is benefit not only evolution of this library but also to the affording of lastest solution for the network security problem.Key Words: package,capture,Library,Winpcap,Filter第1章 绪论1.1 网络数据安全问题随着网络技术的飞速发展和网络时代的到来，互联网的影响己经渗透到国民经济的各个领域

15、和人民生活的各个方面，全社会对网络的依赖程度越来越大，整个世界通过网络正在迅速地融为一体，但由于计算机网络具有联结形式多样性、终端分布不均匀性和网络的开放性、互联性等特征，致使网络易受黑客、恶意软件和其他不轨的攻击。广义来说，凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全所要研究的领域。网络安全涉及的内容既有技术方面的问题，也有管理方面的问题，两方面相互补充，缺一不可。技术方面主要侧重于防范外部非法用户的攻击，管理方面则侧重于内部人为因素的管理。如何更有效地保护重要的信息数据、提高计算机网络系统的安全性已经成为所有计算机网络应用必须考虑和必须解决的一个

16、重要问题。可以这样来定义网络数据安全:所谓网络数据安全，指的是网络系统的硬件、软件和数据信息能够、受到保护，不会因为偶然或恶意的原因而遭到破坏、更改、泄露，同时系统能够连续、可靠地运行，网络服务不被中断。但在现实中，绝对安全的网络是没有的。据IT界企业团体ITAA的调查显示，美国90%的IT企业对黑客攻击准备不足。目前美国75%一85%的网站都抵挡不住黑客的攻击，约有75%的企业网上信息失窃，其中25%的企业损失在25万美元以上。因此了解网络面临的各种威胁，防范和消除这些威胁，实现真正的网络安全己经成了网络发展中最重要的事情。1.2网络数据安全相关理论与技术1.2.1网络攻击的技术前提计算机网

17、络的核心是网络协议，所以研究协议与网络安全的关系就是至关重要的。现在网络中所使用的协议都是较早前设计的，许多协议的实现都是基于一种非常友好的、通信的双方充分信任的基础。在通常的网络环境之下，用户的信息包括口令都是以明文的方式在网上传输的，只要将网络接口设置成监听模式，便可以源源不断地将网上传输的信息截获，因此进行网络监听从而获得用户信息并不是一件困难的事情。例如，目前使用最广泛的TCP/IP协议就存在很多安全缺陷，而FTP、POP和Telnet协议在本质上也是不安全的，从而很多网络的攻击就是针对这些不安全协议进行的。1994年一个最大的嗅探器(Sniffer，网络数据监听器)攻击被发现，这次攻

18、击被人们普遍认为是记载中最为严重的一次，攻击者处于Rahul.Net，使许多以FTP、Telnet或远程登陆的主机系统都受到了危害。在这件事故中，嗅探器只运行了18个小时。在这段时间里，有几百台主机被泄密。受攻击者包括268个站点，如MIT、美国海军和空军、Sun微系统公司、IBM、NASA、CERFNet和加拿大、以色列、荷兰、比利时的一些大学的机器。另外，这些协议的安全验证方式也是有弱点的，就是很容易受到“中间服务器”方式的攻击。所谓“中间服务器”攻击方式，就是“中间服务器”冒充真正的服务器接收用户传给服务器的数据，然后再冒充用户把数据传给真正的服务器。服务器和用户之间的数据传送被“中间服

19、务器”转发并做了手脚之后，就会出现很严重的问题。据统计，目前网络攻击手段有数千种之多;美国商业杂志信息周刊公布的一项调查报告称，黑客攻击和病毒等安全问题在2000年就造成了上万亿美元的经济损失，在全球范围内每数秒钟就发生一起针对网络的不同形式的攻击事件。为了保证网络的安全，防止网络攻击，除了对信息采用加密技术之外，还有就是与网络协议相关的网络安全手段，例如防火墙技术、入侵监测技术、安全扫描技术、协议分析技术和数据包生成技术等。这些技术中，数据包的捕获和分析是最首要的手段，它是诸多网络安全技术实现的基础。1.2.2 数据包捕获1.2.2.1网络数据捕获原理由于目前用的最多的网络形式是以太网，在以

20、太网上，数据是以被称为帧的数据结构为单位进行交换的，而帧(数据包)是用被称为带碰撞检测的载波侦听多址访,CSMA/CD(carrier sense multiple access with collision detection)的方式发送的，在这种方法中，发送到指定地址的帧实际上是发送到所有计算机的，只是如果网卡检测到经过的数据不是发往自身的，简单忽略过去而已。正是这种基于CSM/CD的广播机制，这就给连接在网络上的计算机捕获来自于其他主机的数据带来了可能，即通过对网络接口的设置可以使网卡能够接收到所有经过该机器的数据，然后将这些数据做相应处理并实时分析这些数据的内容，进而分析网络当前状态和

21、整体布局。这里，通过设置硬路由器的监听端口来捕获数据包的方式不再本文讨论范围内。从广义的角度上看，一个包捕获机制包含三个主要部分:首先是最底层针对特定操作系统的包捕获机制，然后是最高层针对用户程序的接口，第三部分是包过滤机制。不同的操作系统实现的底层包捕获机制可能是不一样的，但从形式上看大同小异。数据包常规的传输路径依次为网卡、设备驱动层、数据链路层、IP层、传输层、最后到达应用程序。而包捕获机制是在数据链路层增加一个旁路处理，对发送和接收到的数据包做过滤/缓冲等相关处理，最后直接传递到应用程序。值得注意的是，包捕获机制并不影响操作系统对数据包的网络栈处理。对用户程序而言，包捕获机制提供了一个

22、统一的接口，使用户程序只需要简单的调用若干函数就能获得所期望的数据包。这样一来，针对特定操作系统的捕获机制对用户透明，使用户程序有比较好的可移植性。包过滤机制是对所捕获到的数据包根据用户的要求进行筛选，最终只把满足过滤条件的数据包传递给用户程序。1.2.2.2数据包捕获常用的方法 (1)UNIX类操作系统所提供的分组捕获机制主要有以下三种:l)数据链路提供者接口(DLPI)数据链路提供者接口(DLPI,Data LinkProvider Interfaee)定义了数据链路层向网络层的服务，网络层的高层协议，如TCP/IP协议就可以使用这个标准接口服务。2)Linux的SOCK-PACKET类型

23、套接口:3)伯克利数据包过滤器 BPF(Berkeley Paeket Filter)。对于windows系统(要求在window2000/xp以上)。要实现数据链路层上的数据捕获需要使用驱动程序。网络驱动程序接口规范函数库(NDIS函数库)为了方便用户对网络底层的操作，提供了许多相关函数。(2)基于windows的数据包捕获方案有以下几种:l)使用原始套接字 (rawsocket)机制。方法简单，但功能有限，只能捕获较高层的数据包。在创建了原始套接字后，需要通过setsockopt()函数来设置IP头操作选项，然后再通过bind()函数将原始套接字绑定到本地网卡。为了让原始套接字能接受所有的

24、数据，还需要通过ioctisocket()来进行设置，而且还可以指定是否亲自处理IP头。至此，实际就可以开始对网络数据包进行监听了，对数据包的获取仍象流式套接字或数据报套接字那样通过recvo函数来完成.但是与其他两种套接字不同的是，原始套接字此时捕获到的数据包并不仅仅是单纯的数据信息，而是包含有IP头、TCP头等信息头的最原始的数据信息，这些信息保留了它在网络传输时的原貌。通过对这些在低层传输的原始信息的分析可以得到有关网络的一些信息。由于这些数据经过了网络层和传输层的打包，因此需要根据其附加的帧头对数据包进行分析;2)直接连接调用NDIS库函数，这种方法功能非常强大，但是比较危险，很可能导

25、致系统崩溃和网络瘫痪;3)使用或者自行编写中间层驱动程序，这是微软公司推荐使用的一种方法，微软提供的win2000DDK中也提供了几个这样的驱动程序。在具体的实现方式上可分为用户级和内核级两类。其中内核级主要是TDI捕获过滤驱动程序，NDIS中间层捕获过滤驱动程序，NDIS捕获过滤钩子(Hook)驱动程序等，它们都是利用网络驱动来实现的;而用户级的包括SPI接口，Windows2000包捕获过滤接口等;(4)使用第三方捕获组件或者库，比如Winpcap。表1.1是包括了上述的捕包机制的常用包捕获机制表表1.1常用的包捕获机制 包捕获机制系统平台备注BPFBSD系列Berkeley Packet

26、 FilterDLPISolaris,HP-UX SCO Open severData Link Provider InterfaceNITSunOS 3Network Interface TapSNOOPIRIXNoneSNITSunOS 4Streams Network Interface TapSOCK-PACKETLinuxNoneLSF=Linux 2.1.75Linux Socket FilterDrainIRIX用于窃听系统丢弃的包实际的应用中，Libpcap(the Paeket eapture Library)是网络数据包捕获的代表，它是专门的跨平台的数据捕捉函数库，其捕获机

27、制就是BPF。Libpcap是应用于Linux系统的，而对于windows系统有相应的可兼容的Winpcap函数库。开发Winpcap的目的在于为win32应用程序提供访问网络底层的能力。Libpcap/Winpcap提供了以下的各项功能:(1)捕获原始数据包，包括在共享网络上各主机发送/接收的以及相互之间交换的数据包;(2)在数据包发往应用程序之前，按照自定义的规则将某些特殊的数据包过滤掉:(3)在网络上发送原始的数据包；(4)收集网络通信过程中的统计信息。Winpcap的主要功能在于独立于主机协议(如TCP/IP)而发送和接收原始数据包。也就是说，Winpcap不能阻塞、过滤或控制其他应用

28、程序数据的发收，它仅仅只是监听共享网络上传送的数据，本文后面的章节会对这种技术作详细的讨论。1.2.3数据包过滤与分解捕获数据包后要进行的工作是对其进行包过滤与分解，用通俗的语言表达就是在海量的数据里面找感兴趣的内容。不合理的过滤规则和程序会导致数据包丢失、来不及分析，严重的影响系统的工作效率，甚至导致系统崩溃一些基础的过滤规则如下:(1)站过滤:专门筛选出来自一台主机或者服务器的数据;(2)协议过滤:根据不同的协议来筛选数据，例如:选择TCP数据而非UDP数据;(3)服务过滤:根据端口号来选择特定数据包;(4)通用过滤:通过数据包中某一特定位置开始，选择具有某些共同数据特征的数据包;大部分情

29、况下，过滤规则是上面基本规则的组合。有时，为了保证用户设置的缓冲区被一些莫名其妙的无效数据溢出，必须在捕获前进行粗过滤，然后在捕获后再进行一次过滤。过滤完成后，为了使得缓冲区能处理的包更多，必须进行包分解(Slice)，因为数据包最关键的部分在数据包的头部。包分解时还要记住包的原始长度，包分解的原则是对捕获的包按照相应协议规定的数据结构来提取结构中每个字段的数据。BPF机制在这方面做的非常成功。1.2.4网络协议分析每一个网络数据包都是基于某一个网络协议产生的，所以分析网络数据包必定要分析其协议的内容。由于网络数据通信是要在相互公开协议的前提下对等进行的，所以对数据包进行协议的分析在原理上是可

30、行的。一般地，协议的分析过程是这样的:首先捕获数据包，再进行相应的过滤和分解，最后进行具体的协议分析。本文要研究的Libpcap和Winpcap不但能够捕获网络上的数据包，还由于其本身就是基于BPF包过滤机制的，所以它们同样具有数据包的过滤功能。具体地，由于网络具有051的7层协议模型，协议数据是从上到下封装后发送的，反过来，对于协议分析需要从下至上进行，首先对链路层的协议识别后进行组包还原，再脱去链路层协议头，接下去将里面的数据交给网络层分析，这样一直进行下经过传输层直到应用层。网络协议分析技术除了应用到对捕获的网络数据进行分析得到数据包的协议内容外，还可以应用到网络流量统计、网络监视、网络

31、入侵检测、网络安全扫描等，可见网络协议分析是网络数据捕获技术之后的各种网络安全策略的基础。1.3本课题研究意义有两类人对于流动在网络上的数据是非常感兴趣的:网络管理员和黑客，他们都要对网络上的以包为单位的数据流进行监测。事实上，一个好的数据包监测软件通常可以在网络管理和黑客技术的工具包中同时找到。黑客可以用数据包监测软件监听互联网，并且追踪一些敏感数据的交换如登录对话和财经交易;网络管理员可以用数据包监测软件监视网络的状态、查找网络漏洞，检测网络性能和修复网络的故障等。所以，研究网络数据的捕获和网络协议的分析不但能够有利于管理网络和维护网络的健康运转，更重要的还可以得知黑客对网络攻击的机理，有

32、针对地进行入侵检测，进而避免黑客的攻击破坏和对资料的窃取。1.4国内外研究有关现状1.4.1当今网络安全的研究从广义的网络安全角度来讲，近来国内外的研究主要集中在密码理论与技术、安全协议理论与技术、安全体系结构理论与技术等方面。密码理论与技术是现代信息安全的核心问题，其基础是可信信息系统的构建与评估主要包括两部分，即基于数学的密码理论与技术和非数学的密码理论与技术。自从1976年公钥密码的思想提出以来，国际上己经提出了许多种公钥密码体制，近年来又提出了许多新的密码体系，如基于数学的分组密码、序列密码、认证码、数字签名、Hash函数、身份识别、密钥管理、PKI技术等和基于非数学的信息隐形，量子密

33、码，基于生物特征的识别理论与技术等。数据捕获和协议分析只是网络安全中协议部分的一个分支，而且由于还不能完全抛开现有的正在广泛使用的不安全协议(如TCP/IP等)，所以对于当今网络的协议分析在一段时间内还是研究的课题。但是，现在已经部分使用和今后发展方向的是采用安全的协议。安全协议的研究主要包括两方面内容，即安全协议的安全性分析方法研究和各种实用安全协议的设计与分析研究。安全协议的安全性分析方法主要有两类，一类是攻击检验方法，一类是形式化分析方法，其中安全协议的形式化分析方法是安全协议研究中最关键的研究问题之一，它的研究始于80年代初，目前正处于百花齐放，充满活力的状态之中。许多一流大学和公司的

34、介入，使这一领域成为研究热点。随着各种有效方法及思想的不断涌现，这一领域在理论上正在走向成熟。目前，在这一领域中比较活跃的群体包括:以Meadows及Syverson为代表的美国空军研究实验室;以Roscoe为代表的英国Oxford学院;以Bolignano为代表的美国IBM公司;以J.Mitehell及M.Mitehell为代表的美国Stanford大学;以Stubblebine为代表的美国AT&T实验室;以Paulson为代表的英国cambridge学院;以Abadi为代表的美国数据设备公司系统研究中心等等。除了这些群体外，许多较有实力的计算机科学系及公司都有专业人员从事这一领域的研究。目

35、前，已经提出了大量的实用安全协议，代表的有:电子商务协议，IPSec协议，TLS协议，简单网络管理协议(SNMP)，PGP协议，PEM协议，S一HTTP协议，S/MIME协议等。实用安全协议的安全性分析特别是电子商务协议，IPSec协议，TLS协议是当前协议研究中的另一个热点。1.4.2现有的网络测试分析系统基于网络数据捕获和协议分析技术，可以应用成为广义上的协议分析仪(ProtocofAnalyzer)，之所以这样定义是因为有一些纯软件的，目的更侧重于网络数据捕获和侦听的协议分析系统又叫做嗅探器(Sniffer)，而基于硬件或软硬件结合的网络数据捕获和分析系统才叫协议分析仪。但在某些场合他们

36、的分界是模糊的，因为它们在功能上都能捕获并分析报文。实际上一些网管软件，和一些网络测试仪都使用了嗅探器技术。纯软件的嗅探器很多，有Tcpdump、Nmap、linuxsniffer、Dsniff、Ngrep、snifferpro/NetXray、甚至有专用于捕获用户名和密码的linsniffer、winsniffer。所以sniffer技术本身就是一把双刃剑，它们同时被网络管理员和黑客在熟练地使用，既可以作为网络故障的诊断工具，也可以作为黑客嗅探和监听的工具。大多数的纯软件协议分析仪是可以使用普通的网卡来完成进行简单的数据采集工作的，即协议分析软件+PC网卡。其典型的功能是数据包的捕捉、协议的

37、解码、统计分析和数据流量的产生。用协议分析仪可以捕捉网上的实际流量、提取流量的特征，据此对网络系统的流量进行模型化和特征化。此外，网络协议分析仪还可以主动地产生大量的数据包施加到网络上，分析网络的响应或对网络系统进行加重测试。目前典型的协议分析仪有HP公司的Intemet Advisor(网络专家系统)、Fluke(福禄克公司)的optiview一PE、WG公司的Domino系列协议分析仪，NAI公司出品的Network Associates Sniffer Portable等。但这类协议分析软件无论在协议的解码能力、解码和数据分析的实时性以及数据流量的产生能力上与用专门硬件实现的协议分析仪相

38、比仍有差距。另一种就是采用专用的数据采集硬件的协议分析仪，应用于复杂和高速的网络链路上，采用专用的数据采集箱有利于全线速地捕捉或更有效地进行实时数据过滤。还有一些比协议分析仪更高层次的网络性能测试工具，站在应用层的角度使用一些基准流量对网络系统的性能进行分析，代表性的软件是Ganymede software公司的Chariot软件。另外还有一类软件值得介绍，就是用于网络系统规划验证的网络系统模拟环境，国外己有一些这样的软件能对用典型的网络技术或它们的组合构建的较大型的网络系统进行模拟，但往往价格十分昂贵。从协议分析仪发展的角度来说，网络维护人员越来越需要使用功能强大并能将多种网络测试手段集于一

39、身的综合式测试分析手段，典型的协议分析仪上的功能延展就是加入网管功能、自动网络信息搜集功能、智能的专家故障诊断功能，并且移动性能要有效。这种综合的协议分析仪或者说是综合的网络分析仪成为了当今网络维护和测试仪的主要发展趋势，像Fluke的Opt View INA手持式综合协议分析仪自上市来在网络现场分析、故障诊断、网络维护方法得到了相当广泛的应用和发展随着网络维护规模的加大，网络技术的变化，网络关键数据的采集也越来越困难。有时为了分析和采集数据，必须能在异地同时地进行采集，于是将协议分析仪的数据采集系统独立开来，能安置在网络的不同地方，由能控制多个采集器的协议分析仪平台进行管理和数据处理，这种应

40、用模式就诞生了分布式协议分析仪。通常这种方式的造价会非常高的。1.5本文所做的工作本课题针对网络数据包的捕获和分析技术做了比较深入的阐述。在对当今网络数据捕获和分析的有关基本实现机理、方法和手段进行分析的基础上，通过详细地分析基于BPF的网络数据包捕获函数库Libpcap和winpcap的工作机理和内部架构，描述了网络数据包捕获和分析程序的层次结构，给出了具体的通过调用Winpcap来捕获和分析数据包的程序的设计与实现方法。对于今后网络数据的监测和分析方案(比如对无线网络和交换环境捕获和分析)，本文也在最后部分做了相应的阐述和预测。第2章 捕获基础及Libpcap介绍2.1网络的数据捕获的原理2.1.1网卡的工作模式以太网是一种总线型的网络，从逻辑上来看是由一条总线和多个连接在总线上的节点所组成，各个节点采用上面提到的CSM/CD议进行信道的争用和共享。每个节点通过网卡来实现这种功能。每一个在局域网(LAN)节点上的主机都有其硬件地址(MAC地址)，这些地址唯一地表示了