毕业设计(论文)核心层网络封包截获技术应用.doc
《毕业设计(论文)核心层网络封包截获技术应用.doc》由会员分享,可在线阅读,更多相关《毕业设计(论文)核心层网络封包截获技术应用.doc(29页珍藏版)》请在三一办公上搜索。
1、核心层网络封包截获技术应用学生姓名XXX院系名称计算机科学学院专业名称XXXXX班 级200X级 X班学 号XXXXXXXXX指导教师XXX完成时间20XX年 5 月 XX 日核心层网络封包截获技术应用学生:XXX 指导教师:XXX内容摘要:随着网络安全问题的日益突出,计算机用户对网络安全技术及其相关产品也越来越关注。在众多的网络安全技术中,核心层封包截获技术有着非常重要的地位,它是包过滤防火墙的基础,并且被广泛的用于封包过滤、协议转换、截取报文分析以及网络嗅探等技术中。因此,本文就核心层网络封包截获技术进行了探究。首先,本文对目前该技术的国内外现状进行了说明,以明确进行研究的目的。随后,详尽
2、地对核心层网络封包截获技术的实现原理作了讲述,在讲述原理时主要介绍了一下几个方面的内容:分层服务提供者(LSP)的相关概念、原理和用途;核心层网络驱动和NDIS网络驱动程序;核心层网络封包截获技术的实现。通过对原理的说明,使读者了解实现这项技术的具体方法。最后,为了实现这项技术并对前面提出的原理进行验证设计了相关的软件,本文对这个软件作了系统分析和系统设计,最终并实现了该软件。通过测试,证明了其具有在核心层截获封包,在应用层分析封包的功能,也验证了本文所探讨的原理的正确性和重要性。关键词:网络安全 核心层 封包截获The Technoloty of Packet Interception in
3、 Kernel LayersAbstract: Because the network security problems have gone from bad to worse, computer users begin to notice network security technology and network security products. Among all kinds of security technologies, the technology of packet interception in kernel layer is very important for i
4、t is the basis for packet filter firewall and it is widely used in packet filtering, protocol conversion, interception of message analysis and network sniffering. Therefor, I devote myself to studying on the technology of the packet interception in kernel layer.In this article, firstly, the present
5、situation of this technolony is described to tell reader why I study on it. Secondly, principles of packet interception are told about in detail.In this detailed description part, the concept of the LSP ,the theory of the LSP and the usage of LSP are introduced in more detail. Whats more, I also exp
6、lain many aspects of the network drivers in kenel layer and tell reader how to implement the interception.Thus, reader can understand the technology of packet interception in kernel layer accurately. Finally, to implement and check out the technology I have discussed, I compile the software named Ne
7、tFilter which is analyzed and designed systematically in this article. By testing , the software can intercept packets in kenel layer and analyze packet in application layer.Key words:network security kernel layer packet interception目录1概述11.1研究目的和意义11.2研究背景21.2.1国内现状21.2.2国外现状21.3主要贡献31.4文章的结构42预备知识
8、及原理说明42.1分层服务提供者(LSP)42.1.1分层服务提供者(LSP)的概念42.1.2分层服务提供者(LSP)的原理42.1.3分层服务提供者(LSP)的用途用户级封包截获52.2核心层网络驱动和NDIS网络驱动程序52.2.1核心层(Kernel Mode)概述52.2.2核心层网络驱动62.2.3 NDIS网络驱动程序62.3核心层网络封包截获技术72.3.1Windows网络系统体系结构82.3.2用户模式下的网络数据过滤92.3.3内核模式下的网络数据过滤102.3.4应用层封包截获与核心层封包截获113 NetFilter系统分析113.1需求分析113.2功能说明123.
9、2.1网络访问监视123.2.2应用层过滤规则123.2.3核心层过滤规则133.2.4系统设置134 NetFilter系统设计134.1系统总体设计134.1.1系统的工作流程134.1.2系统的功能模块144.2系统详细设计144.2.1系统关键类154.2.2系统重要数据结构154.2.3系统重要模块详细设计165. NetFilter系统实现175.1开发平台175.1.1 Windows Server 2003 DDK185.1.2 DbgView185.1.3 Micosoft Visual C+ 6.0185.1.4 Micosoft Visual Visio 2003185.
10、2模块实现185.2.1 SYS模块185.2.2添加应用层规则196 NetFilter系统测试与运行206.1 测试206.1.1单元测试206.1.2 功能测试216.1.3 系统综合测试216.2 系统运行217 结束语238 致谢23参考文献24核心层网络封包截获技术应用1概述1.1研究目的和意义 随着网络的普及,安全问题正在威胁着每一个网络用户。由于黑客攻击和信息泄露等安全问题并不像病毒直截了当地对系统进行破坏,而是故意隐藏自己的行动,所以往往不能引起人们的重视。但是,一旦网络安全问题发生,通常会带来严重的后果。因此,利用网络安全技术及产品来加强安全意识,并及早防范是非常必要的。在
11、网络安全技术中,核心层网络封包截获技术有着很重要的作用。1、核心层网络封包截获技术是包过滤防火墙的技术基础。包过滤防火墙是PC机上使用的主流防火墙, 核心层包过滤技术为之提供设置规则表,按照规则表检查数据包并对其施行相关动作(如放行,拒绝等)。2、核心层网络封包截获技术应用于协议转换。当网络类型不同(比如以太网、令牌环),彼此不认识对方的帧格式,单纯依靠数据链路层协议无法实现两个网络的相互连接。因此这个问题需在网络层上进行解决:方法是在不同的网络类型中分别设置两个网关,网关需要核心层封包过滤技术的支持,获取封包以后在转化为相应的协议。3、核心层网络封包截获技术用作包过滤器。按照不同的参数设置,
12、如IP地址段,地址掩码等。这一项技术的核心同样需要核心层封包技术的支持。4、核心层网络封包截获技术应用于截取报文分析。在网络层截获数据包,并对其进行源地址、源端口以及内容的分析。5、核心层网络封包截获技术应用于网络嗅探技术。嗅探(Sniffer)技术是网络安全攻防技术中很重要的一种。对黑客来说,通过嗅探技术能以非常隐蔽的方式攫取网络中的大量敏感信息,与主动扫描相比,嗅探行为更难被察觉,也更容易操作。对安全管理人员来说,借助嗅探技术,可以对网络活动进行实时监控,并进行发现各种网络攻击行为。6、核心层网络封包截获技术应用于个人网络安全工具。根据管理者设置的安全规则把守网络,提供访问控制,信息过滤等
13、功能,帮助用户抵挡网络入侵和攻击,防止信息泄露。总的来所,核心层网络封包截获技术有着相当大的应用前景。它在技术上对很多网络安全技术提供支持;同时,也是许多商业网络安全产品中必要的知识。当我们掌握了这项技术了后,开发防火墙,嗅探器等安全软件就会变得容易。所以我们有必要学习和探究这项技术。1.2研究背景1.2.1国内现状在国内的产品中使用这项技术的有很多的例子,例如我们耳熟能详的“360安全卫士”、以及“瑞星”、“江民”等杀毒软件中提供的“实时监控系统”都无一例外的采用了这项技术。因为他们都需要实时的监控网络的情况,实时的对应用服务进行监控。对我来说,印象最深刻的是“360安全卫士”的实时保护功能
14、。它提供了琳琅满目的各种防火墙,比如“漏洞防火墙”、“系统防火墙”、“木马防火墙”、“网页防火墙”、“U盘防火墙”以及“ARP防火墙”等。让我对奇虎公司的专注精神尤为佩服。若我们撇开以上各个防火墙的具体功能,把注意力放在实现方法上,发现其中哪一个也离不开“核心层网络封包截获技术”的支持。因为这些防火墙中大多数采用的监控方法是:当数据包从网络到达NIC后,继而截取分析包,最后判断这个应用是否是危险的;或者根据服务调用下层驱动时,通过在驱动上添加截获分析功能了解你的服务是否是合法的。图 1 360安全卫士实时监控图使用过“360安全卫士”的用户,对图1的提示框应该不会陌生,它提示您现在Google
15、的更新软件正在工作(装入服务),询问您允许它工作还是阻止它工作。这是比较典型的利用这项技术进行网络安全防范的例子。1.2.2国外现状国外产品中使用“核心层网络封包截获技术”的最好的例子是Network General 公司的Sniffer这款软件,中文名字是嗅探器。首先了解Sniffer的基本功能:1、网络安全的保障与维护 (1)对异常的网络攻击的实时发现与告警; (2)对高速网络的捕获与侦听; (3)全面分析与解码网络传输的内容;2、面向网络链路运行情况的监测 (1)各种网络链路的运行情况; (2)各种网络链路的流量及阻塞情况; (3)网上各种协议的使用情况; (4)网络协议自动发现; (5
16、)网络故障监测;3、面向网络上应用情况的监测 (1)任意网段应用流量、流向; (2)任意服务器应用流量、流向; (3)任意工作站应用流量、流向; (4)典型应用程序响应时间; (5)不同网络协议所占带宽比例; (6)不同应用流量、流向的分布情况及拓扑结构;Sniffer是嗅探器中的重要产品,除了这三种基本功能外,它还有很多独特而专业的功能,Sniffer是网络分析产品中的首选工具。除了Sniffer外,国外种类繁杂的包过滤防火墙产品也都相应的有核心层网络封包截获技术的支持,所以我们有必要了解和学习这一技术为以后的网络安全学习打下基础。总之,纵观国内外的产品,这项技术不乏有相当成功的事例;可在国
17、内,我们还没有这方面知识的完备描述和相关资料。这让一个初次接触网络编程的学生感到很困难,不仅是由于对网络编程体系知识的不了解,其次资料的匮乏也是一个重要的原因;另外,不容忽视的一点,这项技术涉及到Windows驱动程序的开发,这使包括我在内的很多初学者都很茫然,一度不知道何从下手,因为驱动程序开发需要大量经验的积累和调试,若出意外,小者系统死机,系统崩溃也是常发生的事情。所以本文尽自己最大的努力学习和研究了这项技术,希望提升自己,也希望有同样需求的人士可以参考与指正。1.3主要贡献 本文就核心层网络封包截获技术进行了探究。首先,本文对目前该技术的国内外现状进行了说明,以明确进行研究的目的。随后
18、,详尽地对核心层网络封包截获技术的实现原理作了讲述,在讲述原理时主要介绍了一下几个方面的内容:分层服务提供者(LSP)的相关概念、原理和用途;核心层网络驱动和NDIS网络驱动程序;核心层网络封包截获技术的实现。通过对原理的说明,使读者了解实现这项技术的具体方法。最后,为了实现这项技术并对前面提出的原理进行验证设计了相关的软件,本文对这个软件作了系统分析和系统设计,最终并实现了该软件。通过测试,证明了其具有在核心层截获封包,在应用层分析封包的功能。1.4文章的结构本文共为八个主要部分:第一部分是概述,这部分主要说明了核心层网络封包截获技术研究的必要性和重要性,主要从市场和技术两个角度说明为什么进
19、行这项研究。第二部分是研究前必要的预备知识和原理说明,在研究这项技术前我们必须有一些预备知识,才能更好的理解和讨论这项技术。第三部分是NetFilter系统分析,主要使用层次方框图等说明本系统包括的主要功能。第四部分是系统设计,说明了系统的工作流程和代码的主要组成部分。并通过系统关键类和主要数据结构来说明系统的详细设计。第五部分是系统实现,主要通过程序流程图对本系统的几个主要的功能模块的实现进行详细的说明。第六部分是系统测试与运行,说明该系统开发在这些方面所做的工作。第七部分是总结篇,对该系统进行了综述性的评述,并提出了系统可能存在的不足及解决方案。最后是本文所参考的各种有价值的资料列表。2预
20、备知识及原理说明在研究“核心层网络封包截获技术应用”时,有必要了解一些预备知识,用以更好的理解核心层封包截获的原理和实现过程。这些预备知识包括“分层服务提供者”,“核心层网络驱动”和“NDIS网络驱动程序”等。2.1分层服务提供者(LSP)2.1.1分层服务提供者(LSP)的概念LSP的全称是Layered Service Provider ,中文名为“分层服务提供程序”。 简而言之,LSP就是TCP/IP协议等的接口。LSP为应用程序提供建立连接,传输数据,流量控制,出错控制等相关的服务。LSP本身是DLL,使用之前将其安装在Winsock目录中。以便创建套接字的应用程序不必知道此LSP的任
21、何细节就能调用它。2.1.2分层服务提供者(LSP)的原理用户在创建套接字时,套接字创建函数(如socket)会在Winsock目录中寻找合适的协议,然后调用此协议的提供者导出函数完成各种用户需要的功能。如果将自己编写的LSP安装在Winsock目录中,让用户调用编者的服务提供者,再由编者的服务提供者调用下层提供者。这样一来,便可以截获所有的Winsock调用了。Ws2_32.dll基础服务提供者LSP1LSP2SPISPISPIAPI图 2 LSP原理图LSP导出一些与Winsock API相对应的函数,如WSPStartUp,WSPSentTo等。如图2所示。Winsock库加载服务提供者
22、之后,便是依靠调用这些函数来实现相关的Winsock API(如WSASocket等)的。2.1.3分层服务提供者(LSP)的用途用户级封包截获LSP是实现用户级数据封包截获的有力工具,它可以用来编写监视系统网络通讯情况的Sniffer(嗅探器);在生活中,我们看见LSP最常用的用途是“浏览器劫持”。 在封包截获技术上,根据所有与网络交换的信息都必须通过LSP这个原理,从而使它可以监视使用者的信息。当然,除了LSP这种方法可以实现用户级封包截获技术外,还有Windows 2000/XP封包过滤接口也支持这项功能,然而由于Windows 2000/XP封包过滤接口的限制太多,本文便采用了LSP的
23、方法实现用户级封包截获。2.2核心层网络驱动和NDIS网络驱动程序2.2.1核心层(Kernel Mode)概述有许多功能在用户模式(User Mode)下是实现不了的,如原始MAC数据的发送和诊断,这个时候我们必须开发核心层的驱动,也称为内核模式下的驱动来解决问题。Ring0层Ring3层用户模式内核模式图 3 CPU特权层和操作系统用户模式、内核模式关系图CPU特权层和操作系统用户模式、内核模式的关系如图3所示,Ring0的特权最高,也就是说可以执行任意的代码,而Ring3特权最低,只能执行有限的代码。Windows将内核模式运行在CPU的Ring0层,而将用户模式运行在CPU的Ring3
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 毕业设计 论文 核心 网络 封包 截获 技术 应用
![提示](https://www.31ppt.com/images/bang_tan.gif)
链接地址:https://www.31ppt.com/p-2401969.html