局域网的数据包监听及数据分析

摘? 要 本文主要阐述了目前网络安全的现状、缺陷、面临的威胁，提出了相应的防范措施，并介绍了网络的常用协议。然后又介绍了WINSOCK技术和监听原理，并对最广泛的监听工具sniffer做了简单的概述。基于当前网络很多威胁都是来自与自己电脑的漏洞与自己不能够清楚的察觉到自己电脑是否正在被侵犯，虽然防火墙可以提供帮助，但它不能对低层的东西显示给大家。本文主要研究的是对局域网的数据包监听并分析，采用WINSOCK技术实现的。在此工具中主要有监听和IP数据包分析2大主要功能，并能通过窗体清楚的显示出来。它使人们可以每时每刻观察到进入自己电脑的数据包，并能够观察到进行数据交流时对方的IP地址和所开放的端口号，及时对信息明朗化，预防黑客端口的监听。 关键词：网络安全? 监听工具? winsock技术? IP数据包? Vc++ 系统主要功能介绍 从5.2中可以看出如何截获数据包和如何对数据包进行分析是此系统的核心成分下面对这2个部分进行介绍： （1）截获数据包 在进行监听之前要先加载sock，如果没连接网上就会显示加载失败，不能进行监听。 这里需要说明的是加载sock，建立原始套节字，设置套节字选项和把网卡置于混杂模式获取IO操作的相关信息是引用的固定代码。具体流程如图5-2所示。 （2）IP数据包分析 先将截获到的数据包转为IP头结构，然后得到包中的协议，在对协议分析，得到源地址和目的地址，得到TTL，得到头长度，然后对其分析，判断出是TCP数据包，UDP数据包还是ICMP数据包，然后把判断的结果显示出来。 分解这环节甚为重要。TCP，UDP和ICMP每个的首部格式都不一样，不加以 区分会很浑浊。也会使使用者对所截获的数据包认识不深。此工具一个主要目的就是使截获的结果明朗化。 下面是IP包分解流程图。如图5-3所示:注意是在接受到数据包以后开始分析 为了让流程图直观些我把原本在得到包中协议就可以分出TCP，UDP和ICMP的部分放在了流程的末尾。 需要指出在将协议int转字符串存m_szProtocol的这部分，有一个存放数组的函数叫ProtoMap。