基于Windows封包截获的实现

引言
1.1 课题意义
随着网络安全问题日益严重，网络安全产品也被人们重视起来。内部的信息很容易暴露给Internet上的其它计算机，一旦受到攻击，计算机便没有能力来抵抗，保密信息有可能会被盗取，甚至连整台计算机上的数据都有可能被破坏掉，很容易造成无法晚会的损失。而基于Windows封包截获是放置在外部网络与计算机之间的一个隔离设备，它可以识别并屏蔽非法请求，有效防止跨越权限的数据访问。基于Windows封包截获将局域网的安全性统一到它本身，这就降低了计算机遭遇外部攻击的风险。
目前，网络安全产品可以说是百花齐放，迅猛发展。随着网络向各个领域的扩展，网络安全的重要性也日益被人们所认知。ICP提供商担心网站被攻击，因为这种事情发生得太频繁；使用网上交易的用户担心帐户密码被盗，因为窃取密码的工具比比皆是；软件公司担心源代码泄露。种种现象都表明网络安全越来越重要，这种事情随时都可能发生在我们自己身上。这也正是网络安全快速发展的原因。
由此可见，基于Windows封包截获的意义是非常重大的，在互连网已广泛普及的现代社会，一台接入互连网的计算机上不安装防火墙是不可想象的。
1.2 课题综述
1.2.1国内外发展情况
全球网络安全市场规模及发展趋势iResearch 统计2004 年全球网络安全产品市场规模已经达到了158.4 亿元，iResearch预测，未来几年全球网络安全市场的规模将会由2001 年的71.8 亿美元上升到2007 年的341.5 亿美元，其中中小企业采购所占的份额将会越来越高。

think58.com

[版权所有：http://think58.com]

中国网络安全市场规模及预测据iResearch 统计，2004 年中国网络安全市场总体收入达29.6 亿元人民币，而由于中国网络安全政策、企业需求等因素的影响，中国网络安全市场在未来一到两年内将会出现持续、平稳增长，到2007 年整个网络安全市场容量将会接近70 亿元人民币。
图1-1 中国网络安全市场规模及预测 [资料来源：www.THINK58.com]

1.2.2网络安全技术介绍
数据加密技术是最基本的网络安全技术，被誉为信息安全的核心，最初主要用于保证数据在存储和传输过程中的保密性。它通过变换和置换等各种方法将被保护信息置换成密文，然后再进行信息的存储或传输，即使加密信息在存储或者传输过程为非授权人员所获得，也可以保证这些信息不为其认知，从而达到保护信息的目的。该方法的保密性直接取决于所采用的密码算法和密钥长度。
包过滤的主要功能是接收被保护网络和外部网络之间的数据包，根据访问控制策略对数据包进行过滤，只准许授权的数据包通行。
应用层网关位于TCP/IP协议的应用层，实现对用户身份的验证，接收被保护网络和外部之间的数据流并对之进行检查。在防火墙技术中，应用层网关通常由代理服务器来实现。通过代理服务器访问Internet网络服务的内部网络用户时，在访问Internet之前首先应登录到代理服务器，代理服务器对该用户进行身份验证检查，决定其是否允许访问Internet，如果验证通过，用户就可以登录到Internet上的远程服务器。同样，从Internet到内部网络的数据流也由代理服务器代为接收，在检查之后再发送到相应的用户。由于代理服务器工作于Internet应用层，因此对不同的Internet服务应有相应的代理服务器，常见的代理服务器有Web、Ftp、Telnet代理等。 [来源：http://think58.com]
网络安全扫描技术是为使系统管理员能够及时了解系统中存在的安全漏洞，并采取相应防范措施，从而降低系统的安全风险而发展起来的一种安全技术。利用安全扫描技术，可以对局域网络、Web站点、主机操作系统、系统服务以及防火墙系统的安全漏洞进行扫描，系统管理员可以了解在运行的网络系统中存在的不安全的网络服务，在操作系统上存在的可能导致遭受缓冲区溢出攻击或者拒绝服务攻击的安全漏洞，还可以检测主机系统中是否被安装了窃听程序，防火墙系统是否存在安全漏洞和配置错误。
网络入侵检测技术也叫网络实时监控技术，它通过硬件或软件对网络上的数据流进行实时检查，并与系统中的入侵特征数据库进行比较，一旦发现有被攻击的迹象，立刻根据用户所定义的动作做出反应，如切断网络连接，或通知防火墙系统对访问控制策略进行调整，将入侵的数据包过滤掉等。
黑客诱骗技术是近期发展起来的一种网络安全技术，通过一个由网络安全专家精心设置的特殊系统来引诱黑客，并对黑客进行跟踪和记录。这种黑客诱骗系统通常也称为****（Honeypot）系统，其最重要的功能是特殊设置的对于系统中所有操作的监视和记录，网络安全专家通过精心的伪装使得黑客在进入到目标系统后，仍不知晓自己所有的行为已处于系统的监视之中。

2 关键技术
2.1 技术介绍
2.1.1 MFC介绍
近年来，利用Internet 进行网际间通讯, 在WWW 浏览、FTP、Gopher 这些 常规服务，以及在网络电话、 多媒体会议等这些对实时性要求严格的应用中成 为研究的热点，而且已经是必需的了。Windows 环境下进行通讯程序设计的最基 本方法是应用Windows Sockets 实现进程间的通讯，为此微软提供了大量基于Windows Sockets 的通讯API，如WinSock API、WinInet API和ISAPI，并一直 致力于开发更快、更容易的通讯API，将其和MFC集成在一起以使通讯编程越来 越容易。
MFC是VC 编程环境最重要的组成部分，它为用户提供了一大批预先定义的 类和成员函数，封装了大量的Windows API。同时VC 环境提供了与MFC 对象和 代码一起工作的专用工具：AppStudio 源程序编辑器、AppWizard 和Class Wizard。应用MFC，可以使Windows 程序员用较少的时间和精力开发出复杂的通讯应用程序。 本文来自think58

2.1.2 数据包
包的构造有点像洋葱，它是由各层连接的协议组成的。在每一层，包都由包头与包体两部分组成。在包头中存放与这一层相关的协议信息，在包体中存放包在这一层的数据信息。这些数据也包含了上层的全部信息。在每一层上对包的处理将从上层获取的全部信息作为包体，然后依本层的协议在加上包头。这种对包的层次性操作（每一层均加上一个包头）一般称为封装。
在应用层，包头含有需被传送的数据。当构成下一层（传输层）的包时，传输控制协议（TCP）或用户数据报协议（UDP）从应用层将数据全部取来，然后在加装上本层的包头。当构筑再下一层（网间网层）的包时，IP协议将上层的包头与包体全部当做本层的包体，然后再加装上本层的包头。在构筑最后一层（网络接口层）的包时，以太网或其它网络协议将IP层的整个包作为包体，再加上本层的包头，在数据包过滤系统看来，包的最重要信息是各层依次加上的包头。
2.2 可行性分析
采用Filter-Hook Driver的新型网络驱动
在WINDOWS 2000 DDK中，微软包含了称为Filter-Hook Driver的新型网络驱动。可以使用它来过滤所有进出接口的数据。
实际上，Filter-Hook Driver并不是网络驱动，它是一种内核模式驱动(Kernel Mode Driver)。

think58.com [资料来源：www.THINK58.com]

这种方法可以过滤所有IP层（或以上）的通讯，但不能过滤更低层的头部数据，比如以太帧数据。
这是一种简单的方法。安装防火墙和执行过滤功能非常简单。但包过滤API(Packet Filtering API)更加容易使用，尽管它缺少弹性，例如不能处理包的内容，不能用包过滤API修改内容。

think58.com

[资料来源：www.THINK58.com]

[资料来源：THINK58.com]