1、目錄1 引言11.1 開發背景11.2 開發意義12系統分析22.1 設計卞述22.1.1 實現目標22.1.2 開發環境22.2 開發相關技術簡介22.2.1 C#語言簡介22.2.2 嗅探技術簡介32.2.3 TCP/IP協議42.2.4 數據包簡介62.3 可行性分析83詳細設計91.1 設計原理91.2 功能說明121.3 系統實施121.4 系統測試144 論文總結195 參考文獻206致謝211.1 開發背景隨著各種新的網絡技術的不斷出現、應用和發展，計算機網絡的應用越來越廣泛，其作用也越來越重要。但是由于計算機系統中軟硬件的脆弱性和計算機網絡的脆弱性以及地理分布的位置、自然環境、

2、自然破壞以及人為因素的影響，不僅增加了信息存儲、處理的風險，也給信息傳送帶來了新的問題。計算機網絡安全問題越來越嚴重，網絡破壞所造成的損失越來越大。Internet的安全已經成為亟待解決的問題。多數黑客入侵成功并植入后門后的第一件事就是選擇一個合適當前網絡的嗅探器，以獲得更多的受侵者的信息。嗅探器是一種常用的收集有用數據的方法，可以作為分析網絡數據包的設備。網絡嗅探器就是利用計算機的網絡接口截獲其他計算機的數據報文的一種工具，而且它與一般的鍵盤捕獲程序不同。鍵盤捕獲程序捕獲在終端上輸入的鍵值，而嗅探器捕獲的則是真實的網絡報文.如果把網絡嗅探器放置于網絡節點處，對網絡中的數據幀進行捕獲的一種被動

3、監聽手段，是一種常用的收集有用數據的方法，可以分析各種信息包并描述出網絡的結構和使用的機器，由于它接收任何一個在同一網段上傳輸的數據包，所以也就存在著捕獲密碼、各種信息、秘密文檔等一些沒有加密的信息的可能性。這成為黑客們常用的擴大戰果的方法，用來奪取其他主機的控制權。當然嗅探器的正當用處主要是網絡管理人員分析網絡的流量，以便找出所關心的網絡中潛在的問題。例如，假設網絡的某一段運行得不是很好，報文的發送比較慢，而我們又不知道問題出在什么地方，此時就可以用嗅探器截獲網絡中的數據包，分析問題的所在。11.2 開發意義本次畢業設計是基于C#勺網絡嗅探器的設計與實現，由于本人能力上的限度，只是對抓取到的

4、本機在網絡中的通信數據，比如說協議類型，源、目的地址和端口、數據包的大小等加以分析，而無法做到像Sniffer或者影音神探那種成熟的嗅探器所擁有的強大功能。作為從事網絡技術方面的人員來說，要想有效地利用它、防范它，就得深入地學習、分析網絡嗅探技術。最為重要的是，對于網絡嗅探器的設計與實現，使我對網絡通信，數據傳輸和網絡信息安全等有了切身的體會與融入，同時也是對大學四年的學以致用，不斷提高自我的一種有效途徑。2系統分析2.1 設計概述基于C#勺網絡嗅探器的設計與實現，首先就是要設定好實現的目標，確定開發的環境。有個合理的設計目標使得在設計過程中不茫然，思路更清楚。而一個好的開發環境對提高開發的效

5、率同樣起著很重要的作用。2.1.1 實現目標實現一個簡單的網絡嗅探器。具備以下功能：1、實現一個簡潔的易操作的計算機操作用戶界面2、實現抓取數據包的功能3、實現暫停抓取數據包的功能4、實現清空列表的功能5、實現顯示數據包詳細信息的顯示功能2.1.2 開發環境MicrosoftVisualStudio2010,Windows72.2 開發相關技術簡介本節將對本設計中用到的一些主要技術進行簡單的介紹。2.2.1 C#語言簡介C#1微軟于2000年提出的一種源于C+、類似于Java的面向對象編程語言，適合于分布式環境中的組件開發。C#是專門為.NET設計的，也是.NET編程的首選語言。C#的產生是因

6、為微軟在.NET上需要一種類Java的語言，而Java本身卻不能勝任這一需求。C#太像C+T,以至于它很難給人帶來體驗新事物時白那種興奮。不過，絕大部分的C+加發者將會因為C#保留了C+鐘大部分其喜歡的、強大的、令人激動的功能而選擇使用它。C#通過避免一般的編程錯誤和自動資源管理，使得C#的穩定性得到了極大的增強。另外，C黜言功能強大且可以實現對象之間的轉換,輕松實現各種對象轉換成字符串。鑒于以上種種，我選用C#乍為我本次設計的開發語言。22.2.2 嗅探技術簡介數據在網絡上是以很小的稱為幀（Frame）的單位傳輸的，幀由幾部分組成，不同的部分執行不同的功能。幀通過特定的稱為網絡驅動程序的軟件

7、進行成型，然后通過網卡發送到網線上，通過網線到達它們的目的機器，在目的機器的一端執行相反的過程。接收端機器的以太網卡捕獲到這些幀，并告訴操作系統幀已到達，然后對其進行存儲。就是在這個傳輸和接收的過程中，存在安全方面的問題。每一個在局域網（LAN）上的工作站都有其硬件地址，這些地址惟一地表示了網絡上的機器（這一點與Internet地址系統比較相似）。當用戶發送一個數據包時，這些數據包就會發送到LAN上所有可用的機器。3圖示：一個簡單的局域網組成在一般情況下，網絡上所有的機器都可以“聽”到通過的流量，但對不屬于自己的數據包則不予響應（換句話說，工作站A不會捕獲屬于工作站B的數據，而是簡單地忽略這些

8、數據）。嗅探器工作在網絡的底層，在網絡上監聽數據包來獲取敏感信息。從原理上來說，在一個實際的系統中，數據的收發是由網卡來完成的，網卡接收到傳輸來的數據，網卡內的單片程序接收數據幀的目的MACM址，根據計算機上的網卡驅動程序設置的接收模式判斷該不該接收，認為該接收就接收后產生中斷信號通知CPU認為不該接收就丟掉不管，所以不該接收的數據網卡就截斷了，計算機根本就不知道。對于網卡來說一般有四種接收模式：a）廣播方式：該模式下的網卡能夠接收網絡中的廣播信息。b）組播方式：設置在該模式下的網卡能夠接收組播數據。c）直接方式：在這種模式下，只有目的網卡才能接收該數據。d）混雜模式：在這種模式下的網卡能夠接

9、收一切通過它的數據，而不管該數據是否是傳給它的。首先，在以太網中是基于廣播方式傳送數據的，也就是說，所有的物理信號都要經過我的機器。其次，如果某個工作站的網絡接口處于混雜模式，那么它就可以捕獲網絡上所有的數據包和幀。Sniffor程序是一種利用以太網的特性把網絡適配卡（NIC,一般為以太網卡）置為混雜模式狀態的工具，一旦網卡設置為這種模式，它就能接收傳輸在網絡上的每一個信息包，而不管該數據是否傳給它的。42.2.3 TCP/IP協議因特網是一個發展非常活躍的領域。在1968年，它的早期研究成果開始嶄露頭角，后來便出現了它的前身ARPANETARPANE的表現因特網特性的試驗平臺做出了重大貢獻，

10、1973年，因特網正式面世。從那時起，關于因特網的研究和努力就一直沒有間斷過，其中大部分努力都是圍繞著被稱為網絡的一個新型賽博空間所需要的標準而進行的。因特網協議及其標準與世界上任何其他事物的結構不同，它總是由一些機構或專業人士中的個人首先提出的。為了了解新的協議是如何出現并最終成為標準的，應該首先熟悉縮寫詞RFC即RequestforComment它的發展變遷過程要追溯到1969年，起因是由于因特網的成員過于分散。正如這個詞的字面意思所示，這些文檔是一些實用文檔、方法、測試結果、模型甚至完整的規范。因特網社會的成員可以閱讀，也可以把意見反饋給RFC如果這些想法（或基本原理）被社會接受，就有可

11、能成為標準。在因特網社會中關于RFC的用法（MO）以及如何操作并沒有太大的變化。1969年，當時只有一個網絡，整個社會不超過一百位專業人員；隨著因特網的飛速發展，因特網不但需要一個機構來集中和協調這些成果，并且需要制定一個最低要求的準則，至少能在成員之間進行有效的通信并取得相互了解。1974年前后，擺在ARPANE面前的形勢很清晰了，通信聯絡需要進一步擴展，它需要的不僅是要能容納成倍增加的通信媒體，而且要了解早已存在于群組中的許多領域的意義。這個領域需要一個管理者。大約在1977年，隨著作為因特網實驗備忘錄（IEN）一部分的許多實驗的進行，著名的TCP/IP協議獲得了發展的動力。沒過多久（19

12、86年），為了RFC討論的需要，需要建立一個由工程技術人員組成的、對標準的發展負責的工作機構，以便有效地引導因特網的發展成長，這樣，因特網工程工作組（INENG成立了。今天，因特網工程部（IETF）和因特網研究部（TRTFF成為對因特網近期工程需求和遠期研究目標負責、并擔負重任的兩個工作組。這兩個組織曾直接隸屬于國際網絡執行委員會（IAB）,現在屬于因特網協會（1992年成立），這個協會最終也是為因特網技術的發展負責的。但是，如果你是一個因特網上的常客，可能對縮略詞IAB并不滿意，的確，在IAB的逐步發展并走向成熟過程中，IAB將它的名字改為"InternetArchitecture

13、Board"（由“Activities"改為"Architecture”），因為IAB在因特網發展的運作方面并沒起多大作用。談到RFC標準，那么首先考慮到的應該是RFC733如果有關于標準的想法或對因特網有益的新技術，可以把它作為RFC提交給因特網社會。作為IAB成員之一的RFC編輯，決定著RFC的發表，對任一正式文檔，RFCtB有一種確定的風格和格式。5現今因特網上用到的主要協議有：用戶數據報協議（UDP,次要文件傳輸協議（TFTP）,網際協議（IP）,因特網控制報文協議（ICMP）,傳輸控制協議（TCP）,地址轉換協議（ARP）,虛終端協議（Telnet）,反

14、向地址轉換協議（RARP）,外部網關協議（EGP）版本2,引導協議（BootP）,路由信息協議（RIP）,距離向量多播路由協議（DVMRP）下面對其中的4個協議做一些簡單的介紹：IP:網際協議IP是TCP/IP的心臟，也是網絡層中最重要的協議。IP層接收由更低層（網絡接口層例如以太網設備驅動程序）發來的數據包，并把該數據包發送到更高層-TCP或UDP層；相反，IP層也把從TCP或UDP層接收來的數據包傳送到更低層。IP數據包是不可靠的，因為IP并沒有做任何事情來確認數據包是按順序發送的或者沒有被破壞。IP數據包中含有發送它的主機的地址（源地址）和接收它的主機的地址（目的地址）。高層的TCP和U

15、DP!艮務在接收數據包時，通常假設包中的源地址是有效的。也可以這樣說，IP地址形成了許多服務的認證基礎，這些服務相信數據包是從一個有效的主機發送來的。IP確認包含一個選項，叫作IPsourcerouting,可以用來指定一條源地址和目的地址之間的直接路徑。對于一些TCP和UDP的服務來說，使用了該選項的IP包好象是從路徑上的最后一個系統傳遞過來的，而不是來自于它的真實地點。這個選項是為了測試而存在的，說明了它可以被用來欺騙系統來進行平常是被禁止的連接。那么，許多依靠IP源地址做確認的服務將產生問題并且會被非法入侵。TCP:如果IP數據包中有已經封好的TCP數據包，那么IP將把它們向上傳送到TC

16、P層。TCP將包排序并進行錯誤檢查，同日實現虛電路間的連接。TCP數據包中包括序號和確認，所以未按照順序收到的包可以被排序，而損壞的包可以被重傳。TCP將它的信息送到更高層的應用程序，例如Telnet的服務程序和客戶程序。應用程序輪流將信息送回TCP層，TCP層便將它們向下傳送到IP層，設備驅動程序和物理介質，最后到接收方。面向連接的服務（例如Telnet、FTRrlogin、XWindows和SMTP需要高度的可靠性，所以它們使用了TCPDNS某些情況下使用TCP（發送和接收域名數據庫），但使用UDP專送有關單個主機的信息。UDP:UDP與TCP位于同一層，但對于數據包的順序錯誤或重發。因此

17、，UDP不被應用于那些使用虛電路的面向連接的服務，UDP主要用于那些面向查詢-應答的服務，例如NFS相對于FTP或Telnet,這些服務需要交換的信息量較小。使用UDP的服務包括NTP（網落時間協議）和DNS（DNS也使用TCP）。欺騙UD咆比欺騙TCP包更容易，因為UD臉有建立初始化連接（也可以稱為握手）（因為在兩個系統間沒有虛電路），也就是說，與UDP相關的服務面臨著更大的危險。ICMP:ICMP與IP位于同一層，它被用來傳送IP的的控制信息。它主要是用來提供有關通向目的地址的路徑信息。ICMP的Redirect'信息通知主機通向其他系統的更準確的路徑，而Unreachable&#

18、39;信息則指出路徑有問題。另外，如果路徑不可用了，ICMP可以使TCP連接體面地終止。PING是最常用的基于ICMP的服務。62.2.4 數據包簡介“包”（Packet）是TCP/IP協議通信傳輸中的數據單位，一般也稱“數據包”。有人說，局域網中傳輸的不是“幀"（Frame）嗎？沒錯，但是TCP/IP協議是工作在OSI模型第三層（網絡層）、第四層（傳輸層）上的，而幀是工作在第二層（數據鏈路層）。上一層的內容由下一層的內容來傳輸，所以在局域網中，“包”是包含在“幀”里的。OSI（OpenSystemInterconnection,開放系統互聯）模型是由國際標準化組織（ISO）定義的標

19、準，它定義了一種分層體系結構，在其中的每一層定義了針對不同通信級別的協議。OSI模型有5層，1到5層分別是：物理層、數據鏈路層、網絡層、傳輸層、應用層。OSI模型在邏輯上可分為兩個部分：低層的1至3層關注的是原始數據的傳輸；高層的4至5層關注的是網絡下的應用程序。我們可以用一個形象一些的例子對數據包的概念加以說明：我們在郵局郵寄產品時，雖然產品本身帶有自己的包裝盒，但是在郵寄的時候只用產品原包裝盒來包裝顯然是不行的。必須把內裝產品的包裝盒放到一個郵局指定的專用紙箱里，這樣才能夠郵寄。這里，產品包裝盒相當于數據包，里面放著的產品相當于可用的數據，而專用紙箱就相當于幀，且一個幀中只有一個數據包。“

20、包”聽起來非常抽象，那么是不是不可見的呢？通過一定技術手段，是可以感知到數據包的存在的。比如在Windows2000Server中，把鼠標移動到任務欄右下角的網卡圖標上（網卡需要接好雙絞線、連入網絡），就可以看到“發送：xx包，收到：xx包”的提示。（詳見下圖）通過數據包捕獲軟件，也可以將數據包捕獲并加以分析。就是用網絡嗅探器捕獲數據包，可以查看捕獲到的數據包的MACM址、IP地址、協議類型端口號等細節。通過分析這些數據，網管員就可以知道網絡中到底有什么樣的數據包在活動了。數據包的結構非常復雜，不是三言兩語能夠說清的，在這里主要了解一下它的關鍵構成就可以了，這對于理解TCP/IP協議的通信原理

21、是非常重要的。數據包主要由“目的IP地址”、“源IP地址”、“凈載數據”等部分構成。數據包的結構與我們平常寫信非常類似，目的IP地址是說明這個數據包是要發給誰的，相當于收信人地址；源IP地址是說明這個數據包是發自哪里的，相當于發信人地址；而凈載數據相當于信件的內容。正是因為數據包具有這樣的結構，安裝了TCP/IP協議的計算機之間才能相互通信。我們在使用基于TCP/IP協議的網絡時，網絡中其實傳遞的就是數據包。比如說當你上網打開網頁，這個簡單的動作，就是你先發送數據包給網站，它接收到了之后，根據彳發送的數據包的IP地址，返回給你網頁的數據包，也就是說，網頁的瀏覽，實際上就是數據包的交換。理解數據

22、包，對于網絡管理的網絡安全具有至關重要的意義。2.3可行性分析可行性研究(FeasibilityStudy)是通過對項目的主要內容和配套條件，如市場需求、資源供應、建設規模、工藝路線、設備選型、環境影響、資金籌措、盈利能力等，從技術、經濟、工程等方面進行調查研究和分析比較，并對項目建成以后可能取得的財務、經濟效益及社會環境影響進行預測，從而提出該項目是否值得投資和如何進行建設的咨詢意見，為項目決策提供依據的一種綜合性的系統分析方法。可行性研究應具有預見性、公正性、可靠性、科學性的特點。7當然這次論文的可行性研究并沒有上述的如此意義重大，只是理清整個系統分析和設計的大致過程，也就是在較高層次上以

23、較抽象的方式進行的系統分析和設計的過程。它的目的不是解決問題，而是確定問題是否值得去解決。當然在現階段這樣的信息安全背景下，網絡嗅探器的研究與使用的價值是毋庸置疑的。不僅可以有效地診斷網絡狀況，更可以為信息安全戰打攻堅戰。163詳細設計3.1設計原理嗅探器是如何工作的？如何竊聽網絡上的信息？網絡的一個特點就是數據總是在流動中，從一處到另外一處，而互聯網是由錯綜復雜的各種網絡交匯而成的，也就是說：當你的數據從網絡的一臺電腦到另一臺電腦的時候，通常會經過大量不同的網絡設備，（我們用tracert命令就可以看到這種路徑是如何進行的）。如果傳輸過程中，有人看到了傳輸中的數據，那么問題就出現了一一這就好

24、比我們用手機給人發了一條短信，結果除了發送對象以外，還發到別人的手機上了一樣，這樣說或許還不是很可怕，要是傳送的數據是企業的機密文件呢，或是用戶的信用卡帳號和密碼呢？網嗅探偵聽主要有兩種途徑，一種是將偵聽工具軟件放到網絡連接的設備或者放到可以控制網絡連接設備的電腦上，（比如網關服務器，路由器）那一當然要實現這樣的效果可能也需要通過其他黑客技術來實現：比如通過木馬方式將嗅探器發給某個網絡管理員，使其不自覺的為攻擊者進行了安裝。另外一種是針對不安全的局域網（采用交換HUB現），放到個人電腦上就可以實現對整個局域網的偵聽，這里的原理是這樣的：共享HU瞰得一個子網內需要接收的數據時，并不是直接發送到指

25、定主機，而是通過廣播方式發送到每個電腦，對于處于接受者地位的電腦就會處理該數據，而其他非接受者的電腦就會過濾這些數據，這些操作與電腦操作者無關，是系統自動完成的，但是電腦操作者如果有意的話，就可以將那些原本不屬于他的數據打開，這就是安全隱患！以太網的數據傳輸是基于“共享”原理的：所有的同一本地網范圍內的計算機共同接收到相同的數據包。這意味著計算機直接的通訊都是透明可見的。正是因為這樣的原因，以太網卡都構造了硬件的“過濾器”。這個過濾器將忽略掉一切和自己無關的網絡信息。事實上是忽略掉了與自身MACfe址不符合的信息。嗅探程序正是利用了這個特點，它主動的關閉了這個過濾器，也就是前面提到的設置網卡“

26、混雜模式”。因此，嗅探程序就能夠接收到整個以太網內的網絡數據了信息了。9什么是以太網的MACM址（MACMediaAccessControl）,由于大量的計算機在以太網內“共享“數據流，所以必須有一個統一的辦法用來區分傳遞給不同計算機的數據流的。這種問題不會發生在撥號用戶身上，因為計算機會假定一切數據都由你發送給MODEM然后通過電話線傳送出去。可是，當你發送數據到以太網上的時候，你必須弄清楚，哪臺計算機是你發送數據的對象。的確，現在有大量的雙向通訊程序出現了，看上去，他們好像只會在兩臺機器內交換信息，可是你要明白，以太網的信息是共享的，其他用戶，其實一樣接收到了你發送的數據，只不過是被過濾器

27、給忽略掉了。10舉例一下，很多的小型局域網計算機用戶都為實現文件和打印共享，安裝了“NetBEUI”因為它不是基于TCP/IP協議的，所以來自于網絡的黑客一樣無法得知他們的設備情況。基于Raw協議，傳輸和接收都在以太網里起著支配作用。你不能直接發送一個Raw數據給以太網，你必須先做一些事情，讓以太網能夠理解你的意思。這有點類似于發短信的方法，你不可能直接把一條短信直接發送出去，你還要輸入對方的手機號碼才可以發送，同樣的網絡上的傳輸數據也是一個道理。11以下是一個幫助我們理解數據傳送的簡單圖示：/.Internet.'+用戶A-路由用戶B+A+/+嗅探器+用戶AIP地址：192.168.

28、1.10用戶BIP地址：現在知道用戶A要于用戶B進行計算機通訊，用戶A需要為0到用戶B的通訊建立一個IP包。這個IP包在網絡上傳輸，它必須能夠穿透路由器。因此，用戶A必須首先提交這個包給路由器。由每個路由器考查目地IP地址然后決定傳送路徑。用戶A所知道的只是本地與路由連接和用戶B的IP地址。用戶A并不清楚網絡的結構情況和路由走向。用戶A必須告訴路由器準備發送數據包的情況，以太網數據傳輸結構大概是這樣的：+-+-+-+-+-+-+目標MAC+-+-+-+-+-+-+源MAC+-+-+-+-+-+-+0x0800IP包+-+-+-+

29、-+CRC校驗+-+-+-+-+理解一下這個結構，用戶A的計算機建立了一個數據包假設它由100個字節的長度（假設一下，20個字節是IP信息，20個字節是TCP信息，還有60個字節為傳送的數據）。現在把這個數據包發送給以太網，放14個字節在目的MACM址之前，源MACM址還要置一個0x0800的標記，他指示出了TCP/IP棧后的數據結構。同時，也附加了4個字節用于做CRC校驗（CRO驗用來檢查傳輸數據的正確性）。現在發送數據到網絡，所有在局域網內的計算機通過適配器都能夠發現這個數據包，其中也包括路由適配器，嗅探器和其他一些機器。通常，適配器都具有一塊芯片用來做結構比較的，檢查結構中的目地MAC&

30、amp;址和自己的MAC&址，如果不相同，則適配器會丟棄這個結構。這個操作會由硬件來完成，所以，對于計算機內的程序來說，整個過程時毫無察覺的。當路由器的以太網適配器發現這個結構后，它會讀取網絡信息，并且去掉前14個字節，跟蹤4個字節。查找0x0800標記，然后對這個結構進行處理（它將根據網絡狀況推測出下一個最快路由節點，從而最快傳送數據到預定的目標地址）。設想，只有路由機器能夠檢查這個結構，并且所有其他的機器都忽略這個結構，則嗅探器無論如何也無法檢測到這個結構的。MACM址的格式是什么？以太網卡的MACM址是一組48比特的數字，這48比特分為兩個部分組成，前面的24比特用于表示以太網卡

31、的廠商ID,后面的24比特是一組序列號，是由廠商進行分派的，就像我們身份證上的號碼一樣具有全球唯一性。這樣可以擔保沒有任何兩塊網卡的MAC地址是相同的（當然可以通過特殊的方法實現）。如果出現相同的地址，將發生問題，所有這一點是非常重要的。這24比特被稱之為OUI（OrganizationallyUniqueIdentifier）。可是，OUI的真實長度只有22比特，還有兩個比特用于其他：一個比特用來校驗是否是廣播或者多播地址，另一個比特用來分配本地執行地址（一些網絡允許管理員針對具體情況再分配MAC%址）。舉個例子，你的MACM址在網絡中表示為030000000001。第一個字節所包含的值二進

32、制表示方法為00000011。可以看到，最后兩個比特都被置為真值。他指定了一個多播模式，向所有的計算機進行廣播，使用了“NetBEUI”協議（一般的，在Windows計算機的網絡中，文件共享傳輸等是不使用TCP/IP協議的）。123.2功能說明本次論文我們只對抓取到的本機在網絡中的通信數據（如協議類型，源、目的地址和端口、數據包的大小等）加以分析，實現一個簡單的網絡嗅探器。一個窗體顯示主頁面，另一個頁面顯示詳細的包信息。詳細信息頁面，我們顯示一下信息：開始時間：嗅探器抓取數據包的時間；源端口：源目的IP地址+端口號；目的端口：目的IP地址+端口號；協議類型：只分析一下常見的類型，如ICMP,I

33、GMP,IP,TCP,UDP;版本信息：協議的版本；生存時間：數據包的生命周期；報頭大小：報文報首部大小；報文總長：整個數據報的大小；優先級別：提供七個級別，分別是Routine=0,Priority=1.Immediate=2,Flash=3,FlashOverride=4,CRITICECP=5,InternetworkControl=6,NetworkControl=7延遲：NormalDelay=0、LowDelay=1;吞吐量：NormalThroughput=0,HighThroughput=1;_13可罪性：NormalReliability=0,HighReliability=

34、1;3.3 系統實施(1) MicrosoftVisualStudio2005中新建項目Windows應用程序PackerMonitor。(2)添加窗體文件和類文件，分別命名PacketForm.cs、PacketMonitorForm.cs和Packet.cs、PacketMonitor.cs。PacketForm.cs實現主頁面，PacketMonitorForm.cs實現詳細信息頁面。14(3)編碼，詳細的代碼如源程序。當使用C#系統類提供的接口取到數據包的bite流時，對流的初始化處理如下：publicPacket(byteraw,DateTimetime)if(raw=null)th

35、rownewArgumentNullException();if(raw.Length<20)thrownewArgumentException();m_Raw=raw;m_Time=time;m_Version=(raw0&0xF0)>>4;m_HeaderLength=(raw0&0x0F)*4;if(raw0&0x0F)<5)thrownewArgumentException();/無效的報頭m_Precedence=(Precedence)(raw1&0xE0)>>5);m_Delay=(Delay)(raw1&

36、;0x10)>>4);m_Throughput=(Throughput)(raw1&0x8)>>3);m_Reliability=(Reliability)(raw1&0x4)>>2);m_TotalLength=raw2*256+raw3;if(m_TotalLength!=raw.Length)thrownewArgumentException();/無效的數據包大小m_Identification=raw4*256+raw5;m_TimeToLive=raw8;if(Enum.IsDefined(typeof(Protocol),(in

37、t)raw9)m_Protocol=(Protocol)raw9;elsem_Protocol=Protocol.Other;m_Checksum=newbyte2;m_Checksum0=raw11;m_Checksum1=raw10;m_SourceAddress=newIPAddress(BitConverter.ToUInt32(raw,12);m_DestinationAddress=newIPAddress(BitConverter.ToUInt32(raw,16);if(m_Protocol=Protocol.Tcp|m_Protocol=Protocol.Udp)m_Sourc

38、ePort=rawm_HeaderLength*256+rawm_HeaderLength+1;m_DestinationPort=rawm_HeaderLength+2*256+rawm_HeaderLength+3;elsem_SourcePort=-1;m_DestinationPort=-1;嚴3.4 系統測試網絡嗅探器運行后的界面如下:點擊綠色按鈕，開始抓取以太網中與本機通信的IP數據包；點擊紅色按鈕，停止監聽。抓取到的信息如下圖：網絡嗖1,器文件（B闔四目開始時間協議類型源端口目的端口大小定010-57520:2927Udp2201S9127107:532201附691456.茹靖

39、二'猾密海27Tcp122.227.15,60:00220.189.B9,145:20490010-5-152O:2S27Tcp0:002201&9.6914520492010-5-1520:2927Tcp22276.76.8:30224220.16969145SO2010-5-1520:2923Tcp222.T676.8:302242201啊6914sSO2010-5-1520:2929Top222.76TS.6：30224220.169.G9145802010-5-1520:2929Tcp40:1038220169691451

40、0272010-5-1520:2929Tcp114.93.15S.14E;103822010969.145102T2016-5-1520:2932Icmp220.131.1,12Q220.IS9.69.1452010-5-1520:2932Tcp111T3,20.176:34930220r附69,1451M72010-51520:2932Tcp12133.1T2.1143T77220.1696914510272010-5-1520:2932Tcp111T3,20.178:34930220即，69145：0272010-5-1S20:2933Tep121.33,1T2,114:3777220.1

41、89.69145IQZT2010-5-1320:2933Tcp122.242169238.2201696914510272010-5-1520:2935Tcp122242.169.238:.2201B969,14510272Q10-5-15£0:2936Tcp122.22T,15,60：®0220,109.69.145:20492010-5-1520:2936Tcp222T6.76.83022422016469.145-602010-5-1520:2936Tcp11732.216.79:1470200.IM.6914510272010-5-1S20:2936Udp6L139

42、.219,222:80220.1G9.69145SO2010-5-1520:293TTcp220.131,19,129:80162201即，69145：IQ642010-5-1520:2937Ten9:14702206914510271480|停止監測從圖中可以看出，抓到的有UD啖據報，TCP數據報，ICMP數據報。鼠標雙擊列表行,分別得到詳細的報文信息。UDP議詳細的報文信息:E. . ii.ii. <.工.口也 k0/ELL5”1 府：口口 sdl. 360 safe. comA.P r, 5,., ai . ah- IbA. A=f.ZA. <A-&#

43、39;.a.ns4AoA0s.nsMoAOs3. . nsAoAo.3. r . . nslAoA . . . VA . Av. VAn. A . .r r 4, , 1bp /id , .-.it1.£ _u .u o 14 4 &6S3 0 20,0 01-0 0 0-000F16CSOOO8OOOOOO- T83SI56OOQFOQQOOQ D A 3 o 1- 7 7 D o 1 2 A 6 8 4 B33C722L00097 8& C5-715-00 800 0 00 0 0- DFOOO-OOFOOOCCCC BECOCOOO12OO3434 o F G

44、o o o o- o o .3 3 1 1 1 1 4E4145OOOOOD-B6EE E5&O&OOOOOCC*V8FF 1S3 0 211120012 2 E-E 1ETOQOOOO3 3 3CCEE CO3OB-OOOOOO3DDCC 300 0 0-00 OOCCTDDT7 OE4DO112-O-O3E44 4 4 OAO6QOOO3S3 6OOOOODOFBOO 000330 0 00OFO&EOOO-CC7OOOOO00M016100 DE 03 BE 73 32Fg It 00 06 02 6EQU QU FS ID QQ 56 00 01 00 00 0

45、2 乳00 01 OO 00 02 14 00 01 00 00 06 3400 01 0。 00 02 AD.留您h藏在信息類型值滸界的司司通七二謳，加，登好；端d220.189.12T107:53目的端口45:64942物謖類型Vdp生存時間60版本信息4報頭大小20報文總長2S2優先別Routine延遲吞吐量NormalThroughput可靠性UormalRwliat*ility鑒定7022校疆和0BE4TCP協議詳細的報文信息:信息類型I值:才始時間加1卡并蔓百說q至不：遇端口122.2£7.15.60:30目的端口220.1S969.1452049

46、協謖類型Tcp生存時間59版本信息4報頭大小2a報文總長40憂先緩別Routine延遲NormalDel&y吞吐量Hornallhroughput可靠性NormalReliabillty鑒定730B校驗和E2744500002S1E8040O03E0674E27AEg(JJ3CE(.口值一；，遙(:ECBE45外0050QS01E53D2EIFQ5225820UEU.P.U=.,5010FFFFE4760000P,不，17ICMP協議詳細的報文信息:21強息信息類型 由罪時問 涯端口 目的端口 協謖類型 生存時間 版本信息 報頭大小 報文總長 優先級別 延遲 吞吐量 可靠性 零定 校驗

47、和"SOlC-lSEC:29:3229220.199.69145Icmp5742058工nHrnetworldCantrolNoealDelyKarmallhraughputHarmalR«li&bility11144FS4245Di：SVLVCOBE32343A005。2E猶000303OFTA11D400OAAP00CT34口。DC4F0142F6DCB513$1QQ。口M450000IEBE4591DCB513t4BEA:+.9BoOkOkeO,E.YD.2,OEQOli,口I.P.4OK4論文總結網絡嗅探器是一把雙刃劍，網絡安全管理人員利用它可保障網絡暢通，防范網絡被攻擊，以達到維護網絡安全的目的，但是到了入侵者手中，嗅探器成了捕獲網絡傳輸的機密、敏感數據的厲害武器。所以，作為網絡安全管理人員，應該在技術上把握優勢，揮舞這把雙刃劍，在與入侵者的斗爭中取得勝利。單純的嗅探器的功能始終是局限的，例如無法穿過交換機、路由器，所以在大多數的情況下，嗅探器往往和其他手段結合起來使用，嗅探器和spoof（欺騙）以及其他技術手段結合在一起對網絡構成的危害是巨大的。例如結合AR