《毕业论文 系统分析及设计报告》由会员分享,可在线阅读,更多相关《毕业论文 系统分析及设计报告(20页珍藏版)》请在金锄头文库上搜索。
1、ARP包解析软件的设计与实现系统分析及设计报告1. 系统分析随着网络技术的飞速发展和网络时代的到来,互联网的影响己经渗透到国民 经济的各个领域和人民生活的各个方面,全社会对网络的依赖程度越来越大,整 个世界通过网络正在迅速地融为一体,但由于计算机网络具有联结形式多样性、 终端分布不均匀性和网络的开放性、互联性等特征,致使网络易受黑客、恶意软 件和其他不轨的攻击。广义来说,凡是涉及到网络上信息的保密性、完整性、可 用性、真实性和可控性的相关技术和理论都是网络安全所要研究的领域。网络安 全涉及的内容既有技术方面的问题,也有管理方面的问题,两方面相互补充,缺 一不可。技术方面主要侧重于防范外部非法用
2、户的攻击,管理方面则侧重于内部 人为因素的管理。如何更有效地保护重要的信息数据、提高计算机网络系统的安 全性已经成为所有计算机网络应用必须考虑和必须解决的一个重要问题。可以这样来定义网络数据安全:所谓网络数据安全,指的是网络系统的硬件、 软件和数据信息能够受到保护,不会因为偶然或恶意的原因而遭到破坏、更改、 泄露,同时系统能够连续、可靠地运行,网络服务不被中断。但在现实中,绝对 安全的网络是没有的。据IT界企业团体ITAA的调查显示,美国80%的IT企业 对黑客攻击准备不足。目前美国75% 85%的网站都抵挡不住黑客的攻击,约有75%的企业网上 信息失窃,其中25%的企业损失在25万美元以上。
3、因此了解网络面临的各种 威胁,防范和消除这些威胁,实现真正的网络安全己经成了网络发展中最重要的 事情。网络互连一般采用TCP/IP协议,而TCP/IP协议是一个工业标准的协议簇, 在该协议簇制订之初,没有过多考虑其安全性,所以协议中存在很多的安全漏 洞,致使网络极易受到黑客的攻击。ARP协议作为TCP/IP协议簇中的一员,同 样也存在着安全漏洞,利用ARP协议漏洞进行网络监听是黑客的攻击手段之一。 因此有必要了解黑客的这种攻击手段,并提高自己的安全意识,积极采取有效的 安全策略来保障网络的安全性。由于ARP协议是无状态的,主机可以随时发出请求,而且在没有请求的时 候也可以作出应答,所以ARP协
4、议是网络攻击者最偏向于利用的网络底层协议。 通过伪造IP地址和MAC地址实现ARP欺骗,能够在网络中产生大量的ARP 通信量使网络阻塞,还可以对局域网上的机器进行攻击,甚至使整个局域网陷于 瘫痪。ARP包解析软件就是通过封装发送一个ARP数据包来获得以知IP地址所 对应的MAC地址,还可以捕获和分析ARP数据包从而了解网络运行状况。所 以深入研究ARP数据包的封装、发送、捕获与解析对网络管理具有重要意义。本文主要对ARP的原理,ARP包的封装、发送、捕获与解析的工作原理经 行了详细的说明。讨论了 ARP包的封装和捕获技术在Windows 下的实现,并主 要论述了如何在Win32环境中利用Win
5、pcap开发包开发ARP包的封装发送、捕 获与解析程序,并给出了具体的设计与实现方法。1.1相关理论与技术概述1.1.1 ARP协议概述ARP (Address Resolution Protocol,地址解析协议)它工作在数据 链路层,在本层和硬件接口联系,同时对上层提供服务。IP数据包常通过以太网发送,以太网设备并不识别32位IP地址,它 们是以48位以太网地址传输以太网数据包。因此,必须把IP目的地址转换 成以太网目的地址。在以太网中,一个主机要和另一个主机进行直接通信, 必须要知道目标主机的MAC地址。但这个目标MAC地址是如何获得的呢? 它就是通过地址解析协议获得的。ARP协议用于将
6、网络中的IP地址解析为 的硬件地址(MAC地址),以保证通信的顺利进行。1.1.1.1 ARP报头结构ARP的报头结构,如图1.1所示。硬件类型协议类型硬件地址长度协议地址长度操作类型发送方的硬件地址(0 3字节)源物理地址(4 5)字节)源IP地址(01字节)源IP地址(2 3字节)目标硬件地址(01字节)目标硬件地址(2 5字节)目标IP地址(0 3字节)图1.1 ARP/RARP报头结构 硬件类型字段:指明了发送方想知道的硬件接口类型,以太网的值为1; 协议类型字段:指明了发送方提供的高层协议类型,IP为0800(16进制); 硬件地址长度和协议长度:指明了硬件地址和高层协议地址的长度,
7、这样 ARP报文就可以在任意硬件和任意协议的网络中使用;操作字段:用来表示这个报文的类型,ARP请求为1,ARP响应为2, RARP 请求为3,RARP响应为4;发送方的硬件地址(0-3字节):源主机硬件地址的前3个字节; 发送方的硬件地址(4-5字节):源主机硬件地址的后3个字节; 发送方IP(0-1字节):源主机硬件地址的前2个字节; 发送方IP(2-3字节):源主机硬件地址的后2个字节;目的硬件地址(0-1字节):目的主机硬件地址的前2个字节;目的硬件地址(2-5字节):目的主机硬件地址的后4个字节; 目的IP(0-3字节):目的主机的IP地址。1.1.1.2 ARP的工作原理ARP的工
8、作原理如下:1. 首先,每台主机都会在自己的ARP缓冲区(ARP Cache)中建立一 个ARP列表,以表示IP地址和MAC地址的对应关系。2. 当源主机需要将一个数据包要发送到目的主机时,会首先检查自 己ARP列表中是否存在该IP地址对应的MAC地址,如果有 ,就直接将数据包发送到这个MAC地址;如果没有,就向本地 网段发起一个ARP请求的广播包,查询此目的主机对应的MAC 地址。此ARP请求数据包里包括源主机的IP地址、硬件地址、 以及目的主机的IP地址。3. 网络中所有的主机收到这个ARP请求后,会检查数据包中的目 的IP是否和自己的IP地址一致。如果不相同就忽略此数据包; 如果相同,该
9、主机首先将发送端的MAC地址和IP地址添加到 自己的ARP列表中,如果ARP表中已经存在该IP的信息,则 将其覆盖,然后给源主机发送一个ARP响应数据包,告诉对方 自己是它需要查找的MAC地址;4. 源主机收到这个ARP响应数据包后,将得到的目的主机的IP地 址和MAC地址添加到自己的ARP列表中,并利用此信息开始 数据的传输。如果源主机一直没有收到ARP响应数据包,表示ARP查询失败。1.1.2 ARP工作原理实例设主机 A(IP 地址:192.168.1.1,MAC 地址(网卡地址):111111111111和 B(IP地址:192.168.1.2,MAC地址(网卡地址):22222222
10、2222),当主机 A想与 主机B进 行通讯时,A只知道B的IP地址是192.168.1.2,当数据包封装 到MAC层时他如何知道B的MAC地址呢,一般的OS中是这样做的,在OS 的内存中保存有一份MAC地址表(如下图1.2用命令arp-a可以看见这个表 的内容),表中有IP和MAC地址的对应关系,当要过进行数据通讯时,系统 先查看这个表中是否有相关的表项,如果有就直接使用,如果没有系统就会发 出一个ARP请求包,这个包是目的地址为fffffffff的广播地址,他的作用就 是询问局域网内IP地址为192.168.1.2的主机的MAC地址,就像是A在局 域网中喊”我在找一个IP地址为192.16
11、8.1.2的主机,你的MAC地址是多 少,听到了请回话!,我的MAC地址是11111111111”,随后所有主机都会接 收到这个ARP请求数据包,但只有IP为192.168.1.2的B才会响应一个 ARP应答包给主机A,他说”我就是IP地址为192.168.1.2的主机,我的MAC 地址是222222222222 “这样主机A就知道B的MAC地址了,于时他就可 以封包发送了,同时主机A将B的MAC地址放入ARP缓冲中,隔一定时 间就将其删除,确保不断更新。图1.2 ARP缓存表1.1.3网络数据包捕获原理以太网(Ethernet)具有共享介质的特征,信息是以明文的形式在网络 上传输,当网络适配
12、器设置为监听模式(混杂模式,Promiscuous)时,由于 采用以太网广播信道争用的方式,使得监听系统与正常通信的网络能够并联 连接,并可以捕获任何一个在同一冲突域上传输的数据包。IEEE802.3标准 的以太网采用的是持续CSMA的方式,正是由于以太网采用这种广播信道争 用的方式,使得各个站点可以获得其他站点发送的数据。运用这一原理使信 息捕获系统能够拦截的我们所要的信息,这是捕获数据包的物理基础。以太网是一种总线型的网络,从逻辑上来看是由一条总线和多个连接在 总线上的站点所组成各个站点采用上面提到的CSMA/CD协议进行信道的争 用和共享。每个站点(这里特指计算机通过的接口卡)网卡来实现
13、这种功能。 网卡主要的工作是完成对于总线当前状态的探测,确定是否进行数据的传送, 判断每个物理数据帧目的地是否为本站地址,如果不匹配,则说明不是发送 到本站的而将它丢弃。如果是的话,接收该数据帧,进行物理数据帧的CRC校 验,然后将数据帧提交给LLC子层。网卡具有如下的几种工作模式:1. 广播模式(Broad Cast Model):它的物理地址(MAC)地址是0Xffffff 的帧为广播帧,工作在广播模式的网卡接收广播帧。2. 多播传送(MultiCast Model):多播传送地址作为目的物理地址的帧 可以被组内的其它主机同时接收,而组外主机却接收不到。但是,如果将网 卡设置为多播传送模式
14、,它可以接收所有的多播传送帧,而不论它是不是组 内成员。3. 接模式(Direct Model):工作在直接模式下的网卡只接收目地址是自 己Mac地址的帧。4. 混杂模式(Promiscuous Model):工作在混杂模式下的网卡接收所有 的流过网卡的帧,信包捕获程序就是在这种模式下运行的。网卡的缺省工作模式包含广播模式和直接模式,即它只接收广播帧和发 给自己的帧。如果采用混杂模式,一个站点的网卡将接受同一网络内所有站 点所发送的数据包这样就可以到达对于网络信息监视捕获的目的。2. 数据包捕获机制数据包捕获机制大体可分为两类,一类是由操作系统内核提供的捕获机制,主要有:BSD (BERKEL
15、EYPACKETFILTER)系统中的 BPF 机制,SVR4 中的 DLPI(DATALINKPROVIDERINTERFACE)和 LINUX 中的 SOCK_PACKET 类型套接字;另一类由应用软件或系统开发包通过安装包捕获驱动程序提供的 捕获机制,这一类要用于WIN32平台下的开发,WINPCAP(WINDOWSPACKETCAPTURE)就是这类的驱动开发包,开发WINPCAP的目的就是为了补充WINDOWS中未内置于操作系统中的分组 捕 获机制,为WIN32应用程序提供访问网络底层的能力。2.1 SOCK_PACKET类型套接字LINUX系统提SOCK_PACKET来访问数据链路
16、层,使用SOCKET.它使 得用户进程可以直接从数据链路层取得数据包。由于没有系统内核缓 冲区及系 统内核过滤器,这就意味着大量的数据包要拷贝到用户空间后再做处理,效率 较低。2.2 DLPI(数据链路供应接口 DATA LINK PROVISIONINTERFACE)UNIXSVR4系统提供DLPI来访问数据链路层。这是一个独立于协议的接 口,它使得数据链路服务的使用者能够直接访问数据链路层,如获取数据链路 层的状态、接收和发送数据链路层的原始帧,而不需要知道数据链路层本身的 协议。DLPI定义了一组在数据链路服务的使用者和提供者之间进行交互所需的 流消息集合、状态表以及相应的约定。DLPI定义了数据 链路服务的使用者和 提供者之间交换的原语的集合以及原语的使用规则。主要有2个分:PFMOD 一 主要用于在数据流进入
