络管理以及蜜罐技术等，无论是研究这些技术的模型还是成熟的 应用系统，它们的设计和实现都离不开些网络安全操作，其中些操作是很基本的，使用 频繁的，而且很多都是底层操作，如网络地址的操作网络接口操作数据包的捕获数据 包的构造数据包的发送等。

还有些操作比较复杂，如流量统计路由的管理缓存 的配置防火墙的管理和配置等。

这些操作都会在开发模型或应用程序系统时屡屡碰到， 为了简化编程，提高程序开发效率，人们开发了系列关于这些操作的专用网络安全开发 包。

在开发过程中，只需简单调用它们，就能实现相关操作，从而降低成本，节省时间和精 力。

网络安全开发包是指用于网络安全研究和开发的些专业开发函数库，它的主要作用 是实现网络安全研究和开发的基本功能，为研究者和开发者进步研究和开发网络安全 提供编程接口，使网络开发人员能够忽略网络底层细节的实现，从而专注于程序本身具体 的设计和开发。

是平台下个专业网络数据包捕获开发 包，实质上是个系统独立的函数接口，用于用户层次的数据包截获工作。

它为底层 网络监控编程提供了个易于移植的应用框架，这些底层网络应用包括网络数据收集安 全监控和网络调试等。

洛仑兹伯克利国家实验室 编写这些函数库的最初目的就是为了统不同系统上所提供的用于数据 包截获的不同类型接口，并使得类似的高层应用程序的编写和移植工作变得简单有效，不 再需要对每的基本功能，同时也是最重要的操作。

在捕获数据包的 时候，驱动程序例如使用个网络接口监视着数据包，并将这些数据包完 整无缺地投递给用户级应用程序。

的捕获数据包主要依靠数据包过滤器 和循环缓冲区两个组件。

此外还有和数据统计引擎。

毕业设计论文 题目网络封包嗅探器设计 学生姓名学号 专业计算机科学与技术班级 指导教师 评阅教师 完成日期年月日 学位论文原创性声明 本人郑重声明所呈交的论文是本人在导师的指导下独立进行研究所取得的研究成 果。

除了文中特别加以标注引用的内容外，本论文不包含任何其他个人或集体已经发表或 撰写的成果作品。

本人完全意识到本声明的法律后果由本人承担。

作者签名年月日 学位论文版权使用授权书 本学位论文作者完全了解学校有关保障使用学位论文的规定，同意学校保留并向有 关学位论文管理部门或机构送交论文的复印件和电子版，允许论文被查阅和借阅。

本人授 权省级优秀学士学位论文评选机构将本学位论文的全部或部分内容编入有关数据库进行 检索，可以采用影印缩印或扫描等复制手段保存和汇编本学位论文。

本学位论文属于 保密，在年解密后适用本授权书。

不保密。

请在以上相应方框内打 作者签名年月日 导师签名年月日 目录 摘要„„„„„„„„„„„„„„„„„„„„„„„„„„„„ 前言„„„„„„„„„„„„„„„„„„生袁超 指导教师覃颖 三峡大学电气信息学院 摘要本文介绍以为开发平台，使用为开发工具，设计了个网络 嗅探器。

是环境下的链路层网络访问的工业标准工具，它可以使应用 程序绕过操作系统的协议栈去捕获和传输网络数据包，因此目前被广泛应用。

本设计通过 调用库函数捕获网络上的数据包，然后对数据包进行协议解码，从而可以实现 实时监听网络的目的。

关键词嗅探器数据包捕获 ， 前言 随着网络技术的飞速发展，计算机网络的发展给计算机产业和整个人类的工作生活 方式带来了巨大的变化，特别是信息技术的发展使个信息缺乏的时代进入了个信息爆 炸的时代，世界也由于而变小。

人们通过各种技术，工具使得交流突破了空间的 限制。

全球范围内的网络互联给人们的生活和工作带来了方便，人们正享受网络技术带给 我们美好生活。

但同时些不法分子利用网络的漏洞非法入侵他人的主机系统，有的利用 网络盗取他人个人信息，如网上银行帐号密码等，对他人财产安全造成了重大威胁。

据有 关资料统计我国每年通过计算网络进行违法行为以的速度上升。

面对计算机犯罪越来 越多的趋势，及网络上日益泛滥的信息„„„„„„„„„„ 课题概述„„„„„„„„„„„„„„„„„„„„„„„„„„ 以太网络工作特点„„„„„„„„„„„„„„„„„„„„ 网络嗅探原理„„„„„„„„„„„„„„„„„„„„„„ 平台下数据包捕获机制„„„„„„„„„„„„„„„„ 开发包„„„„„„„„„„„„„„„„„„„„„„„„ 简介„„„„„„„„„„„„„„„„„„„„„„„ 组成„„„„„„„„„„„„„„„„„„„„„„„ 基本原理„„„„„„„„„„„„„„„„„„„„„ 数据结构„„„„„„„„„„„„„„„„„„„„„ 函数„„„„„„„„„„„„„„„„„„„„„„„ 基于网络嗅探器设计与实现„„„„„„„„„„„„ 获取网卡信息模块„„„„„„„„„„„„„„„„„„„„ 打开网络设备模块„„„„„„„„„„„„„„„„„„„„ 数据过滤模块„„„„„„„„„„„„„„„„„„„„„ 数据包捕获与分析模块„„„„„„„„„„„„„„„„„„ 数据包输出模块„„„„„„„„„„„„„„„„„„„„„ 小结„„„„„„„„„„„„„„„„„„„„„„„„„„ 结束语„„„„„„„„„„„„„„„„„„„„„„„„„„„ 致谢„„„„„„„„„„„„„„„„„„„„„„„„„„„„„„ 参考文献„„„„„„„„„„„„„„„„„„„„„„„„„„„„ 附录„„„„„„„„„„„„„„„„„„„„„„„„„„„„„„ 网络封包嗅探器设计 简单，但 是它工作在用户级，效率不很高。

同时第种只能截获发送到本机的数据包，要截获 所有流经网卡的数据包只能采用第种，而只有对所有的数据包进行的分析对我们才是 有意义的，因此对基于机制开发中间驱动程序来完成对数据包的截获进行了重点叙 述，因为它对于下节的利用实现网络数据包的捕获提供了理论上的支持。

开发包 简介 是平台下强大的有较好扩展性的底层网络 分析体系结构，是下的移植到下的产物，是环境下数据 包捕获的开放代码函数库。

是第个开放式的捕获包的体系结构，能够支 持大多数应用程序的需要。

包含了个内核级的数据包过滤器个底层 动态链接库和个高层的独立于系统的库。

模块过滤数据包， 将数据包不做任何改动的传递给用户。

模块提供了平台下的捕获包的驱 动接口，基于编写的程序可以不经过重新编译就在各种平台下实现捕获 数据包。

库不依赖于操作系统，且它包含了些其他高层的函数，如过滤器生 成器，用户定义的缓冲区和高层特性。

的主要功能在于独立于主机协议如 而发送和接收原始数据包。

的组成 如图，由个数据包监听设备驱动程序个底层的动态连接库 和个高层的不依赖于操作系统的静态库共三个部分构成。

这里， 在操作系统的内核级，供了个底层， 伴随着个独立于操作系统的编程接口，这些可以直接用来访问驱动的函 数导出了组更强大的与致的高层抓包函数库， 这些函数使得数据包的捕获以种与网络硬件和操作系统无关的方式进行。

底层动态链接库运行在用户层，它将应用程序和数据包监听设备驱动程序隔离开来， 使得应用程序可以不加修改地在不同的系统上运行。

高级的静态链接库和应 用程序编译在起，它使用低级动态链接库提供的服务，向应用程序提供完善的监听接口。

概括来讲，包含了个最优化的内核模式驱动称作 ，和套与兼容的用户级函数库。

使平台下的应用程序 能方便的移植到平台下，并且它能使套很大的函数库只需通过简单的重新 编译就立刻在平台下使用。

而且，由于网络监听的重要性，还为此提供 图内部结构和原理 了特殊的系统调用函数。

实际上，环境下的与环境下的在 体系架构上是基本致的。

在环境下，程序员只需要了解提供的编程接口 即可，将应用程序与操作系统内核之间的相互作用隐藏起来，提供了套与用户 程序联系的函数和强大的捕获数据包的抽象接口。

在环境下，程序员主要基于 提供的编程接口开发应用程序。

当然，程序要也可以使用提供 的编程接口，只是后者提供的更加底层。

的结构与原理 捕获数据包是在用户级。

数据包监听设备驱动程序 技术实现上，为了实现抓包，系统必须绕过操作系统的协议栈来访问在网络上传输的 原始数据包。

这就要求的部分运行在操作系统核心内部，直接与 网络接口驱动交互。

由于这个部分是系统依赖的，在的解 决方案中它被视为是个设备驱动，称作。

开发小 组针对和 提供了不同版本的驱动在中是文件，在中是 文件。

这些驱动不仅提供了基本的特性例如抓包发送原始数据包注入数据 图的组成 包，还有更高级的特性例如可编程的过滤器系统和监视引擎。

前者可以被用来约束 个抓包会话只针对网络通信中的个子集例如，只捕获特殊主机产生的通信数据包， 后者提供了个强大而简单的统计网络通信量的机制例如，获得网络负载或两个主机间 的数据交换量。

概括地讲，数据包监听设备驱动程序直接从数据链路层抓取网络数据包并过滤，将数 据包不加修改地传递给运行在用户层的应用程序。

它在不同的系统下是不同。

数据包监听设备驱动程序支持过滤机制，可以灵