获机制般指通过截获整个网络的所有信息流量，根据信息源主机，目标主机，服务协议断口等信息简单过滤掉不关心的数据，再将用户感兴趣的数据发送给更高层的应用程序进行分析。在局域网中，由于以太网是基于广播方式传送数据的，以太网上的所有主机都共享条网络总线，所以所有的物理信号都会被传送到每个主机节点，如果将网卡设置为混杂接受模式，则无论监听到的数据帧目的地址如何，网卡都能予以接收。协议簇中的应用层协议大多数都是以明文形式在网络上传输，这些明文数据往往包含些敏感数据，如密码账号等，因此使用监听程序软件可以监听到所有局域网内的数据通信，得到这些敏感信息。当然，其局限性是只能在局域网的共享冲突域中进行。嗅探器作为种网络通讯程序，主要是通过对网卡的编程来实现的。对网卡的编程有很多种方法，通常的套接字程序只能响应与自己硬件地址相匹配的或是以广播方式发出的数据帧，对于其他形式的数据帧，网络接口在验过滤数据包，并把这些数据包原封不动地传给用户态模块。当然也添加了些系统特定的标志比如时间戳管理。这个过程中包括了些操作系统特有的代码。第二个模块用来在不同的平台下提供个通用的公共的包驱动接口。事实上，不同版本的平台在内核层模块和用户进程之间的接口不完全相同，用于解决这些不同。提供了套系统的应用编程接口，调用的程序能够运行在不同版本的平台上而无需重新编译。还有些附加的功能。它可执行些低层操作如获得网卡名字，动态装载驱动，得到比如机器的网络掩码硬件冲突等些系统特定的信息。第三个模块是系统无关的，它提供了更高层抽象的函数。它包括了些比如过滤器生成用户级缓冲等其它的高层函数，增加了比如统计和包发送等更高级的特性。因此程序员能处理两种类型的套原始函数集，包含在中，直接与内核层调用匹配另套高层函数由提供，便于用户调用，功能更强大。程序员能随意使用，但只能在受限的环境中直接使用二〇二年十月二十八日星期日图结构图总的说来，直接映射了内核的调用。提供了更加友好功能更加强大的函数调用。的具体结构图所示。是用的通信协议程序比如和网络设备驱动器之间通信的规范的，将自己注册为个协议处理驱动。的使用非常方便，但是它有个致命的缺陷就是只适用于共享式以太网络，对于交换式网络下的数据则无能为力。经过测试，在使用交换机连接的局域网下，只能监听到本网段内的数据，而对于来自其他网段的数据则无法监听，除非你把电脑接到交换机之前或者接到交换机的配置口上，不过那样的弊端是显而易见的，所以，的应用还是有局限性的。结构图如图所示。图二〇二年十月二十八日星期日简介是的开发包，提供了使用必须的头文件和库文件，现阶段开始使用的是及其对应的。随着网络入侵的不断发展，网络安全变得越来越重要，于是网络入侵取证系统的研究也变得日益重要。在网络入侵取证系统中，对网络上传送的数据包进行有效的监听即捕获包是目前取证的关键技术，只有进行高效的数据包捕获，网络管理员才能对所捕获的数据进行系列的分析，从而进行可靠的网络安全管理。二〇二年十月二十八日星期日第三章总体设计设计分析设计中的重点及难点程序中会用到，是环境下数据包捕获的开放代码函数库。基于的应用程序般按照下面几个步骤进行设计输出网卡设备列表。选择网卡并打开。捕获数据包时，可能需要设置过滤器。捕获数据包或者发送数据包。在程序设计过程中需要注意网络主机字节顺序的转化。由于不同的计算机系统所采用的数据表示方式不同，对于或的数据，有的采用低字节地址存放数据的高权值位，而有的却以低地址字节存放数据低权位值，在网络的数据传输中，我们应该统表示，所以我们在捕获数据包后，应将数据包头部的表示长度或类型的数据转换成本地机的表达形式。可以利用函数将网络字节序转换为主机字节序。选择网卡并打开时，注意选择可用的网卡。参考算法取得当前网卡设备列表。选择网卡并打开，注意判断所选网卡是否为实际存在的可用网卡。设置过滤器，此处的过滤器正则表达式为或者。捕获数据包并进行处理包括输出各地址，物理地址，操作类型以及时间。由于要记录日志文件，为了便于输出流参数，建议采用函数。流程图如图所示二〇二年十月二十八日星期日系统或算法框架设计得到网络驱动利用提供的函数实现此功能。选择块网卡,并判断其是否可用。编辑设置过滤器,使其只捕获包过滤函数和设置函数为。开始捕获数据包并进行处理使用函数实现此功能。功能设计通过编制程序，获取网络中的数据包，解析数据包的内容，将结果显示在标准输出上，并同时写入日志文件。程序的具体要求如下所示以命令行的形式运行，如下所示其中，为程序名为日志文件名。二〇二年十月二十八日星期日程序输出内容如下所示源地址源地址目的地址目的地址操作时间各部分的说明如下所示源地址输出消息格式中的源地址字段。源地址输出消息格式中的源物理地址字段目的地址输出消息格式中的目的地址字段。目的地址输出消息格式中的目的物理地址字段。操作输出消息格式中的操作字段，若为请求，则为，若为应答，则为。时间该包产生的时间。当程序接收到键盘输入十时退出。平台设计，简体中文版数据结构的设计硬件地址协议类型硬件地址长度协议地址长度操作值源地址源地址目的地址目的地址二〇二年十月二十八日星期日第四章详细设计核心代码数据包结构硬件类型。值表示其为协议类型。值表示上层协议为硬件地址长度。值为协议地址长度。值为操作值为，分别表示请求应答源地址源地址目的地址目的地址获取网络设备列表，并以混杂模式打开网络设备获取网络设备列表,以混杂模式打开网卡，以接受所有的帧!编译过滤器并设置过滤器，只捕获数据包””过滤，选择协议二〇二年十月二十八日星期日输出数据包的各个域的内容到文件和屏幕上第五章结束语本次课程设计，完成了在环境下的解析数据包。在具体实现获取网络中的数据包解析数据包的内容，并将其写入日志文件的过程中，是我更加清楚物理地址地址的关联，源地址与目的地址的关系，以及二者对数据类型的格式要求。最重要的是通过这次的实际训练让我对协议更加理解。本次课程设计查阅了大量的案例，学到了很多知识，使我对计算机网络有了更深入的了解。我觉得这次课程设计我觉得收获挺大的。之前的学习仅限于书本，网络的很多东西都只知道其然而不知道其所以然。在这次课程设计中，也遇到了很多的难题，如在开始查找资料并编写程序时，需用到软件，且要对它进行正确的安装。把文件中的和里的全部文件分别复制到安装的位置中的和中。课同时又会影响的其他电脑上网。包的格式同使用相同的报头结构，如图所示。硬件类型协议类型硬件地址长度协议长度操作类型发送方的硬件地址字节源物理地址字节源地址字