1. 研究目的与意义
随着网络技术的发展和网络应用的普及,越来越多的信息资源放在了互联网上,网络的安全性和可靠性显得越发重要。
因此,对于能够分析、诊断网络,测试网络性能与安全性的工具软件的需求也越来越迫切。
网络管理者可以通过日志访问系统捕获网络中传输的数据包并对其进行分析,分析结果可供网络安全分析之用。
2. 国内外研究现状分析
通过对国内外的文献调研发现,访问日志系统中的数据包捕获主要可以分为两种方式,一种是基于操作系统内核的,如unix、linux系统,它们系统内核本身就提供包捕获机制;第二种就是基于外界提供的驱动程序库,如unix下的libpcap和windows下的winpcap。
由操作系统内核提供的捕获机制主要有以下四种:bpf(berkeley packet filter),lpi(data link provider interface),nit(network interface tap),sock_packet套接口。
其中bpf由基于bsd的unix系统内核所实现,而dlpi是solaris系统的子系统,对于nit则是sunos 4系统的一部分,但在solaris系统中已经被dlpi取代,linux系统内核则实现了sock packet的包捕获机制。
3. 研究的基本内容与计划
本课题研究的内容包括以下方面:1.首先要实现网络实施抓包功能,即网络嗅探器功能,并对所抓数据包信息进行实时显示。
主要包括网络嗅探器的概念、工作原理及常见网络嗅探器的实现原理等。
2.入侵检测与实时抓包之间的联系,入侵检测的实现由四部分组成:数据包嗅探解析部分、数据行为检测部分、算法部分和扫描检测部分。
4. 研究创新点
本课题对日志访问系统网络实时抓包技术做了深入的探讨和研究,首先介绍了什么是日志访问系统及共享式和交换式网络下的嗅探,然后着重研究了windows下基于winpcap的网络嗅探,对基于winpcap的网络嗅探原理及winpcap框架进行了深入的分析,得出了基于winpcap驱动开发的一般过程,为嗅探器的实现奠定了很好的基础,最后实现了一个数据包嗅探器packetsniffer。
通过在实际环境中的测试,证明嗅探器可以比较高效的监听到和所设定的过滤条件一致的数据包,并显示每个包的协议、源ip目的ip地址、数据包长和包内的数据等内容。
嗅探器在一定程度上可以帮助我们分析网络数据,发现一些安全问题,例如arp欺骗,当我们捕获到局域网内的数据包时,如果发现数据包列表有多个目的ip地址对应同一个mac地址,那么我们基本就可以确定这个mac地址所对应的计算机正在进行arp欺骗。
课题毕业论文、开题报告、任务书、外文翻译、程序设计、图纸设计等资料可联系客服协助查找。
