论文研究 一个新的信息可恢复的无证书签名方案.pdf

网络嗅探技术作为解决网络安全问题的技术之一，对于网络故障判断和网络信息化管理具有重大意义。传统的共享式网络嗅探有很大的局限性，无法在交换式网络下实施嗅探操作。通过分析网络嗅探、ARP协议和数据包捕获等相关技术，结合交换式局域网的拓扑结构，提出一种采用ARP欺骗技术对用户数据进行监听的方法;利用其设计开发了一套局域网嗅探系统，使被嗅探主机本该发送给网关的数据包流经嗅探主机。功能和性能测试验证了其实用性和有效性。96013,49(1)Computer Engineering and Applications计算机工程与应用(1)网段IP扫描模块利用 WinPcap对数据包进行捕狭,其具体实现可归纳为:利用 WinPcap驱动开发包,获取指定IP网段内存活主步骤1对各种类型的报文对象进行构造。由于pcap机的步骤如下每捕获到一个数据包就会提交其信息,方式为以 unsigned步骤1调用 pcap opcn()函数打开嗅探主机的网络适char*指向的一段缓冲区。现将缓冲区的前14个字节读配器,并将其选择的适配器设为混杂模式入,按以太帧格式构造以太帧头部的对象,然后根据以太步骤2廾启ARP扫描数据包线程,向指定IP网段内的帧头部中的Type字段,决定接下来应该构造P、ARP还是所有主机发送 ARP REQUEST数据包。RARP。如果是IP,则把缓冲区中第15个字节开始直到这步骤3调用 pcap compile()函数编译规则,只捕捉块缓冲赵最后的所有字节读入,按IP报文格式构造IP的ARP数据包。象,根据IP的 Protocol字段,决定接下来构造TCP、UDP还步骤4调用 pcap netfilter(函数设置过滤规则,将过是ICMP。如果是TCP,则将IP的数据内容读入,按TCP格滤器与内核捕获相关联。式构造TCP的对象。具体流程见图2步骤5开启接收ARP响应包线程,循环捕获数据包并开始返冋数据包内容,调用 packet handler(函数对数据包进行分析处理,获得当前存活主机的IP和MAC地址等信息。捕捉到一个数据包(2)ARP欺骗模块利用ARP漏洞向某一指定IP的主机进行欺骗,其具体以太帧头部的对象实现如下:步骤1选择任一有活主机,嗅探主机向其发送ARP以太帧头部中RFOUEST数据包,该数据包的源TP地址为网关P,源的Type宇段MAC地址为嗅探主机的MAC地址步骤2①调用 pcap compile((函数编译过滤规则本构造ARP对象构造P对象构造RARP对象文只针对网络层和传输层数据包;2调用 pacp netfilter(函数设置过滤规则,将过滤器与內核捕获相关联;③循环IP对象的捕获数据包,调用 packct listcnhandlcr()函数对数据包进行Protocol字改分析,获得活动主机发送给网关的信息包标识、源地址、目的地址、信息包长度、信息包协议类型等构造TCP对象构造UDP对构造ICMP对象(3)ARP欺骗还原模块在对活动主机进行ARP欺骗还原时,嗅探主机只需冉次向其发送 ARP REQUEST数据包,该数据包中的源P地结束址为网关IP,源MAC地址为网关的MAC地址。这样,就图2报文对象的构造流程图可以实现对活动主机的欺骗还原。步骤2编制过滤算法对数据包进行协议分析,算法流(4)数据捕获模块程见图3Tpe为以太軾承牧的网络层协议类型ARPRARPpe一是否侦是否侦听PN是否侦听ARPARARP?TCPICMPP的 ProtocolUDP否债听否侦听是否侦听TCP?UDP°ICMP?Y地址是否行奖求(Return TrueReturn False,图3报文过滤算法卢艳,李辉:交换式局域网ARP欺骗嗅探技术研究2013,49(1)5网络嗅探测试及结果分析为了对文中交换式局城网嗅探器的有效性进行验证,面量屠需要对其基本功能及性能进行测试,针对测试结果进行分1量正析,并得出结论用TO生5.1嗅探器测试环境翻画国画由于本局域网嗅探器是在交换式以太环境中进行网络监听,同时在 Windows操作系统中运行。因此,选择中的测试环境如下。硬件型置: DELL Inspiron545s,CPU233GHz,RAM2GB, hernet8023(局域网);出读钦件配置: Microsoft windows xp,捕包驱动程序图6 ARP REPLY数据包与 Ruijie软件发生冲突Win Pcap3.0。设计的局域网嗅探器的程序主界面如图4所示。其测试结果表明:该嗅探器基本满足交换式局域网的需中,左上部分为同一网段的活动IP显示,左中部分是嗅探求,实现了对指定邗主机的ARP欺骗和欺骗后还原,对捕主机捕获数据包的简要信息显示,左下部分则是具体某一获的低层数据进行协议分析并取得了较好的效果,从而为数据包的十六进制和字符串显示;右半部分则是具体数据交换式局域网的网络安全提供了一定的保障。包的解析树。接下来,将对该嗅探器的运行效率和系统稳定性能进行测试。53嗅探器性能测试对丁一个系统来说,其运行吋的效率和稳定性是最重要的。同一网段活动甲显示在本机上对系统进行负载测试时,对报文过滤条件不具体数据包进行约定,默认就是显示所有捕获到的数据包。经过长时的解析树间的网络嗅探和测试,当系统捕获到5008个数据包时的实验截图如图7所示,其占用内存情况如图8所示。捕获数据包的简婆信息显示具休数据包的十六进制和字符申显示囹4局域网嗅探器的程序主界面下面将对该嗅探器的基本功能进行测试。测试于段对某一活动P进行APR欺骗,同时对其进行欺骗后还原。5.2嗅探器基本功能测试在对某一活动TP进行ARP欺骗时,该活动P本应发图7捕获到的第5008个数据包截图送到网关的数据包源源不断地发送到本地主机上阻塞了imr任,雷器本地主机与网关的正常通信,直接的后果就是导致本地主件如着m某底①机的网络出现中断, ARP REPLY数据包与本地主机的联网软件Ruje发生冲突,如图5和图6所示。L二,置月所工身透睛,幸不写E缸4图8捕获到大量数据包后占用内存情况图5 ARP REPLY数据包阻塞本地主机的正常通信测试结果表明,嗅探器在处理大量捕获到的数据包时,占用内存较少,不影响系统的运行,其处理的效率是很在对指定PP实现ARP欺骗的情况下,再次向其发送高的。在经过了很多次的测试后,程序都能稳定地运行ARP REQUEST数据包,对其进行ARP欺骗后的还原,对没有出现系统崩溃或者程序突然退出等现象,表明其稳定本地主机的网络进行恢复。此时,本地主机的网终恢复正性也是很好的。常,实现了对指定IP欺骗后的还原(下转111页)