网络包过滤程序设计与实现

【摘要】 近年来,Internet的快速增长促进了信息技术的飞速发展,它的迅猛成长正在使世界成为一个整体。但随之而来的是数据的完整性与安全性问题。人们一方面要把自己的内部网接入Internet,以便公司成员可以最大可能地利用Internet 上的资源,同时大家都需要把自己的数据有意识地保护起来,以防数泄密及受到外界对内部系统的恶意破坏。而当前能采用的有效措施就是防火墙。防火墙大致可以分为两大类:包过滤防火墙和代理防火墙。其中包过滤技术由于可以与现有的路由器集成,也可以用独立的包过滤软件实现,使用较灵活,应用比较广泛。 本文由此展开,主要介绍包过滤。开始文章介绍了一些网络的基本概念，数据包截取需要用到的非常重要的库函数winpcap的结构。在此基础上回顾了当前包过滤技术研究的进展和现状，着重介绍了包过滤的原理、以及优点和缺点。最后介绍了一个在单机上实现的简单的对指定端口实现数据包抓取的程序。 【关键词】 包过滤? winpcap ?防火墙 引言 Internet 的迅速发展,为人们提供了发布信息和检索信息的场所,但同时它也带来了信息污染和信息被破坏的危险,网络的安全性问题已成为一个重要研究课题。在Internet上存在两种安全性问题:①Internet服务本身所固有的脆弱性;②主机配置和访问控制难于实现或过于复杂而产生的安全漏洞。 Internet 安全的脆弱性的表现形式主要有Internet蠕虫(Worm) ,身份验证机制的脆弱性,网上传输的信息易窃取及易被欺骗等。其中蠕虫程序与计算机病毒有区别,它是一个独立、完整的程序,本身并不损坏任何文件或窃取信息,但它严重干扰了网络的正常操作,使受感染的计算机处于重负载状态,拒绝其他机器用户的服务请求。而通过破译口令的加密方式和截获传递口令报文的方法,就可以获得该帐户的权限,其身份验证机制的脆弱性由此表现出来。特别是一些TC 或UD 服务的身份验证仅仅依赖报文中的IP 地址,管理员不能对某个用户定义访问权限,必须以主机为单位来定义访问权限,该主机上所有用户的权限都一样,这样就容易产生安全问题. 当使用Telnet或FTP与远程主机相连并进行身份验证时,使用的用户口令以明文的形式在Internet上传输,这样只需监视、截获连接中包含用户名和口令的IP 报文,就很容易获得某台主机的帐户。E-mail在网上也是以明文传输,通过监视网上交换的电子邮件可以获得有关某个站点的信息。 Internet的另一个安全性问题主要是由于主机系统的访问控制表很难正确恰当地配置,配置好之后要检查其正确性也很困难,而一旦系统配置有漏洞,就容易为攻击者利用并侵入系统。许多Unix供应商将系统缺省配置成最大限度的允许访问权限,如果安装之后,管理员不重新配置,就会留下很多安全隐患。 目前提高网络安全性主要有两种途径:①增加所有网络中每台主机的安全性;②在私有网络和Internet间设置一道防火墙。防火墙置于私有网络和Internet 之间,对它们之间的通信进行检查、监控及限制,防止外部攻击。Internet防火墙较普遍地使用包过滤和代理系统两种技术。 其中包过滤技术由于可以与现有的路由器集成,也可以用独立的包过滤软件实现,使用较灵活,应用比较广泛。