《網(wǎng)絡(luò)協(xié)議分析》實(shí)驗(yàn)指導(dǎo)書(shū)

1、網(wǎng)絡(luò)協(xié)議分析課題名稱： 網(wǎng)絡(luò)協(xié)議分析 指導(dǎo)教師： 趙紅敏 專(zhuān)業(yè)班級(jí)：2014級(jí)計(jì)算機(jī)科學(xué)與技術(shù)2班學(xué) 號(hào)： 20144591 姓 名： 孫曉陽(yáng) 評(píng)語(yǔ)： 成績(jī)：目錄實(shí)驗(yàn)一 點(diǎn)到點(diǎn)協(xié)議PPP4實(shí)驗(yàn)?zāi)康?實(shí)驗(yàn)環(huán)境4實(shí)驗(yàn)步驟4實(shí)驗(yàn)二 地址轉(zhuǎn)換協(xié)議ARP10實(shí)驗(yàn)?zāi)康?0實(shí)驗(yàn)環(huán)境10實(shí)驗(yàn)步驟10實(shí)驗(yàn)三 Internet控制報(bào)文協(xié)議ICMP16實(shí)驗(yàn)?zāi)康?6實(shí)驗(yàn)環(huán)境16實(shí)驗(yàn)步驟16實(shí)驗(yàn)四 實(shí)現(xiàn)”洞”的算法20實(shí)驗(yàn)?zāi)康?0實(shí)驗(yàn)環(huán)境20實(shí)驗(yàn)要求20實(shí)驗(yàn)一 點(diǎn)到點(diǎn)協(xié)議PPP實(shí)驗(yàn)?zāi)康? 理解PPP協(xié)議的工作原理及作用。2 練習(xí)PPP，CHAP的配置。3 驗(yàn)證PPP,CHAP的工作原理。實(shí)驗(yàn)環(huán)境1 安裝windows操

2、作系統(tǒng)的PC計(jì)算機(jī)。2 Boson NetSim模擬仿真軟件。實(shí)驗(yàn)步驟1、 繪制實(shí)驗(yàn)拓?fù)鋱D利用Boson Network Designer繪制實(shí)驗(yàn)網(wǎng)絡(luò)拓?fù)鋱D如圖1-1。本實(shí)驗(yàn)選擇兩臺(tái)4500型號(hào)的路由器。同時(shí)，采用Serial串行方式連接兩臺(tái)路由器，并選擇點(diǎn)到點(diǎn)類(lèi)型。其中DCE端可以任意選擇，對(duì)于DCE端路由器的接口(Serial 0/0)需要配置時(shí)鐘信號(hào)（這里用R1的Serial 0/0作為DCE端）。2、 配置路由器基本參數(shù) 繪制完實(shí)驗(yàn)拓?fù)鋱D后，可將其保存并裝入Boson NetSim中開(kāi)始試驗(yàn)配置。配置時(shí)點(diǎn)擊Boson NetSim程序工具欄按鈕eRouters,選擇R1 并按下面的過(guò)程

3、進(jìn)行路由器1的基本參數(shù)配置：Router>enableRouter#conf tRouter(config)#host R1R1(config)#enable secret c1R1(config)#line vty 0 4R1(config-line)#password c2R1(config-line)#interface serial 0/0R1(config-if)#ip address 192.168.0.1 255.255.255.0R1(config-if)#clock rate 64000R1(config-if)#no shutdownR1(config-if)#end

4、R1#copy running-config startup-config點(diǎn)擊工具欄按鈕eRouters，選擇R2并按下面過(guò)程進(jìn)行路由器的基本參數(shù)配置：Router>enableRouter#conf tRouter(config)#host R2R2(config)#enable secret c1R2(config)#line vty 0 4R2(config-line)#password c2R2(config-line)#interface serial 0/0R2(config-if)#ip address 192.168.0.2 255.255.255.0R2(config-

5、if)#no shutdownR2(config-if)#endR2#copy running-config startup-config3、 配置、測(cè)試PPP選擇路由器R1并配置PPP，如下所示：R1#conf tR1(config)#interface serial 0/0R1(config-if)#encapsulation pppR1(config-if)#endR1#copy running-config startup-config選擇路由器R2并配置PPP，如下所示：R2#conf tR2(config)#interface serial 0/0R2(config-if)#enc

6、apsulation pppR2(config-if)#endR2#copy running-config startup-config選擇路由器R1，按照下面的步驟測(cè)試并觀察PPP診斷輸出：R1# ping 192.168.0.2R1#debug ppp negotiationR1#conf tR1(config)#interface serial 0/0R1(config-if)# shutdownR1(config-if)#no shutdownR1(config-if)#endR1#undebug all4、 配置、測(cè)試CHAP選擇路由器R1并配置CHAP，如下所示：R1#conf t

7、R1(config)#username R2 password samepwdR1(config)# interface serial 0/0R1(config-if)#ppp authentication chapR1(config-if)#endR1#copy running-config startup-config選擇路由器R2并配置CHAP，如下所示：R2#conf tR2(config)#username R1 password samepwdR2(config)# interface serial 0/0R2(config-if)#ppp authentication chapR

8、2(config-if)#endR2#copy running-config startup-config選擇路由器R1,按照下面步驟測(cè)試并觀察CHAP配置：R1#show ip interface briefR1#ping 192.168.0.2思考題1、 兩臺(tái)路由器上所使用的串行口分別是什么？Serial 0/02、 兩臺(tái)路由器的IP地址及子網(wǎng)掩碼分別是多少？R1：192.168.0.1 255.255.255.0R2：192.168.0.2 255.255.255.03、 那臺(tái)路由器上的串行接口為DCE端？使用R1#show contR14、 本串行鏈路所使用的時(shí)鐘頻率是多少？64000

9、5、 在CHAP驗(yàn)證中，對(duì)所設(shè)置的用戶名和密碼是否存在什么特殊要求？如果沒(méi)有配置默認(rèn)的CHAP密碼，則被驗(yàn)證方根據(jù)主演正方的用戶名在本端的用戶表中查找該用戶對(duì)應(yīng)密碼，并選用找到的密碼。密碼必須相同，用戶名是對(duì)方的實(shí)驗(yàn)二 地址轉(zhuǎn)換協(xié)議ARP實(shí)驗(yàn)?zāi)康?. 能夠使用ARP命令對(duì)ARP選路表進(jìn)行簡(jiǎn)單操作。2. 學(xué)會(huì)使用Ethereal捕獲ARP數(shù)據(jù)包并分析其格式。3. 深入理解ARP工作原理和重要作用。實(shí)驗(yàn)環(huán)境1、 安裝windows操作系統(tǒng)的PC計(jì)算機(jī)一臺(tái)。2、 每臺(tái)PC具有一塊網(wǎng)卡，通過(guò)雙絞線與局域網(wǎng)相連。3、 每臺(tái)PC運(yùn)行網(wǎng)絡(luò)協(xié)議分析軟件Ethereal。實(shí)驗(yàn)步驟1、 使用ARP命令打開(kāi)“命令提

10、示符界面”，鍵入“arp -a”查看本機(jī)ARP表的內(nèi)容。如圖：Type欄下dynamic字段表明該表項(xiàng)處于動(dòng)態(tài)更新中。如果20分鐘內(nèi)沒(méi)有其他訪問(wèn)網(wǎng)絡(luò)的操作，ARP表會(huì)自動(dòng)清空。如果不想等待20分鐘，可使用“arp -d”命令主動(dòng)清空ARP表的內(nèi)容。此時(shí)再執(zhí)行“arp -a”命令，會(huì)發(fā)現(xiàn)ARP表已經(jīng)清空。還可使用“arp -s”命令手工設(shè)置ARP表項(xiàng)。如：Arp s 192.168.12.253 00-cd-0d-33-00-342、 分析ARP協(xié)議工作過(guò)程具體操作步驟：（1） 相鄰兩名同學(xué)為一組，清除ARP表中的所有項(xiàng)。（2） 運(yùn)行Ethereal程序，執(zhí)行分組捕獲操作。（3） 向另一臺(tái)機(jī)器發(fā)

11、送ping包，稍后停止發(fā)ping包。（4） 查看Ethereal捕獲到的ARP包，分析ARP協(xié)議執(zhí)行的全過(guò)程。3、 用ARP命令查找IP地址沖突主機(jī)原理：主機(jī)A在連接網(wǎng)絡(luò)或者更改IP地址的時(shí)候，就會(huì)向網(wǎng)絡(luò)發(fā)送ARP來(lái)廣播自己的IP地址。如果網(wǎng)絡(luò)中存在相同IP地址的主機(jī)B，那么B就會(huì)通過(guò)ARP來(lái)reply該地址，當(dāng)A接收到這個(gè)reply后，A就會(huì)跳出IP地址沖突的警告，B也會(huì)有警告。如果能同時(shí)觀察到這些主機(jī)，那么通過(guò)修改其中一臺(tái)主機(jī)的IP地址即可。如果僅能觀察到其中一臺(tái)PC提示“IP地址與網(wǎng)絡(luò)上其他地址沖突”，那么應(yīng)如何確定是哪兩臺(tái)主機(jī)設(shè)置了相同的IP地址呢？（1） 將該報(bào)警主機(jī)的IP地址修改為

12、一個(gè)未用的地址。如：192.168.12.251（2） 在該機(jī)命令提示符界面接入“ping 192.168.12.251”.（3） 執(zhí)行“arp -a”命令。思考題1、 結(jié)合實(shí)驗(yàn)畫(huà)出地址解析的流程圖。2、 根據(jù)ARP協(xié)議工作機(jī)制考慮是否存在地址欺騙的安全隱患？并找出可能的解決途徑。<1>存在地址欺騙的安全隱患，因?yàn)樵谝蕴钟蚓W(wǎng)內(nèi)數(shù)據(jù)包傳輸依靠的是MAC地址， IP地址與MAC對(duì)應(yīng)的關(guān)系依靠ARP表，每臺(tái)主機(jī)（包括網(wǎng)關(guān)）都有一個(gè)ARP緩存表。查；閱資料可知：在正常情況下，這個(gè)緩存表能夠有效的保證數(shù)據(jù)傳輸?shù)囊粚?duì)一性，也就是說(shuō)主機(jī)A與主機(jī)C之間的通訊只通過(guò)網(wǎng)關(guān)1和網(wǎng)關(guān)2，像主機(jī)

13、B之類(lèi)的是無(wú)法截獲A與C之間的通訊信息的。 但是在ARP緩存表的實(shí)現(xiàn)機(jī)制中存在一個(gè)不完善的地方，當(dāng)主機(jī)收到一個(gè)ARP的應(yīng)答包后，它并不會(huì)去驗(yàn)證自己是否發(fā)送過(guò)這個(gè)ARP請(qǐng)求，而是直接將應(yīng)答包里的MAC地址與IP對(duì)應(yīng)的關(guān)系替換掉原有的ARP緩存表里的相應(yīng)信息。這就導(dǎo)致主機(jī)B截取主機(jī)A與主機(jī)C之間的數(shù)據(jù)通信成為可能。 由于局域網(wǎng)的網(wǎng)絡(luò)流通不是根據(jù)IP地址進(jìn)行，而是按照MAC地址進(jìn)行傳輸。ARP協(xié)議并不只在發(fā)送了ARP請(qǐng)求才接收ARP應(yīng)答。當(dāng)計(jì)算機(jī)接收到ARP應(yīng)答數(shù)據(jù)包的時(shí)候，就會(huì)對(duì)本地的ARP緩存進(jìn)行更新，將應(yīng)答中的IP和MAC地址存儲(chǔ)在ARP緩存中。所以在網(wǎng)絡(luò)中，有人發(fā)送一個(gè)自

14、己偽造的ARP應(yīng)答，那個(gè)偽造出來(lái)的MAC地址在A上被改變成一個(gè)不存在的MAC地址，這樣就會(huì)造成網(wǎng)絡(luò)不通，導(dǎo)致A不能Ping通C！ 舉一個(gè)例子加以說(shuō)明，假設(shè)一個(gè)網(wǎng)絡(luò)環(huán)境中，網(wǎng)內(nèi)有三臺(tái)主機(jī)，分別為主機(jī)A、B、C。主機(jī)詳細(xì)信息如下描述：  A的地址為：IP：192.168.10.1 MAC: AA-AA-AA-AA-AA-AA    B的地址為：IP：192.168.10.2 MAC: BB-BB-BB-BB-BB-BB    C的地址為：IP：192

15、.168.10.3 MAC: CC-CC-CC-CC-CC-CC  正常情況下A和C之間進(jìn)行通訊，但是此時(shí)B向A發(fā)送一個(gè)自己偽造的ARP應(yīng)答，而這個(gè)應(yīng)答中的數(shù)據(jù)為發(fā)送方IP地址是192.168.10.3（C的IP地址），MAC地址是BB-BB-BB-BB-BB-BB（C的MAC地址本來(lái)應(yīng)該是CC-CC-CC-CC-CC-CC，這里被偽造了）。當(dāng)A接收到B偽造的ARP應(yīng)答，就會(huì)更新本地的ARP緩存（A被欺騙了），這時(shí)B就偽裝成C了。同時(shí)，B同樣向C發(fā)送一個(gè)ARP應(yīng)答，應(yīng)答包中發(fā)送方IP地址四192.168.10.1（A的IP地址），MAC地址是BB-BB-

16、BB-BB-BB-BB（A的MAC地址本來(lái)應(yīng)該是AA-AA-AA-AA-AA-AA），當(dāng)C收到B偽造的ARP應(yīng)答，也會(huì)更新本地ARP緩存（C也被欺騙了），這時(shí)B就偽裝成了A。這樣主機(jī)A和C都被主機(jī)B欺騙，A和C之間通訊的數(shù)據(jù)都經(jīng)過(guò)了B。主機(jī)B完全可以知道他們之間說(shuō)的什么）。這就是典型的ARP欺騙過(guò)程。 ARP欺騙分為二種，一種是對(duì)路由器ARP表的欺騙；另一種是對(duì)內(nèi)網(wǎng)PC的網(wǎng)關(guān)欺騙。第一種ARP欺騙的原理是截獲網(wǎng)關(guān)數(shù)據(jù)。它通知路由器一系列錯(cuò)誤的內(nèi)網(wǎng)MAC地址，并按照一定的頻率不斷進(jìn)行，使真實(shí)的地址信息無(wú)法通過(guò)更新保存在路由器中，結(jié)果路由器的所有數(shù)據(jù)只能發(fā)送給錯(cuò)誤的MAC地址，造成正常P

17、C無(wú)法收到信息。第二種ARP欺騙的原理是偽造網(wǎng)關(guān)。它的原理是建立假網(wǎng)關(guān)，讓被它欺騙的PC向假網(wǎng)關(guān)發(fā)數(shù)據(jù)，而不是通過(guò)正常的路由器途徑上網(wǎng)。在PC看來(lái)，就是上不了網(wǎng)了，“網(wǎng)絡(luò)掉線了”。  <2>查閱資料可知目前有下面幾種方法來(lái)控制ARP欺騙：  主機(jī)靜態(tài)綁定網(wǎng)關(guān)MAC：使用ARP命令靜態(tài)綁定網(wǎng)關(guān)MAC；   網(wǎng)關(guān)使用IP+MAC綁定模式：交換機(jī)啟用靜態(tài)ARP綁定功能，將用戶的IP與MAC進(jìn)行靜態(tài)綁定，防止ARP欺騙發(fā)生；  使用ARP服務(wù)器：在局域網(wǎng)內(nèi)架設(shè)ARP服務(wù)器，替代主機(jī)應(yīng)答ARP包；

18、60; 使用防ARP攻擊的軟件。 因?yàn)锳RP欺騙利用的是ARP協(xié)議本身的缺陷，所以到目前為止，還沒(méi)有一個(gè)十分有效的方法去控制這種攻擊。  以下是我們根據(jù)資料自己總結(jié)出的一些解決ARP欺騙的方案。 方案A：IP-MAC綁定 通過(guò)雙向IP-MAC綁定可以抵御ARP欺騙，解決由于ARP欺騙造成的網(wǎng)絡(luò)掉線、IP沖突等問(wèn)題，保證網(wǎng)絡(luò)暢通。 1、客戶機(jī)綁定網(wǎng)關(guān)IP-MAC   2、利用APC的軟件分發(fā)功能給客戶機(jī)分發(fā)IP-MAC綁定程序 3、網(wǎng)關(guān)綁定客戶機(jī)IP-MAC：使用支持IP/MAC綁定的網(wǎng)

19、關(guān)設(shè)備，在網(wǎng)關(guān)設(shè)備中設(shè)置客戶機(jī)的靜態(tài)IP-MAC列表。 注：方案A可以抵御ARP欺騙，保證網(wǎng)絡(luò)正常運(yùn)行，但不能定位及清除ARP攻擊源。 方案B：利用ARP命令及nbtscan定位ARP攻擊源 1、確定ARP攻擊源MAC地址 2、定位ARP攻擊源計(jì)算機(jī) 3、對(duì)ARP攻擊源計(jì)算機(jī)進(jìn)行全面殺毒。 方案C：利用Anti Arp Sniffer實(shí)時(shí)防護(hù)并檢測(cè)ARP攻擊源 1、運(yùn)行Anti Arp Sniffer 3.6，輸入網(wǎng)關(guān)IP及MAC地址，點(diǎn)擊自動(dòng)保護(hù)。Anti Arp

20、 Sniffer可以監(jiān)控本機(jī)的ARP緩存，自動(dòng)清除偽造的ARP條目；監(jiān)控網(wǎng)內(nèi)的ARP欺騙數(shù)據(jù)包，顯示ARP攻擊源的MAC地址及IP地址。 2、在只能檢測(cè)到ARP攻擊源的MAC地址，而檢測(cè)不到其IP地址時(shí)，可以利用Anti Arp Sniffer 3.6附帶的MAC掃描工具M(jìn)acScan.exe，查找ARP攻擊源MAC地址對(duì)應(yīng)的IP地址，根據(jù)IP地址定位攻擊源計(jì)算機(jī)。 3、對(duì)ARP攻擊源計(jì)算機(jī)進(jìn)行全面殺毒。實(shí)驗(yàn)三 Internet控制報(bào)文協(xié)議ICMP實(shí)驗(yàn)?zāi)康?. 掌握使用Ethereal工具對(duì)ICMP協(xié)議進(jìn)行抓包分析的方法。2. 理解不

21、同類(lèi)型ICMP報(bào)文的具體意義。3. 通過(guò)實(shí)驗(yàn)，進(jìn)一步了解ICMP協(xié)議。實(shí)驗(yàn)環(huán)境1、 安裝windows操作系統(tǒng)的PC計(jì)算機(jī)一臺(tái)。2、 每臺(tái)PC具有一塊網(wǎng)卡，通過(guò)雙絞線與局域網(wǎng)相連。3、 每臺(tái)PC運(yùn)行網(wǎng)絡(luò)協(xié)議分析軟件Ethereal。實(shí)驗(yàn)步驟1、 ping程序使用的ICMP信息包啟動(dòng)Ethereal協(xié)議分析工具，選擇“Capture”start”，開(kāi)始數(shù)據(jù)包的抓取，接下來(lái)點(diǎn)擊“開(kāi)始”菜單，在運(yùn)行中輸入“cmd”,進(jìn)入操作系統(tǒng)命令行模式，在該模式下輸入“ping n IP地址”，如圖。Ping結(jié)束后，停止Ethereal抓包程序，并在Ethereal中的Filter域中鍵入關(guān)鍵字“ICMP”,點(diǎn)擊

22、“Apply”按鈕，將非ICMP過(guò)濾掉。 查看數(shù)據(jù)包內(nèi)容窗口中的“ICMP”，可以看到該ICMP數(shù)據(jù)包的協(xié)議類(lèi)型和代碼，從而可以判斷是一個(gè)ICMP什么數(shù)據(jù)包。分析查看這些ICMP數(shù)據(jù)包，回答以下問(wèn)題：（1） 本機(jī)的IP地址是多少？目標(biāo)主機(jī)的IP地址是多少？本機(jī)：172.30.17.202，目標(biāo)主機(jī)：172.30.17.203（2） 為什么ICMP協(xié)議數(shù)據(jù)包沒(méi)有源端口和目的端口號(hào)？ICMP是網(wǎng)絡(luò)層協(xié)議，端口號(hào)是應(yīng)用層協(xié)議，所以ICMP沒(méi)有端口號(hào)。（3） 查看本機(jī)發(fā)送的每個(gè)request包，回答這些包的類(lèi)型號(hào)和代碼是多少?這些數(shù)據(jù)包中其他字段有哪些？checksum、sequence、identi

23、fier字段分別占多少字節(jié)？Type：8、8、8、8，code：0、0、0、0，checksum：16字節(jié)，sequence：16字節(jié)，identifier：16字節(jié)。（4） 查看回復(fù)的reply數(shù)據(jù)包，它們的類(lèi)型號(hào)和代碼是多少？這些包中還有哪些字段？checksum、sequence、identifier字段分別占多少字節(jié)？Type：0、0、0、0，code：0、0、0、0，checksum：16字節(jié)，sequence：16字節(jié)，identifier：16字節(jié)。2、 traceroute程序使用的ICMP信息包啟動(dòng)Ethereal協(xié)議分析工具，選擇“Capture”start”，開(kāi)始數(shù)據(jù)包的

24、抓取，接下來(lái)點(diǎn)擊“開(kāi)始”菜單，在運(yùn)行中輸入“cmd”,進(jìn)入操作系統(tǒng)命令行模式，在該模式下輸入“tracert ”，如圖。Tracert命令結(jié)束后，停止Ethereal抓包程序，并在Ethereal中的Filter域中鍵入關(guān)鍵字“ICMP”,點(diǎn)擊“Apply”按鈕，將非ICMP過(guò)濾掉。分析查看這些ICMP數(shù)據(jù)包，回答以下問(wèn)題：（1） 本機(jī)的IP地址是多少？目標(biāo)主機(jī)的IP地址是多少？本機(jī)：172.22.43.115，目標(biāo)主機(jī)：14.215.177.39。（2） 查看echo數(shù)據(jù)包，與ping所使用的ICMP包比較一下，看有什么區(qū)別？Data類(lèi)型echo為64字節(jié)，ICMP為16字節(jié)。（3） 查看本

25、error（Time-to-live Exceeded）數(shù)據(jù)包，這些包比echo數(shù)據(jù)包多了哪些字段？這些字段的內(nèi)容是什么？多了IP和ICMP，內(nèi)容與ICMP包的相同字段一樣。（4） 查看最后3個(gè)error數(shù)據(jù)包，這些包與其他error包有什么不同？ICMP字段的ICMP中的checksum與sequence數(shù)值依次遞減。 思考題1、 ICMP用途是什么？ICMP是“Internet Control Message Protocol”（Internet控制消息協(xié)議）的縮寫(xiě)。它是TCP/IP協(xié)議族的一個(gè)子協(xié)議，用于在IP主機(jī)、路由器之間傳遞控制消息?？刂葡⑹侵妇W(wǎng)絡(luò)通不通、主機(jī)是否可達(dá)、路由是否可

26、用等網(wǎng)絡(luò)本身的消息。這些控制消息雖然并不傳輸用戶數(shù)據(jù)，但是對(duì)于用戶數(shù)據(jù)的傳遞起著重要的作用。2、 為什么要限制由實(shí)效的ICMP差錯(cuò)報(bào)文再產(chǎn)生一個(gè)ICMP報(bào)文？限制失效報(bào)文為了減少網(wǎng)絡(luò)流量，再產(chǎn)生一個(gè)報(bào)文一般是報(bào)告錯(cuò)誤狀態(tài)，網(wǎng)絡(luò)管理一般要得到這個(gè)參數(shù)。3、 Ping程序和Tracert程序分別使用什么樣的ICMP類(lèi)型數(shù)據(jù)包？ping 主要是用來(lái)查看到目的地址的時(shí)延和丟包情況，tracert是用來(lái)查看所經(jīng)過(guò)的每一跳路由，可以具體判斷時(shí)延變大或者丟包的點(diǎn)。實(shí)驗(yàn)四 實(shí)現(xiàn)”洞”的算法實(shí)驗(yàn)?zāi)康?. 理解”洞”的算法。2. 理解重組分片的具體意義。3. 通過(guò)實(shí)驗(yàn)，進(jìn)一步了解IP協(xié)議。實(shí)驗(yàn)環(huán)境1. 安裝win

27、dows操作系統(tǒng)的PC計(jì)算機(jī)一臺(tái)。2. 安裝任一面向?qū)ο蟮恼Z(yǔ)言,例如:vc+, java實(shí)驗(yàn)要求 利用任一所學(xué)語(yǔ)言實(shí)現(xiàn)洞的算法.實(shí)驗(yàn)代碼#include<stdio.h>#define DATA_LENGTH 500#include <pcap.h>void Packet_Analyser(u_char* user,const struct pcap_pkthdr* header,const u_char *pkt_data);typedef struct ip_addressu_char byte1;u_char byte2;u_char byte3;u_char b

28、yte4; ip_address;typedef struct ip_headeru_char ver_ihl; u_char tos; u_short totallen; u_short identification; u_short flags_fo; u_char ttl; u_char proto; u_short crc; /ip_address saddr; ip_address daddr; u_int op_pad; ip_header;static int COUNT=1;ip_header *Pheader_Cache=(ip_header*)malloc(sizeof(i

29、p_header)*COUNT);void main()pcap_if_t *alldevs;pcap_if_t *d;pcap_t *adhandle;int index;int i=0;char errbufPCAP_ERRBUF_SIZE;if(pcap_findalldevs_ex(PCAP_SRC_IF_STRING,NULL,&alldevs,errbuf)=-1)fprintf(stderr,"Error in pcap_findalldevs_ex:%sn",errbuf);exit(1);for(d=alldevs;d!=NULL;d=d->

30、next)printf("%d:n%s",i+,d->name);if(d->description)printf("%sn",d->description);else printf("No Description available");if(i=0)printf("nNo interfaces found!Make sure WinpCap is installed.n");return;printf("nnIf You Want Choose a Device To Capture

31、 The Data Please Input The Number Before The Devicen");scanf("%d",&index);if(index>i|index<0)printf("You Choosed An Error Num");exit(1);for(d=alldevs,i=0;i<index;d=d->next,i+); printf("You Choosed The Device It's Name Is:%s",d->name);if(adhan

32、dle=pcap_open(d->name,65536,PCAP_OPENFLAG_PROMISCUOUS,1000,NULL,errbuf)=NULL)fprintf(stderr,"nUnable to Open the adapter.%s is Not support by WinPcapn",d->name);pcap_freealldevs(alldevs);return;printf("nlisting on %s.n",d->description);/開(kāi)始抓獲數(shù)據(jù)包pcap_loop(adhandle,0,Packet

33、_Analyser,NULL);pcap_freealldevs(alldevs);void Packet_Analyser(u_char* user,const struct pcap_pkthdr* header,const u_char *pkt_data) ip_header* pheader=(ip_header *) (pkt_data +14);ntohs(pheader->flags_fo);if (pheader->proto!=1)return;for (int i=0;i<COUNT;i+)ntohs(Pheader_Cache+i)->flags_fo); /重組IP數(shù)據(jù)包if (int)header->len<1500)int Flag=0;for (int i=0;i<COUNT;i+)if (pheader->identification=(Pheader_Cache+i)->iden