Windows网络封包截获机制的研究及其应用

英文题名：The Research of Network Packet Capturing on Windows Platform
英文副题名：The Design and Realization of Network Security Monitoring System
作者：赵伟胜
论文级别：硕士
学科专业名称：计算机应用
中文关键词：网络封包截获 ; 防火墙 ; 监控代理 ; 嗅探器 ; 协同工作 ; 网络安全
英文关键词：network packet capturing ; firewall ; agent ; sniffer ; cooperation working ; network security
学位年度：2004
导师：董金祥 ; 陈刚
学科代码：081203
学位授予单位：浙江大学
论文提交日期：2004-03-01

摘要

网络封包截获是实现防火墙、网络嗅探、入侵检测等多种网络安全系统的底层核心技术，同时它也是实现网络窃听等众多黑客攻击工具的基础。由于操作系统和网络技术本身的高度复杂性，尤其是如何在源码不公开的Windows平台环境下较好的实现网络封包的截获，目前很少有公开的文章对其进行完整的表述。长期以来，网络封包截获这一构建网络安全系统的关键性技术一直为国外一些大型计算机公司所垄断，使得该技术在商业上具备一定的敏感性，同时也对我国政府改善国防安全、提高网络安全领域产品的竞争力是非常不利的。
     本文对Windows平台网络封包的截获机制和实现方式进行了详尽的探讨，包括目前各种常用的方式及多种技术上比较敏感的方式，基本上涵盖了当前在Windows平台可应用于截获网络封包的所有可能的途径。总的来说，所有这些方式主要可以分为两大类：内核态和用户态。本文分别对这两大类中可行的各种网络封包截获方式作了系统的阐述，并对以上各种方式的工作机制、实现方式、适用场合、性能优劣进行了总结和比较。在此基础上，提出了在选用以上这些方式来具体实现一个可行的网络安全系统时所应采取的基本策略，即在什么场合下应该采用何种技术方式来实现系统的功能，并具体通过其在NSMS网络安全监控系统中的实际应用阐述了这一原则。
     NSMS网络安全监控系统是一个基于Agent和Sniffer协同工作的计算机局域网安全监控系统，本文具体通过网络封包截获技术在该系统中的实际应用，详细阐述了其设计思想与核心技术的实现。主要包括：设计思路、体系结构、实现方式的选择、基本原理、核心技术的具体实现、以及系统安装的实现等其它一些关键性问题。最后，对系统的实现与系统的效能作了综合评价。NSMS网络安全监控系统采用Agent与Sniffer相结合的三层C／S体系结构，实现了分布式防火墙与网络嗅探器协同的工作方式，并在其体系结构、实现方式和综合效果上具备一定的创新性和先进性。
Network packet capturing is one of the key technologies in building some network security systems as firewall, sniffer and NIDS etc. Because of the complicacy of operation systems and network technologies itself, few published articles discussed this issue, especially on the Windows platform which is not an open-source OS. For a long time, only several large foreign companies have the ability to build advanced network security systems on windows platform. A lot of essential technologies are under their control. As a sensitive technology, network packet capturing is very important in improving our network security products and enhancing our national defense.
    This paper expatiates on the mechanisms and realization of the network packet capturing on Windows platform, and also introduces the method and the procedure of how to build up a network security system. Here, network packet capturing has been designed and realized in NSMS (Network Security Monitoring System). NSMS is a local area network security system based on agent and sniffer. In this system agents and sniffers can cooperate with each other to make up for their deficiencies. Both them together ensure the security of the Local Area Network effectively.

引文

[1] 多组件协作式网络安全系统的分析与设计蒋文保王常吉杨大鉴等计算机工程与应用 2002．23 p172
    [2] 基于集群的分布式微防火墙系统结构鲜丰韩宗芬金海等华中科技大学学报(自然科学版)2002 vol．30 No．9 p31
    [3] 一种自适应的分布式微防火墙系统鲜丰李胜利陈颖金海华中科技大学学报(自然科学版)2002 vol．30 No．11 p7
    [4] Windows防火墙与网络封包截获技术朱雁辉朱雁冰电子工业出版社
    [5] 网络入侵检测系统的设计与实现唐正军等电子工业出版社
    [6] 入侵检测系统实例剖析韩东海王超李群清华大学出版社
    [7] 网络监听技术概览宫一鸣(yiming@security.zz.ha.cn) 中国电信网络安全小组核心成员 2002年4月
    [8] 基于Windows Sockets 2的应用层透明防火墙设计与实现王国华陈昕鑫杨培根计算机工程 2002 vol. 26 No．10 p157
    [9] 构建结合入侵检测的桌面防御系统谢维呆顾其威计算机应用研究 2002 No．7 p54
    [10] 防火墙代理(FW—Agent)实体的设计与实现毕保祥肖德宝华中师范大学学报(自然科学版)Vol．37，No．2，Jun 2003：p159
    [11] 基于分布式防火墙的透明代理模型金雷谢立计算机应用研究 2002 No．10 p87


    [12] 利用网络入侵检测系统与防火墙的功能结合构建安全网络模型路璐马先立计算机应用研究 2002 No．10 p93
    [13] 嵌入内核式动态防火墙的设计与实现刘宝旭等计算机工程 Vol．28，No．2，February 2002：p11
    [14] 网络安全监控与审计系统的设计与实现邓瑛常国岑王晓辉计算机工程 Vol．28，No．12，December 2002：p195
    [15] 网络防火墙技术和设计中的几个问题吴亚坤计算机应用 Vol．18，No．4，Apr．1998：p61
    [16] 新型防火墙的设计和实现陈朝阳潘雪增平铃娣计算机工程 Vol．28，No．1，November 2002：p142
    [17] Internet防火墙及其发展趋势李海泉李刚计算机应用与软件 Vol．19，No．11，2002：p15
    [18] 一个基于分权机制的分布式网络安全系统模型研究陈越戴英侠李镇江计算机科学Vol．28，No．5，2001．5：p50～53
    [19] 一种多层结构应用系统的防火墙设计陈建明，崔志明微机发展 2002 No．5 p85
    [20] 网络监听技术在局域网中的实现张戈张敏华何晓微机与应用 2002 No．2 p34
    [21] 基于分布协作式代理的网络入侵检测技术的研究与实现张勇张德运李胜磊计算机学报 Vol．24 No．7，July 2001：p736
    [22] 多层次的内部网安全策略研究及应用周世兵刘渊计算机应用研究 2002 NO．9 p129
    [23] 包捕获技术：原理、防范和检测钱丽萍高光来

    计算机系统应用 2000 No．2 p31
    [24] Maximum Security, 3rd Edition Anonymous等机械工业出版社 2003
    [25] Internet Firewall and Network Security Chris Hare, Karanjit Siyan机械工业出版社 1998
    [26] Firewalls: A Complete Guide Marcus Goncalves机械工业出版社 2000
    [27] Gary McGraw and John Viega Reliable Software Technologies Make your software behave: Tried and true encryption June 6, 2000
    [28] Freelance Writer (IBMDev@TextBiz.com) Cryptography on the Internet Murdoch Mactaggart, March 2001
    [29] Inter-Domain Security Management Agent Coordination Protocol Z. Fu, H. Huang, T. Wu, S.E Wu F. Gong, C. Xu, I.Baldine Computer Science Department Advanced Networking Research
    [30] Windows Network Data and Packet Filtering http://www.ndis.com/papers/winpktfilter.htm 2003-12-27
    [31] Firewall for Windows 9x/ME/NT/2000/XP http://www.ntkernel.com/articles/firewall.shtml 2003-12-27
    [32] Implementing a distributed firewall Ioannidis, S.; Keromytis, A.D.; Bellovin, S.M.; Smith, J.M. Proceedings of the ACM Conference on Computer and Communications Security 2000. p190-199
    [33] An Architectural Model for Intelligent Network Management. LUO Junzhou, GU Guanqun, etc. J. Comput.Sci. & Techno Vo1.15 No.2 (Mar.2000) 2000.15:p29～35
    [34] Building Internet Firewalls Elizabeth D.zwicky, Simon Cooper & D. Brent Chapman 2nd Edition [M]. O'Reilly & Associates, Inc, USA June 2000
    [35] Getting Personal with Firewalls Curtis Dalton Network Magazine, 2001, 16(1): p102

地址：北京市海淀区学院路29号邮编：100083

电话：办公室：(+86 10)66554848；文献借阅、咨询服务、科技查新：66554700