1、 本 科 毕 业 论 文 Net-Monitor 局域网 监控 器的设计与实现 -服务器端及 HTTP 协议客户端模块 Design and Implementation of Net-Monitor LAN Monitor -Server-side and the HTTP Protocol Module of Client 姓 名: 学 号: 学 院:软件学院 系:软件工程 专 业:软件工程 年 级: 指导教师: 年 月 摘 要 随着网络的发展和网络技术的成熟, Internet 己经在全世界范围得到普及。Internet 上的各种信息,给人们的工作、学习生活带来了极大便利,人们对计算机网
2、络的依赖性也越来越强。但与此同时,一个不容忽视的问题 网络信息安全管理,正摆在我们面前。网络信息监控是网络安全问题的一个重要方面,它对于网络的有序管理具有重 大意义。 Net-Monitor 局域网监控器 采用 C/S(客户端 /服务器 )工作模式,在局域网交换机上安装服务器端软件,而客户端软件则可以安装在局域网内的任何一台主机上。 本论文设计与实现了该监控器的服务器端及 HTTP 协议客户端模块两个部分。简要介绍如下: (1) 服务器端, 启动服务后始终处于对客户端的 侦听 状态, 并在与客户端的连接过程中遵循特定的协议, 基于 Jpcap 设计并实现了服务器端的数据包捕获功能,在抓取数据包
3、后,直接将数据包存入缓冲区中,并在此过程中作简单的包类型判断,以实现数据包动态抓取过程 及包数目统计 ,然后 由 发送线程依次 将数据包通过服务端与客户端之间的 Socket连接进行发送。 (2) HTTP 协议客户端模块,在启动该模块的解析线程后,一旦 HTTP 协议的数据包缓冲区内有了数据包,将自动根据 HTTP 协议进行解析。 解析结果显示方面,采用树形显示 URL 结构,并对某 Request 请求与其Response 进行组合,然后置于同一个树形中的 某一 叶子 节点 中。 通过点击叶子节点,在显示区域填充数据包的数据内容。 关键词 : 局域网 监控 ; MSN 协议 ; HTTP
4、通信协议 Abstract With the development of Internet and network technology, Internet has become more and more popular around the world. It makes the peoples daily life easy to use various kinds of information. And by and by, people cant depart away from it any more. Net-Monitor LAN monitor uses the C/S(C
5、lient/Server) structure. The server-side software should be installed in the LAN switch, but the client software can be installed on any host of the LAN. This thesis includes two parts, the design and implementation of the server-side and the HTTP protocol client module of the monitor. Briefly as fo
6、llows: (1) The server-side, after the services of start-up, it is always listening to the client state. And in connection with the client, it follows a specific course of agreement. We design and implement the packet capturing function based on the Jpcap. After the packet capturing, the packets will
7、 be directly saved into the packet buffer. And in the process, the type of packet will be determined simply, in order to achieve the dynamic capturing process and the statistics of packets. At last, the packets will be sent to the client side one by one by the Socket connection between the client an
8、d the server-side. (2) The HTTP protocol module of client, after the start-up service of the analysis thread, once the HTTP protocol packets buffer has the packet, the thread will analyze the packet one by one. After the analysis, this module will display the host address and the request URL by the
9、tree structure. We put some request packet and its response packet together, and then set the information of these combined packets into a leaf node. When we click the leaf node of the tree structure, the details of the packet will be displayed in the display area. Key words: LAN monitoring; MSN pro
10、tocol; HTTP communication protocol 目录 第一章 绪论 . 1 1.1 研究背景及意义 . 1 1.2 网络监控技术及局域网信息安全研究现状 . 3 1.3 主要 研究 内容 . 6 1.4 论文组织结构 . 7 第二章 网络监控相关技术 . 9 2.1 网络嗅探原理 . 9 2.2 TCP/IP 协议 .11 2.3 HTTP 协议 . 14 2.4 MSN 控制传输协议 . 18 2.5 Jpcap 的结构分析 . 27 2.6 本章小结 . 30 第三章 Net-Monitor 系统的需求分析及总体架构设计 . 31 3.1 应用需求 . 31 3.2
11、功能需求 . 31 3.3 非功能需求 . 33 3.4 系统总体设计架构图 . 34 3.5 系统开发模式及开发环境 . 34 3.6 本章小结 . 35 第四章 Net-Monitor 系统服务端的设计与实现 . 37 4.1 服务端结构设计 . 37 4.2 服务端详细设计 . 38 4.3 服务端的实现与效果展示 . 39 4.4 本章小结 . 50 第五章 Net-Monitor 系统 HTTP 协议客户端模块的设计与实现 . 51 5.1 HTTP 协议监控客户端设计 . 51 5.2 HTTP 协议客户端 模块 详细设计 . 51 5.3 HTTP 协议客户端 模块的实现与效果展
12、示 . 52 5.4 本章小结 . 56 第六章 总结与展望 . 57 6.1 总结 . 57 6.2 展望 . 57 参考文献 . 58 致 谢 . 59 Contents Chapter 1 Introduction . 1 1.1 Background . 1 1.2 Network Monitor Technology Research & Information Security . 3 1.3 Contents & Tasks. 6 1.4 Architecture of Thesis . 7 Chapter 2 Network Monitoring Technology . 9
13、2.1 Principles of Network Sniffer . 9 2.2 TCP/IP Protocol .11 2.3 HTTP Protocol . 14 2.4 MSN Control Transmission Protocol . 18 2.5 Jpcaps Structural Analysis. 27 2.6 Summary . 30 Chapter 3 Net-Monitor Requirement Analysis & Overall Design . 31 3.1 Application Requirements. 31 3.2 Functional Require
14、ments . 31 3.3 Non-Functional Requirements. 33 3.4 System Design Chart . 34 3.5 System Development Model & Environment . 34 3.6 Summary . 35 Chapter 4 Design & Implementation of Net-Montitor Server . 37 4.1 Structural Design of Server-side. 37 4.2 Detailed Design of Server-side . 38 4.3 Implementati
15、on & Exhibition of Server-side . 39 4.4 Summary . 50 Chapter 5 Design & Implementation of Net-Montitors Http Client . 51 5.1 Structural Design of HTTP Protocol Monitoring Client . 51 5.2 Detailed Design of HTTP Protocol Monitoring Client . 51 5.3 Implementation & Exhibition of HTTP Protocol Monitori
16、ng Client . 52 5.4 Summary . 56 Chaptor 6 Conclusions & Future Work. 57 6.1 Conclusions. 57 6.2 Future Work . 57 References. 58 Acknowledgements . 59 第一章 绪论 1 第一章 绪论 在信息社会快速发展的今天,网络已经全面的渗入各行各业,局域网架构已经在各行各业得到广泛应用,特别是对于一些公司、企业、学校等一些机构都会建立自己局域网,方便机构内部管理以及资源共享,然而网络也是一把双刃剑,它在带给我们带来方便的同时,也给我们增加了不少的难题,其中员工
17、网 络行为的管理已成为局域网管理的突出难题之一,因此这个方面的研究备受关注。本章将对现有的网络监控技术理论和存在的问题进行阐述,并对本文研究内容以及本文的结构安排进行总体概述。 1.1 研究背景 及意义 随着信息化社会的发展, Internet 技术的广泛应用,互联网成为企业间沟通 、信息以及业务往来的主要渠道。现如今,很多的学校 、 中小机构 、 企业也构建了自己的局域办公网,从而大幅度的提高了工作效率,而且对计算机网络的依赖性也越来越强。据有关资料显示,因特网已遍及世界 180 多个国家,容纳了 60 多万个网络,接入了 22 多万台主机,为 1 亿多用户提供了多样化的网络与信息服务,网上
18、电话 、 网上传真 、 静态及视频等通信技术也都在不断地发展与完善。在信息化社会中,网络信息系统将在政治 、 军事 、 金融 、 商业 、 交通 、 电信 、 文教等方面发挥越来越大的作用,社会对网络信息系统的依赖也日益增强。各种各样完备的网络信息系统,使得秘密信息和财富高度集中于计算机中。同时,这些网络信息系统都依靠计算机网络接收和处理信息,实现其相互间的联系和对目标的管理 、控制。以网络方式获得信息和交流信息已成为现在信息社会的一个重要特征。网络正在逐步改变人们的工作方式和生活方式,成为当今社 会发展的一个主题。 然而, 随着企业信息化的蓬勃发展 ,网络在带给企业效率提高的同时, 也带来了
19、一系列负面影响。我们常常看到,在企事业单位的局域网中,经常有很多与工作无关的应用在进行着,表现在以下方面:在上班时间使用股票软件、访问股票网站;玩网络游戏、使用 QQ 聊天、使用 MSN 聊天,更有一些人通过使用TOM-SKYPE 等网络电话进行电话聊天等等;还有一些人通过访问在线视频、流Net-Monitor 局域网监控器的设计与实现 2 媒体的网站,下载在线视频等。还有对局域网影响十分严重的点对点传输软件,也就是平时说的 P2P 软件,如网际快车、网络蚂蚁、超级旋风、迅雷、电驴等等 。这些不良的上网行为,极大地占用了公司的宽带网络资源,造成网络堵车的现象时有发生,严重干扰了企业正常的业务的
20、顺利进行;同时还占用了员工大量的工作时间、影响了工作效率;同时,这些不良的上网行为还加大了病毒在局域网传播的风险,这些病毒可能会以木马的形式窃取公司的商业机密,关键数据等从而给公司带来巨大的经营风险。根据美国 FBI 和 CSI 对 484 家公司调查发现,有 93%企业网络资源使用不当,有超过 70%的安全威胁来自企业内部,有 31%员工滥用 Internet,由此看来,对员工网络行为监控变得举足轻重了。 在网络发展的 早期,人们并没有通过网络进行监控的方式来管理网络,因为当时网络应用、网络行为的技术模式相对简单,通过路由器、交换机或者防火墙上封堵端口、服务器 IP 的形式就可以拦截绝大多数
21、不良的上网行为,这也是一种被动的管理方式。但是随着近几年网络技术、信息技术、宽带技术的飞速发展,特别是具体的 P2P 技术、在线流媒体技术的巨大进步,以及厂家实力的增强,纷纷采用集群服务器技术,一个 P2P 工具、聊天软件的服务器多达上百台,从而可以实现多点登录;而在登录方式上,这些 P2P 软件、在线视频、网络游戏、股票软件纷纷采用服务器智能切换、端 口自动切换的技术,并且可以使用 80 端口等关键端口实现登录;而在传输方式上,纷纷采用加密的 P2P 协议、 UDP 协议、 TCP 协议进行传输,从而可以实现高速、稳定、安全的传输,使得传统的网络管理方式已经不在适用了。再者,现在局域网的架构
22、由共享式网络逐步向交换式网络的发展,交换式网络在局域网内数据传输效率和数据安全方面的保障有很大的提高,这也给网络管理带来更大的困难。 在这种情况下,局域网监控技术就在这个背景下进入人们的视野。网络监控技术总体目标是能有效防止员工滥用网络,通过网络以各种方式泄密 , 实现对网络电脑及网络 资源的统一管理和有效监控。未经授权不得以各种方式外发文件、不得上班时间利用网络做不应该做的事、并能够记录网络往来的内容 , 对电脑的各种端口和设备实施全面管理和控制 , 对用机、上网、收发邮件、网上聊天和电脑游戏进行严格管理与控制: (1) 防止并追查重要资料、机密文件等外泄; 第一章 绪论 3 (2) 监督、
23、审查、限制、规范网络使用行为; (3) 监控和限制消耗资源的聊天、游戏、外发资料、 BT 恶性下载和股票等行为; (4) 备份重要网络资源文件; (5) 监视 QQ/MSN 聊天记录内容和行为过程; (6) 流量限制以及网站 访问统计 , 用于分析员工使用网络情况。 网络监控技术主要完成对网络中存在的数据包进行监听和控制。监听就是捕获数据包。控制是对数据包中的信息 内容进行分析判断,决定对该数据包采取下一步动作。由于要对企业内部网络传输的所有数据包进行监听,监听计算机必须与网关计算机处于同一网段或者与被监听主机处于同一网段。目前的监听方式有两种:第一种是监听计算机与网关计算机通过 HUB 进行
24、连接 ,捕获到所有通过网关进行转发的数据包,对该数据包进行分析可以掌握企业内部发往企业外部的所有数据;第二种是监听计算机位于网关计算机上,也就是 网关计算机要对数据进行分析判断决定对该数据包采取下一步动作 转发或丢弃。这两种监听方式就是所谓的并行方式和串行方式 2。 由此看来,无论采用哪一种网络监听方式,网络监控技术的工作核心是对网络数据包进行了抓取和分析,获得数据包的来源,判断处是何种应用程序的数据包,以及数据包的内容,进而可以分析所处网络状态和整体布局,掌握了网络管理的主动权,从而直接找到员工不良行为的源头,有效的从源头杜绝员工的不良网络行为。因此,对网络监控技术的研究是有必要并且有意义的
25、。 1.2 网络监控 技术 及局域网信息安全 研究现状 1.2.1 网 络监控技术 网络监控 1是指本地计算机系统通过网络 (特别是 Internet)对远端的控制系统进行监测和控制。 同时, 它也是网络安全技术的一个重要的组成部分,它是对其他的网络安全技术的重要的补充。因此已经许多的专家和学者致力于这方面的研究,现在已经出现了一些比较成熟的技术和产品,比如网络嗅探技术、协议分析技术等等。与国外相比,国内各行业的网络处于发展的初期,市场上对这方面的需要Net-Monitor 局域网监控器的设计与实现 4 并不是很迫切,因此国内在这方面的技术和产品现对较少,一些研究仅仅局限在某一个方面,而未形成
26、一个完整的体系。目前从事这方面工作的人员主要 是从事网络安全方面工作人员和大学师生,一般致力于某一个方面的研究。现在,现有的网络监控技术成果已经为一些大型机关和企事业单位得到广泛的应用。 网络监控技术涉及到许多方面,许多技术随着网络监控技术发展逐渐成熟,首先对应用程序的通信协议进行分析,现在国内外对一些主流的协议做了分析,比如说 HTTP 协议、 FTP 协议、 SNMP 协议等等,同时对与那些主流的 IM 即时聊天程序的通信协议分析也做了许多的尝试,比如说 QQ 聊天软件的通信协议, MSN通信协议, SKYPE 以及雅虎通等软件的通信协议,然而面临协议的破译,许多的IM 程序 提供商采取更
27、改通信协议,加密聊天信息等方式来应对,腾讯 QQ 就是如此, MSN 初始通信协议是公开的,在这几年的其通信协议在不断的升级,至于其升级细节没有在向公众公开,因此协议分析已成为网络监控的一项重要工作,现在也有许多的人从事着这方面的工作。 其次,就是网络数据包嗅探,在共享式局域网时期,我们只要将电脑的网卡设置成混合模式即可获取局域网内所有的数据包,这样就可以轻而易举的监控网络,随着网络技术发展,交换式网络逐渐取代了共享式网络,以前那种被动嗅探技术只适用于在网关进行网络监控了,继而出现了主动网络嗅探技术,通 过攻击其他的主机获取网络包,目前有 ARP 欺骗、 TCP 欺骗等方式实现,然而这些方式实
28、现容易被发现,而且成功率较低,会破坏局域网的正常工作秩序。 但是现在网络监控技术 由于局限性,它们还不能彻底解决广泛存在的以太网的监听和管理问题。 商用化的工具产品,如美国网络联盟公司的 Sniffer 网络协议分析仪就是很好的例子。 Sniffer 对网管具有重要意义。网管通过 Sniffer 可以方便的确定某种网络协议拥有的通讯量、哪台主机是主要的通讯目的地、主机相互间发送报文的时间间隔、发送报文占用的时间等,这些信息为网管判断网络 问题、管理网络提供了非常宝贵的信息。 WinPcap 系统是一个功能较为强大且开放源代码的数据包捕获接口软件,对其进行适当的修改后可作为网络监测软件的基础。 WinPcap 体系结构是一种在 Win32 环境下用于实现高效数据包捕获的开发包。它向上呈现两种不同层次的编程接口,为在 Windows 系列平台中开发高性能的网络监测程序提供了基
