基于Windows封包截获的实现

基于Windows封包截获的实现
摘  要
基于Windows封包截获就是对应用程序进行数据包过滤。数据包过滤是在网络层对数据包进行选择，对向网络上传或从网络下载的数据流进行有选择的控制过程。要完成数据包过滤，就要首先设置好规则来指定哪些类型的数据包被允许通过，哪些类型的数据包将会被阻止。如果程序被拒绝访问网络，它将不能向网络发送任何数据。
基于数据包过滤的主要思想就是截获数据包，并且对其进行分析，主要通过检查数据流中每个数据包的源地址、目的地址、所用的端口号和协议状态等，或它们的组合来决定是否允许该数据包通过，从而达到保护计算机安全的目的。

关键词：网络安全；包过滤；控管规则

The Implementation of Packet Intercept Based on Windows
Abstract
The implementation of packet intercept based on windows is mainly a course of data packet filtering through network level to achieve  an  optional  control of data stream updating to or downloading from the net. To fulfill this goal,  there should be firstly  established  rules  to  define which kinds of packet are allowed to go. If a program is refused to access the network, it cannot send any data to the network.
The  main  idea  of  data packet filtering is to intercept data packet. And by analyzing data packet, especially by checking source address, destination address, port number and protocol status of every  data  packet in data stream,  it is then decided whether or not to let go the data packet, which help us achieve the goal  of protecting the computer.

Key words：network security ；packet filtering；control rule

目  录
1 引言    1
1.1 课题意义    1
1.2 课题综述    1
1.2.1国内外发展情况    1
1.2.2网络安全技术介绍    2
2 关键技术    3
2.1 技术介绍    3
2.1.1    MFC介绍    3
2.1.2  数据包    3
2.2 可行性分析    4
2.3 开发环境及工具    4
2.3.1 开发环境    4
2.3.2 开发工具    4
3 系统的设计与实现    5
3.1系统概述    5
3.2.功能概述    6
3.2.1封包过滤功能    6
3.2.2封包监视窗口功能    6
3.2.3    控管规则设置窗口功能    6
3.3 各重要模块的设计与实现    7
3.3.1 模块接口定义和划分    7
3.3.2 FILTER.DLL封包过滤模块    7
3.3.3封包监视模块    10
3.3.4控管规则模块    12
3.3.5规则设置模块    12
4测试    14
4.1关键功能点的测试    14
4.1.1 数据包监听测试    14
4.1.2 控管规则设置测试    14
4.1.3 管制动作设置测试    15
4.1.4 测试出错（1）    17
4.1.5 测试出错（2）    17
4.2 测试总结    18
结    论    18
参考文献    18
声    明    20
 
 
1 引言
1.1 课题意义
随着网络安全问题日益严重，网络安全产品也被人们重视起来。内部的信息很容易暴露给Internet上的其它计算机，一旦受到攻击，计算机便没有能力来抵抗，保密信息有可能会被盗取，甚至连整台计算机上的数据都有可能被破坏掉，很容易造成无法晚会的损失。而基于Windows封包截获是放置在外部网络与计算机之间的一个隔离设备，它可以识别并屏蔽非法请求，有效防止跨越权限的数据访问。基于Windows封包截获将局域网的安全性统一到它本身，这就降低了计算机遭遇外部攻击的风险。
目前，网络安全产品可以说是百花齐放，迅猛发展。随着网络向各个领域的扩展，网络安全的重要性也日益被人们所认知。ICP提供商担心网站被攻击，因为这种事情发生得太频繁；使用网上交易的用户担心帐户密码被盗，因为窃取密码的工具比比皆是；软件公司担心源代码泄露。种种现象都表明网络安全越来越重要，这种事情随时都可能发生在我们自己身上。这也正是网络安全快速发展的原因。
由此可见，基于Windows封包截获的意义是非常重大的，在互连网已广泛普及的现代社会，一台接入互连网的计算机上不安装防火墙是不可想象的。
1.2 课题综述
1.2.1国内外发展情况
全球网络安全市场规模及发展趋势iResearch 统计2004 年全球网络安全产品市场规模已经达到了158.4 亿元，iResearch预测，未来几年全球网络安全市场的规模将会由2001 年的71.8 亿美元上升到2007 年的341.5 亿美元，其中中小企业采购所占的份额将会越来越高。
    中国网络安全市场规模及预测据iResearch 统计，2004 年中国网络安全市场总体收入达29.6 亿元人民币，而由于中国网络安全政策、企业需求等因素的影响，中国网络安全市场在未来一到两年内将会出现持续、平稳增长，到2007 年整个网络安全市场容量将会接近70 亿元人民币。
 图1-1 中国网络安全市场规模及预测

1.2.2网络安全技术介绍
数据加密技术是最基本的网络安全技术，被誉为信息安全的核心，最初主要用于保证数据在存储和传输过程中的保密性。它通过变换和置换等各种方法将被保护信息置换成密文，然后再进行信息的存储或传输，即使加密信息在存储或者传输过程为非授权人员所获得，也可以保证这些信息不为其认知，从而达到保护信息的目的。该方法的保密性直接取决于所采用的密码算法和密钥长度。
包过滤的主要功能是接收被保护网络和外部网络之间的数据包，根据访问控制策略对数据包进行过滤，只准许授权的数据包通行。
应用层网关位于TCP/IP协议的应用层，实现对用户身份的验证，接收被保护网络和外部之间的数据流并对之进行检查。在防火墙技术中，应用层网关通常由代理服务器来实现。通过代理服务器访问Internet网络服务的内部网络用户时，在访问Internet之前首先应登录到代理服务器，代理服务器对该用户进行身份验证检查，决定其是否允许访问Internet，如果验证通过，用户就可以登录到Internet上的远程服务器。同样，从Internet到内部网络的数据流也由代理服务器代为接收，在检查之后再发送到相应的用户。由于代理服务器工作于Internet应用层，因此对不同的Internet服务应有相应的代理服务器，常见的代理服务器有Web、Ftp、Telnet代理等。
网络安全扫描技术是为使系统管理员能够及时了解系统中存在的安全漏洞，并采取相应防范措施，从而降低系统的安全风险而发展起来的一种安全技术。利用安全扫描技术，可以对局域网络、Web站点、主机操作系统、系统服务以及防火墙系统的安全漏洞进行扫描，系统管理员可以了解在运行的网络系统中存在的不安全的网络服务，在操作系统上存在的可能导致遭受缓冲区溢出攻击或者拒绝服务攻击的安全漏洞，还可以检测主机系统中是否被安装了窃听程序，防火墙系统是否存在安全漏洞和配置错误。
网络入侵检测技术也叫网络实时监控技术，它通过硬件或软件对网络上的数据流进行实时检查，并与系统中的入侵特征数据库进行比较，一旦发现有被攻击的迹象，立刻根据用户所定义的动作做出反应，如切断网络连接，或通知防火墙系统对访问控制策略进行调整，将入侵的数据包过滤掉等。
黑客诱骗技术是近期发展起来的一种网络安全技术，通过一个由网络安全专家精心设置的特殊系统来引诱黑客，并对黑客进行跟踪和记录。这种黑客诱骗系统通常也称为蜜罐（Honeypot）系统，其最重要的功能是特殊设置的对于系统中所有操作的监视和记录，网络安全专家通过精心的伪装使得黑客在进入到目标系统后，仍不知晓自己所有的行为已处于系统的监视之中。