基于WinDis32技术实现网络通信监测

　　基于WinDis32技术实现网络通信监测基于WinDis32技术实现网络通信监测基于WinDis32技术实现网络通信监测基于WinDis32技术实现网络通信监测解放军电子工程学院孙乐昌
　　【摘要】本文论述了网络通信监测的实现原理与实现过程，遵照国际标准化开放系统互联（OSI）七层体系结构，利用网络驱动接口规范WinDis32V5。0技术，实现了在应用层对数据链路层的控制，完成了对网上流动数据帧的实时截获、解封与分析。
　　【关键词】网络分层WinDis32技术网络信息截获数据帧NDIS网络适配器
　　1前言
　　随着计算机网络技术的发展，各类网络规模的扩大，远程访问的增加，虚拟专用网（VPN）的出现和Internet的普及，网络安全性已成为计算机网络领域一门重要的研究学科。
　　网络监控是保障网络安全性的基本措施之一。网络监控，用于监测网上流动信息，并对网络信息给予适当控制。网络监控，可用于调试网络应用程序，判断应用程序是否正确地发送或接收了数据包。网络监控，还可用于监视网络信息，杜绝不健康站点的不健康内容，维护网络环境。应用于安全防范，可监视我方信息内容、保障网络安全，截获情报、分析怀有敌意方的网站。在计算机网络上实施有效的攻击与保护，是网络监控技术在军事上的重要发展方向之一。
　　本文论述的网络通信实时监测的实现，是用于特殊目的的数据通信程序设计的突破口，是网络监控技术的基础部分，其实现基于网络体系结构与WinDis32技术。
　　2网络体系结构
　　现代计算机网络设计是按高度的结构化方式进行的，国际标准化组织（ISO）为更广泛的计算机互联制定了标准化的开放系统互联（OSI）网络体系结构，如图1所示。
　　OSI参考模型用结构描述方法，即分层描述的方法，将整个网络的通信功能划分为七个部分（也叫七个层次），每层各自完成一定的功能。由低层至高层分别称为物理层、数据链路层、网络层、传输层、会话层、表示层和应用层。两台网络主机之间进行通信时，发送方将数据从应用层向下传递到物理层，每一层协议模块为下一层进行数据封装，数据流经网络，到达接收方，接着再由下而上通过协议栈传递，并与接收方应用程序进行通信。
　　在通用网络中，数据链路层由网络适配器实现，本文中网络通信监测的立足点在于数据链路层，基于电缆是固有的广播性介质，通过对网络适配器的控制，实时截获与分析经过网络适配器的所有网上流动信息。
　　3WinDis32技术
　　WinDis32全称为Win32NDIS（NetworkDriverInterfaceSpecification）网络驱动接口规范，用于开发Windows产品，可在Windows9X和WindowsNT上直接访问NDIS媒体访问控制（MAC）驱动接口。图2显示了Windows网络驱动组件与Win32NDIS结构组件：
　　图2Windows网络驱动组件与Win32NDIS结构组件
　　WinDis32网络组件由四部分组成：NDIS适配器、PCANDIS5NDIS协议驱动、W32N50WinDis32APIDLL、WinDis32应用程序。WinDis32应用程序调用W32N50。DLL动态链接库提供的API应用程序接口，通过NDIS协议驱动模块，实现对NDIS适配器进行的存取操作。网络驱动接口规范NDIS的主要特征是所有适配器相关驱动均由NDIS接口打包，例如，最底层NDISNIC驱动不能对网卡直接执行IO，它通过NDIS打包服务来访问硬件；高层WindowsNDIS网络组件使用NDIS打包界面与适配器相关驱动通信。只有NDIS协议驱动可以调用NDIS打包，访问NDIS适配器。
　　WinDis32应用程序接口函数包括：W32NOpenAdapter（），打开一个已被命名的NDIS适配驱动器，若操作成功，则生成一个面向适配器对象的WinDis32适配器句柄，这一句柄被随后多个在该适配器上操作的W32NXXX函数所用；W32NCloseAdapter（），关闭已打开的适配器句柄；W32NPacketRead（），数据帧读操作；W32NPacketReadEx（），数据帧异步读操作；W32NPacketSend（），发送数据帧操作；W32NPacketSendEx（）、W32NMakeNdisRequest（）等等。
　　WinDis32技术使得从Win32应用层进行NDIS请求如同在一个内核模式的驱动器内部进行请求一样简单，并支持多个网络适配器同时打开，完成各自的信息发送与接收。
　　4网络信息监测的实现
　　网络信息监测程序分为信息截获与信息分析两大部分，其中信息截获程序流程如图3所示，采用多进程与多线程技术，完成数据的实时截获。
　　其中网络适配器列表通过读取系统注册表生成；网络适配器详细信息包括适配器型号、网络适配器物理地址、传输最大帧、传输速率以及机内标识符，通过函数W32NMakeNdisRequest（）获得。
　　协议过滤部分是包括PCAUSA端口的PCANDIS5协议驱动，BPF过滤器是由UNIX环境到Windows的模拟机制，为Win32应用程序提供了一种普通而又便利的机制，可过滤指定协议，由协议驱动执行，拒绝不想要的数据帧。支持协议包括：传输控制协议TCP、互连网协议IP、地址解析协议ARP、反向地址解析协议RARP、互连网控制报文协议ICMP、互连网组管理协议IGMP、NovellSPXIPX协议IPX、用户数据报协议UDP、NetBEUI协议、AppleTalk协议。
　　信息分析部分利用已获知的媒体访问控制协议，提取出数据帧中的有效域值，如源主机物理地址、目的主机物理地址、帧长度等。并同时为每一被截获的数据包打上时标，注上序列号，为下一步数据重组提供可靠依据。
　　接收数据帧显示与信息统计结果范例如下：
　　包序列号：0000000032时间：0005860470msec长度：5454
　　Ethernet目的：00。40。05。39。A2。B0源：00。00。B4。86。74。FA类型：0x0800
　　000000：00400539A2B00000：B48674FA08004500。。9。。。。。。t。。。E。
　　000030：223812EA0000：8。。。。。。。。。。。。。。
　　包序列号：0000000033时间：0005860764msec长度：109109
　　Ethernet目的：00。40。05。39。A2。B0源：00。00。B4。86。74。FA类型：0x0800
　　000000：00400539A2B00000：B48674FA08004500。。9。。。。。。t。。。E。
　　000030：2238DEC600000000：0033FF534D421A008。。。。。。。3。SMB。。
　　000040：0000000000800000：0000000000000000。。。。。。。。。。。。。。。。
　　000050：00000308252D0308：014C080108008010。。。。。。。L。。。。。。
　　000060：0000100000000000：0000000000。。。。。。。。。。。。。。。。
　　包序列号：0000000034时间：0005860766msec长度：15141514
　　Ethernet目的：00。00。B4。86。74。FA源：00。40。05。39。A2。B0类型0x0800
　　000000：0000B48674FA0040：0539A2B008004500。。。。t。。。9。。。。E。
　　000010：05DC640B40008006：FF68646464656464。。d。。。。。hdddedd
　　000020：647A008B0406006C：24B90040BF4B5010dz。。。。。l。。。KP。
　　。。。
　　停止数据帧接收
　　应用统计：
　　已接收数据帧数目：34
　　已发送数据帧数目：0
　　5进一步研究与发展
　　本文所研究的网络信息监测属于计算机网络系统安全对策研究的一部分，属于网络信息监测的基础性研究。以此研究成果为基础，可进行进一步的软件开发，从而实现网络通信状况实时监测、情报获取、网上各站点地址分析、站点类型分析，为计算机网络的安全维护提供监测手段，因此，具有特别的意义。
　　参考文献
　　1。PCAUSAWinDis32V5。0文档1998。3
　　2。刘锦德等计算机网络大全电子工业出版社1997。7
　　3。KrisJamsa等INTERNET编程电子工业出版社1996。5
　　4。DavidJ。KruglinskiVisualC技术内幕清华大学出版社1996。56。张国峰C语言及其程序设计教程电子工业出版社1992。12
　　7。汤子瀛等计算机操作系统西安电子科技大学出版社1998。4
　　8。刘彦明等实用网络编程技术西安电子科技大学出版社1998。4
　　9。何莉等计算机网络概论高等教育出版社1995。4
　　10。杜毅Unix系统组网技术电子工业出版社1998。3