分享
 
 
 

Linux下Sniffer程序的实现

王朝system·作者佚名  2008-05-19
窄屏简体版  字體: |||超大  

Linux下Sniffer程序的实现

作者:Gianluca Insolvibile

整理:Seal(永远的FLASH)

出处:http://www.nsfocus.com

日期:2003-04-02

嗅探――Sniffer技术是网络安全领域里一项非常重要的技术!对于“Hacker”来说,他们可以以非常隐蔽的方式得到网络中传输的大量的敏感信息,如Telnet,ftp帐号和密码等等明文传送的信息!与主动扫描相比,嗅探的行为更加难以被察觉,操作起来也不是很复杂!对于网络管理人员来说,可以利用嗅探技术对网络活动进行监控,并及时发现各种攻击行为!

在这篇文章里,我们主要探讨在Linux下如何利用C语言来实现一个Sniffer!我们将假设所有的主机在一个局域网内。

首先,我们将简短的回顾一下一个普通的以太网卡是怎么工作的!(如果你对这方面的知识早已熟悉,那么你可以直接跳到下一段)来源于应用程序的IP报文被封装成以太网帧(这

是在以太网上传播的数据报文的名称),它是底层链路层报文上面的一层报文,包含有源地址

报文和一些需要用来传送至目标主机的信息。通常情况下,目的IP地址对应着一个6字节的目的以太网址(经常叫做MAC地址),它们之间通过ARP协议进行映射!就这样,包含着以太网帧的报文从源主机传输到目的主机,中间经过一些网络设备,如交换机,路由器等等,当然,因为我们的前提是主机在同一网内,所以我们的讨论不涉及以上这些网络设备!

在链路层中并不存在路线的概念,换句话说,源主机发出的帧不会直接指向目的主机,

而是基于广播方式传播,网络中的所有网卡都能看到它的传输。每个网卡会检查帧开始的6个字节(目的主机的MAC地址),但是只有一个网卡会发现自己的地址和其相符合,然后它接收这个帧,这个帧会被网络驱动程序分解,原来的IP报文将通过网络协议栈传送至接收的应用程序!

更准确的说,网络驱动程序会检查帧中报文头部的协议标识,以确定接收数据的上层协

议!大多数情况下,上层是IP协议,所以接收机制将去掉IP报文头部,然后把剩下的传送

至UDP或者TCP接收机制!这些协议,将把报文送到socket-handling机制,它将最后把报

文数据变成应用程序可接收的方式发送出去。在这个过程中,报文将失去所有的和其有关的

网络信息,比如源地址(IP和MAC),端口号,IP选择,TCP参数等等!所以如果目的主机没

有一个包含正确参数的打开端口,那么这个报文将被丢弃而且永远不会被送到应用层去!

因此我们在进行网络嗅探的时候有两个不同的问题:一个和以太网址有关,我们不能抓

到不是发给自己主机的包,另一个和协议栈的运行过程有关,我们需要一个SOCKET去监听每

个端口,得到那些没有被丢弃的报文!

第一个问题不是最根本的,因为我们可能不会对发往其他主机的报文有兴趣而只想嗅探

所有发往自己主机的报文。第二个问题是必须要解决的,下面我们将看到这个问题是怎么样

一步一步解决的!

当你打开一个标准的SOCKET套接字时,你需要指明你将使用哪个协议簇,大多数情况下

我们一般用PF_UNIX在本地机器间进行通信,PF_INET在基于IPv4协议簇基础之上进行通信,

你还需要指明所用的协议类型及与协议簇相关的确切数值,,在PF_INET协议簇中,常用的有

SOCK_STREAM(与TCP相关),SOCK_DGRAM(与UDP相关)。在把报文发送到应用程序前内核对

其的处理与SOCKET类型有关,你指定的协议将处理报文在SOCKET的传输!(具体细节问题你

可以man socket(3))

在LINUX内核版本中(2.0 releases),一个名为PF_PACKET的协议簇被加了进来!这个簇允许应用程序直接利用网络驱动程序发送和接收报文,避免了原来的协议栈处理过程,在这种情况下,所有SOCKET发出的报文直接送到以太网卡接口,而接口收到的任何报文将直接送到应用程序

The PF_PACKET协议簇支持两个稍微有点不同的SOCKET类型,SOCK_DGRAM和SOCK_RAW。

前者让内核处理添加或者去除以太网报文头部工作,而后者则让应用程序对以太网报文头部

有完全的控制!在SOCKET调用中的协议类型必须符合/usr/include/linux/if_ether.h

中定义的以太网IDs中的一个,除非遇到特别声明的协议,一般你可以用ETH_P_IP来处理

IP的一组协议(TCP,UDP,ICMP,raw IP等等)因为它们容易受到一些很严重的安全问题的牵

连(比如你可以伪造一个MAC地址),所以只有具有root权限才可以使用PF_PACKET-family

socket.这也就是为什么只有具有root权限后才能运行嗅探器的原因!

PF_PACKET-family 协议簇可以很容易解决协议栈处理嗅探来的数据报文时候遇到的问

题!我们一起来看看程序1,我们打开一个属于PF_PACKET-family 协议簇的SOCKET,指定

一个SOCK_RAW socket类型和IP相关协议类型。这时我们开始从SOCKET抓包,在一些相关

检查后.我们开始得到从链路层和IP层抓来的头部信息,。通过阅读程序一,你将会发现让应

用程序从网络层抓包其实并不难!

Example 1.

#include

#include

#include

#include

#include

#include

#include

int main(int argc, char **argv) {

int sock, n;

char buffer[2048];

unsigned char *iphead, *ethhead;

if ( (sock=socket(PF_PACKET, SOCK_RAW,

htons(ETH_P_IP)))

perror("socket");

exit(1);

}

while (1) {

printf("----------\n");

n = recvfrom(sock,buffer,2048,0,NULL,NULL);

printf("%d bytes read\n",n);

/* Check to see if the packet contains at least

* complete Ethernet (14), IP (20) and TCP/UDP

* (8) headers.

*/

if (n

perror("recvfrom():");

printf("Incomplete packet (errno is %d)\n",

errno);

close(sock);

exit(0);

}

ethhead = buffer;

printf("Source MAC address: "

"%02x:%02x:%02x:%02x:%02x:%02x\n",

ethhead[0],ethhead[1],ethhead[2],

ethhead[3],ethhead[4],ethhead[5]);

printf("Destination MAC address: "

"%02x:%02x:%02x:%02x:%02x:%02x\n",

ethhead[6],ethhead[7],ethhead[8],

ethhead[9],ethhead[10],ethhead[11]);

iphead = buffer+14; /* Skip Ethernet header */

if (*iphead==0x45) { /* Double check for IPv4

* and no options present */

printf("Source host %d.%d.%d.%d\n",

iphead[12],iphead[13],

iphead[14],iphead[15]);

printf("Dest host %d.%d.%d.%d\n",

iphead[16],iphead[17],

iphead[18],iphead[19]);

printf("Source,Dest ports %d,%d\n",

(iphead[20]

(iphead[22]

printf("Layer-4 protocol %d\n",iphead[9]);

}

}

}

PF_PACKET协议簇可以让一个应用程序把数据包变成似乎从网络层接收的样子,但是

没有办法抓到那些不是发向自己主机的包。正如我们前面看到的,网卡丢弃所有不含有主机

MAC地址的数据包,这是因为网卡处于非混杂模式,即每个网卡只处理源地址是它自己的帧!

只有三个例外:如果一个帧的目的MAC地址是一个受限的广播地址(255.255.255.255)那么

它将被所有的网卡接收:如果一个帧的目的地址是组播地址,那么它将被那些打开组播接收

功能的网卡所接收;网卡如被设置成混杂模式,那么它将接收所有流经它的数据包

最后一种情况当然是我们最感兴趣的了,把网卡设置成混杂模式,我们只需要发出一个

特殊的ioctl()调用在那个网卡上打开一个socket,因为这是一个具有危险性的操作,所以这

个调用只有具有root权限的用户才可完成,假设那个“sock”包含一个已经打开的socket,

下面的代码将完成这个操作:

strncpy(ethreq.ifr_name,"eth0",IFNAMSIZ);

ioctl(sock, SIOCGIFFLAGS, ðreq);

ethreq.ifr_flags |= IFF_PROMISC;

ioctl(sock, SIOCSIFFLAGS, ðreq);

下面我们来看一个完整的例子:

Example 2.

#include

#include

#include

#include

#include

#include

#include

#include

#include

#include

int main(int argc, char **argv) {

int sock, n;

char buffer[2048];

unsigned char *iphead, *ethhead;

struct i

 
 
 
免责声明:本文为网络用户发布,其观点仅代表作者个人观点,与本站无关,本站仅提供信息存储服务。文中陈述内容未经本站证实,其真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
2023年上半年GDP全球前十五强
 百态   2023-10-24
美众议院议长启动对拜登的弹劾调查
 百态   2023-09-13
上海、济南、武汉等多地出现不明坠落物
 探索   2023-09-06
印度或要将国名改为“巴拉特”
 百态   2023-09-06
男子为女友送行,买票不登机被捕
 百态   2023-08-20
手机地震预警功能怎么开?
 干货   2023-08-06
女子4年卖2套房花700多万做美容:不但没变美脸,面部还出现变形
 百态   2023-08-04
住户一楼被水淹 还冲来8头猪
 百态   2023-07-31
女子体内爬出大量瓜子状活虫
 百态   2023-07-25
地球连续35年收到神秘规律性信号,网友:不要回答!
 探索   2023-07-21
全球镓价格本周大涨27%
 探索   2023-07-09
钱都流向了那些不缺钱的人,苦都留给了能吃苦的人
 探索   2023-07-02
倩女手游刀客魅者强控制(强混乱强眩晕强睡眠)和对应控制抗性的关系
 百态   2020-08-20
美国5月9日最新疫情:美国确诊人数突破131万
 百态   2020-05-09
荷兰政府宣布将集体辞职
 干货   2020-04-30
倩女幽魂手游师徒任务情义春秋猜成语答案逍遥观:鹏程万里
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案神机营:射石饮羽
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案昆仑山:拔刀相助
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案天工阁:鬼斧神工
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案丝路古道:单枪匹马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:与虎谋皮
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:李代桃僵
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:指鹿为马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:小鸟依人
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:千金买邻
 干货   2019-11-12
 
推荐阅读
 
 
 
>>返回首頁<<
 
靜靜地坐在廢墟上,四周的荒凉一望無際,忽然覺得,淒涼也很美
© 2005- 王朝網路 版權所有