�|�络嗅探软�g的设计与分析

☜♥☞MengChuChen — Wed, 16 May 2007 05:53:00 GMT

�?�?/span> 本文介绍了网�l�嗅探器软�g的功能，以及�|�络嗅探软�g设计的原理，�q�以软�g设计的模块化思想��Z��介绍了编写一个网�l�嗅探��Y件的��M��设计思想以及主要代码设计�Q�同时对涉及到的若干�|�络�~�程知识以及一些网�l�基本知识进行了介绍。本文的最后也指出了此�|�络嗅探软�g设计的另一个发展方向�?/span>

关键�? �|�络嗅探�?/span> ��h��模式模块化设�?/span>

1 �?/span> �a�

2 �|�络嗅探软�g的设计原�?/span>

嗅探器可以理解�ؓ一个安装在计算��Z��的窃听设备，它可以用来窃听计��机在网�l�上所产生的众多的信息�Q�可以窃听计��机�E�序在网�l�上发送和接收到的数据�Q�用来接收在�|�络上传输的信息�?/span>

很多计算机网�l�采用的�?/span>“�׃�n媒体"。也��是��_��不必中断他的通讯�Q��ƈ且配�|�特别的�U��\�Q�再安装嗅探器，几乎可以在�Q何连接着的网�l�上直接�H�听到同一掩码范围内的计算机网�l�数据。这�U�窃听方式�ؓ“��Z��h��模式的嗅�?/span>”�Q?/span>promiscuous mode�Q��?/span>

2.1 以太�|�的工作原理

以太�|�的数据传输是基�?/span>“�׃�n”原理的：所有的同一本地�|�范围内的计��机共同接收到相同的数据包。这意味着计算机直接的通讯都是透明可见的。正是因��L��原因�Q�以太网卡都构造了��g�?/span>“�q��o�?/span>”,�q�个�q��o器将忽略掉一切和自己无关的网�l�信息。事实上是忽略掉了与自��nMAC地址不符合的信息。嗅探程序正是利用了�q�个特点�Q�它把网卡设�|��ؓ“��h��模式”。因此，嗅探�E�序��p��够接收到整个以太�|�内的网�l�数据信息了�?/span>

在以太网中所有的通讯都是�q�播的，也就是说通常在同一个网�D늚�所有网�l�接口都可以讉K��在物理媒体上传输的所有数据，而每一个网�l�接口都有一个唯一的硬件地址�Q�这个硬件地址也就是网卡的MAC地址。大多数�pȝ��使用48比特的地址�Q�这个地址用来表示

�|�络中的每一个设备。一般来说每一块网卡上�?/span>MAC地址都是不同的，每个�|�卡厂家得到一�D�地址�Q�然后用�q�段地址分配�l�其生��的每个网卡一个地址。在��g地址�?/span>IP地址间��?/span>ARP�?/span>RARP协议�q�行�怺�转换�?/span>

在正常的情况下，一个网�l�接口应该只响应�q�样的两�U�数据��Q?/span>

�?/span> 与自��q��件地址相匹配的数据帧�?/span>

�?/span> 发向所有机器的�q�播数据帧�?/span>

2.2 �|�卡的工作原�?/span>

在一个实际的�pȝ��中，数据的收发是��q��卡来完成的。网卡接收到传输来的数据�Q�网卡内的单片程序接收数据��的目�?/span>MAC地址。根据计��机上的�|�卡驱动�E�序讄��的接收模式判断该不该接收。认��接收��接收后产生中断信号通知CPU�Q�认��Z��该接收就丢掉不管。所以不该接收的数据�Q�网卡就截断了，计算机根本就不知道�?/span>CPU得到中断信号产生中断�Q�操作系�l�就�Ҏ(gu��)��|�卡的驱动程序设�|�的�|�卡中断�E�序地址调用驱动�E�序接收数据�Q�驱动程序接收数据后攑օ�信号堆栈让操作系�l�处理�?/span>

对于�|�卡一般有四种接收模式�Q?/span>

�?/span> �q�播方式�Q�该模式下的�|�卡能够接收�|�络中的�q�播信息�?/span>

�?/span> �l�播方式�Q�设�|�在该模式下的网卡能够接收组播数据�?/span>

�?/span> 直接方式�Q�在�q�种模式下，只有目的�|�卡才能接收该数据�?/span>

�?/span> ��h��模式�Q�在�q�种模式下的�|�卡能够接收一切通过它的数据,而不��该数据是否是传�l�它的�?/span>

数据�?/span>MAC

接口配置模式

产生中断�Q�通知CPU

不处理，丢弃

本地接口��g地址

�q�播地址

其他��g地址

��h��模式

非�؜合模�?/span>

数据�?/span>MAC

接口配置模式

产生中断�Q�通知CPU

不处理，丢弃

数据�?/span>

2.3 �|�络嗅探软�g的工作原�?/span>

�Ҏ(gu��)��以上的介�l�，我们可以得出�l�论如下�Q?/span>

首先�Q�在以太�|�中是基于广播方式传送数据的�Q�也��是��_��所有的物理信号都要�l�过我的机器。再�ơ，�|�卡可以�|�于一�U�模式叫��h��模式�Q?/span>promiscuous mode�Q�，在这�U�模式下工作的网卡能够接收到一切通过它的数据�Q�而不��实际上数据的目的地址是不是它。这��是以下��要介绍的网�l�嗅探��Y件的工作的基本原理：让网卡接收一切它所能接收的数据�?/span>

计算机直接所传送的数据�Q�事实上是大量的二进制数据。因�?/span>, 一个网�l�窃听程序还必须也��用特定的�|�络协议来分解嗅探到的数据，嗅探器也��必��能够识别出哪个协议对应于这个数据片断，只有�q�样才能够进行正��的解码�?/span>

3 �|�络嗅探软�g的设计实�?/span>

该网�l�嗅探��Y件能够从�|�络上读取数据包�q�且解析数据包报文头中各字段的意义。能够分析数据��以及所使用的协议的�c�d��?/span>

3.1 �|�络嗅探软�g的模块结�?/span>

设计该网�l�嗅探��Y件可分�ؓ以下几个步骤�Q?/span>

�?/span> 创徏套接�?/span>

�?/span> 把网卡设�|��ؓ��h��模式

�?/span> 捕获数据�?/span>

�?/span> 分析数据�?/span>

3.2 模块说明

⑴　该网�l�嗅探��Y件主要是�q�用LINUX环境下的SOCKET�~�程。网�l�的SOCKET数据传输是一�U�特�D�的I/O, SOCKET也是一�U�文件描�q�符。该�|�络嗅探软�g设计的目的是截获所有的数据包，卛_��括所有的协议�?/span>

Socket�Q�）函数的定义式如下�Q?/span>

Sockfd = socket ( int family, int type, int protocol ) �Q?/span>

�W�一个参数是地址�c�d��Q�如果选用AF UNIX, 是用于本��Z��不同�q�程之间�q�行通信�Q�而设�?/span>AF INET 则是用于不同��L��之间的通信�Q�第二个参数�?/span>socket的类型参敎ͼ�主要�?/span>4�U�参数类型如下：

①　SOCK DRAM�Q?/span>used for udp datagrams.

②　SOCK STREAM�Q?/span>used for tcp packets.

③　SOCK RAW�Q?/span>used to bypass the transport layer and directly access the IP layer.

　④　SOCK PACKET�Q?/span>this is linux specific, it is similuar to sock raw except it accesses the DATA LINK layer.

�W�三个参数是协议参数�Q�指定程序��用具体的协议�?/span>

在此�E�序中�ؓ截获包含所有协议的数据包，故在�E�序的开始就写语句：

�Q?/span>define PROTO htons �Q?/span>0x0003�Q?/span>/ *Ethernet code for all protol */

且在本程序中socket�Q�）函数的第二个参数选用sock packet�?/span>

��c��套接字创建成功之后，��可以选择�|�络接口�q�加以参数控制了。进入第二个模块�Q�设�|�网卡于��h��模式�?/span>

在程序中有一个单独的自定义函数是用来��网卡设�|��ؓ��h��模式的。在�q�个模块中主要是调用�?/span>ioctl 函数�Q?/span>ioctl 函数是用来控制特�D�文件的底层讑֤�参数的，�q�些�Ҏ(gu��)��文�g通常是终端、套接字和接口�?/span>ioctl 函数的定义如下：

ioctl�Q?/span>sock�Q?/span> SIOCGIFFLAGS, &ifr �Q?/span>

ioctl�Q�）函数中第一个参数是一个打开的原始套接字描述�W?#8220;sock”�Q�第二个参数是所要执行的��h��操作。这里，��h��操作�?#8220;SIOCGIFFLAGS”�Q�意思是获取接口“etho”的标记符。第三个参数是接口请求数据结构的地址指针�Q�该�l�构中包含了所要进行请求操作的接口名称倹{�?/span>

⑶　�|�络接口讄��为�؜杂模式以后，接着��可以接收数据包�?/span>, �q�入捕获数据包的模块�?/span>

recvfrom ( if_eth_fd, &ep, sizeof (ep), 0, &dest, &dlen );

�q�个函数要做的就是接收数据，�q�把接收到的数据攑օ�buffer中�?/span>

⑗��在成功的接收到数据包后，�E�序��进入下一个模块：分析数据包�?/span>

�q�里要介�l�一下有关的�|�络基本知识�Q�首先介�l�一�?/span>TCP/IP的分层：

�?/span>TCP/IP协议族中�Q�有很多�U�协议。可用图一��单概�?/span>TCP/IP协议族中不同层次的协议。如图所�C�，�׃��TCP�?/span>UDP�?/span>ICMP�?/span>IGMP都要�?/span>IP传送数据，因此IP必须在生成的IP首部中加入某�U�标识，以表明数据属于哪一层。�ؓ此，IP在首部中存入一个长度�ؓ8 bit的数据，�U�C��协议域�?/span>1表示�?/span>ICMP协议�Q?/span>2表示�?/span>IGMP协议�Q?/span>6表示�?/span>TCP协议�Q?/span>17表示�?/span>UDP协议。类似地�Q�许多应用程序都可以使用TCP�?/span>UDP来传送数据。运输层协议在生成报文首部时要存入一个应用程序的标识�W��?/span>TCP�?/span>UDP都用一�?/span>16 bit的端口号来表�C�Z��同的应用�E�序�?/span>TCP�?/span>UDP把源端口号和目的端口号分别存入报文首部中。网�l�接口分别要发送和接收IP�?/span>ARP�?/span>RARP数据�Q�因此也必须在以太网的��首部中加入某�U��Ş式的标识�Q�以指明生成数据的网�l�层协议。�ؓ此，以太�|�的帧首部也有一�?/span>16 bit的��c�d��域�?/span>

TCP

UDP

ICMP

IGMP

ARP

��g接口

RARP

用户�q�程用户�q�程用户�q�程用户�q�程应用�?/span> �q�输�?�|�络�?/span> 链�\�?/span>

媒体

�Q�图一�Q?/span>

�|�络嗅探�E�序在分析数据包�q�一阶段正是�Ҏ(gu��)��了网�l�的工作原理�Q�在收到一个以太网数据帧时�Q�数据就开始从协议栈中由底向上升，同时��L��各层协议加上的报文首部。每层协议盒都要��L��查报文首部中的协议标识，以确定接收数据的上层协议。这个过�E�即是分用�?/span>

4 �q�一步的发展方向

�q�有很多的功能可以加入到本文所设计的��Y件中�Q��其变得更加完整。它的另一个发展的方向��是�q�一步更好的分析数据包中的数据部分，�q�能够把分析出来的数据从ASCII码�{换�ؓ自然语言�Q�这��p��够给用户带来很大的方�ѝ�?/span>

☜♥☞MengChuChen 2007-05-16 13:53 发表评论

亚洲国产精品美女,2014亚洲精品,久久久男人天堂

�|�络嗅探软�g的设计与分析