Sniffer(嗅探器)是一种基于被动侦听原理的网络分析方式。将网络接口设置在监听模式,便可以将网上传输的源源不断的信息截获。对于网络监听的基本原理我们不在赘述,我们也不开启网卡的混杂模式,因为现在的网络基本都使用了交换机,因此混杂模式也似乎变得无用武之地了。
Sniffer实现的底层支持有多种,如libpcap、套接字方式,libpcap是unix/linux平台下的网络数据包捕获函数包,对应windows下的是winpcap,大多数网络监控软件都以它为基础,比如大名鼎鼎的wireshark。libpcap目前支持源自Berkeley内核中的BPF、Solaris 2.X 和HP-UX中的DLPI、SunOS 4.1.x中的NIT、Linux的SOCK_PACKET套接字和PF_PACKET套接字。也就是说,linpcap在linux下的实现是基于以上两类套接字的,而我们主要讨论的就是直接通过套接字来获取链路层的数据。
Linux先后有两个从数据链路层获取分组的方法,较旧的方法是创建类型为SOCK_PACKET的套接字,这个方法的可用面较宽,但是缺乏灵活性,较新的方法是创建协议族为PF_PACKET的套接字,这个方法引入了更多的过滤和性能特性。举例来说,从数据链路层接受所有帧应如下创建套接字:
fd = socket(PF_PACKET, SOCK_RAW, htons(ETH_P_ALL)); /*较新的方法*/
或
fd = socket(AF_INET, SOCK_PACKET, htons(ETH_P_ALL)); /*较旧的方法*/
这里要说明的是,这两个函数的最后一个参数表明了接受链路层所有类型的以太网帧,若只想捕获IPv4帧,那就把最后一个参数改为htons(ETH_P_IP),其宏定义在linux/if_ether.h头文件中。另外,PF_PACKET协议簇支持两个不同的SOCKET类型,SOCK_DGRAM和SOCK_RAW,用SOCK_RAW创建的套接字,我们获得的是包含二层头的帧,而使用SOCK_DGRAM套接字类型,我们获取的数据不包含二层的头。
如果想设置网卡的混杂模式, 对于PF_PACKET套接字,通过设置PACKET_ADD_MEMBERSHIP套接字选项实现,在作为setsockopt第四个参数传递的packet_mreq结构中需指定网络接口和值为PACKET_MR_PROMISC。linux的数据链路层访问方法不提供内核缓冲,而且也只有较新的方法提供内核过滤(通过设置SO_ATTACH_FILTER套接字选项安装),在本程序中我们没有使用过滤功能。
#include<stdio.h>
#include<stdlib.h>
#include<string.h>
#include<netinet/ip_icmp.h>
#include<netinet/tcp.h>
#include<netinet/udp.h>
#include<arpa/inet.h>
#include<sys/socket.h>
#include<sys/types.h>
#include<linux/if_ether.h>
#include<arpa/inet.h>
#include <unistd.h> #define BUFFSIZE 1024 int main(int argc, char *argv[]){ int rawsock;
unsigned char buff[BUFFSIZE];
int n;
int count = ;
char ch;
char proto[],
saddr[] = {},
daddr[] ={},
address[]= {};
int slen = ; rawsock = socket(PF_PACKET,SOCK_DGRAM, htons(ETH_P_IP));
if(rawsock < ){
printf("raw socket error!\n");
exit();
}
while((ch = getopt(argc, argv, "p:s:d:h")) != -){
switch (ch) {
case 'p':
slen = strlen(optarg);
if(slen > ){
fprintf(stdout, "The protocol is error!\n");
return -;
}
memcpy(proto, optarg, slen);
proto[slen] = '\0';
break;
case 's':
slen = strlen(optarg);
if(slen > || slen < ){
fprintf(stdout, "The IP address is error!\n");
return -;
}
memcpy(saddr, optarg, slen);
saddr[slen] = '\0';
break;
case 'd':
slen = strlen(optarg);
if(slen > || slen < ){
fprintf(stdout, "The IP address is error!\n");
return -;
}
memcpy(daddr, optarg, slen);
saddr[slen] = '\0';
break;
case 'h':
fprintf(stdout, "usage: snffer [-p protocol] [-s source_ip_address] [-d dest_ip_address]\n"
" -p protocol[TCP/UDP/ICMP]\n"
" -s souce ip address\n"
" -d dest ip address\n");
exit();
case '?':
fprintf(stdout, "unrecongized option: %c\n", ch);
exit(-);
}
}
while(){
n = recvfrom(rawsock,buff,BUFFSIZE,,NULL,NULL);
if(n<){
printf("receive error!\n");
exit();
} count++;
struct ip *ip = (struct ip*)(buff);
if(strlen(proto)){
if(!strcmp(proto, "TCP")){
if(ip->ip_p != IPPROTO_TCP)
continue;
else
goto addr;
}else if(!strcmp(proto, "UDP")){
if(ip->ip_p != IPPROTO_UDP)
continue;
else
goto addr;
}else if(!strcmp(proto, "ICMP")){
if(ip->ip_p != IPPROTO_ICMP)
continue;
else
goto addr;
}
} addr:
if(strlen(saddr)){
strcpy(address, inet_ntoa(ip->ip_src));
if(strcmp(address, saddr) != )
continue;
}
if(strlen(daddr)){
strcpy(address, inet_ntoa(ip->ip_dst));
if(strcmp(address, daddr) != )
continue;
} printf("%4d %15s",count,inet_ntoa(ip->ip_src));
printf("%15s %5d %5d\n",inet_ntoa(ip->ip_dst),ip->ip_p,ntohs(ip->ip_len)); int i=,j=;
for(i=;i<n;i++){
if(i!= && i%==){
printf(" ");
for(j=i-;j<i;j++){
if(buff[j]>=&&buff[j]<=)
printf("%c",buff[j]);
else printf(".");
}
printf("\n");
}
if(i% == ) printf("%04x ",i);
printf("%02x",buff[i]); if(i==n-){
for(j=;j<-i%;j++) printf(" ");
printf(" ");
for(j=i-i%;j<=i;j++){
if(buff[j]>=&&buff[j]<)
printf("%c",buff[j]);
else printf("."); } } } printf("\n\n"); }
}