Sniffer(嗅探器)是一种基于被动侦听原理的网络分析方式。将网络接口设置在监听模式,便可以将网上传输的源源不断的信息截获。对于网络监听的基本原理我们不在赘述,我们也不开启网卡的混杂模式,因为现在的网络基本都使用了交换机,因此混杂模式也似乎变得无用武之地了。
Sniffer实现的底层支持有多种,如libpcap、套接字方式,libpcap是unix/linux平台下的网络数据包捕获函数包,对应windows下的是winpcap,大多数网络监控软件都以它为基础,比如大名鼎鼎的wireshark。libpcap目前支持源自Berkeley内核中的BPF、Solaris 2.X 和HP-UX中的DLPI、SunOS 4.1.x中的NIT、Linux的SOCK_PACKET套接字和PF_PACKET套接字。也就是说,linpcap在linux下的实现是基于以上两类套接字的,而我们主要讨论的就是直接通过套接字来获取链路层的数据。
Linux先后有两个从数据链路层获取分组的方法,较旧的方法是创建类型为SOCK_PACKET的套接字,这个方法的可用面较宽,但是缺乏灵活性,较新的方法是创建协议族为PF_PACKET的套接字,这个方法引入了更多的过滤和性能特性。举例来说,从数据链路层接受所有帧应如下创建套接字:
fd = socket(PF_PACKET, SOCK_RAW, htons(ETH_P_ALL)); /*较新的方法*/ 或 fd = socket(AF_INET, SOCK_PACKET, htons(ETH_P_ALL)); /*较旧的方法*/
这里要说明的是,这两个函数的最后一个参数表明了接受链路层所有类型的以太网帧,若只想捕获IPv4帧,那就把最后一个参数改为htons(ETH_P_IP),其宏定义在linux/if_ether.h头文件中。另外,PF_PACKET协议簇支持两个不同的SOCKET类型,SOCK_DGRAM和SOCK_RAW,用SOCK_RAW创建的套接字,我们获得的是包含二层头的帧,而使用SOCK_DGRAM套接字类型,我们获取的数据不包含二层的头。
如果想设置网卡的混杂模式, 对于PF_PACKET套接字,通过设置PACKET_ADD_MEMBERSHIP套接字选项实现,在作为setsockopt第四个参数传递的packet_mreq结构中需指定网络接口和值为PACKET_MR_PROMISC。linux的数据链路层访问方法不提供内核缓冲,而且也只有较新的方法提供内核过滤(通过设置SO_ATTACH_FILTER套接字选项安装),在本程序中我们没有使用过滤功能。
#include<stdio.h> #include<stdlib.h> #include<string.h> #include<netinet/ip_icmp.h> #include<netinet/tcp.h> #include<netinet/udp.h> #include<arpa/inet.h> #include<sys/socket.h> #include<sys/types.h> #include<linux/if_ether.h> #include<arpa/inet.h> #include <unistd.h> #define BUFFSIZE 1024 int main(int argc, char *argv[]){ int rawsock; unsigned char buff[BUFFSIZE]; int n; int count = 0; char ch; char proto[6], saddr[20] = {}, daddr[20] ={}, address[20]= {}; int slen = 0; rawsock = socket(PF_PACKET,SOCK_DGRAM, htons(ETH_P_IP)); if(rawsock < 0){ printf("raw socket error!\n"); exit(1); } while((ch = getopt(argc, argv, "p:s:d:h")) != -1){ switch (ch) { case ‘p‘: slen = strlen(optarg); if(slen > 4){ fprintf(stdout, "The protocol is error!\n"); return -1; } memcpy(proto, optarg, slen); proto[slen] = ‘\0‘; break; case ‘s‘: slen = strlen(optarg); if(slen > 15 || slen < 7){ fprintf(stdout, "The IP address is error!\n"); return -1; } memcpy(saddr, optarg, slen); saddr[slen] = ‘\0‘; break; case ‘d‘: slen = strlen(optarg); if(slen > 15 || slen < 7){ fprintf(stdout, "The IP address is error!\n"); return -1; } memcpy(daddr, optarg, slen); saddr[slen] = ‘\0‘; break; case ‘h‘: fprintf(stdout, "usage: snffer [-p protocol] [-s source_ip_address] [-d dest_ip_address]\n" " -p protocol[TCP/UDP/ICMP]\n" " -s souce ip address\n" " -d dest ip address\n"); exit(0); case ‘?‘: fprintf(stdout, "unrecongized option: %c\n", ch); exit(-1); } } while(1){ n = recvfrom(rawsock,buff,BUFFSIZE,0,NULL,NULL); if(n<0){ printf("receive error!\n"); exit(1); } count++; struct ip *ip = (struct ip*)(buff); if(strlen(proto)){ if(!strcmp(proto, "TCP")){ if(ip->ip_p != IPPROTO_TCP) continue; else goto addr; }else if(!strcmp(proto, "UDP")){ if(ip->ip_p != IPPROTO_UDP) continue; else goto addr; }else if(!strcmp(proto, "ICMP")){ if(ip->ip_p != IPPROTO_ICMP) continue; else goto addr; } } addr: if(strlen(saddr)){ strcpy(address, inet_ntoa(ip->ip_src)); if(strcmp(address, saddr) != 0) continue; } if(strlen(daddr)){ strcpy(address, inet_ntoa(ip->ip_dst)); if(strcmp(address, daddr) != 0) continue; } printf("%4d %15s",count,inet_ntoa(ip->ip_src)); printf("%15s %5d %5d\n",inet_ntoa(ip->ip_dst),ip->ip_p,ntohs(ip->ip_len)); int i=0,j=0; for(i=0;i<n;i++){ if(i!=0 && i%16==0){ printf(" "); for(j=i-16;j<i;j++){ if(buff[j]>=32&&buff[j]<=128) printf("%c",buff[j]); else printf("."); } printf("\n"); } if(i%16 == 0) printf("%04x ",i); printf("%02x",buff[i]); if(i==n-1){ for(j=0;j<15-i%16;j++) printf(" "); printf(" "); for(j=i-i%16;j<=i;j++){ if(buff[j]>=32&&buff[j]<127) printf("%c",buff[j]); else printf("."); } } } printf("\n\n"); } }