我的嗅探器程序无法分析数据包的类型

包

0. 前言

来源：《Computer Security》A Hands-on Approach — Wenliang Du

所有的代码/文档见github：https://github.com/da1234cao/computer_security

chapter 12 Packet sniffing and spoffing.

这一章有点硬核。知识点不难，但对socket编程有点要求。

我看过《unix网络编程》第一卷 前五章 ,背景知识还是相当欠缺。这章内容虽然看完，基本明白，但距离实际动手完成一个简单的有线/无线嗅探工具还挺远。本文，暂时仅仅看看书上的嗅探实现。

1. 摘要与总结

首先介绍了网卡的工作原理，嗅探需要网卡的工作模式（杂乱模式/监控模式）。

为了提早过滤过滤不需要的数据包，介绍了BPF。

接着用三种方式：普通套接字，原生套接字，pcap API，递进的讲述了包的嗅探过程。

2. 包(Packet)的接收

2.1 网卡

参考文章：网卡工作原理详解 、关于网络的混杂模式 、实战无线网络分析（篇一）无线监听

简单了解下：

网卡(Network Interface Card,NIC)是一块被设计用来允许计算机在计算机网络上进行通讯的计算机硬件。每块网卡有一个硬件地址，被称为MAC地址；网卡接入网络，使得用户可以通过电缆或无线相互连接；用户A要发送信息给B，通过电缆或者无线进行广播；每一块网卡都将广播的内容拷贝到自己的网卡内存中，检查头部信息中的MAC地址，判断是否是发送给自己的。如果是则将其拷贝进入内存，否则丢弃；因为MAC唯一，所以最后只有B接受了用户A的信息。

维基百科：混杂模式(promiscuous mode)。一般计算机网卡都工作在非混杂模式下，此时网卡只接受来自网络端口的目的地址指向自己的数据。当网卡工作在混杂模式下时，网卡将来自接口的所有数据都捕获并交给相应的驱动程序。网卡的混杂模式一般在网络管理员分析网络数据作为网络故障诊断手段时用到，同时这个模式也被网络黑客利用来作为网络数据窃听的入口。在Linux *** 作系统中设置网卡混杂模式时需要管理员权限。在Windows *** 作系统和Linux *** 作系统中都有使用混杂模式的抓包工具，比如著名的开源软件Wireshark。

监控模式(monitor mode)。 类似于有线网络的混杂模式。 无线网卡在监视模式下运行时支持嗅探。 与以太网不同，无线设备面临附近其他设备的干扰。 这将严重阻碍网络连接的性能。 为解决此问题，WIFI设备在不同的信道上传输数据。接入点将附近的设备连接到不同的信道，以减少它们之间的干扰影响。 Wifi网卡还设计为在整个可用带宽和通道的片上进行通信。 将这些卡置于监视模式时，它们将捕获802. 1I帧，这些帧在它们正在侦听的通道上传输。 这意味着，与以太网不同，无线网卡可能会丢失同一网络上的信息，因为它位于不同的信道上。 大多数无线网卡不支持监视器模式或制造商禁用了该模式。

2.2 (BSD Packet Filter)BPF

参考文章：BPF与eBPF

这个参考文章我没懂。目前大概知道怎么回事就好。后面使用pcap API会用到这里的概念。

嗅探网络流量时，嗅探器只对某些类型的数据包感兴趣，例如TCP数据包或DNS查询数据包，这是很常见的。系统可以将所有捕获的数据包提供给嗅探器程序，后者可以丢弃不需要的数据包。这是非常低效的，因为处理这些不需要的数据包并将其从内核传送到嗅探器应用程序需要花费时间。当有很多不需要的数据包时，浪费的时间相当可观。最好尽早过滤这些不需要的数据包。

随着对数据包捕获的需求的增加，Unix *** 作系统定义了BSD数据包过滤器（BSD Packet Filter,BPF）以支持较低级别的过滤。 BPF允许用户空间程序将过滤器附加到套接字，这实际上是告诉内核尽早丢弃不需要的数据包。过滤器通常使用布尔运算符以人类可读的格式编写，并被编译为伪代码并传递给BPF驱动程序。然后由BPF伪机（一个专门为数据包过滤设计的内核级状态机）解释该低级代码。

3. 包的嗅探

3.1 通常套接字编程接收包

/**

* 作用：将进入服务器所有IP的9090端口的UDP内容，输出。

*

* 准备：

* 一个套接字描述符：scoket函数，指定期望的通信协议类型

* 一个监听套接字：指定协议族，ip，端口

* bind：将一个本地协议地址赋予一个套接字（描述符）

* recvfrom:接受经指定的socket 传来的数据，放入buf --》准备个buffer，一个客户端套接字，套接字长度

*

* 头文件：

* netinet/in.h 定义了ip地址结构 struct sockaddr_in （struct in_addr作为sockaddr_in 的成员)

* 还有函数 htons等，以及一些宏。

* sys/socket.h 定义了一些列的socket API函数 如

* socket()，bind() listen() ， send() ，sendmsg()，setsockopt()，等等。

* unistd.h close函数

*

* 验证：echo "Hello World\!" | nc -4u 127.0.0.1 9090

*/

#include <stdio.h>

#include <string.h>

#include <netinet/in.h>

#include <sys/socket.h>

#include <errno.h>

#include <unistd.h>

int main(void){

int sock

struct sockaddr_in server

int client_len

struct sockaddr_in client

char buf[1000]

// IPV4,数据包套接字，UDP传输协议

sock = socket(AF_INET,SOCK_DGRAM,IPPROTO_UDP)

if(sock <= 0){

perror("error in socket")

return -1

}

// 用这个初始化为零，比memset函数少一个参数

// sockaddr_in结构体中sin_zero，还没用；整个结构体用之前，我们全部初始化为零

// IPv4协议族，监听该服务器上所有IP的9090端口

// 按照网络标准转化字节序

bzero(&server,sizeof(server))

server.sin_family = AF_INET

server.sin_addr.s_addr = htonl(INADDR_ANY)

server.sin_port = htons(9090)

// 将一个本地协议地址赋予一个套接字（描述符）

if( bind(sock,(struct sockaddr *)&server,sizeof(server)) <0){

perror("error in bind")

return -1

}

while (1){

bzero(buf,sizeof(buf))

// 进入一个慢系统调用；

recvfrom(sock,buf,sizeof(buf)-1,0,(struct sockaddr *)&client,&client_len)

printf("%s",buf)

}

close(sock)

return 0

}

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

22

23

24

25

26

27

28

29

30

31

32

33

34

35

36

37

38

39

40

41

42

43

44

45

46

47

48

49

50

51

52

53

54

55

56

57

58

59

60

61

62

63

64

65

66

67

68

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

22

23

24

25

26

27

28

29

30

31

32

33

34

35

36

37

38

39

40

41

42

43

44

45

46

47

48

49

50

51

52

53

54

55

56

57

58

59

60

61

62

63

64

65

66

67

68

3.2 使用原生套接字接收包

在淘宝，京东可以买。

嗅探器是一种监视网络数据运行的软件设备，协议分析器既能用于合法网络管理也能用于窃取网络信息。

网络运作和维护都可以采用协议分析器如监视网络流量，分析数据包，监视网络资源利用，执行网络安全 *** 作规则，鉴定分析网络数据以及诊断并修复网络问题等等。非法嗅探器严重威胁网络安全性，这是因为它实质上不能进行探测行为且容易随处插入，所以网络黑客常将它作为攻击武器。

嗅探器最初由 Network General 推出，由 Network Associates 所有。最近，Network Associates 决定另开辟一个嗅探器产品单。

该单元组成一家私有企业并重新命名为 Network General，如今嗅探器已成为 Network General 公司的一种特征产品商标，由于专业人士的普遍使用，嗅探器广泛应用于所有能够捕获和分析网络流量的产品。

设备简介语音在讲述Sniffer的概念之前，首先需要讲述局域网设备的一些基本概念。

数据在网络上是以很小的称为帧（Frame）的单位传输的，帧由几部分组成，不同的部分执行不同的功能。帧通过特定的称为网络驱动程序的软件进行成型，然后通过网卡发送到网线上，通过网线到达它们的目的机器，在目的机器的一端执行相反的过程。

接收端机器的以太网卡捕获到这些帧，并告诉 *** 作系统帧已到达，然后对其进行存储。就是在这个传输和接收的过程中，存在安全方面的问题。

每一个在局域网上的工作站都有其硬件地址，这些地址惟一地表示了网络上的机器这一点与Internet地址系统比较相似。当用户发送一个数据包时，这些数据包就会发送到LAN上所有可用的机器。

在一般情况下，网络上所有的机器都可以“听”到通过的流量，但对不属于自己的数据包则不予响应换句话说，工作站A不会捕获属于工作站B的数据，而是简单地忽略这些数据。如果某个工作站的网络接口处于混杂模式关于混杂模式的概念会在后面解释，那么它就可以捕获网络上所有的数据包和帧。

Sniffer程序是一种利用以太网的特性把网络适配卡置为杂乱模式状态的工具，一旦网卡设置为这种模式，它就能接收传输在网络上的每一个信息包。

普通的情况下，网卡只接收和自己的地址有关的信息包，即传输到本地主机的信息包。要使Sniffer能接收并处理这种方式的信息，系统需要支持 BPF，Linux下需要支持SOCKET-PACKET。

但一般情况下，网络硬件和TCPIP堆栈不支持接收或者发送与本地计算机无关的数据包，所以，为了绕过标准的堆栈，网卡就必须设置为混杂模式。一般情况下，要激活这种方式。

内核必须支持这种伪设备BPFilter，而且需要root权限来运行这种程序，所以Sniffer需要root身份安装，如果只是以本地用户的身份进入了系统，那么不可能嗅探到root的密码，因为不能运行Sniffer。

嗅探 sniff。嗅探器可以窃听网络上流经的数据包。

用集线器hub组建的网络是基于共享的原理的，

局域网内所有的计算机都接收相同的数据包，

而网卡构造了硬件的“过滤器“

通过识别MAC地址过滤掉和自己无关的信息，

嗅探程序只需关闭这个过滤器，

将网卡设置为“混杂模式“就可以进行嗅探

用交换机switch组建的网络是基于“交换“原理的

，交换机不是把数据包发到所有的端口上，

而是发到目的网卡所在的端口。

这样嗅探起来会麻烦一些，嗅探程序一般利用“ARP欺骗“的方法

，通过改变MAC地址等手段，欺骗交换机将数据包发给自己，

嗅探分析完毕再转发出去

---