当前位置:首页 > 嵌入式 > 嵌入式教程
[导读]在Linux下利用C语言来实现一个Sniffer的方法简介

Sniffer技术是网络安全领域里一项非常重要的技术!对于“Hacker”来说,他们可以以非常隐蔽的方式得到网络中传输的大量的敏感信息,如 Telnet,ftp帐号和密码等等明文传送的信息!与主动扫描相比,嗅探的行为更加难以被察觉,操作起来也不是很复杂!对于网络管理人员来说,可以利用嗅探技术对网络活动进行监控,并及时发现各种攻击行为!

  在这篇文章里,我们主要探讨在Linux下如何利用C语言来实现一个Sniffer!我们将假设所有的主机在一个局域网内。

  首先,我们将简短的回顾一下一个普通的以太网卡是怎么工作的!(如果你对这方面的知识早已熟悉,那么你可以直接跳到下一段)来源于应用程序的IP报文被封装成以太网帧(这是在以太网上传播的数据报文的名称),它是底层链路层报文上面的一层报文,包含有源地址报文和一些需要用来传送至目标主机的信息。通常情况下,目的IP地址对应着一个6字节的目的以太网址(经常叫做MAC地址),它们之间通过ARP协议进行映射!就这样,包含着以太网帧的报文从源主机传输到目的主机,中间经过一些网络设备,如交换机,路由器等等,当然,因为我们的前提是主机在同一网内,所以我们的讨论不涉及以上这些网络设备!

  在链路层中并不存在路线的概念,换句话说,源主机发出的帧不会直接指向目的主机,而是基于广播方式传播,网络中的所有网卡都能看到它的传输。每个网卡会检查帧开始的6个字节(目的主机的MAC地址),但是只有一个网卡会发现自己的地址和其相符合,然后它接收这个帧,这个帧会被网络驱动程序分解,原来的IP 报文将通过网络协议栈传送至接收的应用程序!

  更准确的说,网络驱动程序会检查帧中报文头部的协议标识,以确定接收数据的上层协议!大多数情况下,上层是IP协议,所以接收机制将去掉IP报文头部,然后把剩下的传送至UDP或者TCP接收机制!这些协议,将把报文送到SOCKET-handling机制,它将最后把报文数据变成应用程序可接收的方式发送出去。在这个过程中,报文将失去所有的和其有关的网络信息,比如源地址(IP和MAC),端口号,IP选择,TCP参数等等!所以如果目的主机没有一个包含正确参数的打开端口,那么这个报文将被丢弃而且永远不会被送到应用层去!

  因此我们在进行网络嗅探的时候有两个不同的问题:一个和以太网址有关,我们不能抓到不是发给自己主机的包,另一个和协议栈的运行过程有关,我们需要一个socket去*每个端口,得到那些没有被丢弃的报文!

  第一个问题不是最根本的,因为我们可能不会对发往其他主机的报文有兴趣而只想嗅探所有发往自己主机的报文。第二个问题是必须要解决的,下面我们将看到这个问题是怎么样一步一步解决的!

  当你打开一个标准的SOCKET套接字时,你需要指明你将使用哪个协议簇,大多数情况下我们一般用PF_UNIX在本地机器间进行通信,PF_INET在基于IPv4协议簇基础之上进行通信,你还需要指明所用的协议类型及与协议簇相关的确切数值,,在PF_INET协议簇中,常用的有 SOCK_STREAM(与TCP相关),SOCK_DGRAM(与UDP相关)。在把报文发送到应用程序前内核对其的处理与SOCKET类型有关,你指定的协议将处理报文在SOCKET的传输!(具体细节问题你可以man socket(3))

  在LINUX内核版本中(2.0 releases),一个名为PF_PACKET的协议簇被加了进来!这个簇允许应用程序直接利用网络驱动程序发送和接收报文,避免了原来的协议栈处理过程,在这种情况下,所有SOCKET发出的报文直接送到以太网卡接口,而接口收到的任何报文将直接送到应用程序The PF_PACKET协议簇支持两个稍微有点不同的SOCKET类型,SOCK_DGRAM和SOCK_RAW。

  前者让内核处理添加或者去除以太网报文头部工作,而后者则让应用程序对以太网报文头部有完全的控制!在SOCKET调用中的协议类型必须符合/usr /include/linux/if_ether.h中定义的以太网IDs中的一个,除非遇到特别声明的协议,一般你可以用ETH_P_IP来处理IP的一组协议(TCP,UDP,ICMP,raw IP等等)因为它们容易受到一些很严重的安全问题的牵连(比如你可以伪造一个MAC地址),所以只有具有root权限才可以使用PF_PACKET- familysocket.这也就是为什么只有具有root权限后才能运行嗅探器的原因!

  PF_PACKET-family 协议簇可以很容易解决协议栈处理嗅探来的数据报文时候遇到的问题!我们一起来看看程序1,我们打开一个属于PF_PACKET-family 协议簇的SOCKET,指定一个SOCK_RAW socket类型和IP相关协议类型。这时我们开始从SOCKET抓包,在一些相关检查后.我们开始得到从链路层和IP层抓来的头部信息,。通过阅读程序一,你将会发现让应用程序从网络层抓包其实并不难!

  Example 1.

  #include

  #include

  #include

  #include

  #include

  #include

  #include

  int main(int argc, char **argv) {

  int sock, n;

  char buffer[2048];

  unsigned char *iphead, *ethhead;

  if ( (sock=socket(PF_PACKET, SOCK_RAW,

  htons(ETH_P_IP)))<0) {

  perror("socket");

  exit(1);

  }

  while (1) {

  printf("----------n");

  n = recvfrom(sock,buffer,2048,0,NULL,NULL);

  printf("%d bytes readn",n);

  /* Check to see if the packet contains at least

  * complete Ethernet (14), IP (20) and TCP/UDP

  * (8) headers.

  */[!--empirenews.page--]
 if (n<42) {

  perror("recvfrom():");

  printf("Incomplete packet (errno is %d)n",

  errno);

  close(sock);

  exit(0);

  }

  ethhead = buffer;

  printf("Source MAC address: "

  "%02x:%02x:%02x:%02x:%02x:%02xn",

  ethhead[0],ethhead[1],ethhead[2],

  ethhead[3],ethhead[4],ethhead[5]);

  printf("Destination MAC address: "

  "%02x:%02x:%02x:%02x:%02x:%02xn",

  ethhead[6],ethhead[7],ethhead[8],

  ethhead[9],ethhead[10],ethhead[11]);

  iphead = buffer+14; /* Skip Ethernet header */

  if (*iphead==0x45) { /* Double check for IPv4

  * and no options present */

  printf("Source host %d.%d.%d.%dn",

  iphead[12],iphead[13],

  iphead[14],iphead[15]);

  printf("Dest host %d.%d.%d.%dn",

  iphead[16],iphead[17],

  iphead[18],iphead[19]);

  printf("Source,Dest ports %d,%dn",

  (iphead[20]<<8)+iphead[21],

  (iphead[22]<<8)+iphead[23]);

  printf("Layer-4 protocol %dn",iphead[9]);

  }

  }

  }

  PF_PACKET协议簇可以让一个应用程序把数据包变成似乎从网络层接收的样子,但是没有办法抓到那些不是发向自己主机的包。正如我们前面看到的,网卡丢弃所有不含有主机MAC地址的数据包,这是因为网卡处于非混杂模式,即每个网卡只处理源地址是它自己的帧!

  只有三个例外:如果一个帧的目的MAC地址是一个受限的广播地址(255.255.255.255)那么它将被所有的网卡接收:如果一个帧的目的地址是组播地址,那么它将被那些打开组播接收功能的网卡所接收;网卡如被设置成混杂模式,那么它将接收所有流经它的数据包最后一种情况当然是我们最感兴趣的了,把网卡设置成混杂模式,我们只需要发出一个特殊的ioctl()调用在那个网卡上打开一个socket,因为这是一个具有危险性的操作,所以这个调用只有具有root权限的用户才可完成,假设那个“sock”包含一个已经打开的socket。

本站声明: 本文章由作者或相关机构授权发布,目的在于传递更多信息,并不代表本站赞同其观点,本站亦不保证或承诺内容真实性等。需要转载请联系该专栏作者,如若文章内容侵犯您的权益,请及时联系本站删除。
换一批
延伸阅读

9月2日消息,不造车的华为或将催生出更大的独角兽公司,随着阿维塔和赛力斯的入局,华为引望愈发显得引人瞩目。

关键字: 阿维塔 塞力斯 华为

加利福尼亚州圣克拉拉县2024年8月30日 /美通社/ -- 数字化转型技术解决方案公司Trianz今天宣布,该公司与Amazon Web Services (AWS)签订了...

关键字: AWS AN BSP 数字化

伦敦2024年8月29日 /美通社/ -- 英国汽车技术公司SODA.Auto推出其旗舰产品SODA V,这是全球首款涵盖汽车工程师从创意到认证的所有需求的工具,可用于创建软件定义汽车。 SODA V工具的开发耗时1.5...

关键字: 汽车 人工智能 智能驱动 BSP

北京2024年8月28日 /美通社/ -- 越来越多用户希望企业业务能7×24不间断运行,同时企业却面临越来越多业务中断的风险,如企业系统复杂性的增加,频繁的功能更新和发布等。如何确保业务连续性,提升韧性,成...

关键字: 亚马逊 解密 控制平面 BSP

8月30日消息,据媒体报道,腾讯和网易近期正在缩减他们对日本游戏市场的投资。

关键字: 腾讯 编码器 CPU

8月28日消息,今天上午,2024中国国际大数据产业博览会开幕式在贵阳举行,华为董事、质量流程IT总裁陶景文发表了演讲。

关键字: 华为 12nm EDA 半导体

8月28日消息,在2024中国国际大数据产业博览会上,华为常务董事、华为云CEO张平安发表演讲称,数字世界的话语权最终是由生态的繁荣决定的。

关键字: 华为 12nm 手机 卫星通信

要点: 有效应对环境变化,经营业绩稳中有升 落实提质增效举措,毛利润率延续升势 战略布局成效显著,战新业务引领增长 以科技创新为引领,提升企业核心竞争力 坚持高质量发展策略,塑强核心竞争优势...

关键字: 通信 BSP 电信运营商 数字经济

北京2024年8月27日 /美通社/ -- 8月21日,由中央广播电视总台与中国电影电视技术学会联合牵头组建的NVI技术创新联盟在BIRTV2024超高清全产业链发展研讨会上宣布正式成立。 活动现场 NVI技术创新联...

关键字: VI 传输协议 音频 BSP

北京2024年8月27日 /美通社/ -- 在8月23日举办的2024年长三角生态绿色一体化发展示范区联合招商会上,软通动力信息技术(集团)股份有限公司(以下简称"软通动力")与长三角投资(上海)有限...

关键字: BSP 信息技术
关闭
关闭