在Linux下利用C語言來實現(xiàn)一個Sniffer的方法簡介

Sniffer技術是網(wǎng)絡安全領域里一項非常重要的技術!對于“Hacker”來說，他們可以以非常隱蔽的方式得到網(wǎng)絡中傳輸?shù)拇罅康拿舾行畔ⅲ?Telnet,ftp帳號和密碼等等明文傳送的信息!與主動掃描相比，嗅探的行為更加難以被察覺，操作起來也不是很復雜!對于網(wǎng)絡管理人員來說，可以利用嗅探技術對網(wǎng)絡活動進行監(jiān)控，并及時發(fā)現(xiàn)各種攻擊行為!

　　在這篇文章里，我們主要探討在Linux下如何利用C語言來實現(xiàn)一個Sniffer!我們將假設所有的主機在一個局域網(wǎng)內。

　　首先，我們將簡短的回顧一下一個普通的以太網(wǎng)卡是怎么工作的!(如果你對這方面的知識早已熟悉，那么你可以直接跳到下一段)來源于應用程序的IP報文被封裝成以太網(wǎng)幀(這是在以太網(wǎng)上傳播的數(shù)據(jù)報文的名稱)，它是底層鏈路層報文上面的一層報文，包含有源地址報文和一些需要用來傳送至目標主機的信息。通常情況下，目的IP地址對應著一個6字節(jié)的目的以太網(wǎng)址(經常叫做MAC地址),它們之間通過ARP協(xié)議進行映射!就這樣，包含著以太網(wǎng)幀的報文從源主機傳輸?shù)侥康闹鳈C，中間經過一些網(wǎng)絡設備，如交換機，路由器等等，當然，因為我們的前提是主機在同一網(wǎng)內，所以我們的討論不涉及以上這些網(wǎng)絡設備!

　　在鏈路層中并不存在路線的概念，換句話說，源主機發(fā)出的幀不會直接指向目的主機，而是基于廣播方式傳播，網(wǎng)絡中的所有網(wǎng)卡都能看到它的傳輸。每個網(wǎng)卡會檢查幀開始的6個字節(jié)(目的主機的MAC地址)，但是只有一個網(wǎng)卡會發(fā)現(xiàn)自己的地址和其相符合，然后它接收這個幀，這個幀會被網(wǎng)絡驅動程序分解，原來的IP 報文將通過網(wǎng)絡協(xié)議棧傳送至接收的應用程序!

　　更準確的說，網(wǎng)絡驅動程序會檢查幀中報文頭部的協(xié)議標識，以確定接收數(shù)據(jù)的上層協(xié)議!大多數(shù)情況下，上層是IP協(xié)議，所以接收機制將去掉IP報文頭部，然后把剩下的傳送至UDP或者TCP接收機制!這些協(xié)議，將把報文送到SOCKET-handling機制，它將最后把報文數(shù)據(jù)變成應用程序可接收的方式發(fā)送出去。在這個過程中，報文將失去所有的和其有關的網(wǎng)絡信息，比如源地址(IP和MAC),端口號，IP選擇，TCP參數(shù)等等!所以如果目的主機沒有一個包含正確參數(shù)的打開端口，那么這個報文將被丟棄而且永遠不會被送到應用層去!

　　因此我們在進行網(wǎng)絡嗅探的時候有兩個不同的問題：一個和以太網(wǎng)址有關，我們不能抓到不是發(fā)給自己主機的包，另一個和協(xié)議棧的運行過程有關，我們需要一個socket去*每個端口，得到那些沒有被丟棄的報文!

　　第一個問題不是最根本的，因為我們可能不會對發(fā)往其他主機的報文有興趣而只想嗅探所有發(fā)往自己主機的報文。第二個問題是必須要解決的，下面我們將看到這個問題是怎么樣一步一步解決的!

　　當你打開一個標準的SOCKET套接字時,你需要指明你將使用哪個協(xié)議簇，大多數(shù)情況下我們一般用PF_UNIX在本地機器間進行通信，PF_INET在基于IPv4協(xié)議簇基礎之上進行通信，你還需要指明所用的協(xié)議類型及與協(xié)議簇相關的確切數(shù)值，，在PF_INET協(xié)議簇中，常用的有 SOCK_STREAM(與TCP相關)，SOCK_DGRAM(與UDP相關)。在把報文發(fā)送到應用程序前內核對其的處理與SOCKET類型有關，你指定的協(xié)議將處理報文在SOCKET的傳輸!(具體細節(jié)問題你可以man socket(3))

　　在LINUX內核版本中(2.0 releases),一個名為PF_PACKET的協(xié)議簇被加了進來!這個簇允許應用程序直接利用網(wǎng)絡驅動程序發(fā)送和接收報文，避免了原來的協(xié)議棧處理過程，在這種情況下，所有SOCKET發(fā)出的報文直接送到以太網(wǎng)卡接口，而接口收到的任何報文將直接送到應用程序The PF_PACKET協(xié)議簇支持兩個稍微有點不同的SOCKET類型，SOCK_DGRAM和SOCK_RAW。

　　前者讓內核處理添加或者去除以太網(wǎng)報文頭部工作，而后者則讓應用程序對以太網(wǎng)報文頭部有完全的控制!在SOCKET調用中的協(xié)議類型必須符合/usr /include/linux/if_ether.h中定義的以太網(wǎng)IDs中的一個，除非遇到特別聲明的協(xié)議，一般你可以用ETH_P_IP來處理IP的一組協(xié)議(TCP,UDP,ICMP,raw IP等等)因為它們容易受到一些很嚴重的安全問題的牽連(比如你可以偽造一個MAC地址)，所以只有具有root權限才可以使用PF_PACKET- familysocket.這也就是為什么只有具有root權限后才能運行嗅探器的原因!

　　PF_PACKET-family 協(xié)議簇可以很容易解決協(xié)議棧處理嗅探來的數(shù)據(jù)報文時候遇到的問題!我們一起來看看程序1，我們打開一個屬于PF_PACKET-family 協(xié)議簇的SOCKET，指定一個SOCK_RAW socket類型和IP相關協(xié)議類型。這時我們開始從SOCKET抓包，在一些相關檢查后.我們開始得到從鏈路層和IP層抓來的頭部信息，。通過閱讀程序一，你將會發(fā)現(xiàn)讓應用程序從網(wǎng)絡層抓包其實并不難!

　　Example 1.

　　#include

　　#include

　　#include

　　#include

　　#include

　　#include

　　#include

　　int main(int argc, char **argv) {

　　int sock, n;

　　char buffer[2048];

　　unsigned char *iphead, *ethhead;

　　if ( (sock=socket(PF_PACKET, SOCK_RAW,

　　htons(ETH_P_IP)))0) {

　　perror(socket);

　　exit(1);

　　}

　　while (1) {

　　printf(----------n);

　　n = recvfrom(sock,buffer,2048,0,NULL,NULL);

　　printf(%d bytes readn,n);

　　/* Check to see if the packet contains at least

　　* complete Ethernet (14), IP (20) and TCP/UDP

　　* (8) headers.

　　*/