基于原始套接字的嗅探器
嗅探器這個代碼我去年的時候就已經寫過了,這個學期并不是非常忙,順手復習網絡,就又嘗試著寫了一遍。
其實在寫嗅探器的時候,最主要的還是要將網卡設置為混雜模式。在此基礎之上,對抓到的數據包進行分析。
這個是我寫出來的效果圖,目前只是方便于查看,連菜單都沒添加:
左面的界面顯示的是主機和主機之間的鏈接信息,而右面則是選中主機信息之間的數據交互情況。
我覺得我這個嗅探器應該是個失敗品,或者說,沒能夠真正的將網卡設置為混雜模式。因為可以看到,上面的源地址全部都是本地主機地址,我在下載視頻文件的時候,每秒幾百kb的數據交互我的這個程序基本沒響應。網頁信息也都是發送的數據請求,根本抓不到接收數據。對于這一點希望高手能幫我指點一下。
使用原始套接字寫嗅探器的流程:
1 使用socket創建基于IP協議的原始套接字。
2 獲取本地IP地址。
3 將原始套接字綁定到本地IP地址上。
4 使用ioctlsocket函數設置套接字選項SIO_RCVALL,即接受所有數據。
5 無盡調用recv函數。
為了方便界面化我將Sniffer的核心代碼封裝到了一個類中,原本應該做成單件類的,但是懶得改了。
1 class CSniffer 2 { 3 public: 4 static DWORD WINAPI SnifferThread(LPVOID lpData);//線程函數 5 public: 6 CSniffer(HostArray * pOutPut);//構造函數,數據輸出指針 7 ~CSniffer(void);//析構函數,負責終止線程 8 DWORD IsSucceed();//判斷構造函數是否成功,我代碼中沒用上,就是單純的返回dwSucceed 9 private://Method 10 int IPHeadAnylasis(const char * pRecvBuf, const int nLen);//將IP數據存放到對應數據結構中。 11 unsigned short q_ntohs(const unsigned short nVal);//之前的遺留代碼,沒用上 12 const char * TypeTell(unsigned char type);//同上 13 unsigned short CheckSum(const void * pData, int size);//校驗和函數,可以用一下,但是我沒檢驗 14 void AddToInfoVector(PPortArray pInfoVector, ip_hdr * pIp, int nLen);//添加新的端口信息 15 private://Data 16 PHostArray pSnifferPool;//指向輸出數據,全部的信息都存在其指向 17 HANDLE hThread;//線程句柄 18 DWORD dwSucceed;//標示參數 19 };然后值得看一看的就是線程函數代碼了,其余的沒有太多需要介紹的,這段代碼其實就是從之前的控制臺程序扒下來的,現在單獨放到一個函數中。
1 DWORD WINAPI CSniffer::SnifferThread(LPVOID lpData) 2 { 3 CSniffer * pSniffer = (CSniffer *)lpData; 4 5 SOCKET hSnifferSock = socket(AF_INET, SOCK_RAW, IPPROTO_IP); 6 DWORD dwSetVal = 1; 7 char szhostname[32]; 8 char RecvBuff[65536]; 9 hostent * phost; 10 SOCKADDR_IN LocalIP; 11 //先進行綁定,綁定前先獲取本地地址 12 LocalIP.sin_family = AF_INET; 13 LocalIP.sin_port = htons(0); 14 gethostname(szhostname, 32); 15 phost = gethostbyname(szhostname); 16 memcpy(&LocalIP.sin_addr.S_un.S_addr, phost->h_addr_list[0], phost->h_length); 17 //cout << "LocalIP" << inet_ntoa(LocalIP.sin_addr) << endl; 18 if(SOCKET_ERROR == bind(hSnifferSock, (sockaddr *)&LocalIP, sizeof(sockaddr))) 19 { 20 ;//cout << "bind error" << endl; 21 } 22 //設置套接字選項 23 ioctlsocket(hSnifferSock, SIO_RCVALL, &dwSetVal); 24 //cout << q_ntohs(0x3100) << endl; 25 //std::vector<ConnectBetweenTwoHost> SnifferPool; 26 27 while(1) 28 { 29 int nRecvLen = recv(hSnifferSock, RecvBuff, 65536, 0); 30 if(nRecvLen != SOCKET_ERROR) 31 { 32 //cout << "Get Message" << endl; 33 pSniffer->IPHeadAnylasis(RecvBuff, 65536); 34 } 35 else 36 { 37 continue;//cout << "Nothing Valid" << endl; 38 } 39 } 40 41 return 0; 42 }感覺這一套下來卻是是沒什么東西,不過我也是在程序跑出來之后,才觀察到我的這個程序在數據抓包上面真心做的不怎么樣。chrome瀏覽器的數據請求能抓到,但是反饋回來的數據就完全抓不到了。
列表數據原本應該做個排序的,整個散列也不錯,這樣當數據量比較大的時候插入效率能高一點。而我這個就呵呵了。。。
值得一提的就是我這次兩個列表全部使用的虛擬列表。使用之前還查看了我以前代碼中關于ListCtrl的使用文檔,這算是沒白寫。不過這里要補充的就是,使用虛擬列表前,需要設置ownerdata選項,也即是用戶擁有數據,列表僅僅負責數據的顯示,而不是把所有的數據都放到列表中。
對虛擬列表進行顯示刷新的方法比較簡單,只要調用SetItemCountEx就能實現刷新過程。
另外我昨天在網上下載了一個嗅探器,這叫一個慘啊,各種彈網頁,估計現在電腦是出于中木馬狀態。后來程序好不容易跑起來了,結果和我這個差不多,就是能判斷出來網頁請求信息資源的類型,僅僅是比我分析的深入了一點,至于數據接收,也是沒找到。如果您知道哪有比較好的嗅探器,麻煩給發個鏈接,我學習下。
另外關于網卡混雜模式設置貌似需要借助winpcap.dll的幫助,有沒有大神比較了解,給個學習鏈接往我看一下。
總結
以上是生活随笔為你收集整理的基于原始套接字的嗅探器的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 网卡MAC地址相关信息大全
- 下一篇: 原始套接字与sniffer