Linux下Sniffer程序的實(shí)現

Sniffer技術(shù)是網(wǎng)絡(luò )安全領(lǐng)域里一項非常重要的技術(shù)!對于“Hacker”來(lái)說(shuō)，他們可以以非常隱蔽的方式得到網(wǎng)絡(luò )中傳輸的大量的敏感信息，如Telnet,ftp帳號和密碼等等明文傳送的信息!與主動(dòng)掃描相比，嗅探的行為更加難以被察覺(jué)，操作起來(lái)也不是很復雜!對于網(wǎng)絡(luò )管理人員來(lái)說(shuō)，可以利用嗅探技術(shù)對網(wǎng)絡(luò )活動(dòng)進(jìn)行監控，并及時(shí)發(fā)現各種攻擊行為!

在這篇文章里，我們主要探討在Linux下如何利用C語(yǔ)言來(lái)實(shí)現一個(gè)Sniffer!我們將假設所有的主機在一個(gè)局域網(wǎng)內。

首先，我們將簡(jiǎn)短的回顧一下一個(gè)普通的以太網(wǎng)卡是怎么工作的!(如果你對這方面的知識早已熟悉，那么你可以直接跳到下一段)來(lái)源于應用程序的IP報文被封裝成以太網(wǎng)幀(這是在以太網(wǎng)上傳播的數據報文的名稱(chēng))，它是底層鏈路層報文上面的一層報文，包含有源地址報文和一些需要用來(lái)傳送至目標主機的信息。通常情況下，目的IP地址對應著(zhù)一個(gè)6字節的目的以太網(wǎng)址(經(jīng)常叫做MAC地址),它們之間通過(guò)ARP協(xié)議進(jìn)行映射!就這樣，包含著(zhù)以太網(wǎng)幀的報文從源主機傳輸到目的主機，中間經(jīng)過(guò)一些網(wǎng)絡(luò )設備，如交換機，路由器等等，當然，因為我們的前提是主機在同一網(wǎng)內，所以我們的討論不涉及以上這些網(wǎng)絡(luò )設備!

在鏈路層中并不存在路線(xiàn)的概念，換句話(huà)說(shuō)，源主機發(fā)出的幀不會(huì )直接指向目的主機，而是基于廣播方式傳播，網(wǎng)絡(luò )中的所有網(wǎng)卡都能看到它的傳輸。每個(gè)網(wǎng)卡會(huì )檢查幀開(kāi)始的6個(gè)字節(目的主機的MAC地址)，但是只有一個(gè)網(wǎng)卡會(huì )發(fā)現自己的地址和其相符合，然后它接收這個(gè)幀，這個(gè)幀會(huì )被網(wǎng)絡(luò )驅動(dòng)程序分解，原來(lái)的IP報文將通過(guò)網(wǎng)絡(luò )協(xié)議棧傳送至接收的應用程序!

更準確的說(shuō)，網(wǎng)絡(luò )驅動(dòng)程序會(huì )檢查幀中報文頭部的協(xié)議標識，以確定接收數據的上層協(xié)議!大多數情況下，上層是IP協(xié)議，所以接收機制將去掉IP報文頭部，然后把剩下的傳送至UDP或者TCP接收機制!這些協(xié)議，將把報文送到socket-handling機制，它將最后把報文數據變成應用程序可接收的方式發(fā)送出去。在這個(gè)過(guò)程中，報文將失去所有的和其有關(guān)的網(wǎng)絡(luò )信息，比如源地址(IP和MAC),端口號，IP選擇，TCP參數等等!所以如果目的主機沒(méi)有一個(gè)包含正確參數的打開(kāi)端口，那么這個(gè)報文將被丟棄而且永遠不會(huì )被送到應用層去!

因此我們在進(jìn)行網(wǎng)絡(luò )嗅探的時(shí)候有兩個(gè)不同的問(wèn)題：一個(gè)和以太網(wǎng)址有關(guān)，我們不能抓到不是發(fā)給自己主機的包，另一個(gè)和協(xié)議棧的運行過(guò)程有關(guān)，我們需要一個(gè)SOCKET去監聽(tīng)每個(gè)端口，得到那些沒(méi)有被丟棄的報文!

第一個(gè)問(wèn)題不是最根本的，因為我們可能不會(huì )對發(fā)往其他主機的報文有興趣而只想嗅探所有發(fā)往自己主機的報文。第二個(gè)問(wèn)題是必須要解決的，下面我們將看到這個(gè)問(wèn)題是怎么樣一步一步解決的!

當你打開(kāi)一個(gè)標準的SOCKET套接字時(shí),你需要指明你將使用哪個(gè)協(xié)議簇，大多數情況下我們一般用PF_UNIX在本地機器間進(jìn)行通信，PF_INET在基于IPv4協(xié)議簇基礎之上進(jìn)行通信，你還需要指明所用的協(xié)議類(lèi)型及與協(xié)議簇相關(guān)的確切數值，，在PF_INET協(xié)議簇中，常用的有SOCK_STREAM(與TCP相關(guān))，SOCK_DGRAM(與UDP相關(guān))。在把報文發(fā)送到應用程序前內核對其的處理與SOCKET類(lèi)型有關(guān)，你指定的協(xié)議將處理報文在SOCKET的傳輸!(具體細節問(wèn)題你可以man socket(3))

在LINUX內核版本中(2.0 releases),一個(gè)名為PF_PACKET的協(xié)議簇被加了進(jìn)來(lái)!這個(gè)簇允許應用程序直接利用網(wǎng)絡(luò )驅動(dòng)程序發(fā)送和接收報文，避免了原來(lái)的協(xié)議棧處理過(guò)程，在這種情況下，所有SOCKET發(fā)出的報文直接送到以太網(wǎng)卡接口，而接口收到的任何報文將直接送到應用程序The PF_PACKET協(xié)議簇支持兩個(gè)稍微有點(diǎn)不同的SOCKET類(lèi)型，SOCK_DGRAM和SOCK_RAW。

前者讓內核處理添加或者去除以太網(wǎng)報文頭部工作，而后者則讓?xiě)贸绦驅σ蕴W(wǎng)報文頭部有完全的控制!在SOCKET調用中的協(xié)議類(lèi)型必須符合/usr/include/linux/if_ether.h中定義的以太網(wǎng)IDs中的一個(gè)，除非遇到特別聲明的協(xié)議，一般你可以用ETH_P_IP來(lái)處理IP的一組協(xié)議(TCP,UDP,ICMP,raw IP等等)因為它們容易受到一些很?chē)乐氐陌踩珕?wèn)題的牽連(比如你可以偽造一個(gè)MAC地址)，所以只有具有root權限才可以使用PF_PACKET-familysocket.這也就是為什么只有具有root權限后才能運行嗅探器的原因!

PF_PACKET-family 協(xié)議簇可以很容易解決協(xié)議棧處理嗅探來(lái)的數據報文時(shí)候遇到的問(wèn)題!我們一起來(lái)看看程序1，我們打開(kāi)一個(gè)屬于PF_PACKET-family 協(xié)議簇的SOCKET，指定一個(gè)SOCK_RAW socket類(lèi)型和IP相關(guān)協(xié)議類(lèi)型。這時(shí)我們開(kāi)始從SOCKET抓包，在一些相關(guān)檢查后.我們開(kāi)始得到從鏈路層和IP層抓來(lái)的頭部信息，。通過(guò)閱讀程序一，你將會(huì )發(fā)現讓?xiě)贸绦驈木W(wǎng)絡(luò )層抓包其實(shí)并不難!

　　Example 1.

　　#include

　　#include

　　#include

　　#include

　　#include

　　#include

　　#include

　　int main(int argc, char **argv) {

　　int sock, n;

　　char buffer[2048];

　　unsigned char *iphead, *ethhead;

　　if ( (sock=socket(PF_PACKET, SOCK_RAW,

　　htons(ETH_P_IP)))0) {

　　perror(socket);

　　exit(1);

　　}

　　while (1) {

　　printf(----------n);

　　n = recvfrom(sock,buffer,2048,0,NULL,NULL);

　　printf(%d bytes readn,n);

　　/* Check to see if the packet contains at least

　　* complete Ethernet (14), IP (20) and TCP/UDP

　　* (8) headers.

　　*/

　　if (n42) {

　　perror(recvfrom():);

　　printf(Incomplete packet (errno is %d)n,

　　errno);

　　close(sock);

　　exit(0);

　　}

　　ethhead = buffer;

　　printf(Source MAC address:

　　%02x:%02x:%02x:%02x:%02x:%02xn,

　　ethhead[0],ethhead[1],ethhead[2],

　　ethhead[3],ethhead[4],ethhead[5]);

　　printf(Destination MAC address:

　　%02x:%02x:%02x:%02x:%02x:%02xn,

　　ethhead[6],ethhead[7],ethhead[8],

　　ethhead[9],ethhead[10],ethhead[11]);

　　iphead = buffer+14; /* Skip Ethernet header */

　　if (*iphead==0x45) { /* Double check for IPv4

　　* and no options present */

　　printf(Source host %d.%d.%d.%dn,

　　iphead[12],iphead[13],

　　iphead[14],iphead[15]);

　　printf(Dest host %d.%d.%d.%dn,

　　iphead[16],iphead[17],

　　iphead[18],iphead[19]);

　　printf(Source,Dest ports %d,%dn,

　　(iphead[20]8)+iphead[21],

　　(iphead[22]8)+iphead[23]);

　　printf(Layer-4 protocol %dn,iphead[9]);

　　}

　　}

　　}

PF_PACKET協(xié)議簇可以讓一個(gè)應用程序把數據包變成似乎從網(wǎng)絡(luò )層接收的樣子，但是沒(méi)有辦法抓到那些不是發(fā)向自己主機的包。正如我們前面看到的，網(wǎng)卡丟棄所有不含有主機MAC地址的數據包，這是因為網(wǎng)卡處于非混雜模式，即每個(gè)網(wǎng)卡只處理源地址是它自己的幀!

只有三個(gè)例外：如果一個(gè)幀的目的MAC地址是一個(gè)受限的廣播地址(255.255.255.255)那么它將被所有的網(wǎng)卡接收：如果一個(gè)幀的目的地址是組播地址，那么它將被那些打開(kāi)組播接收功能的網(wǎng)卡所接收;網(wǎng)卡如被設置成混雜模式，那么它將接收所有流經(jīng)它的數據包最后一種情況當然是我們最感興趣的了，把網(wǎng)卡設置成混雜模式，我們只需要發(fā)出一個(gè)特殊的ioctl()調用在那個(gè)網(wǎng)卡上打開(kāi)一個(gè)socket,因為這是一個(gè)具有危險性的操作，所以這個(gè)調用只有具有root權限的用戶(hù)才可完成，假設那個(gè)“sock”包含一個(gè)已經(jīng)打開(kāi)的socket。
linux操作系統文章專(zhuān)題:linux操作系統詳解（linux不再難懂）