sniffer

转载 2004年07月23日 10:39:00


//////////////////////////////////////////////////////////////////////////
//                      //    
// GUNiffer    For Win2K by Shotgun             //
//                  //
// Version: 0.30 Beta            //
// Released: [2001.4]               //
// Author:  [Shotgun]               //
// Homepage:                  //
//    [http://IT.Xici.Net]            //
//    [http://www.Patching.Net]           //
//                     //
//////////////////////////////////////////////////////////////////////////
#include
#include
#include
#include
#include "mstcpip.h"
#pragma comment(lib,"Ws2_32.lib")

#define STATUS_FAILED 0xFFFF  //定义异常出错代码
#define MAX_PACK_LEN  65535   //接收的最大IP报文 
#define MAX_ADDR_LEN  16   //点分十进制地址的最大长度
#define MAX_PROTO_TEXT_LEN 16  //子协议名称(如"TCP")最大长度
#define MAX_PROTO_NUM 12   //子协议数量
#define MAX_HOSTNAME_LAN 255  //最大主机名长度
#define CMD_PARAM_HELP true

typedef struct _iphdr
{
 unsigned char h_lenver;  //4位首部长度+4位IP版本号
 unsigned char tos;   //8位服务类型TOS
 unsigned short total_len;  //16位总长度(字节)
 unsigned short ident;   //16位标识
 unsigned short frag_and_flags; //3位标志位
 unsigned char ttl;   //8位生存时间 TTL
 unsigned char proto;   //8位协议 (TCP, UDP 或其他)
 unsigned short checksum;  //16位IP首部校验和
 unsigned int sourceIP;  //32位源IP地址
 unsigned int destIP;   //32位目的IP地址
}IP_HEADER;

typedef struct _tcphdr    //定义TCP首部
{
 USHORT th_sport;    //16位源端口
 USHORT th_dport;    //16位目的端口
 unsigned int  th_seq;   //32位序列号
 unsigned int  th_ack;   //32位确认号
 unsigned char th_lenres;  //4位首部长度/6位保留字
 unsigned char th_flag;   //6位标志位
 USHORT th_win;     //16位窗口大小
 USHORT th_sum;     //16位校验和
 USHORT th_urp;     //16位紧急数据偏移量
}TCP_HEADER;

typedef struct _udphdr    //定义UDP首部
{
    unsigned short uh_sport;  //16位源端口
    unsigned short uh_dport;  //16位目的端口
    unsigned short uh_len;   //16位长度
    unsigned short uh_sum;   //16位校验和
} UDP_HEADER;

typedef struct _icmphdr    //定义ICMP首部
{
 BYTE   i_type;     //8位类型
 BYTE   i_code;     //8位代码
 USHORT i_cksum;     //16位校验和
 USHORT i_id;     //识别号(一般用进程号作为识别号)
 USHORT i_seq;     //报文序列号 
 ULONG  timestamp;    //时间戳
}ICMP_HEADER;

typedef struct _protomap   //定义子协议映射表
{
 int  ProtoNum;
 char ProtoText[MAX_PROTO_TEXT_LEN];
}PROTOMAP;

PROTOMAP ProtoMap[MAX_PROTO_NUM]={ //为子协议映射表赋值
  { IPPROTO_IP   , "IP  " },
  { IPPROTO_ICMP , "ICMP" }, 
  { IPPROTO_IGMP , "IGMP" },
  { IPPROTO_GGP  , "GGP " }, 
  { IPPROTO_TCP  , "TCP " }, 
  { IPPROTO_PUP  , "PUP " }, 
  { IPPROTO_UDP  , "UDP " }, 
  { IPPROTO_IDP  , "IDP " }, 
  { IPPROTO_ND   , "NP  " }, 
  { IPPROTO_RAW  , "RAW " }, 
  { IPPROTO_MAX  , "MAX " },
  { NULL , "" } };

SOCKET SockRaw;
char TcpFlag[6]={'F','S','R','P','A','U'}; //定义TCP标志位
bool ParamTcp =false;    // -t关注TCP 报文
bool ParamUdp =false;    // -u关注UDP 报文 
bool ParamIcmp =false;    // -i关注ICMP报文
bool ParamDecode=false;    // -d对协议进行解码
char *strFromIpFilter=NULL;   // 源IP地址过滤
char *strDestIpFilter=NULL;   // 目的地址过滤
char *strSensitive=NULL;   // 敏感字符串
int  iPortFilter=0;     // 端口过滤
int iProtocol, iTTL;    
char szProtocol[MAX_PROTO_TEXT_LEN];
char szSourceIP[MAX_ADDR_LEN], szDestIP[MAX_ADDR_LEN];

int DecodeIpPack(char *, int);  //IP解包函数
int DecodeTcpPack(char *, int);  //TCP解包函数
int DecodeUdpPack(char *, int);  //UDP解包函数
int DecodeIcmpPack(char *, int); //ICMP解包函数
void CheckSockError(int, char*); //出错处理函数
char * CheckProtocol(int);   //协议检查
void usage(void);     //使用说明
bool GetCmdLine(int, char **);  //命令行参数处理

void main(int argc, char ** argv)
{
 int iErrorCode;
 char RecvBuf[MAX_PACK_LEN] = {0};
 usage();
 if(GetCmdLine(argc, argv)==CMD_PARAM_HELP) exit(0);
 //初始化SOCKET
 WSADATA wsaData;
 iErrorCode = WSAStartup(MAKEWORD(2,1),&wsaData);
 CheckSockError(iErrorCode, "WSAStartup");
 SockRaw = socket(AF_INET , SOCK_RAW , IPPROTO_IP);
 CheckSockError(SockRaw, "socket");
 //获取本机IP地址
 char FAR name[MAX_HOSTNAME_LAN];
 iErrorCode = gethostname(name, MAX_HOSTNAME_LAN);
 CheckSockError(iErrorCode, "gethostname");
 struct hostent FAR * pHostent;
 pHostent = (struct hostent * )malloc(sizeof(struct hostent));
 pHostent = gethostbyname(name);
 SOCKADDR_IN sa;
 sa.sin_family = AF_INET;
  sa.sin_port = htons(6000);
 memcpy(&sa.sin_addr.S_un.S_addr, pHostent->h_addr_list[0], pHostent->h_length);
 free(pHostent);
 iErrorCode = bind(SockRaw, (PSOCKADDR)&sa, sizeof(sa));
 CheckSockError(iErrorCode, "bind");
 //设置SOCK_RAW为SIO_RCVALL,以便接收所有的IP包
 DWORD dwBufferLen[10] ;
 DWORD dwBufferInLen = 1 ;
 DWORD dwBytesReturned = 0 ;
 iErrorCode=WSAIoctl(SockRaw, SIO_RCVALL,&dwBufferInLen, sizeof(dwBufferInLen),            
                        &dwBufferLen, sizeof(dwBufferLen),&dwBytesReturned , NULL , NULL );
 CheckSockError(iErrorCode, "Ioctl");
 //侦听IP报文
 while(1)
 {
  memset(RecvBuf, 0, sizeof(RecvBuf));
  iErrorCode = recv(SockRaw, RecvBuf, sizeof(RecvBuf), 0);
  CheckSockError(iErrorCode, "recv");
  iErrorCode = DecodeIpPack(RecvBuf, iErrorCode);
  CheckSockError(iErrorCode, "Decode");
 }
}

//IP解包程序
int DecodeIpPack(char *buf, int iBufSize)
{
 IP_HEADER *pIpheader;
 SOCKADDR_IN saSource, saDest;
 pIpheader = (IP_HEADER *)buf;
//协议甄别
 iProtocol = pIpheader->proto;
 strncpy(szProtocol, CheckProtocol(iProtocol), MAX_PROTO_TEXT_LEN);
 if((iProtocol==IPPROTO_TCP) && (!ParamTcp)) return true;
 if((iProtocol==IPPROTO_UDP) && (!ParamUdp)) return true;
 if((iProtocol==IPPROTO_ICMP) && (!ParamIcmp)) return true;
//源地址
 saSource.sin_addr.s_addr = pIpheader->sourceIP;
 strncpy(szSourceIP, inet_ntoa(saSource.sin_addr), MAX_ADDR_LEN);
 if (strFromIpFilter)
  if (strcmp(strFromIpFilter,szSourceIP)) return true;
//目的地址
 saDest.sin_addr.s_addr = pIpheader->destIP;
 strncpy(szDestIP, inet_ntoa(saDest.sin_addr), MAX_ADDR_LEN);
 if (strDestIpFilter)
  if (strcmp(strDestIpFilter,szDestIP)) return true;
 iTTL = pIpheader->ttl;
//计算IP首部的长度
 int iIphLen = sizeof(unsigned long) * (pIpheader->h_lenver & 0xf);
//根据协议类型分别调用相应的函数
 switch(iProtocol)
 {
  case IPPROTO_TCP :DecodeTcpPack(buf+iIphLen, iBufSize);break;
  case IPPROTO_UDP :DecodeUdpPack(buf+iIphLen, iBufSize);break;
  case IPPROTO_ICMP :DecodeIcmpPack(buf+iIphLen, iBufSize);break;
  default    :break;
 }
 //printf("/n");
 return true;
}

//协议识别程序
char * CheckProtocol(int iProtocol)
{
 for(int i=0; i   if(ProtoMap[i].ProtoNum==iProtocol)
    return ProtoMap[i].ProtoText;
 return "";
}

//TCP解包程序
int DecodeTcpPack(char * TcpBuf, int iBufSize)
{
 TCP_HEADER * pTcpHeader;
 int i;
 int iSourcePort,iDestPort;
 
 pTcpHeader = (TCP_HEADER * )TcpBuf;
 //计算TCP首部长度
 int TcpHeaderLen =  pTcpHeader->th_lenres>>4;
 TcpHeaderLen *= sizeof(unsigned long);
 char * TcpData=TcpBuf+TcpHeaderLen;
 //如果过滤敏感字符串则判断是否包含
 if (strSensitive)
  if ((strstr(TcpData, strSensitive))==NULL) return true;
 //对端口进行过滤
 iSourcePort = ntohs(pTcpHeader->th_sport);
 iDestPort = ntohs(pTcpHeader->th_dport);
 if ((iPortFilter) && (iSourcePort!=iPortFilter) && (iDestPort!=iPortFilter))
  return true;
 //输出
 printf("%s ", szProtocol);
 printf("%15s:%5d ->%15s:%5d  ", szSourceIP, iSourcePort, szDestIP, iDestPort);
 printf("TTL=%3d  ", iTTL);
 //判断TCP标志位
 unsigned char FlagMask = 1;
 for( i=0; i<6; i++ )
 {
  if((pTcpHeader->th_flag) & FlagMask) printf("%c",TcpFlag[i]);
  else printf("-");
  FlagMask=FlagMask<<1;
 }
 printf("  bytes=%4d", iBufSize);
 printf("/n");
 //对于长度大于40字节的包进行数据分析(IP_HEADER+TCP_HEADER=40)
 if ((ParamDecode) && (iBufSize>40))
 {
  //分析TCP数据段
  if ((!strSensitive) || (strstr(TcpData,strSensitive)))
  {
   printf(" [DATA]/n");
   printf("%s",TcpData);
   printf("/n [DATA END]/n/n/n");
  }
 }
 return true;
}

//UDP解包程序
int DecodeUdpPack(char * UdpBuf, int iBufSize)
{
 UDP_HEADER *pUdpHeader;
 pUdpHeader = (UDP_HEADER * )UdpBuf;
 int iSourcePort = ntohs(pUdpHeader->uh_sport);
 int iDestPort = ntohs(pUdpHeader->uh_dport);
 //对端口进行过滤
 if(iPortFilter)
  if ((iSourcePort!=iPortFilter) && (iDestPort!=iPortFilter))
   return true;
 printf("%s ", szProtocol);
 printf("%15s:%5d ->%15s:%5d  ", szSourceIP, iSourcePort, szDestIP, iDestPort);
 printf("TTL=%3d ", iTTL);
 printf("Len=%4d ", ntohs(pUdpHeader->uh_len));
 printf("bytes=%4d", iBufSize);
 printf("/n");
 //对于长度大于28字节的包进行数据分析(IP_HEADER+UDP_HEADER>28)
 if ((ParamDecode) && (iBufSize>28))
 {
  printf(" [DATA]/n");
  //UDP首部长度为8
  char * UdpData=UdpBuf+8;
  //分析UDP数据段
  for(unsigned int i=0;i<(iBufSize-sizeof(UDP_HEADER));i++)
  {
   if (!(i%8)) printf("/n");
   if ( (UdpData[i]>33) && (UdpData[i]<122) )
     printf("%3c [%3x]", UdpData[i], UdpData[i]);
   else printf("    [%3x]", abs(UdpData[i]));
  }
  printf("/n [DATA END]/n/n/n");
 }
 return true;
}

//ICMP解包程序
int DecodeIcmpPack(char * IcmpBuf, int iBufSize)
{
 ICMP_HEADER * pIcmpHeader;
 pIcmpHeader = (ICMP_HEADER * )IcmpBuf;
 int iIcmpType = pIcmpHeader->i_type;
 int iIcmpCode = pIcmpHeader->i_code;
 //对类型进行过滤
 if ((iPortFilter) && (iIcmpType!=iPortFilter)) return true;
 printf("%s ", szProtocol);
 //printf("%15s Type%d ->%15s Code%d  ", szSourceIP, iIcmpType, szDestIP, iIcmpCode);
 printf("%15s       ->%15s        ", szSourceIP, szDestIP);
 printf("TTL=%3d ", iTTL);
 printf("Type%2d,%d ",iIcmpType,iIcmpCode);
 printf("bytes=%4d", iBufSize);
 printf("/n");
 //对于包含数据段的包进行数据分析
 if ((ParamDecode) && (iBufSize>28))
 {
  char * IcmpData=IcmpBuf+4;
  //分析ICMP数据段
  printf(" [DATA]");
  for(unsigned int i=0;i<(iBufSize-sizeof(ICMP_HEADER));i++)
  {
   if (!(i%8)) printf("/n");
   if ( (IcmpData[i]>33) && (IcmpData[i]<122) )
     printf("%3c [%3x]", IcmpData[i], IcmpData[i]);
   else printf("    [%3x]", abs(IcmpData[i]));
  }
  printf("/n [DATA END]/n/n/n");
 }
 return true;
}

//命令行参数处理
bool GetCmdLine(int argc, char ** argv)
{
 if (argc<2) return CMD_PARAM_HELP;
 for(int i=1;i {
  if(argv[i][0]!='/') return CMD_PARAM_HELP;
  else switch (argv[i][1])
   {
    case 't':
    case 'T': ParamTcp=true; break;
    case 'u':
    case 'U': ParamUdp=true; break;
    case 'i':
    case 'I': ParamIcmp=true; break;
    case 'p':
    case 'P': ParamDecode=true; break;
    case 'f':
    case 'F':
     {
      strFromIpFilter=(char*)malloc(16*sizeof(char));
      memset(strFromIpFilter,0,16*sizeof(char));
      strcpy(strFromIpFilter,argv[i]+3);
      break;
     }
    case 'd':
    case 'D':
     {
      strDestIpFilter=(char*)malloc(16*sizeof(char));
      memset(strDestIpFilter,0,16*sizeof(char));
      strcpy(strDestIpFilter,argv[i]+3);
      break;
     }
    case 's':
    case 'S':
     {
      strSensitive=(char*)malloc(255*sizeof(char));
      memset(strSensitive,0,255*sizeof(char));
      strcpy(strSensitive,argv[i]+3);
      break;
     }
    case 'o':
    case 'O':
     {
      iPortFilter=atoi(argv[i]+3);
      break;
     }
   }
 }
 printf("/nWill Sniffer");
 if(ParamTcp) printf(" TCP");
 if(ParamUdp) printf(" UDP");
 if(ParamIcmp) printf(" ICMP");
 if(strFromIpFilter) printf(" FromIp:%s",strFromIpFilter);
 if(strDestIpFilter) printf(" DestIp:%s",strDestIpFilter);
 if(ParamDecode) printf(" DECODE ON");
 if(strSensitive) printf(" Sensitive String:'%s'",strSensitive);
 printf("/n/tCTRL+C to quit/nStart:/n");
 return (!CMD_PARAM_HELP);
}

//使用说明
void usage(void)
{
 printf("GUNiffer/n");
 printf("/tSinffer for Win2K By Shotgun (Ver 0.3)/n");
 printf("/tShotgun@Xici.net/n");
 printf("/thttp://It.Xici.Net/n");
 printf("/thttp://www.Patching.Net/n/n");
 printf("USAGE:/n");
 printf("/t/t          Output TCP  Packets/n");
 printf("/t/u          Output UDP  Packets/n");
 printf("/t/i          Output ICMP Packets/n");
 printf("/t/p          Decode Packets (default OFF)/n");
 printf("/t/f: fromIP  Output Packets FromIp=fromIP (default ALL)/n");
 printf("/t/d: destIP  Output Packets DestIp=destIP (default ALL)/n");
 printf("/t/s: string  Output Packets Include sensitive String(TCP only)/n");
 printf("/t/o: port    Output Packets from or to the port(ICMP is TYPE)/n");
 printf("Example:/n");
 printf("/tGUNiffer.exe /d>GUNiffer.log/n");
 printf("/tGUNiffer.exe /t /u /f:192.168.15.231/n");
 printf("/tGUNiffer.exe /t /p /s:PASS/n");
}

//SOCK错误处理程序
void CheckSockError(int iErrorCode, char *pErrorMsg)
{
 if(iErrorCode==SOCKET_ERROR)
 {
  printf("%s Error:%d/n", pErrorMsg, GetLastError());
  closesocket(SockRaw);
  exit(0);
 }
 
}

//  Copyright (C) Microsoft Corporation, 1996-1999
#if _MSC_VER > 1000
#pragma once
#endif

/* Argument structure for SIO_KEEPALIVE_VALS */

struct tcp_keepalive {
    u_long  onoff;
    u_long  keepalivetime;
    u_long  keepaliveinterval;
};

// New WSAIoctl Options

#define SIO_RCVALL            _WSAIOW(IOC_VENDOR,1)
#define SIO_RCVALL_MCAST      _WSAIOW(IOC_VENDOR,2)
#define SIO_RCVALL_IGMPMCAST  _WSAIOW(IOC_VENDOR,3)
#define SIO_KEEPALIVE_VALS    _WSAIOW(IOC_VENDOR,4)
#define SIO_ABSORB_RTRALERT   _WSAIOW(IOC_VENDOR,5)
#define SIO_UCAST_IF          _WSAIOW(IOC_VENDOR,6)
#define SIO_LIMIT_BROADCASTS  _WSAIOW(IOC_VENDOR,7)
#define SIO_INDEX_BIND        _WSAIOW(IOC_VENDOR,8)
#define SIO_INDEX_MCASTIF     _WSAIOW(IOC_VENDOR,9)
#define SIO_INDEX_ADD_MCAST   _WSAIOW(IOC_VENDOR,10)
#define SIO_INDEX_DEL_MCAST   _WSAIOW(IOC_VENDOR,11)

一步一步开发sniffer(Winpcap+MFC)(六)千呼万唤始出来,不抱琵琶也露面——将解析数据写到GUI上

最后一章是要将解析数据写的GUI上,先来回顾一下GUI长什么样,这样就对要在界面上写什么数据心中有数了,如下这两图:   可以看出,要写在GUI上的数据主要...
  • wqc359782004
  • wqc359782004
  • 2015年04月12日 17:11
  • 1037

Sniffer抓包教程

上网络信息安全的时候用了下,中途出现了一堆奇葩的事,这里就不提了。。。 上教程: 先把虚拟机里面的防火墙给关了,主机防火墙也关了 之前由于ip自己设置了,然后一直ping不通,后...
  • k183000860
  • k183000860
  • 2015年09月26日 12:02
  • 5548

【转载】Sniffer pro 找不到网卡的解决方法

很早以前就对sniffer 感兴趣,尝试安装过不同的版本,但都以失败告终,遇到的错误都是:无法找到网卡Adapter,下图: 今天要做网管实验,所以不得不再装一次,终于解决顽疾,下面是解决方...
  • u012259492
  • u012259492
  • 2014年06月06日 18:11
  • 4689

编写自己的sniffer(二)

http://www.cnblogs.com/Seiyagoo/archive/2012/06/30/2571383.html 一、提取端到端的流数据     在wireshar...
  • chengfangang
  • chengfangang
  • 2013年01月08日 10:52
  • 1113

packet sniffer抓包软件使用体验

packet sniffer软件对两个BLE设备在空中发送的数据包进行拦截,解码并可视化在主窗口显示的软件。是我们调试的好工具。首先的使用的背景是,利用packet sniffer软件监听特定从机广播...
  • JQ_AK47
  • JQ_AK47
  • 2015年04月23日 16:52
  • 4552

简易的sniffer程序

真的很简易,这个程序仅仅是抓一些发送到本机的数据包,然后显示出来它们的一些信息罢了!      程序非常简单!      #include #include #include #include ...
  • lishuhuakai
  • lishuhuakai
  • 2014年06月05日 17:27
  • 2108

以前写的一个sniffer网络监听程序(作为备忘)

#include #include #include #include #include #include #include #include #include #...
  • jnbbwyth
  • jnbbwyth
  • 2015年08月09日 12:19
  • 934

【BLE4.0】Packet sniffer 过滤广播MAC地址

一、实验目的 1.在使用Packet sniffer 进行抓包时,由于有很多蓝牙设备在广播,使自己很难看到自己设备的广播包,影响工作效率,所以需要过滤显示广播地址,只显示自己的设备广播数据包; 二...
  • zhuangjitongxue
  • zhuangjitongxue
  • 2016年04月13日 11:36
  • 1338

简易sniffer演示程序

这是网络攻防课的一次实验,完成之后简单整理一下发布到博客中。 实验内容: 开发出一个任意平台上的Sniffer(嗅探器)工具,能显示所捕获的局域网数据包并能做相应的分析和统计。主要内容如下: 列...
  • ajfgurjfmvvlsfkjglkh
  • ajfgurjfmvvlsfkjglkh
  • 2015年10月07日 09:20
  • 994

sniffer载入PPI解码失败问题解决以及sinffer介绍

问题:刚刚安装sniffer进行网络协议分析,安装完之后,打开提示:sniffer载入PPI解码解决方案:右键属性,改兼容性为 windows xp service parck 3。之后重新打开,仍会...
  • starstar1992
  • starstar1992
  • 2016年11月16日 00:53
  • 1913
内容举报
返回顶部
收藏助手
不良信息举报
您举报文章:sniffer
举报原因:
原因补充:

(最多只允许输入30个字)