教你使用Libnids开发包做-协议分析、网络嗅探!

最新推荐文章于 2024-08-23 09:05:43 发布
最新推荐文章于 2024-08-23 09:05:43 发布
阅读量3.4k 收藏 26
点赞数 1
分类专栏: 网络协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/chen1415886044/article/details/116765459
版权

Libnids是基于Libpcap和Libnet而开发的,是一个用于网络入侵检测开发的专业编程接口,利用Libndis可以构建网络入侵检测系统。

Libnids有哪些功能

分析源码会发现,Libnids的主要功能包括捕获网络数据包,IP碎片重组、TCP数据流重组以及端口扫描攻击检测、异常数据包检测等等。

这里要说一下,Libnids是基于libpcap来捕获数据包,可以设定过滤规则。对于IP碎片重组,Libnids是参考Linux内核中的IP重组而实现的。

Libnids有TCP数据流重组功能,这在一些开发包中所不具备的,在Libnids中利用TCP数据流重组,可以分析基于TCP协议的各种应用层协议。

Libnids可以做什么

对于Libnids可以用在一下这几个方面

1、网络嗅探
2、协议分析
3、入侵检测

下面对这几个方面进行简单的描述。

网络嗅探

网络嗅探可以称为网络监视,主要是检测网络信息,查看网络内容。

如果你是网络管理员,想知道网络的运行状况,想检测网络出现的状况,可以使用网络嗅探技术来实现。

对于网络非法攻击者来说,为了获取敏感信息,可以使用网络嗅探技术来实现。获取密码、用户、账户等。这些都是基于Libnids获取的,所以说Libnids是一把双刃剑。

网络协议

Libndis是在Libpcap基础上开发的,所以他具备libpcap的功能,可以实现各种协议解析。我们在利用libnids分析基于TCP协议的各种协议时,不仅可以分析各种单个TCP数据包,而且可以分析整个TCP连接过程。

入侵检测

Libnids的设计是作为入侵检测系统的一个部件设计的,它实现了入侵检测系统中非常基础的功能。例如:数据包捕获、协议分析接口等。

Libnids还准备针对入侵检测系统的特性,实现了TCP数据流的重组功能,这对于分析针对TCP协议的各种攻击是很有帮助的。

Libnids安装

我们了解libnids可以做什么以后,接下来,我们来安装Libnids开发包。由于Libnids必须支持libpcap、libnet,所以我们得安装好这两个包。这里就不多说了,这里只给安装libnids安装。

安装libnids需要四个步骤,分别是:

tar zxvf libnids-1.24.tar.gz
./configure
make
make install

首先解压缩,执行如下命令:
在这里插入图片描述
然后进入Libnids解压缩目录,执行如下配置命令:

在这里插入图片描述

执行编译命令

在这里插入图片描述
执行安装命令

在这里插入图片描述

常用的Libnids函数

基本函数

  • int nids_init (void);

此函数的功能是对Libnids进行初始化,这是所有设计基于Libnids的程序最开始调用的函数。它的主要内容包含打开网络接口、打开文件、编译过滤规则、设置过滤规则、判断网络链路类型,进行必要的初始化工作。

  • int nids_run()

此函数的功能是运行Libnids,进入循环捕获数据包状态,它实际上是调用Libpcap函数pcap_loop()来循环捕获数据包。

  • int nids_getfd()

此函数的功能是获得文件描述符号。

  • int nids_dispatch(int cnt)
    此函数的功能就是调用Libpcap中的捕获数据包函数 pcap_dispatch()

  • int nids_next()

此函数的功能是调用Libpcap中的捕获数据包函数 pcap_next()

IP常用函数

  • void nids_register_ip_frag(void (*x))

此函数的功能是注册一个能够检测所有IP数据包的回调函数,包括IP碎片。例如:

nids_register_ip_frag(ip_frag_func);
注册一个回调函数ip_frag_func定义类型如下:

void ip_frag_func(struct ip * a_packet, int len)

此函数可以检测所有IP数据包,包括IP碎片。

TCP常用函数

  • void nids_register_tcp (void (*));

此函数是注册一个TCP链接的回调函数。回调函数的定义如下:

void tcp_callback (struct tcp_stream *a_tcp, void ** this_time_not_needed)

a_tcp表示一个TCP连接的所有信息,this_time_not_needed是要传递的连接参数信息。

  • void nids_killtcp(struct tcp_stream *a_tcp)

此函数的功能是终止TCP连接,它实际上是调用Libnet的函数进行构造数据包,然后发送出去。

  • void nids_discard(struct tcp_stream * a_tcp, int num)

此函数的功能是丢弃num字节TCP数据。

UDP常用函数

  • void nids_register_udp (void (*));

此函数的功能是注册一个分析UDP协议的回调函数,回调函数的类型定义如下:

  • void udp_callback(struct tuple4 * addr, char * buf, int len, struct
    ip * iph);

此回调函数中就可以对UDP数据包进行分析了。

Libnids的使用

显示tcp连接

下面我们写一个程序,显示TCP连接过程,并对它们的传输数据进行 详细的分析。

#include <sys/types.h>
#include <dnet.h>
#include <stdio.h>
#include <stdlib.h>
#include <string.h>
#include <ctype.h>
#include <sys/time.h>
#include <unistd.h>
#include <sys/socket.h>
#include <netinet/in.h>
#include <netinet/in_systm.h>
#include <arpa/inet.h>
#include <stdio.h>
#include <fcntl.h>
#include <nids.h>

char ascii_string[10000];
char *char_to_ascii(char ch)
{
    char *string;
    ascii_string[0] = 0;
    string = ascii_string;
    if (isgraph(ch))
    {
        *string++ = ch;
    }
    else if (ch == ' ')
    {
        *string++ = ch;
    }
    else if (ch == '\n' || ch == '\r')
    {
        *string++ = ch;
    }
    else
    {
        *string++ = '.';
    }
    *string = 0;
    return ascii_string;
}

void tcp_protocol_callback(struct tcp_stream *tcp_connection, void **arg)
{
    int i;
    char address_string[1024];
    char content[65535];
    char content_urgent[65535];
    struct tuple4 ip_and_port = tcp_connection->addr;
    strcpy(address_string, inet_ntoa(*((struct in_addr*) &(ip_and_port.saddr))));
    sprintf(address_string + strlen(address_string), " : %i", ip_and_port.source);
    strcat(address_string, " <---> ");
    strcat(address_string, inet_ntoa(*((struct in_addr*) &(ip_and_port.daddr))));
    sprintf(address_string + strlen(address_string), " : %i", ip_and_port.dest);
    strcat(address_string, "\n");
    switch (tcp_connection->nids_state) /* 判断LIBNIDS的状态 */
    {
        case NIDS_JUST_EST:
            tcp_connection->client.collect++;
            tcp_connection->server.collect++;
            tcp_connection->server.collect_urg++;
            tcp_connection->client.collect_urg++;
            printf("%sTCP连接建立\n", address_string);
            return ;
        case NIDS_CLOSE:
            printf("--------------------------------\n");
            printf("%sTCP连接正常关闭\n", address_string);
            return ;
        case NIDS_RESET:
            printf("--------------------------------\n");
            printf("%sTCP连接被RST关闭\n", address_string);
            return ;
        case NIDS_DATA:
            {
                struct half_stream *hlf;
                if (tcp_connection->server.count_new_urg)
                {
                    printf("--------------------------------\n");
                    strcpy(address_string, inet_ntoa(*((struct in_addr*) &(ip_and_port.saddr))));
                    sprintf(address_string + strlen(address_string), " : %i", ip_and_port.source);
                    strcat(address_string, " urgent---> ");
                    strcat(address_string, inet_ntoa(*((struct in_addr*) &(ip_and_port.daddr))));
                    sprintf(address_string + strlen(address_string), " : %i", ip_and_port.dest);
                    strcat(address_string, "\n");
                    address_string[strlen(address_string) + 1] = 0;
                    address_string[strlen(address_string)] = tcp_connection->server.urgdata;
                    printf("%s", address_string);
                    return ;
                }
                if (tcp_connection->client.count_new_urg)
                {
                    printf("--------------------------------\n");
                    strcpy(address_string, inet_ntoa(*((struct in_addr*) &(ip_and_port.saddr))));
                    sprintf(address_string + strlen(address_string), " : %i", ip_and_port.source);
                    strcat(address_string, " <--- urgent ");
                    strcat(address_string, inet_ntoa(*((struct in_addr*) &(ip_and_port.daddr))));
                    sprintf(address_string + strlen(address_string), " : %i", ip_and_port.dest);
                    strcat(address_string, "\n");
                    address_string[strlen(address_string) + 1] = 0;
                    address_string[strlen(address_string)] = tcp_connection->client.urgdata;
                    printf("%s", address_string);
                    return ;
                }
                if (tcp_connection->client.count_new)
                {
                    hlf = &tcp_connection->client;
                    strcpy(address_string, inet_ntoa(*((struct in_addr*) &(ip_and_port.saddr))));
                    sprintf(address_string + strlen(address_string), ":%i", ip_and_port.source);
                    strcat(address_string, " <--- ");
                    strcat(address_string, inet_ntoa(*((struct in_addr*) &(ip_and_port.daddr))));
                    sprintf(address_string + strlen(address_string), ":%i", ip_and_port.dest);
                    strcat(address_string, "\n");
                    printf("--------------------------------\n");
                    printf("%s", address_string);
                    memcpy(content, hlf->data, hlf->count_new);
                    content[hlf->count_new] = '\0';
                    printf("客户端接收数据\n");
                    for (i = 0; i < hlf->count_new; i++)
                    {
                        printf("%s", char_to_ascii(content[i]));
                    }
                    printf("\n");
                }
                else
                {

                    hlf = &tcp_connection->server;
                    strcpy(address_string, inet_ntoa(*((struct in_addr*) &(ip_and_port.saddr))));
                    sprintf(address_string + strlen(address_string), ":%i", ip_and_port.source);
                    strcat(address_string, " ---> ");
                    strcat(address_string, inet_ntoa(*((struct in_addr*) &(ip_and_port.daddr))));
                    sprintf(address_string + strlen(address_string), ":%i", ip_and_port.dest);
                    strcat(address_string, "\n");
                    printf("--------------------------------\n");
                    printf("%s", address_string);
                    memcpy(content, hlf->data, hlf->count_new);
                    content[hlf->count_new] = '\0';
                    printf("服务器端接收数据\n");
                    for (i = 0; i < hlf->count_new; i++)
                    {
                        printf("%s", char_to_ascii(content[i]));
                    }
                    printf("\n");
                }
            }
        default:
            break;
    }
    return ;
}


int main(int argc ,char **argv)
{
    if (!nids_init())
     /* Libnids初始化 */
    {
        printf("出现错误:%s\n", nids_errbuf);
        exit(1);
    }
    nids_register_tcp((void*)tcp_protocol_callback);
    nids_run();
    /* Libnids进入循环捕获数据包状态 */
	return 0;
}

此程序主要分析当建立TCP数据流进行重组,显示TCP连接状态,并对TCP的传输数据进行详细分析并输出。

总结

Libnids是一个入侵检测系统开发包,可以构造入侵检测系统的基本框架,还可以用于网络监控系统,网络数据包分析系统等。

欢迎关注微信公众号【程序猿编码】,欢迎添加本人微信号(17865354792),交个朋友,咱们一起学习进步!

程序猿编码
关注
专栏目录
libnids-libpcap-libnet库源码合辑
01-22
这是libnids-libpcap-libnet3个库的源代码,希望学习网络编程的朋友可以安装此包进行开发
网络安全开发包详解代码
05-13
协议分析绝对有用 配合原书使用效果更好 《网络安全开发包详解》——前言 随着网络技术的飞速发展,网络安全问题变得日益严重,对网络安全的研究也越来越重要。在网络安全领域,有很多网络安全技术,如防火墙、入侵检测、安全扫描、网络嗅探协议分析、流量统计、网络管理以及蜜罐技术等,无论是研究这些技术的原理,还是直接使用这些技术来设计网络安全系统,都会遇到它们的程序设计与开发问题。例如,在研究这些技术的时候,通常要根据研究的理论来设计一个模型,以此模型来验证技术的正确性和性能;还有就是直接运用成熟的网络安全技术来设计一个应用系统,其中常见的有:防火墙系统(如Netfilter,pktfilter等),入侵检测系统(如Snort等),网络安全扫描系统(如Nmap,Nessus等),网络嗅探器(如Tcpdump/Windump,Sniffer等),网络协议分析系统(如Ethereal,Ettercap等),蜜罐系统(如H Honeyd)等。 无论是作为研究的模型还是成熟的应用系统,它们的设计和实现都离不开一些网络安全操作,其中一些操作是很基本的,使用频繁,而且很多都是底层操作,如网络地址的操作、网络接口的操作、数据包的捕获、数据包的构造、数据包的发送等。还有一些操作比较复杂,如流量的统计、路由的管理、ARP缓存的配置、防火墙的管理和配置等。这些操作都会在开发模型或应用系统时碰到,如果这些功能都已经实现,就只需调用它们,这样会大大提高开发的效率,从而降低成本,节省时间和精力。 为了实现这一目标,人们开发了关于这些操作的专用网络安全开发包。网络安全开发包是指用于网络安全研究和开发的一些专业开发函数库,它的主要作用是实现网络安全研究和开发的基本功能,为研究者和开发者进一步研究和开发网络安全提供编程接口,使网络开发人员能够忽略网络底层细节的实现,从而专注于程序本身具体功能的设计与开发。使用它们,会大大加快程序设计的速度。由于这些开发包已经经过时间的考验,非常稳定,使用它们也会提高程序的稳定性。利用它们,网络安全开发者可以很方便地编写出具有结构化强、健壮性好、可移植性高等特点的网络安全应用程序。网络安全开发包实现的都是某一种或某一类网络安全技术,都是经过很多网络安全研究和开发者的长期研究而形成的,人们的不断测试和使用使它们逐渐成熟起来,在实际应用中得到了深入推广。 网络安全开发包有很多种,功能也大不相同,其中比较著名、应用广泛、最具代表性的开发包有以下几种: · 网络数据包捕获开发包Libpcap; · Windows网络数据包捕获开发包WinPcap; · 网络数据包构造和发送开发包Libnet; · 网络入侵检测开发包Libnids; · 通用网络安全开发包Libdnet。 这些著名的网络安全开发包与上述网络安全技术密切相关,它们在网络安全领域得到了广泛的应用。这些网络安全开发包实现了一些网络安全技术,并为其他网络安全技术的开发打下坚实的基础,因而对于研究网络安全技术和开发网络安全应用程序是很有帮助的。 本书对上述网络安全开发包进行了详细讨论,详细阐述开发包的原理、数据结构、输出函数和使用方法。 本书的特点如下: ·介绍当今最著名的网络安全开发包,包括Libpcap,WinPcap,Libnet,Libdnet和Libndis等,全部以最新版本进行介绍。 · 讲解详细、透彻,对每个网络安全开发包的数据结构、输出函数以及使用方法都进行了详细阐述,特别对其使用方法进行了深入而细致的讨论。 · 针对每个网络安全开发包,提供了丰富的例程,每个程序短小精悍,都有全部源代码(需要这些源代码电子文档的读者,请与作者或本书责任编辑联系),对程序都了详细注解,对其编译过程和运行结果都进行了详细分析。 在本书的编写过程中,得到了很多朋友的帮助,在此对他们表示真挚的感谢。同时也感谢我的亲人,他们的支持和理解是我创作的动力。 由于作者水平有限,再加上网络安全技术的发展十分迅速,书中难免有不妥和错误之处,恳请广大读者赐。读者可以通过E-mail与作者联系。E-mail:securitybook@163.com(作者);zhangls@phei.com.cn(责任编辑) 刘文涛 2005年7月于武汉
DPDK抓包,libnids包还原(分片,重组)
05-02
DPDK抓包,libnids包还原(分片,重组,协议分析
libnids分析
程序狗的成长之路
08-15 1387
典型的运用 libnids 的应用代码 下面是应用 libnids 的典型代码,节选自 libnids 自带的范例: sample/sniff.c Toggle linenumbers 1 4 void 5 sniff_callback (struct tcp_stream *a_tcp, void **this_time_not_needed) 6 7
Libnids基础和TCP数据流
PP_zi的博客
12-13 2184
目录   本文内容 器材(设备、元器件) 正文 1.Libnids是什么?可以干什么? 2.ids软件开发流程 3. ids主要函数 4.ids实现tcp流程序分析框架 5.使用NIDS库编写TCP流分析程序,解释和输出三个结构体tuple4,half_stream,nids_prm的值   本文内容 1.Libnids是什么?可以干什么? 2.ids软件开发流...
Libnids开发包介绍
求索
11-17 5317
  Libnids开发包介绍 Libnids是一个用于网络入侵检测开发的专业编程接口,它使用了Libpcap所以它具有捕获数据包的功能。同时,Libnids提供了TCP数据流重组功能,所以对于分析基于TCP协议的各种协议Libnids都能胜任.Libnids还提供了对IP分片进行重组的功能,以及端口扫描
libnids 分析笔记
qinggebuyao的专栏
06-27 6875
一、当日工作(或学习)内容及进展情况(以条目式陈述,必要时配图说明) Libnids读书笔记: Libnids(Library Network Intusion Detection System)网络入侵检测开发包,基于libpcap和libnet开发,是仿照linux内核中的TCP/IP协议部分而实现的。   libnids主要功能包括捕获网络数据包、IP碎片重组、TCP数据流重组以及端
libnids使用
康林工作室
03-14 1万+
Libnids是一个用于网络入侵检测开发的专业编程接口,它使用了Libpcap所以它具有捕获数据包的功能。同时,Libnids提供了TCP数据流重组功能,所以对于分析基于TCP协议的各种协议Libnids都能胜任.Libnids还提供了对IP分片进行重组的功能,以及端口扫描检测和异常数据包检测功能。 Libnids数据结构 一.基本常量 1.报警类型 enum { NIDS_WARN_
libnids
weixin_34304013的博客
03-23 296
一、简介   libnids的英文意思是 Network Intrusion Detect System library,即网络入侵监测系统函数库。它是在前面介绍的两种C函数接口库libnet和libpcap的基础上开发的,封装了开发NIDS所需的许 多通用型函数。linids提供的接口函数监视流经本地的所有网络通信,检查数据包等。除此之外,还具有重组TCP数据段、处理IP分片包和监测TCP端 ...
libnids-1.24.rar
04-16
libnids开源代码,从官方的开源网站下载
libnids最新开发包
12-27
1. **包嗅探**:Libnids能够捕获网络上的数据包,并提供解析这些数据包的能力,这对于分析网络流量和检测潜在的恶意活动至关重要。 2. **流重组**:网络通信通常涉及分片的数据包,Libnids能够重组这些分片,帮助...
嗅探工具 --- wireshark、tcpdump、dsniff、ettercap、bettercap、netsniff-ng
墨鱼菜鸡
07-11 4981
最好的 MitM 中间人攻击开源框架清单:https://github.com/Chan9390/Awesome-MitM 哔哩哔哩:https://search.bilibili.com/all?keyword=wireshark 1、WireShark WireShark 是一个开源免费的高性能网络协议分析软件,它的前身就是非常著名的网络分析软...
Libnids-API(中文版)
zhangxuejie的专栏
09-30 984
Libnids-API(中文版)==================== libnids-1.16 ====================1. 简介 2. IP碎片重组 3. TCP流还原 4. 例子程序 5. 基本的Libnids结构和函数 6. 其它有用的技巧 1. 简介 Libnids定义的数据结构和函数的声明集中在头文件nids.h中。使用Libnids的应用程序 必须包含这个文件,
Libnids 网络入侵检测开发包
nemo2011的专栏
03-19 2171
一、概述        Libnids(Library Network Intrusion Detection System)是一个用于网络入检测开发的专业编程接口。它实现了基于网络的入侵检测系统的基本框架,并提供了一些基本的功能。使用Libnids可以快速地构建基于网络的入侵监测系统,并可以在此基础上进一步扩展开发。Libnids实现了入侵检测系统的底层功能,使开发者可以专注于高层的功能开发。
Libnids入门
UKK
05-29 234
Libnids入门 http://www.ifind.cc/view/196
libnids开源项目安装与使用
最新发布
gitblog_00327的博客
08-23 304
libnids开源项目安装与使用libnidslibnids项目地址:https://gitcode.com/gh_mirrors/li/libnids 一、项目目录结构及介绍 libnids是一个由MITRECND维护的网络入侵检测系统库,主要用于TCP流重组和端口扫描检测。以下是其基本的目录结构及其简要说明: libnids/ |-- CMakeLists.txt ...
GPRS核心网-GTP-C协议解析
热门推荐
chen1415886044的博客
04-18 3万+
GPRS隧道协议(GTP)是3GPP标准定义的隧道协议,用于在3G / 4G网络中承载通用分组无线服务(GPRS)。 GTP用于在服务网关(S-GW)和分组数据网络网关(P-GW)以及S-GW和移动性管理实体(MME)之间为用户设备建立GTP隧道。如图-EPC架构: GTP包含哪些单独的协议? GTP包括在UDP / IP上传输的控制平面(GTP-C),用户平面(GTP-U)和计费(从GTP-C派生的GTP)流量。 GTP-C-在核心GPRS网络中的S-GW和P-GW之间执行信令,以激活和停用用户会话,调
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值