本文档详细介绍了网络嗅探器的设计过程,包括利用原始套接字监听网络状态,解析IP和TCP头部信息,以及在调试中遇到的IP地址绑定问题。通过示例代码展示了如何解析端口和IP地址,并对不同端口的数据进行区分。最后,作者分享了调试过程中的体会,强调了混杂模式和正确绑定IP地址的重要性。
一、设计题目
4、网络嗅探器的设计与实现
二、设计内容
设计一个可以监视网络的状态、数据流动情况以及网络上传输的信息的网络嗅探器。
三、设计步骤
3.1原理分析
原始套接字是一种不同于 SOCK_STREAM 和 SOCK_DGRAM 的套接字,它实现于系统核心。创建方式与TCP或UDP差不多,但是功能与 TCP 或者 UDP 类型套接字的功能有很大的不同:TCP/UDP 类型的套接字只能够访问传输层以及传输层以上的数据,因为当 IP 层把数据传递给传输层时,下层的数据包头已经被丢掉了。而原始套接字却可以访问传输层以下的数据,所以使用 raw 套接字你可以实现上至应用层的数据操作,也可以实现下至链路层的数据操作。
可以使用原始套接字来实现很多功能,比如最基本的数据包分析、主机嗅探等。
3.2编程设计
设计步骤:
- 创建原始套接字,便于接收所有经过它的IP包;
- 绑定原始套接字到本地网卡;
- 设置SIO_RCVALL开始接收IP包;
- 解析IP包;
数据结构
/*TCP头*/
typedef struct _IPHeader {
u_char VIHL; //版本和首部长度 各占4bit
u_char ToS; //服务类型
u_short TotalLen; //总长度
u_short ID; //标识号
u_short Frag_Flags; //片偏移量
u_char TTL; //生存时间
u_char Protocol; //协议
u_short Checksum; //首部校验和
//ULONG SrcIP;
//ULONG DestIP;
struct in_addr SrcIP; //源IP地址
struct in_addr DestIP; //目的地址
}IPHDR, * PIPHDR;
/*TCP头*/
typedef struct _tcpheader {
USHORT sourcePort; //来源端口
USHORT destinationPort; //目标端口
ULONG sequenceNumber; // 32位序列号
ULONG acknowledgeNumber; //32位确认号
//下面2个 共占16位
UCHAR dataOffset; //4位首部长度/6位保留字
UCHAR flags; //6位标志位
USHORT windows; //16位窗口大小
USHORT checksum; //16位校验和
USHORT urgentPointer;//16位紧急数据偏移量
}TCP_HDR, * PTCP_HDR;
关键代码
//解析TCP封包
void DecodeTCPPacket(char* pData) {
PTCP_HDR pTcphdr = (PTCP_HDR)pData;
//取出端口
printf_s("Port: %d -> %d \n", ntohs(pTcphdr->sourcePort), ntohs(pTcphdr->destinationPort));
//下面还可以根据端口进一步解析应用层协议:
switch (ntohs(pTcphdr->destinationPort)) {
case 80: {
printf_s("这是一个80端口 具体信息:%s\n", pData + sizeof(TCP_HDR));
break;
}
case 21: {
printf_s("这是一个21端口 具体信息:%s\n", pData + sizeof(TCP_HDR));
break;
}
case 8080: {
printf_s("这是一个8080端口 具体信息:%s\n", pData + sizeof(TCP_HDR));
break;
}
}
}
//解析IP封包
void DecodeIPPacket(char* pData) {
PIPHDR pIphdr = (PIPHDR)pData;
char szSourceIP[32] = { 0 }, szDestIP[32] = { 0 };
printf_s("---------------------\n");
//从IP头中取出源IP地址和目的IP地址
strcpy_s(szSourceIP, inet_ntoa(pIphdr->SrcIP));
strcpy_s(szDestIP, inet_ntoa(pIphdr->DestIP));
printf_s("%s -> %s \n", szSourceIP, szDestIP);
//IP头长度
//因为IP头 版本号和首部长度各占4位,先取低4位长度
//IP头封装:
//pIphdr->VIHL = (4 << 4 | (sizeof(IPHDR) / sizeof(ULONG)));
int nHeaderLen = (pIphdr->VIHL & 0xf) * sizeof(ULONG);
switch (pIphdr->Protocol) {
case IPPROTO_TCP:
{
//解析TCP封包
DecodeTCPPacket(pData + nHeaderLen);
break;
}
case IPPROTO_UDP:
{
printf("IPPROTO_UDP");
break;
}
case IPPROTO_ICMP:
{
printf("IPPROTO_ICMP");
break;
}
}
}
程序流程图
4,Sniffer
4,Sniffer
四、调试过程
嗅探器的设计,一开始没有注意的自己的笔记本有多个IP地址,而在进行Raw Socket绑定时,绑定错了,程序一直不能顺利运行。后来经过反思,同时上网查阅资料,才慢慢发现问题所在
五、结果及分析、
进行了局域网上的数据嗅探,初步解析了源IP地址、目的IP地址和端口号,进一步地,对数据的TCP与UDP的类型也有区分。
六、心得体会、
对数据报的地址信息有一定的认识,是进行程序设计的前提。而模块化程序设计,也很好的帮助进行程序开发,比如TCP的解析。
/*
1,为了使网卡接收所有经过它的封包,要将其设为混杂模式;
2,创建原始套接字,便于实现;
3,将原始套接字绑定到一个明确的本地地址;
4,向套接字发送SIO_RCVALL控制命令,让它接收所有的IP包。
*/
//#include "pch.h"
#include <iostream>
#include <WinSock2.h>
#include "windows.h"
#include <ws2ipdef.h>
#include <mstcpip.h> //SIO_RCVALL
#include <process.h>
#pragma warning(disable:4996)
#pragma comment(lib,"ws2_32.lib")
typedef struct _IPHeader {
u_char VIHL; //版本和首部长度 各占4bit
u_char ToS; //服务类型
u_short TotalLen; //总长度
u_short ID; //标识号
u_short Frag_Flags; //片偏移量
u_char TTL; //生存时间
u_char Protocol; //协议
u_short Checksum; //首部校验和
//ULONG SrcIP;
//ULONG DestIP;
struct in_addr SrcIP; //源IP地址
struct in_addr DestIP; //目的地址
}IPHDR, * PIPHDR;
/*TCP头*/
typedef struct _tcpheader {
USHORT sourcePort; //来源端口
USHORT destinationPort; //目标端口
ULONG sequenceNumber; // 32位序列号
ULONG acknowledgeNumber; //32位确认号
//下面2个 共占16位
UCHAR dataOffset; //4位首部长度/6位保留字
UCHAR flags; //6位标志位
USHORT windows; //16位窗口大小
USHORT checksum; //16位校验和
USHORT urgentPointer;//16位紧急数据偏移量
}TCP_HDR, * PTCP_HDR;
//解析TCP封包
void DecodeTCPPacket(char* pData) {
PTCP_HDR pTcphdr = (PTCP_HDR)pData;
//取出端口
printf_s("Port: %d -> %d \n", ntohs(pTcphdr->sourcePort), ntohs(pTcphdr->destinationPort));
//下面还可以根据端口进一步解析应用层协议:
switch (ntohs(pTcphdr->destinationPort)) {
case 80: {
printf_s("这是一个80端口 具体信息:%s\n", pData + sizeof(TCP_HDR));
break;
}
case 21: {
printf_s("这是一个21端口 具体信息:%s\n", pData + sizeof(TCP_HDR));
break;
}
case 8080: {
printf_s("这是一个8080端口 具体信息:%s\n", pData + sizeof(TCP_HDR));
break;
}
}
}
//解析IP封包
void DecodeIPPacket(char* pData) {
PIPHDR pIphdr = (PIPHDR)pData;
char szSourceIP[32] = { 0 }, szDestIP[32] = { 0 };
printf_s("---------------------\n");
//从IP头中取出源IP地址和目的IP地址
strcpy_s(szSourceIP, inet_ntoa(pIphdr->SrcIP));
strcpy_s(szDestIP, inet_ntoa(pIphdr->DestIP));
printf_s("%s -> %s \n", szSourceIP, szDestIP);
//IP头长度
//因为IP头 版本号和首部长度各占4位,先取低4位长度
//IP头封装:
//pIphdr->VIHL = (4 << 4 | (sizeof(IPHDR) / sizeof(ULONG)));
int nHeaderLen = (pIphdr->VIHL & 0xf) * sizeof(ULONG);
switch (pIphdr->Protocol) {
case IPPROTO_TCP:
{
//解析TCP封包
DecodeTCPPacket(pData + nHeaderLen);
break;
}
case IPPROTO_UDP:
{
printf("IPPROTO_UDP");
break;
}
case IPPROTO_ICMP:
{
printf("IPPROTO_ICMP");
break;
}
}
}
int main()
{
WSADATA wsaData;
WSAStartup(MAKEWORD(2, 2), &wsaData);
//raw socket只能由root建立
SOCKET s = socket(AF_INET, SOCK_RAW, IPPROTO_IP);
if (s == INVALID_SOCKET) {
printf_s("请管理员运行\n");
return -1;
}
//获取本地IP地址
char szHostName[56];
SOCKADDR_IN sin;
struct hostent* pHost;
gethostname(szHostName, 56);
if ((pHost = gethostbyname((char*)szHostName)) == NULL)
{
printf_s("gethostbyname失败\n");
return -1;
}
sin.sin_family = AF_INET;
sin.sin_port = htons(0);
//对于多IP地址匹配的问题
for (ULONG i = 0; pHost->h_addr_list[i] + pHost->h_length < pHost->h_name;) {
printf_s("我的IP[%d]:%s\n", ++i, inet_ntoa(*((in_addr*)pHost->h_addr_list[i])));
}
memcpy_s(&sin.sin_addr.S_un.S_addr, 4U, pHost->h_addr_list[1], pHost->h_length);
printf_s("准备绑定到IP:%s\n", inet_ntoa(sin.sin_addr));
//在调用ioctl之前,套接字必须绑定
if (bind(s, (sockaddr*)&sin, sizeof(sin)) == SOCKET_ERROR)
{
printf_s("Bind失败\n");
return -1;
}
//设置SIO_RCVALL
DWORD dwValue = 1;
if (ioctlsocket(s, SIO_RCVALL, &dwValue) != 0) {
printf_s("SIO_RCVALL 失败\n");
return -1;
}
//开始接收封包
char buff[1024];
int nRet;
while (TRUE) {
nRet = recv(s, buff, 1024, 0);
if (nRet > 0) {
//解析IP封包
DecodeIPPacket(buff);
}
}
closesocket(s);
WSACleanup();
}
7864
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
