1、Linux下C语言 编写简单的网络嗅探器: 基本的数据包抓取分析

最新推荐文章于 2024-07-26 14:22:46 发布
最新推荐文章于 2024-07-26 14:22:46 发布
阅读量3.5k 收藏 56
点赞数 8
分类专栏: 网络嗅探器 文章标签: 网络 指针 linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qwrdxer/article/details/109188336
版权

首先贴上源代码

#include <stdio.h>
#include <errno.h>  
#include <unistd.h>
#include <sys/socket.h>
#include <sys/types.h>  
#include <arpa/inet.h>
#include <cstdlib>
//协议相关结构体
#include <netinet/if_ether.h>
int main(){
    unsigned char *buffer;//数据缓冲区
    buffer = (unsigned char *)malloc(sizeof(unsigned char *) * 65536);// 给缓冲区分配足够的空间i    
    struct sockaddr saddr; //地址结构体
    int saddr_size=sizeof(saddr);// 记录结构体大小
    ether_header *eth;
    int sd = socket(PF_PACKET, SOCK_RAW, htons(ETH_P_ALL)); //创建一个原始套接字,ETH_P_ALL 表示侦听负载为 IP 数据报的以太网帧
    //进入循环监听模式
    while(1){
      int data_size = recvfrom(sd, buffer, 65536, 0, &saddr,(socklen_t*)&saddr_size); /* 读取以太网数据帧的内容 */                
      eth = (struct ether_header *)buffer;  //转换成以太网帧头结构体
      //打印相关信息
      printf("Source MAC address: "
           "%02x:%02x:%02x:%02x:%02x:%02x\n",
           eth->ether_shost[0],eth->ether_shost[1],eth->ether_shost[2],
           eth->ether_shost[3],eth->ether_shost[4],eth->ether_shost[5]); 
      printf("Destination MAC address: "
           "%02x:%02x:%02x:%02x:%02x:%02x\n",
           eth->ether_dhost[0],eth->ether_dhost[1],eth->ether_dhost[2],
           eth->ether_dhost[3],eth->ether_dhost[4],eth->ether_dhost[5]); 
      printf("the eth protol is %02x\n",ntohs(eth->ether_type));

    }
 }

代码分析

头文件

#include <stdio.h>   -->标准IO流 printf等函数就在这里
#include <unistd.h>
#include <sys/socket.h> --> socket 函数
#include <sys/types.h>  
#include <arpa/inet.h>
#include <cstdlib>
//协议相关结构体
#include <netinet/if_ether.h>  ---> 以太帧头ether_header 结构体存储位置

头文件的作用可以自行百度, 不过多介绍了

变量定义

unsigned char *buffer; 

buffer = (unsigned char *)malloc(sizeof(unsigned char *) * 65536);

首先创建一个指针, 分配足量的空间, 让指针指向这个空间。 从socket中获取到数据包后,需要对其分析,这块内存空间就是用来临时存放数据的。

注: malloc 分配空间需要free释放, 但测试代码没有终止条件,只能ctrl+c强制退出 … 后期改进吧

struct sockaddr saddr; //地址结构体
int saddr_size=sizeof(saddr);// 记录结构体大小

用于recvfrom函数

ether_header *eth;

以太帧头部, 这个结构体定义在net/ethernet.h 下, 对应linux目录为 usr/include/net/ethernet.h

(注: netinet/if_ether.h 虽然没有这个结构体, 但是 源代码中有 #include<net/ethernet.h>的声明)

image-20201020193534496

这个结构体十分简单, ETH_ALEN 可以在源代码中看出值为6,unsigned char 为8bit长度 ,6*8 对应MAC地址48个二进制位;h_dest和h_source分别存储源、目的MAC地址。 h_proto 是包类型, 具体值如下:

image-20201020193632143
其中比较常用的是0x0800 表示上层协议为IP, 0x0806,表示其为ARP帧

int sd = socket(PF_PACKET, SOCK_RAW, htons(ETH_P_ALL));

int socket(int af, int type, int protocol);

af: addressfamily 地址族, PF_PACKET 是一个 可以处理所有协议的协议系列

type: SOCK_RAW 原始套接字,可以接收本机网卡上的数据帧或者数据包

protocol: ETH_P_ALL 抓取全部的数据包 (可以指定其他类型, 具体定义在 /usr/include/linux/if_ether.h中)

创建一个原始套接字, 用于抓取所有数据包

主循环

    while(1){
      int data_size = recvfrom(sd, buffer, 65536, 0, &saddr,(socklen_t*)&saddr_size); /* 读取以太网数据帧的内容 */                
      eth = (struct ether_header *)buffer;  //转换成以太网帧头结构体
      //打印相关信息
      printf("Source MAC address: "
           "%02x:%02x:%02x:%02x:%02x:%02x\n",
           eth->ether_shost[0],eth->ether_shost[1],eth->ether_shost[2],
           eth->ether_shost[3],eth->ether_shost[4],eth->ether_shost[5]); 
      printf("Destination MAC address: "
           "%02x:%02x:%02x:%02x:%02x:%02x\n",
           eth->ether_dhost[0],eth->ether_dhost[1],eth->ether_dhost[2],
           eth->ether_dhost[3],eth->ether_dhost[4],eth->ether_dhost[5]); 
      printf("the eth protol is %02x",ntohs(eth->ether_type));

    }

/*
   过程中遇到的问题总结;
     1.printf("the eth protol is %02x",ntohs(eth->ether_type));
          eth->ether_type 因为 操作系统的实现不同, 需要首先进行一次转换, 才能正确输出 ( 大端序 小端序  网络字节序 )       

     2.  int recvfrom(int s, void *buf, int len, unsigned int flags, struct sockaddr *from,int *fromlen);
          recv()用来接收远程主机经指定的socket 传来的数据, 并把数据存到由参数buf 指向的内存空间, 
          参数len 为可接收数据的最大长度. 
          参数flags 一般设0, 其他数值定义请参考recv(). 
          参数from 用来指定欲传送的网络地址, 结构sockaddr 请参考bind().    可以简单理解为存储发送源IP地址
          参数fromlen 为sockaddr 的结构长度.

          返回值:成功则返回接收到的字符数, 失败则返回-1, 错误原因存于errno 中. 

          https://blog.csdn.net/danelumax2/article/details/8567173

*/
  1. 如注释所写,当socket捕获到一个数据包时,recvfrom 会将其存入缓冲区中, 并将这个数据包的大小作为返回值返回(后期分析高层 协议的时候很有用处)
  2. eth = (struct ether_header *)buffer 让eth结构体指向数据包的头部, 数据包是按网络层顺序嵌套而成的, 最后封装的也就是MAC层, 使用ether_header结构体就能获得相应的MAC地址等信息
  3. printf( … ) 前面说过, MAC地址是存储在一个uchar数组中, print分别打印即可
  4. printf(“the eth protol is %02x”,ntohs(eth->ether_type)); 使用了ntohs()函数 ,作用是将一个16位数由网络字节顺序转换为主机字节顺序

关于字节序和网络序转换:

http://blog.chinaunix.net/uid-26727991-id-3756256.html

代码运行:

使用 gcc -o test 文件名

./test执行 即可进入监听状态

浏览器访问网页或使用ping命令都可以捕获到数据包

运行结果如下

image-20201020200828693

qwrdxer
关注
  • 8
    点赞
  • 56
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Linux网络数据包抓取源码分析和包过滤
09-25
Linux网络数据包抓取源码分析和包过滤,请大家下载学习,用C开发的
Linux C监听端口
Fighting for 24
03-25 3569
int socket(int domain,int type,int protocol); domain参数指定协议族 type参数指定这个套接字的通信类型 protocol参数指定使用的协议 AF_UNIX         UNIX域协议(文件系统套接字) AF_INET           ARPA因特网协议(UNIX网络套接字) AF_ISO  IOS标准协议 AF_NS
linux网络编程之:获取指定网卡网络数据包分析(附C语言源码)
热门推荐
过往记忆大数据
04-13 1万+
#include #include #include #include #include int main(){ char *net_dev; char *ip_addr; char *net_mask; char errbuf[PCAP_ERRBUF_SIZE]; bpf_u_int32 netp; bpf_u_int32 mask; struct in_addr a
linux 监视网络命令,linux使用tcpdump命令监视指定网络数据包的方法
weixin_31098573的博客
05-10 326
linux使用tcpdump命令监视指定网络数据包的方法打印本地主机与Berkeley网络上的主机之间的所有通信数据包(nt: ucb-ether, 此处可理解为'Berkeley网络'的网络地址,此表达式最原始的含义可表达为: 打印网络地址为ucb-ether的所有数据包)复制代码 代码如下:tcpdump net ucb-ether打印所有通过网关snup的ftp数据包(注意, 表达式被单引号...
嗅探器源代码
06-25
关于嗅探器的源代码#include <winsock2.h> #include <windows.h> #include <ws2tcpip.h> #include <stdio.h> #include <stdlib.h> #pragma comment(lib,"ws2_32.lib") #define MAX_HOSTNAME_LAN 255 #define SIO_RCVALL _WSAIOW(IOC_VENDOR,1) #define MAX_ADDR_LEN 16 struct ipheader { unsigned char ip_hl:4; unsigned char ip_v:4; unsigned char ip_tos; unsigned short int ip_len; unsigned short int ip_id; unsigned short int ip_off; unsigned char ip_ttl; unsigned char ip_p; unsigned short int ip_sum; unsigned int ip_src; unsigned int ip_dst; }; typedef struct tcpheader { unsigned short int sport; unsigned short int dport; unsigned int th_seq; unsigned int th_ack; unsigned char th_x:4; unsigned char th_off:4; unsigned char Flags; unsigned short int th_win; unsigned short int th_sum; unsigned short int th_urp; }TCP_HDR; typedef struct udphdr { unsigned short sport; unsigned short dport; unsigned short len; unsigned short cksum; }UDP_HDR; void main(){ SOCKET sock; WSADATA wsd; DWORD dwBytesRet; unsigned int optval = 1; unsigned char *dataudp,*datatcp; int i,pCount=0,lentcp, lenudp; SOCKADDR_IN sa,saSource, saDest; struct hostent FAR * pHostent; char FAR name[MAX_HOSTNAME_LAN]; char szSourceIP[MAX_ADDR_LEN], szDestIP[MAX_ADDR_LEN],RecvBuf[65535] = {0}; struct udphdr *pUdpheader; struct ipheader *pIpheader; struct tcpheader *pTcpheader; WSAStartup(MAKEWORD(2,1),&wsd); if ((sock = socket(AF_INET, SOCK_RAW, IPPROTO_IP))==SOCKET_ERROR) exit(1); gethostname(name, MAX_HOSTNAME_LAN); pHostent = gethostbyname(name); sa.sin_family = AF_INET; sa.sin_port = htons(6000); memcpy(&sa.sin_addr.S_un.S_addr, pHostent->h_addr_list[0], pHostent->h_length); bind(sock, (SOCKADDR *)&sa, sizeof(sa)); if ((WSAGetLastError())==10013) exit(1); WSAIoctl(sock, SIO_RCVALL, &optval, sizeof(optval), NULL, 0, &dwBytesRet, NULL, NULL); pIpheader = (struct ipheader *)RecvBuf; pTcpheader = (struct tcpheader *)(RecvBuf+ sizeof(struct ipheader )); pUdpheader = (struct udphdr *) (RecvBuf+ sizeof(struct ipheader )); while (1){ memset(RecvBuf, 0, sizeof(RecvBuf)); recv(sock, RecvBuf, sizeof(RecvBuf), 0); saSource.sin_addr.s_addr = pIpheader->ip_src; strncpy(szSourceIP, inet_ntoa(saSource.sin_addr), MAX_ADDR_LEN); saDest.sin_addr.s_addr = pIpheader->ip_dst; strncpy(szDestIP, inet_ntoa(saDest.sin_addr), MAX_ADDR_LEN); lentcp =(ntohs(pIpheader->ip_len)-(sizeof(struct ipheader)+sizeof(struct tcpheader))); lenudp =(ntohs(pIpheader->ip_len)-(sizeof(struct ipheader)+sizeof(struct udphdr))); if((pIpheader->ip_p)==IPPROTO_TCP&&lentcp!=0){ printf("*******************************************\n"); pCount++; datatcp=(unsigned char *) RecvBuf+sizeof(struct ipheader)+sizeof(struct tcpheader); printf("-TCP-\n"); printf("\n%s\n",szDestIP); printf("\n%i\n",ntohs(pTcpheader->dport)); printf("datatcp address->%x\n",datatcp); printf("size of ipheader->%i\n",sizeof(struct ipheader)); printf("size of tcpheader->%i\n",sizeof(struct tcpheader)); printf("size of the hole packet->%i\n",ntohs(pIpheader->ip_len)); printf("\nchar Packet%i [%i]=\"",pCount,lentcp-1); for (i=0;i<lentcp;i++){ printf("\\x%.2x",*(datatcp+i)); if (i==0) printf("\"\n\""); } printf("\";\n\n\n"); for (i=0;i<lentcp;i++){ if( *(datatcp+i)<=127&&*(datatcp+i)>=20) printf("%c",*(datatcp+i)); else printf("."); } printf("\n\n*******************************************\n"); } if((pIpheader->ip_p)==IPPROTO_UDP&&lentcp!=0){ pCount++; dataudp=(unsigned char *) RecvBuf+sizeof(struct ipheader)+sizeof(struct udphdr); printf("-UDP-\n"); printf("\n%s\n",szDestIP); printf("\n%d\n",ntohs(pTcpheader->dport)); printf("UDP%x\n",dataudp); printf("IP%i\n",sizeof(struct ipheader)); printf("UDP%i\n",sizeof(struct udphdr)); printf("%i\n",ntohs(pIpheader->ip_len)); printf("\nchar Packet%i [%i]=\"",pCount,lenudp-1); for (i=0;i<lenudp;i++){ printf("\\x%.2x",*(dataudp+i)); if (i==0) printf("\"\n\""); } printf("\";\n\n\n"); for (i=0;i<lenudp;i++){ if( *(dataudp+i)<=127&&*(dataudp+i)>=20) printf("%c",*(dataudp+i)); else printf("."); } printf("\n\n*******************************************\n"); } } }
linux c抓包程序,基于Linux C实现的网卡抓包程序
weixin_39754411的博客
05-12 129
/********************************************************* 功能:网络抓包工具* 环境: GCC-4.2.4* 作者:YSQ-NJUST,yushengqiangyu@163.com* 备注:自由软件,主要用于学习、交流、共享。*******************************************************/#...
Linux&C语言简单实现抓包分析-Wireshark
qq_47355554的博客
05-14 2057
目录一、数据交互1.Windows运行网络调试助手作为 TCP 服务器2.Ubuntu启动一个TCP客户端程序客户端---02client.c执行结果二、抓包分析wireshark1.应用层---用户数据2.传输层---TCP协议转载:3.网络层---IP协议路由器是根据ip地址来收发数据的,路由器是一个工作在网络层的设备4.链路层---以太网(MAC)交换机是根据mac地址收发数据的,所以交换机是工作在链路层的设备6. 非原创 一、数据交互 1.Windows运行网络调试助手作为 TCP 服务器 Net
linux下包监控程序[C语言]
故事我有,我不喝酒
12-21 3273
linux实现一个数据包监控程序,此程序主要包含3个主要模块:底层模块、中层模块和上层统计模块。其中底层模块是数据包的捕获过程; 中层模块包括MAC 层处理模块、IP 层处理模块、TCP 处理模块、UCP 处理模块和ICMP 处理模块; 上层统计处理模块包括数据包的统计模块、数据包协议统计模块、网络网元发现模、数据包构造模块和数据包过滤模块。
python嗅探工具详解附源码(使用socket,带tkinter界面)
qq_43665434的博客
10-30 2645
python嗅探工具详解(带tkinter界面) 原理详见:https://www.cnblogs.com/laina/p/13488117.html https://blog.csdn.net/xuanhun521/article/details/52919407?biz_id=102&utm_term=python%20%20ioctl&utm_medium=distribute.pc_search_result.none-task-blog-2allsobaiduweb~default
linuxc语言多线程网页爬虫源代码
01-12
Linux环境下,C语言是一种常用的编程语言,尤其适用于系统级编程和网络编程。在这个场景中,我们关注的是一个使用C语言实现的多线程网页爬虫。多线程技术允许程序同时执行多个任务,提高效率,而网页爬虫则用于...
Linux平台,基于C语言的简易爬虫.zip
06-13
Linux平台上,C语言是一种强大的编程工具,尤其适用于系统级编程和网络编程。在这个主题中,我们将探讨如何使用C语言构建一个简易的网络爬虫。爬虫是自动抓取网页内容的程序,常用于数据挖掘、网站分析和搜索引擎...
动态网络爬虫——linux下C
11-04
在IT领域,网络爬虫是一种自动化程序,用于遍历互联网并抓取网页...以上就是关于"动态网络爬虫——Linux下C"的知识点概述,涵盖从网络爬虫的基本原理到具体实现的各个层面。希望对你在开发C语言网络爬虫时有所帮助。
crawler:C语言实现网络爬虫
05-11
crawler 计算机应用编程实验2 实验涉及内容 Linux Socket编程 AC自动机提取页面url BloomFilter url去重 Libevent异步IO库并发抓取 PageRank 计算权重最高的十个页面
linux arp指令(arp命令)使用教程(将网络层的IP地址解析为链路层的MAC地址)为什么网络通信过程中要经过ip到mac地址的转换?
Dontla的博客
03-01 926
查询arp:arp -a 查询静态绑定地址:arp -s 清空arp表:arp -d 参考文章:ARP是什么?有什么用?网络工程师现身说法来讲解,一定没听过
Liunx C 获取网卡数据
梦不醒最美的博客
12-14 2739
#include <stdio.h> #include <stdlib.h> #include <string.h> #include <unistd.h> #include <sys/socket.h> #include <arpa/inet.h> #include <linux/if_ether.h> int main(int argc, char const *argv[]) { int sock_fd, .
[Linux]-原始套接字
levi的博客
07-22 908
原始套接字指的是在传输层下面使用的套接字,之前使用的流式套接字和数据报套接字是工作在传输层的,并且在接受和发送的时候只能对数据部分进行操作,如果想要自己组建一个报文,那么就需要使用原始套接字。并且原始套接字还可以监听所有经过本机网卡的数据帧或者数据包
网络嗅探器的设计与实现(2024)-转载
weixin_46337464的博客
01-06 998
参照 raw socket 编程例子,设计一个可以监视。
linux原始套接字-发送ARP报文
maxzero的专栏
09-27 4302
linux原始套接字,可以直接发送和接收链路层和网络层的报文,对我们理解TCP/IP协议栈有很多帮助。 也可写出很多有趣的程序。 下面的例子是向192.168.1.60的电脑,发送伪造的ARP报文,使其更新ARP表,导致无法PING通192.168.1.71。 使用命令arp -d 删除arp缓存即可恢复。 本示例仅供学习交流,请勿用于非法用途。   #include &lt;std...
Linux网络工具“瑞士军刀“集合
最新发布
分享不一样的技术,与你一起共同成长!
07-26 303
下面结合之前的一些使用经验为大家介绍一下一些经典应用场景下,这个网络命令工具如何使用的。例如怎么查看当前服务器监听哪些端口、连接目标主机端口情况如何?平常我们在进行Linux服务器相关运维的时候,总会遇到一些网络相关的问题。我们可以借助这些小巧、功能强悍的工具帮助我们排查问题、解决问题...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值