本文介绍了网络嗅探器SNIFF的工作原理,它通过让网卡处于混杂模式,从而能捕获所有经过的数据包。文章提到了使用API如WSAIoctl设置SIO_RCVALL模式,创建特定类型的socket并绑定到特定接口来实现嗅探。在应用中,创建socket,设定模式后,使用recv函数解析接收到的数据包。
该文章部分内容参考自:http://topic.csdn.net/t/20011113/19/369064.html 和 MSDN。
[简介]
SNIFF,就是嗅探器,窃听器,它工作在网络的底层,在网络上监听数据包来获取敏感信息。
从原理上来说,在一个实际的系统中,数据的收发是由网卡来完成的,网卡接收到传输来的数据,网卡内的单片程序接收数据帧的目的MAC地址,根据计算机上的网卡驱动程序设置的接收模式判断该不该接收,认为该接收就接收后产生中断信号通知CPU,认为不该接收就丢掉不管,所以不该接收的数据网卡就截断了,计算机根本就不知道。对于网卡来说一般有四种接收模式:
a)广播方式:该模式下的网卡能够接收网络中的广播信息。
b)组播方式:设置在该模式下的网卡能够接收组播数据。
c)直接方式:在这种模式下,只有目的网卡才能接收该数据。
d)混杂模式:在这种模式下的网卡能够接收一切通过它的数据,而不管该数据是否是传给它的。
总结一下,首先,在以太网中是基于广播方式传送数据的,也就是说,所有的物理信号都要经过我的机器。其次,网卡可以置于一种模式叫混杂模式(promiscuous),在这种模式下工作的网卡能够接收到一切通过它的数据,而不管实际上数据的目的地址是不是他。
这就是SNIFF工作的基本原理:让网卡接收一切他所能接收的数据。
[API支持]
1)int WSAIoctl(
__in
最低0.47元/天 解锁文章
2580
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
