网络安全实验--网络嗅探器

最新推荐文章于 2024-05-06 09:53:34 发布
最新推荐文章于 2024-05-06 09:53:34 发布
阅读量3.2k 收藏 25
点赞数 1
分类专栏: C/C++
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xuqi7/article/details/71082914
版权

0x01  前言

本来以为可以划水过去的网络安全实验课,突然就被老师布置了一个作业,写一个网络嗅探器,大概要求如下:

利用Winsock编程接口,设计实现一个能够在共享式局域网中完成网络抓包并分析所截获数据包的嗅探程序。

要求:

1、能够捕获并分析IP分组,ARP分组,ICMP报文,TCP报文,UDP报文等(如果能解析到应用层更好)。

2、数据包显示界面尽量美观



0x02  分析

一开始很苦恼呀,这丢给一个小白怎么做呀,后来听大神说虚拟机里有两个例子,改改就能用了(实验课用的是什么中软的一套程序,网络信息安全 综合实验系统,在虚拟机里运行,拷了也会显示未授权,比较尴尬),知识类实验→网络攻防→实验3 网络嗅探→练习二、练习三,,请教请教学霸,大概看了看,差不多了


就是先捕获一个数据包,捕获数据包后,首先判断是ip分组还是arp分组,如果是ip分组,则调用判断高层协议子函数,进一步分析后输出分析结果,如果是arp分组,则输出判断结果,别的分组则直接输出结果


0x03  代码

#define _WIN32_WINNT 0x502
#include <pcap.h>
#include  <stdio.h> 
#include <winsock2.h>

#pragma comment(lib, "ws2_32.lib")

#pragma comment(lib, "wpcap")


#define SIO_RCVALL   _WSAIOW(IOC_VENDOR,1)

//Key offset
#define IP_HITYPE		9
#define IP_SADDR		12
#define IP_DADDR		16
#define IP_HEADLEN		32

#define ICMP_TYPE		0

#define TCP_SPORT		0
#define TCP_DPORT		2

#define UDP_SPORT		0
#define UDP_DPORT		2

//Higher layer Protocol Type

#define HI_UNKNOW		-1
//IP layer
#define HI_ICMP			1		
#define HI_IGMP			2
#define HI_TCP			3
#define HI_UDP			4
#define HI_OSPF			5


void ParseTCPLayer( const u_char* cBuff );
void ParseUDPLayer( const u_char* cBuff );
void ParseICMPLayer( const u_char* cBuff );
int ParseIPLayer( const u_char* cBuff );

int main()
{
	pcap_if_t	*alldevs;
	pcap_if_t	*d;
	pcap_t		*adhandle;
	char		errbuf[PCAP_ERRBUF_SIZE];
	char		timestr[16];
	int			res,inum=0,i=0;
	int			iPacketsum=0;

	struct tm	*ltime;
	struct pcap_pkthdr *header;
	const u_char *pkt_data;

	int	nIpHeaderLen = 5;

	//! 获取设备列表
	if( pcap_findalldevs(&alldevs, errbuf ) == -1 )
	{
		printf( "调用pcap_findalldevs时发生错误: %s\n", errbuf );
		exit(1);
	}	
	//! 显示设备列表
	for( d=alldevs; d; d=d->next )
	{
		printf( "%d.%s", ++i, d->name );
		if(d->description)
			printf( " %s\n", d->description );
		else
			printf( " no description available\n" );
	}
	if( i==0 )
	{
		printf( "\nNo interfaces found! Make sure Winpcap is installed.\n" );
		return -1;
	}

	//! 指定可用设备
	printf( "Enter the interface number (1-%d):", i );
	scanf( "%d", &inum );
	if( inum<1 || inum >i )
	{
		printf( "\nInterface number out of range.\n" );
		// 释放设备列表
		pcap_freealldevs(alldevs);
		return -1;
	}

	//! 跳转到选中设备
	for(d=alldevs, i=0; i<inum-1; d=d->next,i++);
	//! 打开网络设备
	if( (adhandle=pcap_open_live(d->name,	// 设备名称
								65535,		// 捕获数据包最大长度(包括链路层数据)
								1,			// 网卡混杂模式工作
								1000,		// 读超时
								errbuf		// 错误缓冲
								)) == NULL )
	{
		printf( "Unable to open the adapter. %s is not supported by Winpcap\n" );
		// 释放设备列表
		pcap_freealldevs(alldevs);
		return -1;
	}
	printf( "\nlistening on %s...\n", d->description );
	pcap_freealldevs(alldevs);		// 此时已不再需要设备列表,释放设备列表


	//! 开始捕获数据包,这里没有使用pcap_loop调用回调函数的方法,而是循环调用pcap_next_ex。
	while( (res=pcap_next_ex( adhandle, &header, &pkt_data)) >=0 )
	{
		if( res == 0 )
		{
			// 超时
			continue;
		}
		
		iPacketsum++;

		printf("\n ------------------------------------------------\n");
		// 判断数据包类型
		printf("数据包类型编码或长度:%.2x%.2x\n",pkt_data[12],pkt_data[13]);
		if(pkt_data[12] == 8 && pkt_data[13] == 0){
			printf("This is an ip data packet!\n");

			// 解析ip数据包
			switch( ParseIPLayer( pkt_data +14 ) )
			{
			case HI_ICMP:
				ParseICMPLayer( &pkt_data[nIpHeaderLen*4] );
				break;
			case HI_TCP:
				ParseTCPLayer( &pkt_data[nIpHeaderLen*4] );
				break;
			case HI_UDP:
				ParseUDPLayer( &pkt_data[nIpHeaderLen*4] );
				break;
			}

		}else if(pkt_data[12] == 8 && pkt_data[13] == 6){
			printf("This is an ARP data packet!\n");
		}else{
			printf("Other type data packet!\n");
		}

		
		// 捕获时间
		ltime = localtime(&header->ts.tv_sec);
		strftime( timestr, sizeof(timestr), "%H:%M:%S", ltime);

		printf( " No %d. 时间%s. 长度%d\n", iPacketsum,timestr, header->len );

		// 单行16字节显示数据包内容
		for(unsigned int j=1; j<header->len+1; j++)
		{
			printf( " %.2x", pkt_data[j-1] );
			if( (j % 16) == 0 ) 
				printf("\n");
		}
	}

	//! 关闭设备
	pcap_close( adhandle );

	return 0;
}



// 解析IP层,获得上层协议类型
int ParseIPLayer( const u_char* cBuff )
{
	unsigned int usIp1(0), usIp2(0), usIp3(0), usIp4(0);
	unsigned int nIpHiType(0);

	memcpy( &usIp1, &cBuff[IP_SADDR], sizeof(char) );
	memcpy( &usIp2, &cBuff[IP_SADDR+1], sizeof(char) );
	memcpy( &usIp3, &cBuff[IP_SADDR+2], sizeof(char) );
	memcpy( &usIp4, &cBuff[IP_SADDR+3], sizeof(char) );


	printf("******  IP Layer  ******\n");
	printf("源IP地址:%d.%d.%d.%d  ", usIp1,usIp2,usIp3,usIp4);

	memcpy( &usIp1, &cBuff[IP_DADDR], sizeof(char) );
	memcpy( &usIp2, &cBuff[IP_DADDR+1], sizeof(char) );
	memcpy( &usIp3, &cBuff[IP_DADDR+2], sizeof(char) );
	memcpy( &usIp4, &cBuff[IP_DADDR+3], sizeof(char) );

	printf("目的IP地址:%d.%d.%d.%d  ", usIp1,usIp2,usIp3,usIp4);

	memcpy( &nIpHiType, &cBuff[IP_HITYPE], sizeof(char) );

	switch ( nIpHiType)
	{
	case 1:
		printf("IP高层协议类型:%d (ICMP)", nIpHiType);
		return HI_ICMP;
	case 2:
		printf("IP高层协议类型:%d (IGMP)", nIpHiType);
		return HI_IGMP;
	case 6:
		printf("IP高层协议类型:%d (TCP)", nIpHiType);
		return HI_TCP;
	case 17:
		printf("IP高层协议类型:%d (UDP)", nIpHiType);
		return HI_UDP;
	case 89:
		printf("IP高层协议类型:%d (OSPF)", nIpHiType);
		return HI_OSPF;
	default:
		printf("IP高层协议类型:%d (未知的类型)", nIpHiType);
		return HI_UNKNOW;
	}
}

// 解析ICMP数据包,获得ICMP类型
void ParseICMPLayer( const u_char* cBuff )
{
	unsigned int nIcmpType(0);
	memcpy( &nIcmpType, &cBuff[ICMP_TYPE], sizeof(char) );

	printf("******  ICMP Layer  ******\n");

	switch ( nIcmpType )
	{
	case 3:
		printf("ICMP类型:%d (终点不可达)", nIcmpType);
		break;
	case 4:
		printf("ICMP类型:%d (源点抑制)", nIcmpType);
		break;
	case 11:
		printf("ICMP类型:%d (超时)", nIcmpType);
		break;
	case 12:
		printf("ICMP类型:%d (参数问题)", nIcmpType);
		break;
	case 5:
		printf("ICMP类型:%d (改变路由)", nIcmpType);
		break;
	case 8:
		printf("ICMP类型:%d (回送请求)", nIcmpType);
		break;
	case 0:
		printf("ICMP类型:%d(回送回答)", nIcmpType);
		break;
	case 13:
		printf("ICMP类型:%d (时间戳请求)", nIcmpType);
		break;
	case 14:
		printf("ICMP类型:%d (时间戳回答)", nIcmpType);
		break;
	case 17:
		printf("ICMP类型:%d (地址掩码请求)", nIcmpType);
		break;
	case 18:
		printf("ICMP类型:%d (地址掩码回答)", nIcmpType);
		break;
	case 10:
		printf("ICMP类型:%d(路由器询问)", nIcmpType);
		break;
	case 9:
		printf("ICMP类型:%d (路由器通告)", nIcmpType);
		break;
	default:
		printf("ICMP类型:%d (未知的ICMP类型)", nIcmpType);
	}
}

// 解析TCP数据包,获得源、目的端口对
void ParseTCPLayer( const u_char* cBuff )
{
	unsigned short usSPort(0);
	unsigned short usDPort(0);

	printf("******  TCP Layer  ******\n");

	memcpy( &usSPort, &cBuff[TCP_SPORT], 2*sizeof(char) );
	usSPort = htons( usSPort );

	switch ( usSPort )
	{
	case 20:
		printf("TCP源端口:%d(FTP 数据)  ",usSPort);
		break;
	case 21:
		printf("TCP源端口:%d(FTP 控制)  ",usSPort);
		break;
	case 23:
		printf("TCP源端口:%d(TELNET)  ",usSPort);
		break;
	case 25:
		printf("TCP源端口:%d(SMTP)  ",usSPort);
		break;
	case 80:
		printf("TCP源端口:%d(HTTP)  ",usSPort);
		break;
	case 110:
		printf("TCP源端口:%d(POP3)  ",usSPort);
		break;
	case 143:
		printf("TCP源端口:%d(IMAP)  ",usSPort);
		break;
	default:
		printf("TCP源端口:%d  ",usSPort);
		break;
	}

	memcpy( &usDPort, &cBuff[TCP_DPORT], 2*sizeof(char) );
	usDPort = htons( usDPort );

	switch ( usDPort )
	{
	case 20:
		printf("TCP目的端口:%d(FTP 数据)\n", usDPort);
		break;
	case 21:
		printf("TCP目的端口:%d(FTP 控制)\n", usDPort);
		break;
	case 23:
		printf("TCP目的端口:%d(TELNET)\n", usDPort);
		break;
	case 25:
		printf("TCP目的端口:%d(SMTP)\n", usDPort);
		break;
	case 80:
		printf("TCP目的端口:%d(HTTP)\n", usDPort);
		break;
	case 110:
		printf("TCP目的端口:%d(POP3)\n", usDPort);
		break;
	case 143:
		printf("TCP目的端口:%d(Imap)\n", usDPort);
		break;
	default:
		printf("TCP目的端口:%d\n", usDPort);
		break;
	}
}

// 解析UDP数据包,获得源、目的端口对
void ParseUDPLayer( const u_char* cBuff )
{
	unsigned short usSPort(0);
	unsigned short usDPort(0);

	printf("******  UDP Layer  ******\n");

	memcpy( &usSPort, &cBuff[UDP_SPORT], 2*sizeof(char) );
	usSPort = htons( usSPort );

	switch ( usSPort )
	{
	case 161:
		printf("UDP源端口:%d(SNMP)  ", usSPort);
		break;
	case 67:
		printf("UDP源端口:%d(DHCP)  ", usSPort);
		break;
	case 68:
		printf("UDP源端口:%d(DHCP)  ", usSPort);
		break;
	case 53:
		printf("UDP源端口:%d(DNS)  ", usSPort);
		break;
	case 520:
		printf("UDP源端口:%d(RIP)  ", usSPort);
		break;
	case 138:
		printf("UDP源端口:%d(NetBios)  ", usSPort);
		break;
	case 139:
		printf("UDP源端口:%d(SMB)  ", usSPort);
		break;
	case 137:
		printf("UDP源端口:%d(WINS)  ", usSPort);
		break;
	default:
		printf("UDP源端口:%d  ", usSPort);
		break;
	}

	memcpy( &usDPort, &cBuff[UDP_DPORT], 2*sizeof(char) );
	usDPort = htons( usDPort );

	switch ( usDPort )
	{
	case 161:
		printf("UDP目的端口:%d(SNMP)\n", usDPort);
		break;
	case 67:
		printf("UDP目的端口:%d(DHCP)\n", usDPort);
		break;
	case 68:
		printf("UDP目的端口:%d(DHCP)\n", usDPort);
		break;
	case 53:
		printf("UDP目的端口:%d(DNS)\n", usDPort);
		break;
	case 520:
		printf("UDP目的端口:%d(RIP)\n", usDPort);
		break;
	case 138:
		printf("UDP目的端口:%d(NetBios)\n", usDPort);
		break;
	case 139:
		printf("UDP目的端口:%d(SMB)\n", usDPort);
		break;
	case 137:
		printf("UDP目的端口:%d(WINS)\n", usDPort);
		break;
	default:
		printf("UDP目的端口:%d\n", usDPort);
		break;
	}
}




0x04  问题

给老师演示的时候,解析的ip分组再向下分析时,都是未知类型,而且ip地址看着也很奇怪,最后经过学霸指点,需要去掉前面的14个 char,为什么呢?请看下图:


前14个字节没什么用了,但是那些函数还是从头开始分析,那就比较尴尬了(对了,第12,13字节,就是判断是ip分组还是arp分组的地方,ip分组是 0800,arp分组是0806)

所以调用ParseIPLayer函数时,捕获到的数据需要向后偏移14个字节,也就是调用 ParseIPLayer( pkt_data + 14 )


没有按老师要求用winsock编程接口,就这样吧,实现了就可以


0x05  废话

唉,看了一节课,也不如学霸的一句话,差距满满的

越微小的错误越难找到,,

xuqi7
关注
  • 1
    点赞
  • 25
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
共享网络下的嗅探
Libra_Ng
10-30 981
嗅探实现 嗅探前提:网卡设置为混杂模,与被嗅探机同处一个广播局域网. 任务一:利用嗅探器抓取FTP密码 任务二:利用嗅探器抓取HTTP数据包 嗅探危害 敏感信息泄露 被动攻击,难以察觉 嗅探对策 数据加密 使用加密协议 多划分vlan 交换网络 ...
计算机网络实验-嗅探器实验
12-24
计算机网络实验中的嗅探器是网络分析的重要工具,主要用于捕获和分析网络数据包。在这个实验中,我们将探讨嗅探器的基本原理和实现方法,以及如何利用它来理解和解析网络通信过程。 首先,嗅探器的基本概念是监听并...
计算机网络课程设计-网络嗅探器的设计与实现
qq_63306482的博客
01-18 997
实验为计算机网络课程设计内容,基本上所有代码都是根据指导书给的附录写出来的。有些实验需要实现图形界面,但是出于期末考压力,我所有实验均是在控制台输入输出的,没有花额外时间去学习qt了,有精力的同学可以自学一下qt实现简单的图形界面。同时,该博客内容为部分报告内容,仅为大家提供参考,请勿直接抄袭。另外,本次实验所用平台是centos7,代码均是在终端进行编译的,不会的可以先了解怎么用终端编程,或者利用其他较为智能的开发环境进行编程。
网络数据的嗅探与欺骗
最新发布
2301_78192946的博客
05-06 1326
一、网络嗅探 1.概念 网络嗅探是指通过拦截和监视网络流量来收集和分析网络数据的过程。 网络嗅探工具可以捕获经过网络的数据包,并提取其中的信息,如源地址、目的地址、协议类型、数据内容等。网络嗅探可以用于网络管理、安全监控、故障排查等方面,但也可能被用于恶意目的,如窃取敏感信息或监视他人的网络活动。因此,在使用网络嗅探工具时,需要遵守相关法律法规和道德规范,以确保合法和道德的使用。 2.特点 实时性:网络嗅探能够实时捕获网络流量,并对数据包进行分析和处理,可以及时发现网络问题或安全威胁。
网络安全网络嗅探
2301_76161259的博客
04-21 2956
网络监听技术又叫做,顾名思义这是一种在他方未察觉的情况下捕获其通信报文或通信内容的技术。在网络安全领域,网络监听技术对于都有着重要的意义,是一把双刃剑。网络监听技术的能力范围目前,它是主机的一种工作模,主机可以接收到本网段在同一条物理通道上传输的所有信息,而。网络管理员:分析网络情况,监测网络流量攻击者:监听网络数据,嗅探用户敏感信息。(1)广播模:该模下的网卡能够接收网络中的广播信息。(2)组播模:该模下的网卡能够接受组播数据。
网络嗅探 实验
qq_53397065的博客
12-14 1万+
本次记录曾做过的网络安全实验 :phase 3 一、实验目的 1.理解网络嗅探的作用和工作机制。 2.熟悉网络嗅探工作wireshark的使用,加深对TCP/IP协议的理解。 二、实验环境 操作系统为Windows 10,抓包工具为Wireshark. 实验原理 三次握手 四次挥手 ping是用来测网络连通性的命令,一旦发出ping命令,主机会发出连续的测数据包到网络中,在通常的情况下,主机会收到回应数据包,ping采用的是ICMP协议。 TCP...
20221921 2022-2023-2 《网络攻防实践》实验
qq_46010138的博客
03-19 133
网络嗅探技术
计算机网络实验-网络嗅探器
Sunflower的博客
01-13 5432
计算机网络实验-网络嗅探器 内容 课题:简单的个人网络嗅探器 一、目的 加深对 TCP/IP 协议的理解 二、任务: • 实现 Sniffer 的基本功能。 Sniffer 是一种用于监测网络性能、使用情况的工具。 • 能够指定需要侦听的网卡(考虑一台机器上多张网卡的情况) • 能够侦听所有进出本主机的数据包,解析显示数据包( ICMP 、 IP 、 TCP 、 UD...
实验1-网络嗅探实验-报告.doc
03-10
1. **Sniffer工作原理**:网络嗅探器Sniffer能够监听网络中的数据包,帮助分析网络性能和诊断故障。它在混杂模下工作,无视目标MAC地址,接收所有经过网络接口的数据帧,以便分析和捕获信息。 2. **网卡状态**:...
网络嗅探器实验报告
01-03
通过这样的实验,学生能够深入理解TCP/IP协议的工作原理,以及如何使用网络嗅探器来监控和分析网络流量。这对于网络安全网络故障排查和性能优化等方面的学习都是非常有价值的。此外,实验也强调了MVC设计模在...
实践作业-网络管理实验-嗅探器
07-25
嗅探器是网络管理员和安全专家常用的工具,它能监控网络流量,帮助诊断问题,以及进行网络安全审计。 首先,我们要了解什么是嗅探器。嗅探器,也称为网络分析器或数据包嗅探器,是一种软件工具,它可以捕获通过网络...
计算机网络课程设计嗅探器(源文件及实验报告)
01-20
1.利用原始套接字实现简单的网络嗅探器。 2.系统功能包括: 2.1 原始套接字与网卡邦定,并接收流经网卡的所有数据包; 2.2 对数据包进行分析以获得源IP地址和目的IP地址; 2.3 对数据包进行分析以获得运输层协议类型、源端口号和目的端口号; 2.4 对数据包进行分析以获得数据包的长度; 2.5 也可以只分析一种协议,比如IEEE802.3协议、IP协议、TCP协议、或UDP协议等。如果每层协议都分析,可获加分。 2.6 显示分析结果 3. 开发工具不限,建议使用VC++
网络中的嗅探行为与防御措施
09-06
网络嗅探 sniffing 技术本来是用于捕获 分析网络中的协议 和数据包 帮助管理员管理和监测网络运行状况的一种手段 却时 常被黑客用来非法侦听 窃取用户信息 由于该技术具有被动性和 非干扰性的特点 因而利用网络嗅探来入侵内部网络 窃取网络中 的重要信息具有很强的隐蔽性 用常规的办法很难检测其存在 基 于网络嗅探原理推出防御措施的课题就摆在了我们的面前 ">网络嗅探 sniffing 技术本来是用于捕获 分析网络中的协议 和数据包 帮助管理员管理和监测网络运行状况的一种手段 却时 常被黑客用来非法侦听 窃取用户信息 由于该技术具有被动性和 非干扰性的特点 因而利用网络嗅探 [更多]
网络嗅探器的设计与实现
12-26
一格简单网络嗅探器的设计与实现,是基于C/C++的
网络嗅探器,基于jpcap
06-21
网络嗅探器是一种用于捕获、分析和记录网络流量的工具,它可以帮助网络管理员和安全专家深入了解网络上发生的情况。在本案例中,我们关注的是一个基于Java平台的网络嗅探器,它利用了名为jpcap的库来实现其功能。 *...
wireshark如何对指定ip进行嗅探
iptracker的博客
02-19 1万+
可能你会好奇,为什么可以嗅探到别人上网的数据呢?今天我就带大家一起用kali linux中的wireshark软件(kali默认安装,ubuntu使用apt安装,CentOS使用yum安装,其余自行至官网下载并安装)进行一次嗅探 ...
网络嗅探器的设计(2)
不忘初心,护天下安全!
11-21 1358
参考https://blog.csdn.net/qq_34838643/article/details/78891127 标题 使用java进行实现网络嗅探器实验环境 Win10+Eclipse+JDK1.8+Winpcap+Jpcap Jpcap Jpcap实际上并非一个真正去实现对数据链路层的控制,而是一个中间件,JPCAP调用wincap/libpcap,而给JAVA语言提供...
实验报告四
weixin_33968104的博客
10-16 237
中国人民公安大学 Chinese people’public security university 网络对抗技术 实验报告 实验四 恶意代码技术 学生姓名 王德伸   年级 2015 区队 四区 指导...
网络嗅探器(Sniffer)的原理与实现(1)
热门推荐
bobopeng
02-19 1万+
一.背景 为了使不同体系结构的计算机网络都能进行互联,国际标准化组织ISO于1997年成立了专门的结构研究这个问题。不久他们就提出了一个图使各种计算机在世界范围内都能互联的成网的标准框架,即著名的OSI/RM(Open Systems Interconnection Reference Model , 开放系统互联基本参考模型),简称为OSI。它的主要目标是:只要遵循OSI标准,一个系统就可以
网络嗅探器实验技术路线
11-08
以下是网络嗅探器实验技术路线: 1.了解网络嗅探器的基本原理和工作方。 2.选择适合自己的网络嗅探器软件,例如Wireshark、Tcpdump等。 3.学习如何使用网络嗅探器进行流量捕获和分析。 4.学习如何使用过滤器和显示...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值