通信网络实验-嗅探器实现

最新推荐文章于 2023-09-24 00:12:09 发布
最新推荐文章于 2023-09-24 00:12:09 发布
阅读量1.7k 收藏 12
点赞数 1
CC 4.0 BY-SA版权
分类专栏: 通信网络 文章标签: 监听 捕获
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/tamarous/article/details/45788035

使用WinPcap来实现嗅探器

一、嗅探器简介

嗅探器程序一般包括内核部分和用户分析部分,其中内核部分负责从网络中捕获和过滤数据,用户分析部分负责界面、数据转化和处理、格式化、协议分析,如果在内核中没有过滤数据包,在这里还要对数据进行过滤。一个较为完整的基于网络监听和过滤的程序一般包含以下步骤:数据包捕获、数据包过滤和分解、数据分析。
数据包捕获常用的方法有两种:

(1)通过设置路由器的监听端口

(2)利用以太网络的广播特性。这种特性必须将网卡设置为混杂模式。监听程序工作在网络环境的底三层,可以拦截所有经过该机器的网络上传送的数据,然后将这些数据做相应处理,可以实时分析这些数据的内容,进而分析网络当前状态和整体布局。基于Windows的数据包捕获方案有以下几种:

1.使用原始套接字机制。方法简单,但功能有限,只能捕获较高层的数据包;

2.直接连接调用NDIS库函数,这种方法功能非常强大,但是比较危险,很可能导致系统崩溃和网络瘫痪;

3.使用或者自行编写中间层驱动程序,这是微软公司推荐使用的一种方法,微软提供的Win2000DDK中也提供了几个这样的驱动程序,在具体的实现方式上可以分为用户级和内核级两类。其中内核级主要是TDI捕获过滤驱动程序,NDIS中间层捕获过滤驱动程序,NDIS捕获过滤钩子驱动程序等等,它们都是利用网络驱动来实现的;而用户级的包括SPI接口,Win2000包捕获过滤接口等;

4.使用或自行编写协议驱动程序

5.使用第三方捕获组件或者库,比如WinPcap.

捕获数据包后,我们要进行的工作是对其进行包过滤和分解,就是在海量的数据里面找我们感兴趣的内容。一些基础的过滤规则如下:

站过滤:专门筛选出来自一台主机或者服务器的数据

协议过滤:根据不同的协议来筛选数据,例如选择TCP数据而非UDP数据

服务过滤:根据端口号来选择特定数据包

通用过滤:通过数据包中某一位置开始,选择某些具有共同特征的数据包;

过滤完成后,必须进行数据分析,这一部分就是对于已经捕获的数据包进行各种分析,比如网络流量分析,数据包中信息分析,敏感信息提取分析,其功能取决于系统要达到的目的。

下面,我们着重介绍一下使用WinPcap这一环境来实现一个嗅探器的过程。
WinPcap是用于网络封包抓取的一套工具,包含了核心的封包过滤,一个底层动态链接库和一个高层系统函数库。可以进行信息包捕获和网络分析。很多不同的工具软件都是使用WinPcap来进行网络分析、故障排除和网络安全监控等操作的,比如大名鼎鼎的WireShark软件。

在安装WireShark时,它是默认捆绑安装WinPcap的。如果你没有安装WireShark的话,那么你也可以前往这一网页进行下载。要注意的是,除了安装这一文件,我们还要下载开发者套件,这个套间里面包含了一些头文件、若干文档和一些范例程序,对于我们的编程有很大的帮助。
下载之后,将开发者工具解压到某一个目录下。至于这个库的使用方法,请参考我的前一篇博文

好了,现在我们就可以开始进行正式的开发工作了。

使用WinPcap的基本流程十分规范,主要有以下几步:

这里写图片描述

这些函数的定义都可以在帮助文档里找到。在我们解压后的开发者工具包的docs文件夹里,就有所有我们需要的函数的使用方法和范例。我们可以直接在范例的基础上进行修改来完成我们的任务。

二、一个过滤UDP数据包的程序

下面是一个过滤网络中udp数据包的程序。

#include <stdio.h>
#include <stdlib.h>
#include <ctime>
#include "pcap.h"
#include "remote-ext.h"
typedef struct ip_address{
    u_char byte1;
    u_char byte2;
    u_char byte3;
    u_char byte4;
}ip_address;

//IPV4 header
typedef struct ip_header{
    u_char ver_ihl;
    u_char tos;
    u_short tlen;
    u_short identification;
    u_short flags_fo;
    u_char ttl;
    u_char proto;
    u_short crc;
    ip_address saddr;
    ip_address daddr;
    u_int op_pad;
}ip_header;
//UDP header
typedef struct udp_header{
    u_short sport;
    u_short dport;
    u_short len;
    u_short crc;
}udp_header;

void packet_handler(u_char *param, const struct pcap_pkthdr* header, const u_char *pkt_data);

int main()
{
    pcap_if_t *alldevs, *d;
    int inum, i = 0;
    pcap_t *adhandle;
    char errbuf[PCAP_ERRBUF_SIZE];
    u_int netmask;
    char packet_filter[] = "ip and udp";
    struct bpf_program fcode;


/*
pap_findalldevs_ex():this function returns a linked list of pcap_if structures, each of which contains comprehensive information about an attached adapter
*/
if (pcap_findalldevs_ex(PCAP_SRC_IF_STRING,NULL,&alldevs,errbuf) == -1)
{
    fprintf(stderr, "Error in pcap_findalldevs :%s\n", errbuf);
    exit(1);
}

for (d =  alldevs; d ; d = d->next)
{
    printf("%d.%s", ++i, d->name);
    if (d->description)
    {
        printf("(%s)\n", d->description);
    }
    else
    {
        printf("(No description available)\n");
    }
}

if (i == 0)
{
    printf("\nNo interfaces found!Make sure WinPcap is installed.\n");
    return -1;
}
printf("Enter the interface number (1-%d):", i);
scanf_s("%d", &inum);
if (inum <1 || inum > i)
{
    printf("\nInterface number out of range.\n");
    pcap_freealldevs(alldevs);
    return -1;
}
for (d = alldevs, i = 0; i < inum - 1; d = d->next, i++);
if ((adhandle = pcap_open_live(d->name,65536,1,1000,errbuf)) == NULL)
{
    fprintf(stderr, "\nUnable to open the adapter.%s is not supported by WinPcap\n");
    pcap_freealldevs(alldevs);
    return -1;
}
if (d->addresses != NULL)
{
    netmask = ((struct sockaddr_in *)(d->addresses->netmask))->sin_addr.S_un.S_addr;
}
else
{
    netmask = 0xffffff;
}
if (pcap_compile(adhandle, &fcode, packet_filter, 1, netmask) < 0)
{
    fprintf(stderr, "\nUnable to compile the packet filter.Check the syntax.\n");
    pcap_freealldevs(alldevs);
    return -1;
}

if (pcap_setfilter(adhandle,&fcode) < 0)
{
    fprintf(stderr, "\nError setting the filter.\n");
    pcap_freealldevs(alldevs);
    return -1;
}
printf("\nListening on %s...\n", d->description);
pcap_freealldevs(alldevs);
pcap_loop(adhandle, 0, packet_handler, NULL);
return 0;
}

//Callback function invoked by libpcap for every incoming packet
void packet_handler(u_char *param, const struct pcap_pkthdr *header, const u_char *pkt_data)
{
    struct tm ltime;
    char timestr[16];
    ip_header *ih;
    udp_header *uh;
    u_short sport, dport;
    time_t local_tv_sec;
    u_int ip_len;
    local_tv_sec = header->ts.tv_sec;
    localtime_s(&ltime,&local_tv_sec);
    strftime(timestr, sizeof(timestr), "%H:%M:%S", &ltime);
    printf("%s,%.6d len:%d", timestr, header->ts.tv_usec, header->len);
    ih = (ip_header*)(pkt_data + 14);
    ip_len = (ih->ver_ihl & 0xf) * 4;
    uh = (udp_header*)((u_char *)ih + ip_len);
    sport = ntohs(uh->sport);
    dport = ntohs(uh->dport);
    printf("%d. %d. %d. %d. %d    ->     %d. %d. %d. %d. %d.\n", 
        ih->saddr.byte1, 
        ih->saddr.byte2, 
        ih->saddr.byte3, 
        ih->saddr.byte4, 
        sport, 
        ih->daddr.byte1,
        ih->daddr.byte2, 
        ih->daddr.byte3, 
        ih->daddr.byte4, 
        dport);
}

整个代码的逻辑结构完全遵循我们之前提到的流程,理解起来并不困难,这里就不对代码做具体分析了。
嗅探器的运行效果如下:
这里写图片描述

可以看到,这个程序已经将适配器里的udp包信息给打印了出来。这就说明我们的嗅探器已经可以正常工作了。

三、捕获FTP数据包中的用户名和密码

要使这个程序具有捕获FTP中的用户名和密码,我们只需要将我们的过滤机制设置成ftp数据,并且改写packet_handler函数即可。

首先,我们将packet_filter改写如下:
char packet_filter[] = "tcp dst port ftp";
然后,在程序中加入tcp_header的定义:

typedef struct tcp_header{
    u_short sport;
    u_short dport;
    u_int seq;
    u_int ack_num;
    u_char ihl;
    u_char frame;
    u_short wsize;
    u_short crc;
    u_short urg;
}tcp_header;

然后,改写packet_handler函数:

void packet_handler(u_char *param, const struct pcap_pkthdr *header, const u_char *pkt_data)
{
    struct tm ltime;
    char timestr[16];
    ip_header *ih;
    tcp_header *th;
    u_short sport, dport;
    time_t local_tv_sec;
    u_char *pdata;
    u_int tcp_len;
    u_int ip_len;
    u_int data_len;
    u_int i;
    local_tv_sec = header->ts.tv_sec;
    localtime_s(&ltime,&local_tv_sec);
    strftime(timestr, sizeof(timestr), "%H:%M:%S", &ltime);
    printf("%s,%.6d len:%d ", timestr, header->ts.tv_usec, header->len);
    ih = (ip_header*)(pkt_data + 14);
    ip_len = (ih->ver_ihl & 0xf) * 4;
    th = (tcp_header*)((u_char *)ih + ip_len);
    sport = ntohs(th->sport);
    dport = ntohs(th->dport);
    printf("%d.%d.%d.%d:%d    ->     %d.%d.%d.%d:%d\n", 
        ih->saddr.byte1, 
        ih->saddr.byte2, 
        ih->saddr.byte3, 
        ih->saddr.byte4, 
        sport, 
        ih->daddr.byte1,
        ih->daddr.byte2, 
        ih->daddr.byte3, 
        ih->daddr.byte4, 
        dport);
    tcp_len = ((th->ihl & 0xf0) >> 4) * 4;
    pdata = (u_char*)th + tcp_len;
    data_len = header->len - ip_len - tcp_len - 16;
    if (*pdata == 'U' && *(pdata + 1) == 'S' && *(pdata + 2) == 'E' && *(pdata + 3) == 'R')
    {
        memset(user, 0, sizeof(user));
        pdata += 5;
        for (i = 0; i < data_len-5; i++)
        {
            user[i] = *pdata;
            pdata++;
        }
    }

    if (*pdata == 'P' && *(pdata + 1) == 'A' && *(pdata + 2) == 'S' && *(pdata + 3) == 'S')
    {
        memset(pass, 0, sizeof(pass));
        pdata += 5;
        for (i = 0; i<data_len - 5; i++)
        {
            pass[i] = *pdata;
            pdata++;
        }
    }

    printf("User:%s\n", user);
    printf("Password:%s\n", pass);
}

然后怎么测试我们的程序能否正常工作呢?我们编译并执行这个程序,然后点击开始->运行->输入cmd->输入ftp ftp.mcafee.com->输入用户名:anonymous->输入密码(这个密码可以任意填写),这时候在我们的程序里应该就能看到你刚刚输入的用户名和密码了:
这里写图片描述

这里写图片描述

一个简易的网络嗅探器实现
05-22
这里介绍一个用C语言和网络数据包和分析开发工具libpcap及winpcap实现的简易网络Sniffer。
计算机网络实验-嗅探器实验
12-24
计算机网络实验中的嗅探器是网络分析的重要工具,主要用于捕获和分析网络数据包。在这个实验中,我们将探讨嗅探器的基本原理和实现方法,以及如何利用它来理解和解析网络通信过程。 首先,嗅探器的基本概念是监听并...
[源码和文档分享]基于WinPcap和MFC实现的网络嗅探器
qq_38474647的博客
04-04 749
一、实验目的 掌握嗅探器的工作原理 熟悉 WinPcap 的使用 掌握基于 WinPcap 网络嗅探器开发过程 二、实验内容 开发出一个 Windows 平台上的网络嗅探工具,能显示所捕获的数据包,并能做相应的分析和统计。主要内容如下: 列出监测主机的所有网卡,选...
[源码和文档分享]基于winpcap的网络嗅探器设计与实现
qq_38474647的博客
04-05 1307
第一章 摘要 随着网络的普及和网络技术的发展,网络已经成为了人们日常生活和工作中不可获缺的一部分,越来越多的信息和资源放到了互联网上,网络的安全性和可靠性变得越来越重要,因此,对于能够分析、诊断网络,测试网络性能与安全性的工具软件的需求也越来越迫切。网络嗅探器作为一个使用WinPcap开发包,嗅探流过网卡的数据并智能分析过滤,快速找到所需要的网络信息的工具...
实验一:网络嗅探器
weixin_30341735的博客
10-21 548
一:实验背景   为了深入了解和掌握TCP/IP协议栈以及数据包的格式,练习使用libpcap对网络数据包进行解析。   libpcap提供的接口函数主要实现和封装了与数据包截获有关的过程。利用libpcap的C函数库的接口,网络安全工具开发人员可以很方便地编写出具有结构化强、健壮性好、可移植性高等特点的程序。因此,这些函数库在网络安全工具的开发中具有很大的价值,在scanner、sniffe...
一个简易网络嗅探器实现
07-22 1109
   
华中科技大学计算机网络安全实验Winpcap数据分析器(嗅探)实现
最新发布
05-24
它利用ARP协议的漏洞,篡改网络中的ARP表项,使攻击者设备伪装成合法通信节点,从而截获并篡改目标设备之间的通信数据,实现对网络通信的恶意干预和信息窃取,可用于模拟攻击场景以测试网络的安全防护能力。
网络嗅探器实验报告
01-03
【网络嗅探器】是一种用于捕获和分析网络数据包的工具,它允许用户查看网络上的通信细节。在TCP/IP协议栈中,每个数据包都包含不同层次的信息,如链路层、网络层、传输层和应用层。通过网络嗅探器,我们可以深入理解...
《网络编程技术》课程实验(项目)报告-sniffer嗅探器.doc
11-09
通过实验掌握网络嗅探器的设计与实现。 1.熟悉C++编程规范; 2.熟悉并掌握winsock原始套接字的使用方法; 3.熟悉并掌握TCP/IP协议通信原理。 要求: 基本功能: 1. 能够实现数据包的抓取与存储(使用winsock)...
华中科技大学计算机网络安全实验(基于Winpcap的数据分析器(嗅探)的实现).rar
06-07
实验——华中科技大学计算机网络安全实验,旨在让学生深入理解并实践基于Winpcap的数据分析器(嗅探器)的实现Winpcap的工作原理是通过驱动级接口直接与网络适配器交互,绕过操作系统内核的网络堆栈,获取原始...
网络嗅探器(vc实现
03-04
网络嗅探器(vc实现)网络嗅探器(vc实现)网络嗅探器(vc实现)网络嗅探器(vc实现)网络嗅探器(vc实现)网络嗅探器(vc实现)网络嗅探器(vc实现
网络嗅探器的设计与实现
03-11
局域网内网络嗅探器的设计与实现,截包拆包工具
基于WinPcap和MFC实现的网络嗅探器
12-04
基于WinPcap和MFC实现的网络嗅探器捕获所有流经网卡的数据包,并利用 WinPcap 函数库设置过滤规则, 分析捕获到的数据包的包头和数据,按照各种协议的格式进行格式化显示 winPcap+MFC实现网络嗅探器
VC++网络嗅探器的设计与实现(源代码及全套资料)
06-22
VC++网络嗅探器的设计与实现(源代码及全套资料)
基于winpcap的网络嗅探器
10-06
基于winpcap的网络嗅探器,代码和文档都有,开发工具vs2008。另注:由于winpcap不是编译系统自带的函数库,必须在编译器中添加库文件,方法请自行百度
网络嗅探 实验
热门推荐
qq_53397065的博客
12-14 1万+
本次记录曾做过的网络安全实验 :phase 3 一、实验目的 1.理解网络嗅探的作用和工作机制。 2.熟悉网络嗅探工作wireshark的使用,加深对TCP/IP协议的理解。 二、实验环境 操作系统为Windows 10,抓包工具为Wireshark. 实验原理 三次握手 四次挥手 ping是用来测试网络连通性的命令,一旦发出ping命令,主机会发出连续的测试数据包到网络中,在通常的情况下,主机会收到回应数据包,ping采用的是ICMP协议。 TCP...
计算机网络实验-网络嗅探器
Sunflower的博客
01-13 5724
计算机网络实验-网络嗅探器 内容 课题:简单的个人网络嗅探器 一、目的 加深对 TCP/IP 协议的理解 二、任务: • 实现 Sniffer 的基本功能。 Sniffer 是一种用于监测网络性能、使用情况的工具。 • 能够指定需要侦听的网卡(考虑一台机器上多张网卡的情况) • 能够侦听所有进出本主机的数据包,解析显示数据包( ICMP 、 IP 、 TCP 、 UD...
基于C#的网络嗅探器的设计与实现
qq_61141142的博客
09-24 525
数据在网络上是以很小的称为帧(Frame)的单位传输的,帧由几部分组成,不同的部分执行不同的功能。帧通过特定的称为网络驱动程序的软件进行成型,然后通过网卡发送到网线上,通过网线到达它们的目的机器,在目的机器的一端执行相反的过程。接收端机器的以太网卡捕获到这些帧,并告诉操作系统帧已到达,然后对其进行存储。就是在这个传输和接收的过程中,存在着安全方面的问题。每一个在局域网(LAN)上的工作站都有其硬件地址,这些地址唯一地表示了网络上的机器(这一点与Internet地址系统比较相似)。
4、网络嗅探器的设计与实现
qq_43474637的博客
07-13 9089
一、设计题目 4、网络嗅探器的设计与实现 二、设计内容 设计一个可以监视网络的状态、数据流动情况以及网络上传输的信息的网络嗅探器。 三、设计步骤 3.1原理分析 原始套接字是一种不同于 SOCK_STREAM 和 SOCK_DGRAM 的套接字,它实现于系统核心。创建方式与TCP或UDP差不多,但是功能与 TCP 或者 UDP 类型套接字的功能有很大的不同:TCP/UDP 类型的套接字只能够访问传输层以及传输层以上的数据,因为当 IP 层把数据传递给传输层时,下层的数据包头已经被丢掉了。而原始套
网络实验教程:打造简易网络嗅探器
在这个实验中,我们将接触到计算机网络的核心概念之一——网络嗅探,以及嗅探器在网络安全中的应用。嗅探器是一种用于捕获和分析经过网络的原始数据包的工具,这可以是一个软件程序或者硬件设备。在本实验中,涉及的...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值