sniff,截取外部发送到你机器上的IP数据包.

sniff,截取外部发送到你机器上的IP数据包.

sniffer 这类型的软件多了去了,都是大同小异的,我简单的实现了一个..下面描述下工作原理吧.

这样的小程序是在应用层通过套接字直接获取留进网卡的IP数据包,注意是流进的,同时获取到的是

原封的IP数据包,只有这样才可以对数据包进行分析来源和协议.

 

sniff不是直接通过调用底层的API,所以无法直接控制网卡的信息,如果要获取本机发出的包,或者说获取更底

层的协议的数据,就必须要从网卡驱动下手了,很多的网络防火墙就是这样做的.对这个我也不大了解,也是刚看了

别人的文章.没怎么深入,要了解的自己百度.

 

 //IP头部，总长度20字节 typedef struct _IP_HEADER { unsigned char header_len:4; unsigned char version:4; unsigned char tos; // type of service unsigned short total_len; // length of the packet unsigned short ident; // unique identifier unsigned short flags; unsigned char ttl; unsigned char protocol; // protocol ( IP , TCP, UDP etc) unsigned short checksum; unsigned int sourceIP; unsigned int destIP; }IP_HEADER; //TCP头部，总长度20字节 typedef struct _TCP_HEADER { unsigned short src_port; //源端口号 unsigned short dst_port; //目的端口号 unsigned int seq_no; //序列号 unsigned int ack_no; //确认号 #if LITTLE_ENDIAN unsigned char reserved_1:4; //保留6位中的4位首部长度 unsigned char thl:4; //tcp头部长度 unsigned char flag:6; //6位标志 unsigned char reseverd_2:2; //保留6位中的2位 #else unsigned char thl:4; //tcp头部长度 unsigned char reserved_1:4; //保留6位中的4位首部长度 unsigned char reseverd_2:2; //保留6位中的2位 unsigned char flag:6; //6位标志 #endif unsigned short wnd_size; //16位窗口大小 unsigned short chk_sum; //16位TCP检验和 unsigned short urgt_p; //16为紧急指针 }TCP_HEADER; //UDP头部，总长度8字节 typedef struct _UDP_HEADER { unsigned short src_port; //远端口号 unsigned short dst_port; //目的端口号 unsigned short uhl; //udp头部长度 unsigned short chk_sum; //16位udp检验和 }UDP_HEADER; //ICMP头部，总长度4字节 typedef struct _ICMP_HEADER{ unsigned char icmp_type; //类型 unsigned char code; //代码 unsigned short chk_sum; //16位检验和 }ICMP_HEADER;

这几个是重要的数据结构,从socket中获得ip数据包后,你就可以进行分析

要记得的一点是:

IP包首部长度,这个值以4字节为单位.IP协议首部的固定长度为20个字节,如果IP包没有选项,那么这个值为5.
TCP包头呢貌似是以1/4字节为单位的-_-!

破空间不支持上传文件哦！！