Linux下Sniffer程序的實現
加入技術交流群
在這篇文章里,我們主要探討在Linux下如何利用C語言來實現一個Sniffer!我們將假設所有的主機在一個局域網內。
首先,我們將簡短的回顧一下一個普通的以太網卡是怎么工作的!(如果你對這方面的知識早已熟悉,那么你可以直接跳到下一段)來源于應用程序的IP報文被封裝成以太網幀(這是在以太網上傳播的數據報文的名稱),它是底層鏈路層報文上面的一層報文,包含有源地址報文和一些需要用來傳送至目標主機的信息。通常情況下,目的IP地址對應著一個6字節的目的以太網址(經常叫做MAC地址),它們之間通過ARP協議進行映射!就這樣,包含著以太網幀的報文從源主機傳輸到目的主機,中間經過一些網絡設備,如交換機,路由器等等,當然,因為我們的前提是主機在同一網內,所以我們的討論不涉及以上這些網絡設備!
在鏈路層中并不存在路線的概念,換句話說,源主機發出的幀不會直接指向目的主機,而是基于廣播方式傳播,網絡中的所有網卡都能看到它的傳輸。每個網卡會檢查幀開始的6個字節(目的主機的MAC地址),但是只有一個網卡會發現自己的地址和其相符合,然后它接收這個幀,這個幀會被網絡驅動程序分解,原來的IP報文將通過網絡協議棧傳送至接收的應用程序!
更準確的說,網絡驅動程序會檢查幀中報文頭部的協議標識,以確定接收數據的上層協議!大多數情況下,上層是IP協議,所以接收機制將去掉IP報文頭部,然后把剩下的傳送至UDP或者TCP接收機制!這些協議,將把報文送到socket-handling機制,它將最后把報文數據變成應用程序可接收的方式發送出去。在這個過程中,報文將失去所有的和其有關的網絡信息,比如源地址(IP和MAC),端口號,IP選擇,TCP參數等等!所以如果目的主機沒有一個包含正確參數的打開端口,那么這個報文將被丟棄而且永遠不會被送到應用層去!
因此我們在進行網絡嗅探的時候有兩個不同的問題:一個和以太網址有關,我們不能抓到不是發給自己主機的包,另一個和協議棧的運行過程有關,我們需要一個SOCKET去監聽每個端口,得到那些沒有被丟棄的報文!
第一個問題不是最根本的,因為我們可能不會對發往其他主機的報文有興趣而只想嗅探所有發往自己主機的報文。第二個問題是必須要解決的,下面我們將看到這個問題是怎么樣一步一步解決的!
當你打開一個標準的SOCKET套接字時,你需要指明你將使用哪個協議簇,大多數情況下我們一般用PF_UNIX在本地機器間進行通信,PF_INET在基于IPv4協議簇基礎之上進行通信,你還需要指明所用的協議類型及與協議簇相關的確切數值,,在PF_INET協議簇中,常用的有SOCK_STREAM(與TCP相關),SOCK_DGRAM(與UDP相關)。在把報文發送到應用程序前內核對其的處理與SOCKET類型有關,你指定的協議將處理報文在SOCKET的傳輸!(具體細節問題你可以man socket(3))
在LINUX內核版本中(2.0 releases),一個名為PF_PACKET的協議簇被加了進來!這個簇允許應用程序直接利用網絡驅動程序發送和接收報文,避免了原來的協議棧處理過程,在這種情況下,所有SOCKET發出的報文直接送到以太網卡接口,而接口收到的任何報文將直接送到應用程序The PF_PACKET協議簇支持兩個稍微有點不同的SOCKET類型,SOCK_DGRAM和SOCK_RAW。
前者讓內核處理添加或者去除以太網報文頭部工作,而后者則讓應用程序對以太網報文頭部有完全的控制!在SOCKET調用中的協議類型必須符合/usr/include/linux/if_ether.h中定義的以太網IDs中的一個,除非遇到特別聲明的協議,一般你可以用ETH_P_IP來處理IP的一組協議(TCP,UDP,ICMP,raw IP等等)因為它們容易受到一些很嚴重的安全問題的牽連(比如你可以偽造一個MAC地址),所以只有具有root權限才可以使用PF_PACKET-familysocket.這也就是為什么只有具有root權限后才能運行嗅探器的原因!
PF_PACKET-family 協議簇可以很容易解決協議棧處理嗅探來的數據報文時候遇到的問題!我們一起來看看程序1,我們打開一個屬于PF_PACKET-family 協議簇的SOCKET,指定一個SOCK_RAW socket類型和IP相關協議類型。這時我們開始從SOCKET抓包,在一些相關檢查后.我們開始得到從鏈路層和IP層抓來的頭部信息,。通過閱讀程序一,你將會發現讓應用程序從網絡層抓包其實并不難!
Example 1.
#include
#include
#include
#include
#include
#include
#include
int main(int argc, char **argv) {
int sock, n;
char buffer[2048];
unsigned char *iphead, *ethhead;
if ( (sock=socket(PF_PACKET, SOCK_RAW,
htons(ETH_P_IP)))0) {
perror(socket);
exit(1);
}
while (1) {
printf(----------n);
n = recvfrom(sock,buffer,2048,0,NULL,NULL);
printf(%d bytes readn,n);
/* Check to see if the packet contains at least
* complete Ethernet (14), IP (20) and TCP/UDP
* (8) headers.
*/
if (n42) {
perror(recvfrom():);
printf(Incomplete packet (errno is %d)n,
errno);
close(sock);
exit(0);
}
ethhead = buffer;
printf(Source MAC address:
%02x:%02x:%02x:%02x:%02x:%02xn,
ethhead[0],ethhead[1],ethhead[2],
ethhead[3],ethhead[4],ethhead[5]);
printf(Destination MAC address:
%02x:%02x:%02x:%02x:%02x:%02xn,
ethhead[6],ethhead[7],ethhead[8],
ethhead[9],ethhead[10],ethhead[11]);
iphead = buffer+14; /* Skip Ethernet header */
if (*iphead==0x45) { /* Double check for IPv4
* and no options present */
printf(Source host %d.%d.%d.%dn,
iphead[12],iphead[13],
iphead[14],iphead[15]);
printf(Dest host %d.%d.%d.%dn,
iphead[16],iphead[17],
iphead[18],iphead[19]);
printf(Source,Dest ports %d,%dn,
(iphead[20]8)+iphead[21],
(iphead[22]8)+iphead[23]);
printf(Layer-4 protocol %dn,iphead[9]);
}
}
}
PF_PACKET協議簇可以讓一個應用程序把數據包變成似乎從網絡層接收的樣子,但是沒有辦法抓到那些不是發向自己主機的包。正如我們前面看到的,網卡丟棄所有不含有主機MAC地址的數據包,這是因為網卡處于非混雜模式,即每個網卡只處理源地址是它自己的幀!
只有三個例外:如果一個幀的目的MAC地址是一個受限的廣播地址(255.255.255.255)那么它將被所有的網卡接收:如果一個幀的目的地址是組播地址,那么它將被那些打開組播接收功能的網卡所接收;網卡如被設置成混雜模式,那么它將接收所有流經它的數據包最后一種情況當然是我們最感興趣的了,把網卡設置成混雜模式,我們只需要發出一個特殊的ioctl()調用在那個網卡上打開一個socket,因為這是一個具有危險性的操作,所以這個調用只有具有root權限的用戶才可完成,假設那個“sock”包含一個已經打開的socket。
linux操作系統文章專題:linux操作系統詳解(linux不再難懂)
評論