副标题#e#
摘要:本文先容一个用C语言和网络数据包阐明开拓东西实现的浅易网络Sniffer。
要害词:网络;数据包;Sniffer
引言
今朝,已经有不少的Sniff东西软件,如Windows情况下,最富盛名的东西是Netxray和Sniffer pro,用它们在 Windows情况下抓包来阐明,很是利便。在UNIX情况下如Sniffit,Snoop,Tcpdump,Dsniff 等都是较量常见的。这里先容一个用C语言和网络数据包和阐明开拓东西libpcap及winpcap实现的浅易网络Sniffer。
网络嗅探器措施框图
首先给出流程如图1所示。
图1 流程图
网络嗅探器措施实现
在c情况下编程,源码如下:
/* June 2nd,2002
* Project for graduation qualification By Bby Team 19 */
#include <stdio.h>
#include <conio.h>
//必需加路径,必需把头文件packet32.h包括进去
#include "..\..\Include\packet32.h"
#include "..\..\Include\ntddndis.h"
#define Max_Num_Adapter 10
// Prototypes原形
//发包
void PrintPackets(LPPACKET lpPacket);
//设备列表
char AdapterList[Max_Num_Adapter][1024];
// 主措施开始
int main()
{
//define a pointer to an ADAPTER structure设备指针
LPADAPTER lpAdapter = 0;
//define a pointer to a PACKET structure包指针
LPPACKET lpPacket;
int i;
DWORD dwErrorCode;
DWORD dwVersion;
DWORD dwWindowsMajorVersion;
//Unicode strings (WinNT)
WCHAR AdapterName[8192]; //网络适配器设备列表
WCHAR *temp,*temp1;
//ASCII strings (Win9x)
char AdapterNamea[8192]; //网络适配器设备列表
char *tempa,*temp1a;
int AdapterNum=0,Open;
ULONG AdapterLength;
char buffer[256000]; // 容纳来自驱动器的数据的缓冲区
struct bpf_stat stat;
// 得到本机网卡名
AdapterLength=4096;
printf("Packet.dll test application. Library version:%s\n", PacketGetVersion());
printf("Adapters installed:\n");
i=0;
#p#副标题#e#
下面这段代码是用来在差异版本下获得网络适配器名:
Win9x 和WinNT中的网卡名称是别离用ASCII和UNICODE实现的,所以首先要获得当地操纵系统的版本号:
dwVersion=GetVersion();
dwWindowsMajorVersion= (DWORD)(LOBYTE(LOWORD(dwVersion)));
这里首先用到的Packet.dll函数是PacketGetAdapterNames(PTSTR pStr,PULONG BufferSize,凡是它是与驱动措施通信并被挪用的第一个函数,它将返回的用户当地系统中安装的网络适配器的名字放在缓冲区pStr中;BufferSize是缓冲区的长度:
if (!(dwVersion >= 0x80000000 && dwWindowsMajorVersion >= 4))
{
//是Windows NT
// 找不到设备列表
if(PacketGetAdapterNames(AdapterName,&AdapterLength)==FALSE){
printf("Unable to retrieve the list of the adapters!\n");
return -1;
}
// 找到设备列表
temp=AdapterName;
temp1=AdapterName;
while ((*temp!='\0')||(*(temp-1)!='\0'))
{
if (*temp=='\0')
{
memcpy(AdapterList[i],temp1,(temp-temp1)*2);
temp1=temp+1;
i++;
}
temp++;
}
// 显示适配器列表
AdapterNum=i;
for (i=0;i<AdapterNum;i++)
wprintf(L"\n%d- %s\n",i+1,AdapterList[i]);
printf("\n");
}
else //不然就是windows 9x,获取适配器名的要领同WinNT下
{
if(PacketGetAdapterNames(AdapterNamea,&AdapterLength)==FALSE){
printf("Unable to retrieve the list of the adapters!\n");
return -1;
}
tempa=AdapterNamea;
temp1a=AdapterNamea;
while ((*tempa!='\0')||(*(tempa-1)!='\0'))
{
if (*tempa=='\0')
{
memcpy(AdapterList[i],temp1a,tempa-temp1a);
temp1a=tempa+1;
i++;
}
tempa++;
}
AdapterNum=i;
for (i=0;i<AdapterNum;i++)
printf("\n%d- %s\n",i+1,AdapterList[i]);
printf("\n");
}
下面这段代码就是让用户选择监听的网络适配器号:
// 选择设备
do
{
printf("Select the number of the adapter to open : ");
scanf("%d",&Open);
if (Open>AdapterNum)
printf("\nThe number must be smaller than %d",AdapterNum);
} while (Open>AdapterNum);
然后,将所选择的设备打开,这里可以配置为“稠浊”模式打开,也可以是“直接”模式打开。代码如下:
#p#分页标题#e#
// 打开设备
lpAdapter = PacketOpenAdapter(AdapterList[Open-1]);
// 当设备无法打开时,出示错误信息:
if (!lpAdapter || (lpAdapter->hFile == INVALID_HANDLE_VALUE))
{
dwErrorCode=GetLastError();
printf("Unable to open the adapter, Error Code : %lx\n",dwErrorCode);
return -1;
}
将网卡配置为“稠浊”模式,代码如下:
这里用到函数PacketSetHwFilter(LPADAPTER AdapterObject,ULONG Filter),它在到来的包上配置了一个硬件过滤器,如操纵乐成,返回TRUE。AdapterObject是过滤器地址的网卡设备指针;过滤器的常量Filter界说在头文件ntddndis.h 中,包罗有:
·NDIS-PACKET-TYPE-PROMISCUOUS:配置稠浊模式,每个到来的包城市被网卡接管;
·NDIS-PACKET-TYPE-DIRECTED:只有直接到主机网卡的包才会被接管;
·NDIS-PACKET-TYPE-BROADCAST:只接管广播包;
·NDIS-PACKET-TYPE-MULTICAST:只接管到主机地址的组的多播包;
·NDIS-PACKET-TYPE-ALL-MULTICAS:接管每个多播的包。
// set the network adapter in promiscuous mode
// 假如稠浊模式配置失败,提示错误:
if(PacketSetHwFilter(lpAdapter,NDIS_PACKET_TYPE_PROMISCUOUS)==FALSE){
printf("Warning: unable to set promiscuous mode!\n");
}
然后在driver中置512K的缓冲:
这里用到函数PacketSetBuff(LPADAPTER AdapterObject,int dim),它被用于配置AdapterObject指向的网卡的驱动措施的缓冲区,乐成则返回TRUE。Dim是新的缓冲区的巨细,当它被设按时,旧缓冲区中的数据将被扬弃,个中存储的包也会失去。
需要留意的处所:驱动器缓冲区的巨细配置是否得当,将影响截包历程的机能,配置应能担保运行快且不会丢包。这里配置的是512000Byte。
// set a 512K buffer in the driver
// 当无法配置缓冲区时,提示错误:
if(PacketSetBuff(lpAdapter,512000)==FALSE){
printf("Unable to set the kernel buffer!\n");
return -1;
}
PacketSetReadTimeout(LPADAPTER AdapterObject,int timeout)函数的成果是,配置与AdapterObject指定网卡绑定的读操纵超时的值,timeout以毫秒为单元,0暗示没有超时,当没有包到时,read就不返回。
// set a 1 second read timeout
// 配置1秒的读取操纵超时
if(PacketSetReadTimeout(lpAdapter,1000)==FALSE){
printf("Warning: unable to set the read tiemout!\n");
}
接下来,定位设备,代码如下:
这里用到函数PacketAllocatePacket(Void)将在内存中分派一个PACKET布局并返回一个指向它的指针,但这个布局的Buffer字段还没有设定,所以应再挪用PacketInitPacket函数来对其举办初始化。
//allocate and initialize a packet structure that will be used to
//receive the packets.
// 当定位失败时,提示错误:
if((lpPacket = PacketAllocatePacket())==NULL){
printf("\nError: failed to allocate the LPPACKET structure.");
return (-1);
}
然后,就可以初始化设备,开始接管网络包了:
用函数PacketInitPacket(LPPACKET lpPacket,PVOID Buffer,UINT Length)来初始化PACKET布局。lpPacket是要被初始化的指针;Buffer为指向用户分派的包括包的数据的缓冲区的指针;Length为缓冲区长度。
需要留意的处所:PACKET布局关联的缓冲区存储由packet capture driver 截获的包,包的数量被缓冲区巨细所限制,最大缓冲区的巨细就是应用措施从驱动器中一次能读到的数据的几多。所以配置大的缓冲区可淘汰系统挪用的次数,提高截获效率。这里配置的是256K。
PacketInitPacket(lpPacket,(char*)buffer,256000);
接下来,是截包主轮回:
//main capture loop
这里又用到函数PacketReceivePacket(LPADAPTER AdapterObject,LPPACKET lpPacket,BOOLEAN Sync),它将接管(截获)一个包的荟萃。参数包罗一个指向用来指定截包的网卡的ADAPTER布局指针、一个指向用来容纳包的PACKET布局、一个指出是同步照旧异步方法操纵的标志。当操纵同步时,函数锁定措施;当操纵异步时,函数不锁定措施,必需挪用PacketWaitPacket进程来查抄是否正确完成。一般回收同步模式。
// 直到有键盘键入:
while(!kbhit())
{
// capture the packets 捕捉包
// 捕捉包失败时,提示错误:
if(PacketReceivePacket(lpAdapter,lpPacket,TRUE)==FALSE){
printf("Error: PacketReceivePacket failed");
return (-1);
}
// 打印包中的数据,挪用自界说函数PrintPackets()
PrintPackets(lpPacket);
}
最后将获得的统计数据打印出来,代码如下:
#p#分页标题#e#
这里用到函数PacketGetStats(LPADAPTER AdapterObject,struct bpf_star*s)可以获得两个驱动措施的内部变量的值:从挪用PacketOpenAdapter开始,已经被指定网卡吸收的包数目;以及已经被网卡吸收但被内核扬弃的包数目。这两个值被驱动措施拷贝到应用提供的bpf_stat布局中。
//print the capture statistics
// 获得统计值
// 当无法从内核读取状态时,提示错误:
if(PacketGetStats(lpAdapter,&stat)==FALSE){
printf("Warning: unable to get stats from the kernel!\n");
}
// 打印“XX包被截取;XX包被扬弃”:
else
printf("\n\n%d packets received.\n%d Packets lost",stat.bs_recv,stat.bs_drop);
这里用函数PacketFreePacket(LPPACKET lpPacket)来释放由lpPacket指向的布局:
// 释放空间
PacketFreePacket(lpPacket);
用函数PacketCloseAdapter(LPADAPTER lpAdapter)来释放ADAPTER布局lpAdapter,并封锁网卡指针:
// close the adapter and exit
// 封锁设备退出
PacketCloseAdapter(lpAdapter);
return (0);
} // 主措施竣事
其顶用来打印数据报的自界说的函数PrintPackets()的代码在这里就不具体说明白。
竣事语
通过对网络嗅探器的编写,目标使各人知道网络打点的重要性,时刻留意网络信息安详问题,做好信息的加密息争密事情。
参 考 文 献
【1】王腾蛟等,《新观念Visual C++ 6.0 教程》,北京科海团体公司,2001
【2】王宝智等,《全新计较机网络教程》,北京但愿电子出书社,2001
【3】单征等,《网络黑洞进攻与防御指南》,中国电力出书社,2002
【4】程秉恢等,《黑客任务实战》,北京但愿电子出书社,2002
【5】王力等,《病毒兵器与网络战争》,军事谊文出书社,2001
【6】卢昱等,《网络安详技能》,中国物质出书社,2001
