導(dǎo)語：計(jì)算機(jī)畢業(yè)論文:一個(gè)簡易網(wǎng)絡(luò)嗅探器的實(shí)現(xiàn)一文來源于網(wǎng)友上傳，不代表本站觀點(diǎn)，若需要原創(chuàng)文章可咨詢客服老師，歡迎參考。

摘要：本文介紹一個(gè)用C語言和網(wǎng)絡(luò)數(shù)據(jù)包分析開發(fā)工具實(shí)現(xiàn)的簡易網(wǎng)絡(luò)Sniffer。

關(guān)鍵詞：網(wǎng)絡(luò)；數(shù)據(jù)包；Sniffer

1引言

目前，已經(jīng)有不少的Sniff工具軟件，如Windows環(huán)境下，最富盛名的工具是Netxray和Snifferpro，用它們?cè)赪indows環(huán)境下抓包來分析，非常方便。在UNIX環(huán)境下如Sniffit，Snoop，Tcpdump，Dsniff等都是比較常見的。這里介紹一個(gè)用C語言和網(wǎng)絡(luò)數(shù)據(jù)包和分析開發(fā)工具libpcap及winpcap實(shí)現(xiàn)的簡易網(wǎng)絡(luò)Sniffer。

2網(wǎng)絡(luò)嗅探器程序框圖

首先給出流程如圖1所示。

圖1流程圖

3網(wǎng)絡(luò)嗅探器程序實(shí)現(xiàn)

在c環(huán)境下編程，源碼如下：

/*June2nd，2002

*ProjectforgraduationqualificationByBbyTeam19*/

#include<stdio.h>

#include<conio.h>

//必須加路徑，必須把頭文件packet32.h包含進(jìn)去

#include"..\..\Include\packet32.h"

#include"..\..\Include\ntddndis.h"

#defineMax_Num_Adapter10

//Prototypes原形

//發(fā)包

voidPrintPackets(LPPACKETlpPacket);

//設(shè)備列表

charAdapterList[Max_Num_Adapter][1024];

//主程序開始

intmain()

{

//defineapointertoanADAPTERstructure設(shè)備指針

LPADAPTERlpAdapter=0;

//defineapointertoaPACKETstructure包指針

LPPACKETlpPacket;

inti;

DWORDdwErrorCode;

DWORDdwVersion;

DWORDdwWindowsMajorVersion;

//Unicodestrings(WinNT)

WCHARAdapterName[8192];//網(wǎng)絡(luò)適配器設(shè)備列表

WCHAR*temp,*temp1;

//ASCIIstrings(Win9x)

charAdapterNamea[8192];//網(wǎng)絡(luò)適配器設(shè)備列表

char*tempa,*temp1a;

intAdapterNum=0,Open;

ULONGAdapterLength;

charbuffer[256000];//容納來自驅(qū)動(dòng)器的數(shù)據(jù)的緩沖區(qū)

structbpf_statstat;

//獲得本機(jī)網(wǎng)卡名

AdapterLength=4096;

printf("Packet.dlltestapplication.Libraryversion:%s\n",PacketGetVersion());

printf("Adaptersinstalled:\n");

i=0;

下面這段代碼是用來在不同版本下得到網(wǎng)絡(luò)適配器名：

Win9x和WinNT中的網(wǎng)卡名稱是分別用ASCII和UNICODE實(shí)現(xiàn)的，所以首先要得到本地操作系統(tǒng)的版本號(hào).：

dwVersion=GetVersion();

dwWindowsMajorVersion=(DWORD)(LOBYTE(LOWORD(dwVersion)));

這里首先用到的Packet.dll函數(shù)是PacketGetAdapterNames（PTSTRpStr，PULONGBufferSize,通常它是與驅(qū)動(dòng)程序通信并被調(diào)用的第一個(gè)函數(shù)，它將返回的用戶本地系統(tǒng)中安裝的網(wǎng)絡(luò)適配器的名字放在緩沖區(qū)pStr中；BufferSize是緩沖區(qū)的長度：

if(!(dwVersion>=0x80000000&&dwWindowsMajorVersion>=4))

{//是WindowsNT

//找不到設(shè)備列表

if(PacketGetAdapterNames(AdapterName,&AdapterLength)==FALSE){

printf("Unabletoretrievethelistoftheadapters!\n");

return-1;

}

//找到設(shè)備列表

temp=AdapterName;

temp1=AdapterName;

while((*temp!=''''\0'''')||(*(temp-1)!=''''\0''''))

{

if(*temp==''''\0'''')

{

memcpy(AdapterList,temp1,(temp-temp1)*2);

temp1=temp+1;

i++;

}

temp++;

}

//顯示適配器列表

AdapterNum=i;

for(i=0;i<AdapterNum;i++)

wprintf(L"\n%d-%s\n",i+1,AdapterList);

printf("\n");

}

else//否則就是windows9x，獲取適配器名的方法同WinNT下

{

if(PacketGetAdapterNames(AdapterNamea,&AdapterLength)==FALSE){

printf("Unabletoretrievethelistoftheadapters!\n");

return-1;

}

tempa=AdapterNamea;

temp1a=AdapterNamea;

while((*tempa!=''''\0'''')||(*(tempa-1)!=''''\0''''))

{

if(*tempa==''''\0'''')

{

memcpy(AdapterList,temp1a,tempa-temp1a);

temp1a=tempa+1;

i++;

}

tempa++;

}

AdapterNum=i;

for(i=0;i<AdapterNum;i++)

printf("\n%d-%s\n",i+1,AdapterList);

printf("\n");

}

下面這段代碼就是讓用戶選擇監(jiān)聽的網(wǎng)絡(luò)適配器號(hào)：

//選擇設(shè)備

do

{

printf("Selectthenumberoftheadaptertoopen:");

scanf("%d",&Open);

if(Open>AdapterNum)

printf("\nThenumbermustbesmallerthan%d",AdapterNum);

}while(Open>AdapterNum);

然后，將所選擇的設(shè)備打開，這里可以設(shè)置為“混雜”模式打開，也可以是“直接”模式打開。代碼如下：

//打開設(shè)備

lpAdapter=PacketOpenAdapter(AdapterList[Open-1]);

//當(dāng)設(shè)備無法打開時(shí)，出示錯(cuò)誤信息：

if(!lpAdapter||(lpAdapter->hFile==INVALID_HANDLE_VALUE))

{

dwErrorCode=GetLastError();

printf("Unabletoopentheadapter,ErrorCode:%lx\n",dwErrorCode);

return-1;

}

將網(wǎng)卡設(shè)置為“混雜”模式，代碼如下：

這里用到函數(shù)PacketSetHwFilter（LPADAPTERAdapterObject，ULONGFilter），它在到來的包上設(shè)置了一個(gè)硬件過濾器，如操作成功，返回TRUE。AdapterObject是過濾器所在的網(wǎng)卡設(shè)備指針；過濾器的常量Filter定義在頭文件ntddndis.h中，包括有：

?NDIS-PACKET-TYPE-PROMISCUOUS：設(shè)置混雜模式，每個(gè)到來的包都會(huì)被網(wǎng)卡接受；

?NDIS-PACKET-TYPE-DIRECTED：只有直接到主機(jī)網(wǎng)卡的包才會(huì)被接受；

?NDIS-PACKET-TYPE-BROADCAST：只接受廣播包；

?NDIS-PACKET-TYPE-MULTICAST：只接受到主機(jī)所在的組的多播包；

?NDIS-PACKET-TYPE-ALL-MULTICAS：接受每個(gè)多播的包。

//setthenetworkadapterinpromiscuousmode

//如果混雜模式設(shè)置失敗，提示錯(cuò)誤：

if(PacketSetHwFilter(lpAdapter,NDIS_PACKET_TYPE_PROMISCUOUS)==FALSE){

printf("Warning:unabletosetpromiscuousmode!\n");

}

然后在driver中置512K的緩沖：

這里用到函數(shù)PacketSetBuff（LPADAPTERAdapterObject，intdim），它被用于設(shè)置AdapterObject指向的網(wǎng)卡的驅(qū)動(dòng)程序的緩沖區(qū)，成功則返回TRUE。Dim是新的緩沖區(qū)的大小，當(dāng)它被設(shè)定時(shí)，舊緩沖區(qū)中的數(shù)據(jù)將被丟棄，其中存儲(chǔ)的包也會(huì)失去。

需要注意的地方：驅(qū)動(dòng)器緩沖區(qū)的大小設(shè)置是否恰當(dāng)，將影響截包進(jìn)程的性能，設(shè)置應(yīng)能保證運(yùn)行快且不會(huì)丟包。這里設(shè)置的是512000Byte。

//seta512Kbufferinthedriver

//當(dāng)無法設(shè)置緩沖區(qū)時(shí)，提示錯(cuò)誤：

if(PacketSetBuff(lpAdapter,512000)==FALSE){

printf("Unabletosetthekernelbuffer!\n");

return-1;

}

PacketSetReadTimeout（LPADAPTERAdapterObject，inttimeout）函數(shù)的功能是，設(shè)置與AdapterObject指定網(wǎng)卡綁定的讀操作超時(shí)的值，timeout以毫秒為單位，0表示沒有超時(shí)，當(dāng)沒有包到時(shí)，read就不返回。

//seta1secondreadtimeout

//設(shè)置1秒的讀取操作超時(shí)

if(PacketSetReadTimeout(lpAdapter,1000)==FALSE){

printf("Warning:unabletosetthereadtiemout!\n");

}

接下來，定位設(shè)備，代碼如下：

這里用到函數(shù)PacketAllocatePacket（Void）將在內(nèi)存中分配一個(gè)PACKET結(jié)構(gòu)并返回一個(gè)指向它的指針，但這個(gè)結(jié)構(gòu)的Buffer字段還沒有設(shè)定，所以應(yīng)再調(diào)用PacketInitPacket函數(shù)來對(duì)其進(jìn)行初始化。

//allocateandinitializeapacketstructurethatwillbeusedto

//receivethepackets.

//當(dāng)定位失敗時(shí)，提示錯(cuò)誤：

if((lpPacket=PacketAllocatePacket())==NULL){

printf("\nError:failedtoallocatetheLPPACKETstructure.");

return(-1);

}

然后，就可以初始化設(shè)備，開始接受網(wǎng)絡(luò)包了：

用函數(shù)PacketInitPacket（LPPACKETlpPacket，PVOIDBuffer，UINTLength）來初始化PACKET結(jié)構(gòu)。lpPacket是要被初始化的指針；Buffer為指向用戶分配的包含包的數(shù)據(jù)的緩沖區(qū)的指針；Length為緩沖區(qū)長度。

需要注意的地方：PACKET結(jié)構(gòu)關(guān)聯(lián)的緩沖區(qū)存儲(chǔ)由packetcapturedriver截獲的包，包的數(shù)量被緩沖區(qū)大小所限制，最大緩沖區(qū)的大小就是應(yīng)用程序從驅(qū)動(dòng)器中一次能讀到的數(shù)據(jù)的多少。所以設(shè)置大的緩沖區(qū)可減少系統(tǒng)調(diào)用的次數(shù)，提高截獲效率。這里設(shè)置的是256K。

PacketInitPacket(lpPacket,(char*)buffer,256000);

接下來，是截包主循環(huán)：

//maincaptureloop

這里又用到函數(shù)PacketReceivePacket（LPADAPTERAdapterObject，LPPACKETlpPacket，BOOLEANSync），它將接受（截獲）一個(gè)包的集合。參數(shù)包括一個(gè)指向用來指定截包的網(wǎng)卡的ADAPTER結(jié)構(gòu)指針、一個(gè)指向用來容納包的PACKET結(jié)構(gòu)、一個(gè)指出是同步還是異步方式操作的標(biāo)記。當(dāng)操作同步時(shí)，函數(shù)鎖定程序；當(dāng)操作異步時(shí)，函數(shù)不鎖定程序，必須調(diào)用PacketWaitPacket過程來檢查是否正確完成。一般采用同步模式。

//直到有鍵盤鍵入：

while(!kbhit())

{

//capturethepackets捕獲包

//捕獲包失敗時(shí)，提示錯(cuò)誤：

if(PacketReceivePacket(lpAdapter,lpPacket,TRUE)==FALSE){

printf("Error:PacketReceivePacketfailed");

return(-1);

}

//打印包中的數(shù)據(jù)，調(diào)用自定義函數(shù)PrintPackets（）

PrintPackets(lpPacket);

}

最后將得到的統(tǒng)計(jì)數(shù)據(jù)打印出來，代碼如下：

這里用到函數(shù)PacketGetStats（LPADAPTERAdapterObject，structbpf_star*s）可以得到兩個(gè)驅(qū)動(dòng)程序的內(nèi)部變量的值：從調(diào)用PacketOpenAdapter開始，已經(jīng)被指定網(wǎng)卡接收的包數(shù)目；以及已經(jīng)被網(wǎng)卡接收但被內(nèi)核丟棄的包數(shù)目。這兩個(gè)值被驅(qū)動(dòng)程序拷貝到應(yīng)用提供的bpf_stat結(jié)構(gòu)中。

//printthecapturestatistics

//得到統(tǒng)計(jì)值

//當(dāng)無法從內(nèi)核讀取狀態(tài)時(shí)，提示錯(cuò)誤：

if(PacketGetStats(lpAdapter,&stat)==FALSE){

printf("Warning:unabletogetstatsfromthekernel!\n");

}

//打印“XX包被截??；XX包被丟棄”：

else

printf("\n\n%dpacketsreceived.\n%dPacketslost",stat.bs_recv,stat.bs_drop);

這里用函數(shù)PacketFreePacket(LPPACKETlpPacket)來釋放由lpPacket指向的結(jié)構(gòu)：

//釋放空間

PacketFreePacket(lpPacket);

用函數(shù)PacketCloseAdapter(LPADAPTERlpAdapter)來釋放ADAPTER結(jié)構(gòu)lpAdapter，并關(guān)閉網(wǎng)卡指針：

//closetheadapterandexit

//關(guān)閉設(shè)備退出

PacketCloseAdapter(lpAdapter);

return(0);

}//主程序結(jié)束

其中用來打印數(shù)據(jù)報(bào)的自定義的函數(shù)PrintPackets（）的代碼在這里就不詳細(xì)說明了。

4結(jié)束語

通過對(duì)網(wǎng)絡(luò)嗅探器的編寫，目的使大家知道網(wǎng)絡(luò)管理的重要性，時(shí)刻注意網(wǎng)絡(luò)信息安全問題，做好信息的加密和解密工作。

參考文獻(xiàn)

【1】王騰蛟等，《新概念VisualC＋＋6.0教程》，北京科海集團(tuán)公司，2001

【2】王寶智等，《全新計(jì)算機(jī)網(wǎng)絡(luò)教程》，北京希望電子出版社，2001

【3】單征等，《網(wǎng)絡(luò)黑洞攻擊與防范指南》，中國電力出版社，2002

【4】程秉恢等，《黑客任務(wù)實(shí)戰(zhàn)》，北京希望電子出版社，2002

【5】王力等，《病毒武器與網(wǎng)絡(luò)戰(zhàn)爭》，軍事誼文出版社，2001

【6】盧昱等，《網(wǎng)絡(luò)安全技術(shù)》，中國物質(zhì)出版社，2001