一个简易网络嗅探器的实现.docx

1、一个简易网络嗅探器的实现摘 要：本文介绍一个用C语言和网络数据包分析开发工具实现的简易网络Sniffer。 关 键 词：网络；数据包；Sniffer 1 引言 目前，已经有不少的Sniff工具软件，如Windows环境下，最富盛名的工具是Netxray和Sniffer pro，用它们在 Windows环境下抓包来分析，非常方便。在UNIX环境下如Sniffit，Snoop，Tcpdump，Dsniff 等都是比较常见的。这里介绍一个用C语言和网络数据包和分析开发工具libpcap及winpcap实现的简易网络Sniffer。 2网络嗅探器程序实现在c环境下编程，源码/* June 2nd，20

2、02* Project for graduation qualification By Bby Team 19 */#include#include/必须加路径，必须把头文件包含进去#include .“.“Include“#include .“.“Include“#define Max_Num_Adapter 10/ Prototypes原形/发包void PrintPackets(LPPACKET lpPacket);/设备列表char AdapterListMax_Num_Adapter1024;/ 主程序开始int main() /define a pointer to an ADAP

3、TER structure设备指针 LPADAPTER lpAdapter = 0; /define a pointer to a PACKET structure包指针 LPPACKET lpPacket; int i; DWORD dwErrorCode; DWORD dwVersion; DWORD dwWindowsMajorVersion; /Unicode strings (WinNT) WCHAR AdapterName8192; /网络适配器设备列表 WCHAR *temp,*temp1; /ASCII strings (Win9x) char AdapterNamea8192

4、; /网络适配器设备列表 char *tempa,*temp1a; int AdapterNum=0,Open; ULONG AdapterLength; char buffer256000; / 容纳来自驱动器的数据的缓冲区 struct bpf_stat stat; / 获得本机网卡名 AdapterLength=4096; printf( test application. Library version:%s“n, PacketGetVersion(); printf(Adapters installed:“n); i=0; 下面这段代码是用来在不同版本下得到网络适配器名： Win9x

5、 和WinNT中的网卡名称是分别用ASCII和UNICODE实现的，所以首先要得到本地操作系统的版本号.： dwVersion=GetVersion(); dwWindowsMajorVersion= (DWORD)(LOBYTE(LOWORD(dwVersion); 这里首先用到的函数是PacketGetAdapterNames，它在到来的包上设置了一个硬件过滤器，如操作成功，返回TRUE。AdapterObject是过滤器所在的网卡设备指针；过滤器的常量Filter定义在头文件 中，包括有：NDIS-PACKET-TYPE-PROMISCUOUS：设置混杂模式，每个到来的包都会被网卡接受；

6、NDIS-PACKET-TYPE-DIRECTED：只有直接到主机网卡的包才会被接受；NDIS-PACKET-TYPE-BROADCAST：只接受广播包；NDIS-PACKET-TYPE-MULTICAST：只接受到主机所在的组的多播包；NDIS-PACKET-TYPE-ALL-MULTICAS：接受每个多播的包。 / set the network adapter in promiscuous mode / 如果混杂模式设置失败，提示错误： if(PacketSetHwFilter(lpAdapter,NDIS_PACKET_TYPE_PROMISCUOUS)=FALSE) printf(W

7、arning: unable to set promiscuous mode!“n); 然后在driver中置512K的缓冲： 这里用到函数PacketSetBuff，它被用于设置AdapterObject指向的网卡的驱动程序的缓冲区，成功则返回TRUE。Dim是新的缓冲区的大小，当它被设定时，旧缓冲区中的数据将被丢弃，其中存储的包也会失去。 需要注意的地方：驱动器缓冲区的大小设置是否恰当，将影响截包进程的性能，设置应能保证运行快且不会丢包。这里设置的是512000Byte。 / set a 512K buffer in the driver / 当无法设置缓冲区时，提示错误： if(Pack

8、etSetBuff(lpAdapter,512000)=FALSE) printf(Unable to set the kernel buffer!“n); return -1; PacketSetReadTimeout函数的功能是，设置与AdapterObject指定网卡绑定的读操作超时的值，timeout以毫秒为单位，0表示没有超时，当没有包到时，read就不返回。/ set a 1 second read timeout / 设置1秒的读取操作超时 if(PacketSetReadTimeout(lpAdapter,1000)=FALSE) printf(Warning: unable

9、to set the read tiemout!“n); 接下来，定位设备，代码 这里用到函数PacketAllocatePacket将在内存中分配一个PACKET结构并返回一个指向它的指针，但这个结构的Buffer字段还没有设定，所以应再调用PacketInitPacket函数来对其进行初始化。 /allocate and initialize a packet structure that will be used to /receive the packets. / 当定位失败时，提示错误： if(lpPacket = PacketAllocatePacket()=NULL) print

10、f(“nError: failed to allocate the LPPACKET structure.); return (-1); 然后，就可以初始化设备，开始接受网络包了： 用函数PacketInitPacket来初始化PACKET结构。lpPacket是要被初始化的指针；Buffer为指向用户分配的包含包的数据的缓冲区的指针；Length为缓冲区长度。需要注意的地方：PACKET结构关联的缓冲区存储由packet capture driver 截获的包，包的数量被缓冲区大小所限制，最大缓冲区的大小就是应用程序从驱动器中一次能读到的数据的多少。所以设置大的缓冲区可减少系统调用的次数，提

11、高截获效率。这里设置的是256K。 PacketInitPacket(lpPacket,(char*)buffer,256000); 接下来，是截包主循环： /main capture loop 这里又用到函数PacketReceivePacket，它将接受一个包的集合。参数包括一个指向用来指定截包的网卡的ADAPTER结构指针、一个指向用来容纳包的PACKET结构、一个指出是同步还是异步方式操作的标记。当操作同步时，函数锁定程序；当操作异步时，函数不锁定程序，必须调用PacketWaitPacket过程来检查是否正确完成。一般采用同步模式。 / 直到有键盘键入： while(!kbhit()

12、 / capture the packets 捕获包 / 捕获包失败时，提示错误： if(PacketReceivePacket(lpAdapter,lpPacket,TRUE)=FALSE) printf(Error: PacketReceivePacket failed); return (-1); / 打印包中的数据，调用自定义函数PrintPackets PrintPackets(lpPacket); 最后将得到的统计数据打印出来，代码 这里用到函数PacketGetStats可以得到两个驱动程序的内部变量的值：从调用PacketOpenAdapter开始，已经被指定网卡接收的包数目；

13、以及已经被网卡接收但被内核丢弃的包数目。这两个值被驱动程序拷贝到应用提供的bpf_stat结构中。 /print the capture statistics / 得到统计值 / 当无法从内核读取状态时，提示错误： if(PacketGetStats(lpAdapter,&stat)=FALSE) printf(Warning: unable to get stats from the kernel!“n); / 打印“XX包被截取；XX包被丢弃”： else printf(“n“n%d packets received.“n%d Packets lost,_recv,_drop); 这里用函

14、数PacketFreePacket(LPPACKET lpPacket)来释放由lpPacket指向的结构： / 释放空间 PacketFreePacket(lpPacket); 用函数PacketCloseAdapter(LPADAPTER lpAdapter)来释放ADAPTER结构lpAdapter，并关闭网卡指针： / close the adapter and exit / 关闭设备退出 PacketCloseAdapter(lpAdapter); return (0); / 主程序结束其中用来打印数据报的自定义的函数PrintPackets的代码在这里就不详细说明了。3结束语通过对网络嗅探器的编写，目的使大家知道网络管理的重要性，时刻注意网络信息安全问题，做好信息的加密和解密工作。参 考 文 献【1】王腾蛟等，新概念Visual C教程，北京科海集团公司，2001【2】王宝智等，全新计算机网络教程，北京希望电子出版社，2001【3】单征等，网络黑洞攻击与防范指南，中国电力出版社，2002【4】程秉恢等，黑客任务实战，北京希望电子出版社，2002【5】王力等，病毒武器与网络战争，军事谊文出版社，2001【6】卢昱等，网络安全技术，中国物质出版社，2001