一個(gè)簡易網(wǎng)絡(luò)嗅探器的實(shí)現(xiàn)

摘

要：本文介紹一個(gè)用C語言和網(wǎng)絡(luò)數(shù)據(jù)包分析開發(fā)工具實(shí)現(xiàn)的簡易網(wǎng)絡(luò)Sniffer。關(guān)鍵詞：網(wǎng)絡(luò)；數(shù)據(jù)包；Sniffer1引言

目前，已經(jīng)有不少的Sniff工具軟件，如Windows環(huán)境下，最富盛名的工具是Netxray和Snifferpro，用它們在Windows環(huán)境下抓包來分析，非常方便。在UNIX環(huán)境下如Sniffit，Snoop，Tcpdump，Dsniff等都是比較常見的。這里介紹一個(gè)用C語言和網(wǎng)絡(luò)數(shù)據(jù)包和分析開發(fā)工具libpcap及winpcap實(shí)現(xiàn)的簡易網(wǎng)絡(luò)Sniffer。2網(wǎng)絡(luò)嗅探器程序?qū)崿F(xiàn)在c環(huán)境下編程，源碼如下：/*June2nd，2002*ProjectforgraduationqualificationByBbyTeam19*/#include<stdio.h>#include<conio.h>//必須加路徑，必須把頭文件packet32.h包含進(jìn)去#include"..\..\Include\packet32.h"#include"..\..\Include\ntddndis.h"#defineMax_Num_Adapter10//Prototypes原形//發(fā)包voidPrintPackets(LPPACKETlpPacket);//設(shè)備列表charAdapterList[Max_Num_Adapter][1024];//主程序開始intmain(){

//defineapointertoanADAPTERstructure設(shè)備指針

LPADAPTERlpAdapter=0;

//defineapointertoaPACKETstructure包指針

LPPACKETlpPacket;

int

i;

DWORD

dwErrorCode;

DWORD

dwVersion;

DWORD

dwWindowsMajorVersion;

//Unicodestrings(WinNT)

WCHAR

AdapterName[8192];//網(wǎng)絡(luò)適配器設(shè)備列表

WCHAR

*temp，*temp1;

//ASCIIstrings(Win9x)

char

AdapterNamea[8192];//網(wǎng)絡(luò)適配器設(shè)備列表

char

*tempa，*temp1a;

intAdapterNum=0，Open;

ULONG

AdapterLength;

charbuffer[256000];//容納來自驅(qū)動器的數(shù)據(jù)的緩沖區(qū)structbpf_statstat;

//獲得本機(jī)網(wǎng)卡名

AdapterLength=4096;

printf("Packet.dlltestapplication.Libraryversion:%s\n"，PacketGetVersion());

printf("Adaptersinstalled:\n");

i=0;

下面這段代碼是用來在不同版本下得到網(wǎng)絡(luò)適配器名：

Win9x和WinNT中的網(wǎng)卡名稱是分別用ASCII和UNICODE實(shí)現(xiàn)的，所以首先要得到本地操作系統(tǒng)的版本號.：

dwVersion=GetVersion();

dwWindowsMajorVersion=(DWORD)(LOBYTE(LOWORD(dwVersion)));這里首先用到的Packet.dll函數(shù)是PacketGetAdapterNames（PTSTRpStr，PULONGBufferSize，通常它是與驅(qū)動程序通信并被調(diào)用的第一個(gè)函數(shù)，它將返回的用戶本地系統(tǒng)中安裝的網(wǎng)絡(luò)適配器的名字放在緩沖區(qū)pStr中；BufferSize是緩沖區(qū)的長度：

if(!(dwVersion>=0x80000000&&dwWindowsMajorVersion>=4))

{//是WindowsNT

//找不到設(shè)備列表

if(PacketGetAdapterNames(AdapterName，&AdapterLength)==FALSE){printf("Unabletoretrievethelistoftheadapters!\n");return-1;}

//找到設(shè)備列表temp=AdapterName;temp1=AdapterName;while((*temp!='\0')||(*(temp-1)!='\0')){if(*temp=='\0'){

memcpy(AdapterList，temp1，(temp-temp1)*2);

temp1=temp+1;

i++;}temp++;}

//顯示適配器列表AdapterNum=i;for(i=0;i<AdapterNum;i++)wprintf(L"\n%d-%s\n"，i+1，AdapterList);printf("\n");

}else

//否則就是windows9x，獲取適配器名的方法同WinNT下

{

if(PacketGetAdapterNames(AdapterNamea，&AdapterLength)==FALSE){printf("Unabletoretrievethelistoftheadapters!\n");return-1;}tempa=AdapterNamea;temp1a=AdapterNamea;while((*tempa!='\0')||(*(tempa-1)!='\0')){if(*tempa=='\0'){

memcpy(AdapterList，temp1a，tempa-temp1a);

temp1a=tempa+1;

i++;}tempa++;}AdapterNum=i;for(i=0;i<AdapterNum;i++)printf("\n%d-%s\n"，i+1，AdapterList);printf("\n");

}下面這段代碼就是讓用戶選擇監(jiān)聽的網(wǎng)絡(luò)適配器號：//選擇設(shè)備

do

{printf("Selectthenumberoftheadaptertoopen:");scanf("%d"，&Open);if(Open>AdapterNum)printf("\nThenumbermustbesmallerthan%d"，AdapterNum);

}while(Open>AdapterNum);然后，將所選擇的設(shè)備打開，這里可以設(shè)置為“混雜”模式打開，也可以是“直接”模式打開。代碼如下：//打開設(shè)備lpAdapter=PacketOpenAdapter(AdapterList[Open-1]);//當(dāng)設(shè)備無法打開時(shí)，出示錯(cuò)誤信息：

if(!lpAdapter||(lpAdapter->hFile==INVALID_HANDLE_VALUE))

{dwErrorCode=GetLastError();printf("Unabletoopentheadapter，ErrorCode:%lx\n"，dwErrorCode);return-1;

}

將網(wǎng)卡設(shè)置為“混雜”模式，代碼如下：這里用到函數(shù)PacketSetHwFilter（LPADAPTERAdapterObject，ULONGFilter），它在到來的包上設(shè)置了一個(gè)硬件過濾器，如操作成功，返回TRUE。AdapterObject是過濾器所在的網(wǎng)卡設(shè)備指針；過濾器的常量Filter定義在頭文件ntddndis.h中，包括有：?NDIS-PACKET-TYPE-PROMISCUOUS：設(shè)置混雜模式，每個(gè)到來的包都會被網(wǎng)卡接受；?NDIS-PACKET-TYPE-DIRECTED：只有直接到主機(jī)網(wǎng)卡的包才會被接受；?NDIS-PACKET-TYPE-BROADCAST：只接受廣播包；?NDIS-PACKET-TYPE-MULTICAST：只接受到主機(jī)所在的組的多播包；?NDIS-PACKET-TYPE-ALL-MULTICAS：接受每個(gè)多播的包。

//setthenetworkadapterinpromiscuousmode//如果混雜模式設(shè)置失敗，提示錯(cuò)誤：

if(PacketSetHwFilter(lpAdapter，NDIS_PACKET_TYPE_PROMISCUOUS)==FALSE){printf("Warning:unabletosetpromiscuousmode!\n");

}

然后在driver中置512K的緩沖：

這里用到函數(shù)PacketSetBuff（LPADAPTERAdapterObject，intdim），它被用于設(shè)置AdapterObject指向的網(wǎng)卡的驅(qū)動程序的緩沖區(qū)，成功則返回TRUE。Dim是新的緩沖區(qū)的大小，當(dāng)它被設(shè)定時(shí)，舊緩沖區(qū)中的數(shù)據(jù)將被丟棄，其中存儲的包也會失去。

需要注意的地方：驅(qū)動器緩沖區(qū)的大小設(shè)置是否恰當(dāng)，將影響截包進(jìn)程的性能，設(shè)置應(yīng)能保證運(yùn)行快且不會丟包。這里設(shè)置的是512000Byte。

//seta512Kbufferinthedriver//當(dāng)無法設(shè)置緩沖區(qū)時(shí)，提示錯(cuò)誤：

if(PacketSetBuff(lpAdapter，512000)==FALSE){printf("Unabletosetthekernelbuffer!\n");return-1;

}PacketSetReadTimeout（LPADAPTERAdapterObject，inttimeout）函數(shù)的功能是，設(shè)置與AdapterObject指定網(wǎng)卡綁定的讀操作超時(shí)的值，timeout以毫秒為單位，0表示沒有超時(shí)，當(dāng)沒有包到時(shí)，read就不返回。//seta1secondreadtimeout//設(shè)置1秒的讀取操作超時(shí)

if(PacketSetReadTimeout(lpAdapter，1000)==FALSE){printf("Warning:unabletosetthereadtiemout!\n");

}接下來，定位設(shè)備，代碼如下：

這里用到函數(shù)PacketAllocatePacket（Void）將在內(nèi)存中分配一個(gè)PACKET結(jié)構(gòu)并返回一個(gè)指向它的指針，但這個(gè)結(jié)構(gòu)的Buffer字段還沒有設(shè)定，所以應(yīng)再調(diào)用PacketInitPacket函數(shù)來對其進(jìn)行初始化。

//allocateandinitializeapacketstructurethatwillbeusedto

//receivethepackets.//當(dāng)定位失敗時(shí)，提示錯(cuò)誤：

if((lpPacket=PacketAllocatePacket())==NULL){printf("\nError:failedtoallocatetheLPPACKETstructure.");return(-1);

}

然后，就可以初始化設(shè)備，開始接受網(wǎng)絡(luò)包了：用函數(shù)PacketInitPacket（LPPACKETlpPacket，PVOIDBuffer，UINTLength）來初始化PACKET結(jié)構(gòu)。lpPacket是要被初始化的指針；Buffer為指向用戶分配的包含包的數(shù)據(jù)的緩沖區(qū)的指針；Length為緩沖區(qū)長度。需要注意的地方：PACKET結(jié)構(gòu)關(guān)聯(lián)的緩沖區(qū)存儲由packetcapturedriver截獲的包，包的數(shù)量被緩沖區(qū)大小所限制，最大緩沖區(qū)的大小就是應(yīng)用程序從驅(qū)動器中一次能讀到的數(shù)據(jù)的多少。所以設(shè)置大的緩沖區(qū)可減少系統(tǒng)調(diào)用的次數(shù)，提高截獲效率。這里設(shè)置的是256K。

PacketInitPacket(lpPacket，(char*)buffer，256000);

接下來，是截包主循環(huán)：

//maincaptureloop

這里又用到函數(shù)PacketReceivePacket（LPADAPTERAdapterObject，LPPACKETlpPacket，BOOLEANSync），它將接受（截獲）一個(gè)包的集合。參數(shù)包括一個(gè)指向用來指定截包的網(wǎng)卡的ADAPTER結(jié)構(gòu)指針、一個(gè)指向用來容納包的PACKET結(jié)構(gòu)、一個(gè)指出是同步還是異步方式操作的標(biāo)記。當(dāng)操作同步時(shí)，函數(shù)鎖定程序；當(dāng)操作異步時(shí)，函數(shù)不鎖定程序，必須調(diào)用PacketWaitPacket過程來檢查是否正確完成。一般采用同步模式。//直到有鍵盤鍵入：

while(!kbhit())

{//capturethepackets捕獲包

//捕獲包失敗時(shí)，提示錯(cuò)誤：if(PacketReceivePacket(lpAdapter，lpPacket，TRUE)==FALSE){printf("Error:PacketReceivePacketfailed");return(-1);}

//打印包中的數(shù)據(jù)，調(diào)用自定義函數(shù)PrintPackets（）PrintPackets(lpPacket);

}最后將得到的統(tǒng)計(jì)數(shù)據(jù)打印出來，代碼如下：

這里用到函數(shù)PacketGetStats（LPADAPTERAdapterObject，structbpf_star*s）可以得到兩個(gè)驅(qū)動程序的內(nèi)部變量的值：從調(diào)用PacketOpenAdapter開始，已經(jīng)被指定網(wǎng)卡接收的包數(shù)目；以及已經(jīng)被網(wǎng)卡接收但被內(nèi)核丟棄的包數(shù)目。這兩個(gè)值被驅(qū)動程序拷貝到應(yīng)用提供的bpf_stat結(jié)構(gòu)中。

//printthecapturestatistics//得到統(tǒng)計(jì)值//當(dāng)無法從內(nèi)核讀取狀態(tài)時(shí)，提示錯(cuò)誤：

if(PacketGetStats(lpAdapter，&stat)==FALSE){printf("Warning:unabletogetstatsfromthekernel!\n"