以原始套接字的方式 截获流经本机网卡的IP数据包
内容提要
从事 网络 安全的<a class="channel_keyl</div><div class=" content_text"="" style="margin: 0px; padding: 0px; font-family: Arial, Helvetica, 宋体; color: rgb(68, 68, 68); line-height: 21px; "> 内容提要
从事 网络 安全的 技术 人员和相当一部分准 黑客 (指那些使用现成的 黑客 软件进行攻击而不是根据需要去自己编写代码的人)都一定不会对 网络 嗅探器(sniffer)感到陌生, 网络 嗅探器无论是在 网络 安全还是在 黑客 攻击方面均扮演了很重要的角色。通过使用 网络 嗅探器可以把网卡设置于混杂模式,并可实现对 网络 上传输的 数据 包的捕获与分析。此分析结果可供 网络 安全分析之用,但如为 黑客 所利用也可以为其发动进一步的攻击提供有价值的信息。可见,嗅探器实际是一把双刃剑。 虽然 网络 嗅探器 技术 被 黑客 利用后会对 网络 安全构成一定的威胁,但嗅探器本身的危害并不是很大,主要是用来为其他 黑客 软件提供 网络 情报,真正的攻击主要是由其他黑软来完成的。而在 网络 安全方面, 网络 嗅探手段可以有效地探测在 网络 上传输的 数据 包信息,通过对这些信息的分析利用是有助于 网络 安全维护的。权衡利弊,有必要对 网络 嗅探器的实现原理进行介绍。
文章正文
嗅探器作为一种 网络 通讯程序,也是通过对网卡的 编程 来实现 网络 通讯的,对网卡的 编程 也是使用通常的套接字(socket)方式来进行。但是,通常的套接字程序只能响应与自己硬件地址相匹配的或是以广播形式发出的 数据 帧,对于其他形式的 数据 帧比如已到达 网络 接口但却不是发给此地址的 数据 帧, 网络 接口在验证投递地址并非自身地址之后将不引起响应,也就是说应用程序无法收取到达的 数据 包。而 网络 嗅探器的目的恰恰在于从网卡接收所有经过它的 数据 包,这些 数据 包即可以是发给它的也可以是发往别处的。显然,要达到此目的就不能再让网卡按通常的正常模式工作,而必须将其设置为混杂模式。
具体到 编程 实现上,这种对网卡混杂模式的设置是通过原始套接字(raw socket)来实现的,这也有别于通常经常使用的 数据 流套接字和 数据 报套接字。在创建了原始套接字后,需要通过setsockopt()函数来设置IP头操作选项,然后再通过bind()函数将原始套接字绑定到本地网卡。为了让原始套接字能接受所有的 数据 ,还需要通过ioctlsocket()来进行设置,而且还可以指定是否亲自处理IP头。至此,实际就可以开始对 网络 数据 包进行嗅探了,对 数据 包的获取仍象流式套接字或 数据 报套接字那样通过recv()函数来完成。但是与其他两种套接字不同的是,原始套接字此时捕获到的 数据 包并不仅仅是单纯的 数据 信息,而是包含有 IP头、 TCP头等信息头的最原始的 数据 信息,这些信息保留了它在 网络 传输时的原貌。通过对这些在低层传输的原始信息的分析可以得到有关 网络 的一些信息。由于这些 数据 经过了 网络 层和传输层的打包,因此需要根据其附加的帧头对 数据 包进行分析。下面先给出结构. 数据 包的总体结构:
数据 包
IP头 TCP头(或其他信息头) 数据
数据 在从应用层到达传输层时,将添加TCP 数据 段头,或是UDP 数据 段头。其中UDP 数据 段头比较简单,由一个8字节的头和 数据 部分组成,具体格式如下:
16位 16位
源端口 目的端口
UDP长度 UDP校验和
而TCP 数据 头则比较复杂,以20个固定字节开始,在固定头后面还可以有一些长度不固定的可选项,下面给出TCP 数据 段头的格式组成:
16位 16位
源端口 目的端口
顺序号
确认号
TCP头长 (保留)7位 URG ACK PSH RST SYN FIN 窗口大小
校验和 紧急指针
可选项(0或更多的32位字)
数据 (可选项)
对于此TCP 数据 段头的分析在 编程 实现中可通过 数据 结构_TCP来定义:
typedef struct _TCP{ WORD SrcPort; // 源端口
WORD DstPort; // 目的端口
DWORD SeqNum; // 顺序号
DWORD AckNum; // 确认号
BYTE DataOff; // TCP头长
BYTE Flags; // 标志(URG、ACK等)
WORD Window; // 窗口大小
WORD Chksum; // 校验和
WORD UrgPtr; // 紧急指针
} TCP;
typedef TCP *LPTCP;
typedef TCP UNALIGNED * ULPTCP;
在 网络 层,还要给TCP 数据 包添加一个IP 数据 段头以组成IP 数据 报。IP 数据 头以大端点机次序传送,从左到右,版本字段的高位字节先传输(SPARC是大端点机;Pentium是小端点机)。如果是小端点机,就要在发送和接收时先行转换然后才能进行传输。IP 数据 段头格式如下:
16位 16位
版本 IHL 服务 类型 总长
标识 标志 分段偏移
生命期 协议 头校验和
源地址
目的地址
选项(0或更多)
同样,在实际 编程 中也需要通过一个 数据 结构来表示此IP 数据 段头,下面给出此 数据 结构的定义:
typedef struct _IP{
union{ BYTE Version; // 版本
BYTE HdrLen; // IHL
};
BYTE ServiceType; // 服务 类型
WORD TotalLen; // 总长
WORD ID; // 标识
union{ WORD Flags; // 标志
WORD FragOff; // 分段偏移
};
BYTE TimeToLive; // 生命期
BYTE Protocol; // 协议
WORD HdrChksum; // 头校验和
DWORD SrcAddr; // 源地址
DWORD DstAddr; // 目的地址
BYTE Options; // 选项
} IP;
typedef IP * LPIP;
typedef IP UNALIGNED * ULPIP;
在明确了以上几个 数据 段头的组成结构后,就可以对捕获到的 数据 包进行分析了。
嗅探器的具体实现
根据前面的设计思路,不难写出 网络 嗅探器的实现代码,下面就给出一个简单的示例,该示例可以捕获到所有经过本地网卡的 数据 包,并可从中分析出协议、IP源地址、IP目标地址、TCP源端口号、TCP目标端口号以及 数据 包长度等信息。由于前面已经将程序的设计流程讲述的比较清楚了,因此这里就不在赘述了,下面就结合注释对程序的具体是实现进行讲解,同时为程序流程的清晰起见,去掉了错误检查等保护性代码。主要代码实现清单为:
// 检查 Winsock 版本号,WSAData为WSADATA结构对象
WSAStartup(MAKEWORD(2, 2), &WSAData);
// 创建原始套接字
sock = socket(AF_INET, SOCK_RAW, IPPROTO_RAW));
// 设置IP头操作选项,其中flag 设置为ture,亲自对IP头进行处理
setsockopt(sock, IPPROTO_IP, IP_HDRINCL, (char*)&flag, sizeof(flag));
// 获取本机名
gethostname((char*)LocalName, sizeof(LocalName)-1);
// 获取本地 IP 地址
pHost = gethostbyname((char*)LocalName));
// 填充SOCKADDR_IN结构
addr_in.sin_addr = *(in_addr *)pHost->h_addr_list[0]; //IP
addr_in.sin_family = AF_INET;
addr_in.sin_port = htons(57274);
// 把原始套接字sock 绑定到本地网卡地址上
bind(sock, (PSOCKADDR)&addr_in, sizeof(addr_in));
// dwValue为输入输出参数,为1时执行,0时取消
DWORD dwValue = 1;
// 设置 SOCK_RAW 为SIO_RCVALL,以便接收所有的IP包。其中SIO_RCVALL
// 的定义为: #define SIO_RCVALL _WSAIOW(IOC_VENDOR,1)
ioctlsocket(sock, SIO_RCVALL, &dwValue);
前面的工作基本上都是对原始套接字进行设置,在将原始套接字设置完毕,使其能按预期目的工作时,就可以通过recv()函数从网卡接收 数据 了,接收到的原始 数据 包存放在缓存RecvBuf[]中,缓冲区长度BUFFER_SIZE定义为65535。然后就可以根据前面对IP 数据 段头、TCP 数据 段头的结构描述而对捕获的 数据 包进行分析:
while (true)
{
// 接收原始 数据 包信息
int ret = recv(sock, RecvBuf, BUFFER_SIZE, 0);
if (ret > 0)
{
// 对 数据 包进行分析,并输出分析结果
ip = *(IP*)RecvBuf;
tcp = *(TCP*)(RecvBuf + ip.HdrLen);
TRACE("协议: %s ",GetProtocolTxt(ip.Protocol));
TRACE("IP源地址: %s ",inet_ntoa(*(in_addr*)&ip.SrcAddr));
TRACE("IP目标地址: %s ",inet_ntoa(*(in_addr*)&ip.DstAddr));
TRACE("TCP源端口号: %d ",tcp.SrcPort);
TRACE("TCP目标端口号:%d ",tcp.DstPort);
TRACE(" 数据 包长度: %d ",ntohs(ip.TotalLen));
}
}
其中,在进行协议分析时,使用了GetProtocolTxt()函数,该函数负责将IP包中的协议(数字标识的)转化为文字输出,该函数实现如下:
#define PROTOCOL_STRING_ICMP_TXT "ICMP"
#define PROTOCOL_STRING_TCP_TXT "TCP"
#define PROTOCOL_STRING_UDP_TXT "UDP"
#define PROTOCOL_STRING_SPX_TXT "SPX"
#define PROTOCOL_STRING_NCP_TXT "NCP"
#define PROTOCOL_STRING_UNKNOW_TXT "UNKNOW"
……
CString CSnifferDlg::GetProtocolTxt(int Protocol)
{
switch (Protocol){
case IPPROTO_ICMP : //1 /* control message protocol */
return PROTOCOL_STRING_ICMP_TXT;
case IPPROTO_TCP : //6 /* tcp */
return PROTOCOL_STRING_TCP_TXT;
case IPPROTO_UDP : //17 /* user datagram protocol */
return PROTOCOL_STRING_UDP_TXT;
default:
return PROTOCOL_STRING_UNKNOW_TXT;
}
最后,为了使程序能成功编译,需要包含头文件winsock2.h和ws2tcpip.h。在本示例中将分析结果用TRACE()宏进行输出,在调试状态下运行,得到的一个分析结果如下:
协议: UDP
IP源地址: 172.168.1.5
IP目标地址: 172.168.1.255
TCP源端口号: 16707
TCP目标端口号:19522
数据 包长度: 78
……
协议: TCP
IP源地址: 172.168.1.17
IP目标地址: 172.168.1.1
TCP源端口号: 19714
TCP目标端口号:10
数据 包长度: 200
……
从分析结果可以看出,此程序完全具备了嗅探器的 数据 捕获以及对 数据 包的分析等基本功能。
小结
本文介绍的以原始套接字方式对 网络 数据 进行捕获的方法实现起来比较简单,尤其是不需要编写VxD虚拟设备驱动程序就可以实现抓包,使得其编写过程变的非常简便,但由于捕获到的 数据 包头不包含有帧信息,因此不能接收到与 IP 同属 网络 层的其它 数据 包, 如 ARP 数据 包、RARP 数据 包等。在前面给出的示例程序中考虑到安全因素,没有对 数据 包做进一步的分析,而是仅仅给出了对一般信息的分析方法。通过本文的介绍,可对原始套接字的使用方法以及TCP/IP协议结构原理等知识有一个基本的认识。本文所述代码在Windows 2000下由Microsoft Visual C++ 6.0编译调试通过。
从事 网络 安全的<a class="channel_keyl</div><div class=" content_text"="" style="margin: 0px; padding: 0px; font-family: Arial, Helvetica, 宋体; color: rgb(68, 68, 68); line-height: 21px; "> 内容提要
从事 网络 安全的 技术 人员和相当一部分准 黑客 (指那些使用现成的 黑客 软件进行攻击而不是根据需要去自己编写代码的人)都一定不会对 网络 嗅探器(sniffer)感到陌生, 网络 嗅探器无论是在 网络 安全还是在 黑客 攻击方面均扮演了很重要的角色。通过使用 网络 嗅探器可以把网卡设置于混杂模式,并可实现对 网络 上传输的 数据 包的捕获与分析。此分析结果可供 网络 安全分析之用,但如为 黑客 所利用也可以为其发动进一步的攻击提供有价值的信息。可见,嗅探器实际是一把双刃剑。 虽然 网络 嗅探器 技术 被 黑客 利用后会对 网络 安全构成一定的威胁,但嗅探器本身的危害并不是很大,主要是用来为其他 黑客 软件提供 网络 情报,真正的攻击主要是由其他黑软来完成的。而在 网络 安全方面, 网络 嗅探手段可以有效地探测在 网络 上传输的 数据 包信息,通过对这些信息的分析利用是有助于 网络 安全维护的。权衡利弊,有必要对 网络 嗅探器的实现原理进行介绍。
文章正文
嗅探器作为一种 网络 通讯程序,也是通过对网卡的 编程 来实现 网络 通讯的,对网卡的 编程 也是使用通常的套接字(socket)方式来进行。但是,通常的套接字程序只能响应与自己硬件地址相匹配的或是以广播形式发出的 数据 帧,对于其他形式的 数据 帧比如已到达 网络 接口但却不是发给此地址的 数据 帧, 网络 接口在验证投递地址并非自身地址之后将不引起响应,也就是说应用程序无法收取到达的 数据 包。而 网络 嗅探器的目的恰恰在于从网卡接收所有经过它的 数据 包,这些 数据 包即可以是发给它的也可以是发往别处的。显然,要达到此目的就不能再让网卡按通常的正常模式工作,而必须将其设置为混杂模式。
具体到 编程 实现上,这种对网卡混杂模式的设置是通过原始套接字(raw socket)来实现的,这也有别于通常经常使用的 数据 流套接字和 数据 报套接字。在创建了原始套接字后,需要通过setsockopt()函数来设置IP头操作选项,然后再通过bind()函数将原始套接字绑定到本地网卡。为了让原始套接字能接受所有的 数据 ,还需要通过ioctlsocket()来进行设置,而且还可以指定是否亲自处理IP头。至此,实际就可以开始对 网络 数据 包进行嗅探了,对 数据 包的获取仍象流式套接字或 数据 报套接字那样通过recv()函数来完成。但是与其他两种套接字不同的是,原始套接字此时捕获到的 数据 包并不仅仅是单纯的 数据 信息,而是包含有 IP头、 TCP头等信息头的最原始的 数据 信息,这些信息保留了它在 网络 传输时的原貌。通过对这些在低层传输的原始信息的分析可以得到有关 网络 的一些信息。由于这些 数据 经过了 网络 层和传输层的打包,因此需要根据其附加的帧头对 数据 包进行分析。下面先给出结构. 数据 包的总体结构:
数据 包
IP头 TCP头(或其他信息头) 数据
数据 在从应用层到达传输层时,将添加TCP 数据 段头,或是UDP 数据 段头。其中UDP 数据 段头比较简单,由一个8字节的头和 数据 部分组成,具体格式如下:
16位 16位
源端口 目的端口
UDP长度 UDP校验和
而TCP 数据 头则比较复杂,以20个固定字节开始,在固定头后面还可以有一些长度不固定的可选项,下面给出TCP 数据 段头的格式组成:
16位 16位
源端口 目的端口
顺序号
确认号
TCP头长 (保留)7位 URG ACK PSH RST SYN FIN 窗口大小
校验和 紧急指针
可选项(0或更多的32位字)
数据 (可选项)
对于此TCP 数据 段头的分析在 编程 实现中可通过 数据 结构_TCP来定义:
typedef struct _TCP{ WORD SrcPort; // 源端口
WORD DstPort; // 目的端口
DWORD SeqNum; // 顺序号
DWORD AckNum; // 确认号
BYTE DataOff; // TCP头长
BYTE Flags; // 标志(URG、ACK等)
WORD Window; // 窗口大小
WORD Chksum; // 校验和
WORD UrgPtr; // 紧急指针
} TCP;
typedef TCP *LPTCP;
typedef TCP UNALIGNED * ULPTCP;
在 网络 层,还要给TCP 数据 包添加一个IP 数据 段头以组成IP 数据 报。IP 数据 头以大端点机次序传送,从左到右,版本字段的高位字节先传输(SPARC是大端点机;Pentium是小端点机)。如果是小端点机,就要在发送和接收时先行转换然后才能进行传输。IP 数据 段头格式如下:
16位 16位
版本 IHL 服务 类型 总长
标识 标志 分段偏移
生命期 协议 头校验和
源地址
目的地址
选项(0或更多)
同样,在实际 编程 中也需要通过一个 数据 结构来表示此IP 数据 段头,下面给出此 数据 结构的定义:
typedef struct _IP{
union{ BYTE Version; // 版本
BYTE HdrLen; // IHL
};
BYTE ServiceType; // 服务 类型
WORD TotalLen; // 总长
WORD ID; // 标识
union{ WORD Flags; // 标志
WORD FragOff; // 分段偏移
};
BYTE TimeToLive; // 生命期
BYTE Protocol; // 协议
WORD HdrChksum; // 头校验和
DWORD SrcAddr; // 源地址
DWORD DstAddr; // 目的地址
BYTE Options; // 选项
} IP;
typedef IP * LPIP;
typedef IP UNALIGNED * ULPIP;
在明确了以上几个 数据 段头的组成结构后,就可以对捕获到的 数据 包进行分析了。
嗅探器的具体实现
根据前面的设计思路,不难写出 网络 嗅探器的实现代码,下面就给出一个简单的示例,该示例可以捕获到所有经过本地网卡的 数据 包,并可从中分析出协议、IP源地址、IP目标地址、TCP源端口号、TCP目标端口号以及 数据 包长度等信息。由于前面已经将程序的设计流程讲述的比较清楚了,因此这里就不在赘述了,下面就结合注释对程序的具体是实现进行讲解,同时为程序流程的清晰起见,去掉了错误检查等保护性代码。主要代码实现清单为:
// 检查 Winsock 版本号,WSAData为WSADATA结构对象
WSAStartup(MAKEWORD(2, 2), &WSAData);
// 创建原始套接字
sock = socket(AF_INET, SOCK_RAW, IPPROTO_RAW));
// 设置IP头操作选项,其中flag 设置为ture,亲自对IP头进行处理
setsockopt(sock, IPPROTO_IP, IP_HDRINCL, (char*)&flag, sizeof(flag));
// 获取本机名
gethostname((char*)LocalName, sizeof(LocalName)-1);
// 获取本地 IP 地址
pHost = gethostbyname((char*)LocalName));
// 填充SOCKADDR_IN结构
addr_in.sin_addr = *(in_addr *)pHost->h_addr_list[0]; //IP
addr_in.sin_family = AF_INET;
addr_in.sin_port = htons(57274);
// 把原始套接字sock 绑定到本地网卡地址上
bind(sock, (PSOCKADDR)&addr_in, sizeof(addr_in));
// dwValue为输入输出参数,为1时执行,0时取消
DWORD dwValue = 1;
// 设置 SOCK_RAW 为SIO_RCVALL,以便接收所有的IP包。其中SIO_RCVALL
// 的定义为: #define SIO_RCVALL _WSAIOW(IOC_VENDOR,1)
ioctlsocket(sock, SIO_RCVALL, &dwValue);
前面的工作基本上都是对原始套接字进行设置,在将原始套接字设置完毕,使其能按预期目的工作时,就可以通过recv()函数从网卡接收 数据 了,接收到的原始 数据 包存放在缓存RecvBuf[]中,缓冲区长度BUFFER_SIZE定义为65535。然后就可以根据前面对IP 数据 段头、TCP 数据 段头的结构描述而对捕获的 数据 包进行分析:
while (true)
{
// 接收原始 数据 包信息
int ret = recv(sock, RecvBuf, BUFFER_SIZE, 0);
if (ret > 0)
{
// 对 数据 包进行分析,并输出分析结果
ip = *(IP*)RecvBuf;
tcp = *(TCP*)(RecvBuf + ip.HdrLen);
TRACE("协议: %s ",GetProtocolTxt(ip.Protocol));
TRACE("IP源地址: %s ",inet_ntoa(*(in_addr*)&ip.SrcAddr));
TRACE("IP目标地址: %s ",inet_ntoa(*(in_addr*)&ip.DstAddr));
TRACE("TCP源端口号: %d ",tcp.SrcPort);
TRACE("TCP目标端口号:%d ",tcp.DstPort);
TRACE(" 数据 包长度: %d ",ntohs(ip.TotalLen));
}
}
其中,在进行协议分析时,使用了GetProtocolTxt()函数,该函数负责将IP包中的协议(数字标识的)转化为文字输出,该函数实现如下:
#define PROTOCOL_STRING_ICMP_TXT "ICMP"
#define PROTOCOL_STRING_TCP_TXT "TCP"
#define PROTOCOL_STRING_UDP_TXT "UDP"
#define PROTOCOL_STRING_SPX_TXT "SPX"
#define PROTOCOL_STRING_NCP_TXT "NCP"
#define PROTOCOL_STRING_UNKNOW_TXT "UNKNOW"
……
CString CSnifferDlg::GetProtocolTxt(int Protocol)
{
switch (Protocol){
case IPPROTO_ICMP : //1 /* control message protocol */
return PROTOCOL_STRING_ICMP_TXT;
case IPPROTO_TCP : //6 /* tcp */
return PROTOCOL_STRING_TCP_TXT;
case IPPROTO_UDP : //17 /* user datagram protocol */
return PROTOCOL_STRING_UDP_TXT;
default:
return PROTOCOL_STRING_UNKNOW_TXT;
}
最后,为了使程序能成功编译,需要包含头文件winsock2.h和ws2tcpip.h。在本示例中将分析结果用TRACE()宏进行输出,在调试状态下运行,得到的一个分析结果如下:
协议: UDP
IP源地址: 172.168.1.5
IP目标地址: 172.168.1.255
TCP源端口号: 16707
TCP目标端口号:19522
数据 包长度: 78
……
协议: TCP
IP源地址: 172.168.1.17
IP目标地址: 172.168.1.1
TCP源端口号: 19714
TCP目标端口号:10
数据 包长度: 200
……
从分析结果可以看出,此程序完全具备了嗅探器的 数据 捕获以及对 数据 包的分析等基本功能。
小结
本文介绍的以原始套接字方式对 网络 数据 进行捕获的方法实现起来比较简单,尤其是不需要编写VxD虚拟设备驱动程序就可以实现抓包,使得其编写过程变的非常简便,但由于捕获到的 数据 包头不包含有帧信息,因此不能接收到与 IP 同属 网络 层的其它 数据 包, 如 ARP 数据 包、RARP 数据 包等。在前面给出的示例程序中考虑到安全因素,没有对 数据 包做进一步的分析,而是仅仅给出了对一般信息的分析方法。通过本文的介绍,可对原始套接字的使用方法以及TCP/IP协议结构原理等知识有一个基本的认识。本文所述代码在Windows 2000下由Microsoft Visual C++ 6.0编译调试通过。