网络嗅探器论文

网络嗅探器论文

目录

摘要 (1)

正文 (1)

1) 什么是网络嗅探器 (1)

2) 网络嗅探器的作用 (2)

3) 网络嗅探器的原理 (2)

4) 网络嗅探器的设计 (6)

5) 详细分析 (8)

a) 嗅探器设计需要包含的头文件有： (8)

b) Ip数据报头的结构体： (8)

c) Tcp报头结构体： (9)

d) Udp报头结构体： (9)

e) 变量： (9)

f) 过滤规则： (10)

g) 循环抓包： (11)

h) 源代码： (14)

总结 (19)

参考文献 (20)

摘要

本设计是关于网络嗅探器的设计与实现，功能包括实现网络层抓包，对获得包的源和目的地址、端口、协议等进行分析和实现简单的包嗅探器功能。以vc为开发平台，使用Windows环境下的网络数据包捕获开发库WinPcap认真学习和掌握网络嗅探器工作原理，设计出一个嗅探器，使其实现网络层抓包，并对获得包的源和目的地址、端口、协议等进行分析，实现简单的包嗅探器功能。本文的关键字为网络嗅探器，sniffer抓包，winpcap, c++

正文

1)什么是网络嗅探器

随着网络发展的不断延续，网络应用日益复杂，以满足人们对信息的大量需求，但伴随而来的是，大量网络故障及网络病毒冲击着网络与终端用户，因此对于网络安全管理与网络日常的要求日益加重。嗅探器（Sniffer Pro）有着至关重要的作用。

嗅探器是利用计算机网络接口截获所需网络内部数据报文的一种工具，它广泛地应用于流量分析、安全监控的实现中。Sniffer主要被用来在网络上截获位于OSI协议模型中各个协议层次上的数据包，通过对截获数据包的分析，嗅探器可以掌握目标主机的信息。

嗅探器，可以理解为一个安装在计算机上的窃听设备它可以用来窃听计算机在网络上所产生的众多的信息。简单一点解释：一部电话的窃听装置, 可以用来窃听双方通话的内容，而计算机网络嗅探器则可以窃听计算机程序在网络上发送和接收到的数据。

可是，计算机直接所传送的数据，事实上是大量的二进制数据。因此, 一个网络窃听程序必须也使用特定的网络协议来分解嗅探到的数据，嗅探器也就必须能够识别出那个协议对应于这个数据片断，只有这样才能够进行正确的解码。

计算机的嗅探器比起电话窃听器，有他独特的优势：很多的计算机网络采用的是“共享媒体"。也就是说，你不必中断他的通讯，并且配置特别的线路，再安装嗅探器，你几乎可以在任何连接着的网络上直接窃听到你同一掩码范围内的计算机网络数据。我们称这种窃听方式为“基于混杂模式的嗅探”（promiscuous mode）。尽管如此，这种“共享” 的技术发展的很快，慢慢转

向“交换” 技术，这种技术会长期内会继续使用下去，它可以实现有目的选择的收发数据。

2)网络嗅探器的作用

嗅探器是网络的抓包工具，可以对网络中大量数据抓取，从而方便使用者对网络中用户的一些信息进行分析，所以，通常被黑客运用于网络攻击。我们如果也能掌握网络嗅探器的原理和设计，可以将它运用与网络故障检测、网络状况的监视，还可以加强企业信息安全防护。

3)网络嗅探器的原理

嗅探器作为一种网络通讯程序，也是通过对网卡的编程来实现网络通讯的，对网卡的编程也是使用通常的套接字(socket)方式来进行。但是，通常的套接字程序只能响应与自己硬件地址相匹配的或是以广播形式发出的数据帧，对于其他形式的数据帧比如已到达网络接口但却不是发给此地址的数据帧，网络接口在验证投递地址并非自身地址之后将不引起响应，也就是说应用程序无法收取到达的数据包。而网络嗅探器的目的恰恰在于从网卡接收所有经过它的数据包，这些数据包即可以是发给它的也可以是发往别处的。显然，要达到此目的就不能再让网卡按通常的正常模式工作，而必须将其设置为混杂模式。

具体到编程实现上，这种对网卡混杂模式的设置是通过原始套接字(raw socket)来实现的，这也有别于通常经常使用的数据流套接字和数据报套接字。在创建了原始套接字后，需要通过setsockopt()函数来设置IP头操作选项，然后再通过bind()函数将原始套接字绑定到本地网卡。为了让原始套接字能接受所有的数据，还需要通过ioctlsocket()来进行设置，而且还可以指定是否亲自处理IP头。至此，实际就可以开始对网络数据包进行嗅探了，对数据包的获取仍象流式套接字或数据报套接字那样通过recv()函数来完成。但是与其他两种套接字不同的是，原始套接字此时捕获到的数据包并不仅仅是单纯的数据信息，而是包含有IP头、TCP头等信息头的最原始的数据信息，这些信息保留了它在网络传输时的原貌。通过对这些在低层传输的原始信息的分析可以得到有关网络的一些信息。由于这些数据经过了网络层和传输层的打包，因此需要根据其附加的帧头对数据包进行分析。下面先给出结构.数据包的总体结构：

数据包

IP头TCP头(或其他信息头) 数据

数据在从应用层到达传输层时，将添加TCP数据段头，或是UDP数据段头。其中UDP数据段头比较简单，由一个8字节的头和数据部分组成，具体格式如下：

16位16位

源端口目的端口

UDP长度UDP校验和

而TCP数据头则比较复杂，以20个固定字节开始，在固定头后面还可以有一些长度不固定的可选项，下面给出TCP数据段头的格式组成：

16位16位

源端口目的端口

顺序号

确认号

TCP头长(保留)7位URG ACK PSH RST SYN FIN 窗口大小

校验和紧急指针

可选项(0或更多的32位字)

数据(可选项)

对于此TCP数据段头的分析在编程实现中可通过数据结构_TCP来定义：

typedef struct _TCP{ WORD SrcPort; // 源端口

WORD DstPort; // 目的端口

DWORD SeqNum; // 顺序号

DWORD AckNum; // 确认号

BYTE DataOff; // TCP头长

BYTE Flags; // 标志(URG、ACK等)

WORD Window; // 窗口大小

WORD Chksum; // 校验和

WORD UrgPtr; // 紧急指针

} TCP;

typedef TCP *LPTCP;

typedef TCP UNALIGNED * ULPTCP;

在网络层，还要给TCP数据包添加一个IP数据段头以组成IP数据报。IP数据头以大端点机次序传送，从左到右，版本字段的高位字节先传输(SPARC是大端点机;Pentium是小端点机)。如果是小端点机，就要在发送和接收时先行转换然后才能进行传输。IP数据段头格式如下：16位16位