hacker成长的代码之路:嗅探(1)Unix系统 -电脑资料

电脑资料时间：2019-01-01 我要投稿

【www.unjs.com - 电脑资料】

作者：kf_701 写作时间：2005/4 Email:kf_701@21cn.com 原作者信息，谢谢，

hacker成长的代码之路:嗅探(1)Unix系统

。要求的专业知识：一：精通OSI参考模型，精通网络五层：物理层，数据链路层，网络层，传输层，应用层。精通每一层的协议，数据报格式。精通网络拓扑结构，第一层，第

作者：kf_701 写作时间：2005/4 Email:kf_701@21cn.com

原作者信息，谢谢。

要求的专业知识：

一：精通OSI参考模型，精通网络五层：物理层，数据链路层，网络层，传

输层，应用层。精通每一层的协议，数据报格式。精通网络拓扑结构，

第一层，第二层，第三层的网络互联，数据的转发和路由等。

二：精通C语言程序设计，UNIX/LINUX程序设计，网络程序设计。熟悉

UNIX/LINUX系统操作，熟悉著名服务的基本配置，特性及使用的端口

号。熟悉经典网络命令的使用，如:netstat,ping,traceroute,

netcat，arp等。

三：精通标准SQL语言，熟悉流行的数据库使用，如：Oracle,Mysql等。

掌握数据库与WEB语言的结合使用。

sniffer,我想大家都听说过，不过是截获数据报而已了。这样的事情多是发生在局域

网内。因此我们要完全明白内网的工作原理。

由于写这个文章的时候，用的多的是以太网，因此我们的实验也在以太网环境里完成。

首先要知道是的局域网的互联方式，目前使用的有第一层（物理层）的互联，主要使用

转发器，常用的转发器就是集线器了，也就是我们常称的HUB，用HUB互联的网络是一个总

线结构的网络，在总线结构的网络里，数据是广播形式的传送的。也就是两台主机间的通

信信息，其它的主机也可以收到，不过网络设备检查到目标物理地址并非是自己，便丢掉

这个数据包。但必境是收到了。

我们用程序把这些数据报全部复制一份保存下来，就是所谓的sniffer了。还要做的一

件事就是把网卡设为混杂模式（Linux里面可用命令#ifconfig ethx promisc），我们

将在程序里自己完成。

物理层互联的局域网称为共享式局域网。

但现在不少的局域网是在第二层（数据链路层）互联的，使用的网络设备多是网桥，最

出名的网桥叫交换机，想必你也听说过了。这样联成的局域网叫交换式局域网。在这样的

网内，数据不再是广播了。

那我们如何才能sniffer呢？也就是如何让别人的数据还能发到我们的机器上的网络设

备上来呢？问题出来了，答案是ARP欺骗。留作后续。

进入我们的主题，如何写程序把数据报从数据链路层copy过来。

Unix里常用的方法是：BSD的BPF(分组过滤器)，SVR的DLPI(数据链路提供者接口)，

Linux的SOCK_PACKET接口。

如果你没有听说过开放源代码，那么你可能没有必要再读下去了。我可不想去重复已经

完成的工作。

libpcap，一个公开可得源码的截获函数库，它在三种接口上都可以使用。因此我们将

使用这个函数库来完成我们的程序。

53行，打开一个网络设备用来嗅探。

59-64行，加入一条过滤规则，这里是只截UDP数据报。

74行，返回一个数据报。

我们用data_print函数分析打印出IP报头的源IP和目的IP，UDP报头中的源端口和目

标端口。

1 /* author : kf_701

2 * mtime : 2005

3 * email : kf_701@21cn.com

4 * address : 合肥大学生公寓

5 * school : ahau.edu

6 */

8 /* The program is used to capture data from data

9 * link layer,It is simply,only output ip address

10 * and port,read this code,then you will understand

11 * how to use libpcap functions.

12 * ****Best wishes to you !****

13 *

14 * if you want to use it ,please compile like:

15 * $gcc -lpcap thisfile.c

16 */

17 #include

18 #include

19 #include

20 #include

21 #include

23 #include

24 #include

25 #include /* required for ip.h */

26 #include

27 #include

28 #include

29 #include

30 #include

32 #define MAXLINE 255

34 static void data_print(char *,int);

36 int main(int argc,char **argv)

37 {

38 char *device;

39 pcap_t *pd;

40 int snlen=80,link_type;

41 uint32_t netip,netmask;

42 char errbuf[PCAP_ERRBUF_SIZE],cmd[MAXLINE];

43 int data_len; /* captured data length */

44 char *data_ptr; /* captured data ptr */

45 struct bpf_program fcode;

46 struct pcap_pkthdr pkthdr;

47 struct ether_header *eptr;

49 /* open device and init struct pcap */

50 if((device=pcap_lookupdev(errbuf)) == NULL)

51 printf("pcap_lookupdev: %s\n",errbuf),exit(1);

53 if((pd=pcap_open_live(device,snlen,1,500,errbuf)) == NULL)

54 printf("pcap_open_live: %s\n",errbuf),exit(1);

56 if(pcap_lookupnet(device,&netip,&netmask,errbuf)<0)

57 printf("pcap_lookupnet: %s\n",errbuf),exit(1);

59 strcpy(cmd,"udp");/* only capture UDP packet */

60 if(pcap_compile(pd,&fcode,cmd,0,netmask)<0)

61 printf("pcap_compile: %s\n",pcap_geterr(pd)),exit(1);

63 if(pcap_setfilter(pd,&fcode)<0)

64 pcap_perror(pd,"pcap_setfilter"),exit(1);

66 if((link_type=pcap_datalink(pd)) < 0)

67 pcap_perror(pd,"pcap_datalink"),exit(1);

69 printf("-----------------------------------\n\

70 kf_701 sniffer,listen on %s for udp packets...\n",

71 device);

73 while(1){ /* catpture data and print */

74 data_ptr=(char *)pcap_next(pd,&pkthdr);

75 if(data_ptr == NULL)

76 continue;

77 data_len = pkthdr.caplen;

79 switch(link_type){

80 case DLT_NULL: /* loopback header = 4 bytes */

81 data_print(data_ptr+4,data_len-4);

82 break;

83 case DLT_EN10MB: /* ether header = 14 bytes */

84 eptr = (struct ether_header *)data_ptr;

85 if(ntohs(eptr->ether_type) != ETHERTYPE_IP)

86 break;

87 data_print(data_ptr+14,data_len-14);

88 break;

89 case DLT_PPP: /* ppp header = 24 bytes */

90 data_print(data_ptr+24,data_len-24);

91 break;

92 default:

93 ;

94 }

95 }/* end while */

96 }

98 static void

99 data_print(char *ptr,int len)

100 {

101 int ip_hlen;

102 struct ip *ip;

103 struct udphdr *udp;

104 char *src,*dst;

105

106 printf("Captured a packet!----------------------------\n");

107

108 /* deal with part of ip head */

109 if(len < sizeof(struct ip)+sizeof(struct udphdr)){

110 printf("* error,data_len = %d\n",len);

111 return;

112 }

113 ip = (struct ip *)ptr;

114 if(ip->ip_v != 4){

115 printf("* error,not ipv4,dropped.\n");

116 return;

117 }

118 ip_hlen = ip->ip_hl << 2;

119 if(ip_hlen < sizeof(struct ip)){

120 printf("* error:ip_hl = %d\n",ip->ip_hl);

121 return;

122 }

123 src = malloc(sizeof(char)*20);

124 dst = malloc(sizeof(char)*20);

125 strncpy(src,inet_ntoa((struct in_addr)ip->ip_src),20);

126 strncpy(dst,inet_ntoa((struct in_addr)ip->ip_dst),20);

127 printf("* ip_src = %s,ip_dst = %s\n",src,dst);

128

129 /* deal with udp part of udp head */

130 if(len

131 printf("* error:data_len = %d,ip_hlen = %d\n",len,ip_hlen);

132 return;

133 }

134 udp = (struct udphdr *)(ptr+ip_hlen);

135 printf("* source(port) = %d,dest(port) = %d,length(ip+udp+data) = %d\n",\

136 ntohs(udp->source),ntohs(udp->dest),ntohs(udp->len)+ip_hlen);

137

138 return;

139 }

关于libpcap函数库的详细使用，请自行查阅文章或手册，

电脑资料

《hacker成长的代码之路:嗅探(1)Unix系统》(https://www.unjs.com)。

有问题请给我mail,谢谢。

*****待续*******

原文转自：http://www.ltesting.net

相关文章