简易网络嗅探器的实现
发表于:2007-06-23来源:作者:点击数:
标签:
本文介绍一个用C语言和 网络 数据包分析 开发 工具实现的简易网络Sniffer。 目前,已经有不少的Sniff工具软件,如Windows环境下,最富盛名的工具是Netxray和Sniffer pro,用它们在 Windows环境下抓包来分析,非常方便。在 UNIX 环境下如Sniffit,Snoop,Tcpd
|
本文介绍一个用C语言和网络数据包分析开发工具实现的简易网络Sniffer。目前,已经有不少的Sniff工具软件,如Windows环境下,最富盛名的工具是Netxray和Sniffer pro,用它们在 Windows环境下抓包来分析,非常方便。在UNIX环境下如Sniffit,Snoop,Tcpdump,Dsniff 等都是比较常见的。这里介绍一个用C语言和网络数据包和分析开发工具libpcap及winpcap实现的简易网络Sniffer。
网络嗅探器程序框图
首先给出流程如图1所示。
图1 流程图
网络嗅探器程序实现
在c环境下编程,源码如下:
clearcase/" target="_blank" >cc66 width="90%" align=center bgColor=#e6e4dd border=1>
/* June 2nd,2002
* Project for graduation qualification By Bby Team 19 */
#include <stdio.h>
#include <conio.h>
//必须加路径,必须把头文件packet32.h包含进去
#include "....Includepacket32.h"
#include "....Includentddndis.h"
#define Max_Num_Adapter 10
// Prototypes原形
//发包
void PrintPackets(LPPACKET lpPacket);
//设备列表
char AdapterList[Max_Num_Adapter][1024];
// 主程序开始
int main()
{
//define a pointer to an ADAPTER structure设备指针
LPADAPTER lpAdapter = 0;
//define a pointer to a PACKET structure包指针
LPPACKET lpPacket;
int i;
DWORD dwErrorCode;
DWORD dwVersion;
DWORD dwWindowsMajorVersion;
//Unicode strings (WinNT)
WCHAR AdapterName[8192]; //网络适配器设备列表
WCHAR *temp,*temp1;
//ASCII strings (Win9x)
char AdapterNamea[8192]; //网络适配器设备列表
char *tempa,*temp1a;
int AdapterNum=0,Open;
ULONG AdapterLength;
char buffer[256000]; // 容纳来自驱动器的数据的缓冲区
struct bpf_stat stat;
// 获得本机网卡名
AdapterLength=4096;
printf("Packet.dll test application. Library version:%sn", PacketGetVersion());
printf("Adapters installed:n");
i=0; |
下面这段代码是用来在不同版本下得到网络适配器名:
Win9x 和WinNT中的网卡名称是分别用ASCII和UNICODE实现的,
所以首先要得到本地操作系统
的版本号:
dwVersion=GetVersion();
dwWindowsMajorVersion= (DWORD)(LOBYTE(LOWORD(dwVersion))); |
这里首先用到的Packet.dll函数是PacketGetAdapterNames(PTSTR pStr,
PULONG BufferSize,通常它是与驱动程序通信并被调用的第一个函数,
它将返回的用户本地系统中安装
的网络适配器的名字放在
缓冲区pStr中;BufferSize是缓冲区的长度:
if (!(dwVersion >= 0x80000000 && dwWindowsMajorVersion >= 4))
{
//是Windows NT
// 找不到设备列表
if(PacketGetAdapterNames(AdapterName,&AdapterLength)==FALSE){
printf("Unable to retrieve the list of the adapters!n");
return -1;
}
// 找到设备列表
temp=AdapterName;
temp1=AdapterName;
while ((*temp!='')||(*(temp-1)!=''))
{
if (*temp=='')
{
memcpy(AdapterList[i],temp1,(temp-temp1)*2);
temp1=temp+1;
i++;
}
temp++;
}
// 显示适配器列表
AdapterNum=i;
for (i=0;i<AdapterNum;i++)
wprintf(L"n%d- %sn",i+1,AdapterList[i]);
printf("n");
}
else //否则就是windows 9x,获取适配器名的方法同WinNT下
{
if(PacketGetAdapterNames(AdapterNamea,&AdapterLength)==FALSE){
printf("Unable to retrieve the list of the adapters!n");
return -1;
}
tempa=AdapterNamea;
temp1a=AdapterNamea;
while ((*tempa!='')||(*(tempa-1)!=''))
{
if (*tempa=='')
{
memcpy(AdapterList[i],temp1a,tempa-temp1a);
temp1a=tempa+1;
i++;
}
tempa++;
}
AdapterNum=i;
for (i=0;i<AdapterNum;i++)
printf("n%d- %sn",i+1,AdapterList[i]);
printf("n");
} |
下面这段代码就是让用户选择监听的网络适配器号:
// 选择设备
do
{
printf("Select the number of the adapter to open : ");
scanf("%d",&Open);
if (Open>AdapterNum)
printf("nThe number must be smaller than %d",AdapterNum);
} while (Open>AdapterNum);
|
然后,将所选择的设备打开,这里可以设置为“混杂”模式打开,
也可以是“直接”模式打开。
代码如下:
// 打开设备
lpAdapter = PacketOpenAdapter(AdapterList[Open-1]);
// 当设备无法打开时,出示错误信息:
if (!lpAdapter || (lpAdapter->hFile == INVALID_HANDLE_VALUE))
{
dwErrorCode=GetLastError();
printf("Unable to open the adapter, Error Code : %lxn",dwErrorCode);
return -1;
} |
将网卡设置为“混杂”模式,代码如下:
这里用到函数PacketSetHwFilter(LPADAPTER AdapterObject,ULONG Filter),
它在到来的包上设置了一个硬件过滤器,如操作成功,返回TRUE。
AdapterObject是过滤器所在的网卡
设备指针;过滤器的常量Filter定义在头文件ntddndis.h 中,包括有:
·NDIS-PACKET-TYPE-PROMISCUOUS:设置混杂模式,每个到来的包都会被网卡接受;
·NDIS-PACKET-TYPE-DIRECTED:只有直接到主机网卡的包才会被接受;
·NDIS-PACKET-TYPE-BROADCAST:只接受广播包;
·NDIS-PACKET-TYPE-MULTICAST:只接受到主机所在的组的多播包;
·NDIS-PACKET-TYPE-ALL-MULTICAS:接受每个多播的包。
// set the network adapter in promiscuous mode
// 如果混杂模式设置失败,提示错误:
if(PacketSetHwFilter(lpAdapter,NDIS_PACKET_TYPE_PROMISCUOUS)==FALSE){
printf("Warning: unable to set promiscuous mode!n");
} |
然后在driver中置512K的缓冲:
这里用到函数PacketSetBuff(LPADAPTER AdapterObject,int dim),
它被用于设置AdapterObject指向的网卡的驱动程序的缓冲区,成功则返回TRUE。
Dim是新的缓冲区的大小,
当它被设定时,旧缓冲区中的数据将被丢弃,其中存储的包也会失去。
需要注意的地方:驱动器缓冲区的大小设置是否恰当,将影响截包进程的性能,
设置应能保证运行快且不会丢包。这里设置的是512000Byte。
// set a 512K buffer in the driver
// 当无法设置缓冲区时,提示错误:
if(PacketSetBuff(lpAdapter,512000)==FALSE){
printf("Unable to set the kernel buffer!n");
return -1;
}
|
PacketSetReadTimeout(LPADAPTER AdapterObject,int timeout)
函数的功能是,设置与AdapterObject指定网卡绑定的读操作超时的值,timeout以毫秒为单位,
0表示没有超时,
当没有包到时,read就不返回。
// set a 1 second read timeout
// 设置1秒的读取操作超时
if(PacketSetReadTimeout(lpAdapter,1000)==FALSE){
printf("Warning: unable to set the read tiemout!n");
} |
|
原文转自:http://www.ltesting.net
|
模板
教程
环境
性能
功能
管理
