科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道基于Linux环境下的Sniffer设计与实现

基于Linux环境下的Sniffer设计与实现

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

在实现嗅探器之前,我们先需要掌握TCP/IP协议。下面解释一下一个基本的套接字系统调用函数,也是该嗅探器中要用到的函数: socket()系统调用返回一个整数值,叫做套接字描述字sockfd,它的原理与文件描述符一样。

作者: 51cto 2008年4月14日

关键字: 嗅探 网络嗅探 Sniffer 端口扫描

  • 评论
  • 分享微博
  • 分享邮件

  在实现嗅探器之前,我们先需要掌握TCP/IP协议。TCP协议和IP协议指两个用在Internet上的网络协议(或数据传输的方法)。它们分别是传输控制协议和互连网协议。这两个协议属于众多的TCP/IP 协议组中的一部分。

  TCP/IP协议组中的协议保证Internet上数据的传输,提供了几乎现在上网所用到的所有服务。这些服务包括:电子邮件的传输、文件传输、新闻组的发布和访问万维网。

  TCP协议在IP协议之上。与IP协议提供不可靠传输服务不同的是,TCP协议为其上的应用层提供了一种可靠传输服务。这种服务的特点是:可靠、全双工、流式和无结构传输。TCP传输原理:

  TCP协议使用了一个叫积极确认和重发送(positive acknowledgement with retransmission)的技术来实现可靠传输。接收者在收到发送者发送的数据后,必须发送一个相应的确认(ACK)消息,表示它已经收到了数据。发送者保存发送的数据的记录,在发送下一个数据之前,等待这个数据的确认消息。在它发送这个数据的同时,还启动了一个记时器。如果在一定时间之内,没有接收到确认消息,就认为是这个数据在传送时丢失了,接着,就会重新发送这个数据。

  这种方法还产生了一个问题,就是包的重复。如果网络传输速度比较低,等到等待时间结束后,确认消息才返回到发送者,那么,由于发送者采用的发送方法,就会出现重复的数据了。解决的一个办法是给每个数据一个序列号,并需要发送者记住哪个序列号的数据已经确认了。为了防止由于延时或重复确认,规定确认消息里也要包含确认序列号。从而发送者就能知道哪个包已经确认了。TCP协议中还有一鲋匾母拍睿夯翱凇U庖环椒ǖ氖褂茫沟么涓痈咝А?

  有前面的描述可见,发送者在发送完一个数据包之后,要等待确认。在它收到确认消息之前的这段时间是空闲的。如果网络延时比较长,这个问题会相当明显。滑动窗口方法是在它收到确认消息以前,发送多个数据包。可以想象成有一个窗口在一个序列上移动。如果一个包发送出去之后还没有确认,叫做未确认包。通常未确认的包的个数就是窗口的大小。在接收端,也有一个滑动窗口接收和确认一个包。

  使用TCP传输就是建立一个连接。在TCP传输中一个连接有两个端点组成。其实,一个连接代表的是发送和接收两端应用程序的之间的一个通信。可以把他们想象成建立了一个电路。通常一个连接用下面的公式表示:(host,port),host是主机,port是端口。TCP端口能被几个应用程序共享。对于程序员来讲,可以这样理解:一个应用程序可以为不同的连接提供服务。TCP传输的单位是段,在建立连接,传送数据,确认消息和告之窗口大小时均要进行段的交换。

  TCP协议使用一个三次握手来建立一个TCP连接的。握手过程的第一个段的代码位设置为SYN,序列号为x,表示开始一次握手。接收方收到这个段后,向发送者回发一个段。代码位设置为SYN和ACK,序列号设置为y,确认序列号设置为x+1。发送者在受到这个段后,知道就可以进行TCP数据发送了,于是,它又向接收者发送一个ACK段,表示,双方的连接已经建立。在完成握手之后,就开始正式的数据传输了。上面握手段中的序列号都是随机产生的。

  了解了TCP/IP协议后,还要掌握网络编程。在LINUX网络编程中,我们可以认为套接字是将Unix系统的文件操作推广到提供点对点的通信。如果要操作文件,应用程序会根据应用程序的需要为之创建一个套接字。操作系统返回一个整数。应用程序通过引用这个正数来使用这个套接字。文件描述符和套接字描述符的不同点在于,在程序调用open()时,操作系统将一个文件描述符绑定到一个文件或设备,但在创建一个套接字时,可以不将它绑定到一个目标地址。程序可以在任何想要用这个套接字的时候指定目标地址。在点对点的通信程序中,我们将请求服务或数据的程序叫做客户端程序,提供数据或服务的软件叫做服务器程序。下面解释一下一个基本的套接字系统调用函数,也是该嗅探器中要用到的函数:

  socket()

  #include

  #include

  int socket(int family, int type, int protocol);

  int family参数指定所要使用的通信协议,取以下几个值:

  AF_UNIX Unix内部协议

  AF_INET Internet协议

  AF_NS Xerox NS协议

  AF_IMPLINK IMP 连接层

  int type 指定套接字的类型,取以下几个值 :

  SOCK_STREAM 流套接字

  SOCK_DGRAM 数据报套接字

  SOCK_RAW 未加工套接字

  SOCK_SEQPACKET 顺序包套接字

  int protocol 参数通常设置为0。

  socket()系统调用返回一个整数值,叫做套接字描述字sockfd,它的原理与文件描述符一样。网络I/O的第一步通常就是调用这个函数。

  二、Sniffer具体实现

  现在具体介绍一下该嗅探器的实现。该嗅探器是在Red Hat LINUX6.2版本中,用C语言编写的,以调试并编译通过。

  Sniffer是一种常用的收集有用数据方法,这些数据可以是用户的帐号和密码,可以是一些商用机密数据等等。Sniffer是一种常用的收集有用数据的方法,这些数据可以是用户的帐号和密码,可以是一些商用机密数据等等。

  以太网sniffing 是指对以太网设备上传送的数据包进行侦听,发现感兴趣的包。如果发现符合条件的包,就把它存到一个log文件中去。通常设置的这些条件是包含字"username"或"password"的包。它的目的是将网络层放到promiscuous模式,从而能干些事情。Promiscuous模式是指网络上的所有设备都对总线上传送的数据进行侦听,并不仅仅是它们自己的数据。根据以太网的工作原理,可以知道:一个设备要向某一目标发送数据时,它是对以太网进行广播的。一个连到以太网总线上的设备在任何时间里都在接受数据。不过只是将属于自己的数据传给该计算机上的应用程序。利用这一点,可以将一台计算机的网络连接设置为接受所有以太网总线上的数据,从而实现sniffer。

  sniffer通常运行在路由器,或有路由器功能的主机上。这样就能对大量的数据进行监控。sniffer属第二层次的攻击。通常是攻击者已经进入了目标系统,然后使用sniffer这种攻击手段,以便得到更多的信息。sniffer除了能得到口令或用户名外,还能得到更多的其他信息,比如一个其他重要的信息,在网上传送的金融信息等等。sniffer几乎能得到任何以太网上的传送的数据包。通常sniffer程序只看一个数据包的前200-300个字节的数据,就能发现想口令和用户名这样的信息。

  下面对该程序的实现作一个介绍。结构etherpacket定义了一个数据包。其中的ethhdr,iphdr,和tcphdr分别是三个结构,用来定义以太网帧,IP数据包头和TCP数据包头的格式。

  它们在头文件中的定义如下:

  struct ethhdr

  {

  unsigned char h_dest[ETH_ALEN]; /* destination eth addr */

  unsigned char h_source[ETH_ALEN]; /* source ether addr */

  unsigned short h_proto; /* packet type ID field */

  };

  struct iphdr

  {

  #if __BYTE_ORDER == __LITTLE_ENDIAN

  u_int8_t ihl:4;

  u_int8_t version:4;

  #elif __BYTE_ORDER == __BIG_ENDIAN

  u_int8_t version:4;

  u_int8_t ihl:4;

  #else

  #error "Please fix "

  #endif

  u_int8_t tos;

  u_int16_t tot_len;

  u_int16_t id;

  u_int16_t frag_off;

  u_int8_t ttl;

  u_int8_t protocol;

  u_int16_t check;

  u_int32_t saddr;

  u_int32_t daddr;

  /*The options start here. */

  };

  struct tcphdr

  {

  u_int16_t source;

  u_int16_t dest;

  u_int32_t seq;

  u_int32_t ack_seq;

  #if __BYTE_ORDER == __LITTLE_ENDIAN

  u_int16_t res1:4;

  u_int16_t doff:4;

  u_int16_t fin:1;

  u_int16_t syn:1;

  u_int16_t rst:1;

  u_int16_t psh:1;

  u_int16_t ack:1;

  u_int16_t urg:1;

  u_int16_t res2:2;

  #elif __BYTE_ORDER == __BIG_ENDIAN

  u_int16_t doff:4;

  u_int16_t res1:4;

  u_int16_t res2:2;

  u_int16_t urg:1;

  u_int16_t ack:1;

  u_int16_t psh:1;

  u_int16_t rst:1;

  u_int16_t syn:1;

  u_int16_t fin:1;

  #else

  #error "Adjust your defines"

  #endif

  u_int16_t window;

  u_int16_t check;

  u_int16_t urg_ptr;

  };

  接下来,定义了一个结构变量victim。随后,看一下函数int openintf(char *d),它的作用是打开一个网络接口。在main中是将eth0作为参数来调用这个函数。在这个函数中,用到了下面的结构:

  struct ifreq

  {

  #define IFHWADDRLEN 6

  #define IFNAMSIZ 16

  union

  {

  char ifrn_name[IFNAMSIZ]; /* Interface name, e.g. "en0". */

  } ifr_ifrn;

  union

  {

  struct sockaddr ifru_addr;

  struct sockaddr ifru_dstaddr;

  struct sockaddr ifru_broadaddr;

  struct sockaddr ifru_netmask;

  struct sockaddr ifru_hwaddr;

  short int ifru_flags;

  int ifru_ivalue;

  int ifru_mtu;

  struct ifmap ifru_map;

  char ifru_slave[IFNAMSIZ]; /* Just fits the size */

  __caddr_t ifru_data;

  } ifr_ifru;

  };

  这个结构叫接口请求结构,用来调用在I/O输入输出时使用。所有的接口I/O输出必须有一个参数,这个参数以ifr_name开头,后面的参数根据使用不同的网络接口而不同。

  如果你要看看你的计算机有哪些网络接口,使用命令ifconfig即可。一般会看到两个接口lo0和eth0。在ifreq结构中的各个域的含义与ifconfig的输出是一一对应的。在这里,程序将eth0作为ifr_name来使用的。接着,该函数将这个网络接口设置成promiscuous模式。请记住,sniffer是工作在这种模式下的。

  再看一下函数read_tcp,它的作用是读取TCP数据包,传给filter处理。Filter函数是对上述读取的数据包进行处理。接下来的程序是将数据输出到文件中去。函数clearup是在程序退出等事件时,在文件中作个记录,并关闭文件。否则,你刚才做的记录都没了。

  三、运行结果及结论

  运行这个程序的结果,本人的计算机是处于一个由三十台以上主机组成的局域网环境中,这个局域网中的所有主机通过代理网关可以上Internet。经测试,在晚上上网高峰期,可以在几分钟之内探测到5以上个不同IP地址的邮箱用户名及密码,当然,还可以探测到别的信息,如用户用Web浏览器浏览的网页内容、telnet登录名及密码等有用信息。预计如果该程序运行于网关,会截取更多的信息。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章