【正文】 診聽分析軟件。事實(shí)上，這種觀念是不正確的。對(duì)網(wǎng)絡(luò)上主機(jī)間的通信，通過設(shè)置過濾條件，給出一個(gè)詳細(xì)的逐包的統(tǒng)計(jì)信息。 以上討論了目前對(duì)嗅探攻擊防范的困難，對(duì)此本人作出下列兩點(diǎn)設(shè)想 : ? 因?yàn)橐蕴W(wǎng)在局域網(wǎng)中進(jìn)行傳輸是使用廣播方式，如果不采用這種方 式，直接使用地址解析 ((ARP)影射物理地址，嗅探器就無法接收數(shù)據(jù)了。 另一種防范嗅探攻擊的方式就是檢查網(wǎng)絡(luò)中有無網(wǎng)絡(luò)接口處于混亂模式。 作為一種入侵手段，嗅探器令人防不勝防，因?yàn)樗粍?dòng)接受而不主動(dòng)獲得。 i = ioctl(fd, SIOCSIFFLAGS, amp。 } struct ifreq ifr 。 由于網(wǎng)卡有 4 種工作模式：廣播 (能夠接收網(wǎng)絡(luò)中的廣播信息 )、組播 (能接收組播數(shù)據(jù) )、直接 (只有目的網(wǎng)卡才能接收該數(shù)據(jù) )和混雜 (能夠接收一切數(shù)據(jù) )模式，所以為了能夠捕獲以南京郵電大學(xué)通達(dá)學(xué)院 2021屆本科生畢業(yè)設(shè)計(jì) (論文 ) 22 太網(wǎng)所有數(shù)據(jù)包，通常需要將網(wǎng)卡設(shè)置 成混雜工作模式。 //fl1為捕獲的數(shù)據(jù)幀長(zhǎng) printf(saddr:％ x =daddr:％ x\n,ipsaddr, ipdaddr)。 因此，一旦捕獲的幀中 h_proto 的取值為 0x800，將類型為 iphdr 的結(jié)構(gòu)指針指向幀頭后面負(fù)載數(shù)據(jù)的起始位置，則 IP 信包首部的數(shù)據(jù)結(jié)構(gòu)將一覽無余。 eh=(struct ethhdr *)ep。ifr)。 //(char *)dev 標(biāo)識(shí)設(shè)備名，如： eth0 i=ioctl(fd,SIOCGIFFLAGS,amp。計(jì)算機(jī)數(shù)據(jù)存儲(chǔ)有兩種字節(jié)優(yōu)先順序：高位字節(jié)優(yōu)先和低位字節(jié)優(yōu)先。 ) while((ptr = (char *)(pcap_next(p, amp。什么時(shí)候應(yīng)該對(duì) Package 標(biāo)上藍(lán)色的線條，以下代碼即說明此問題： if ( i == p_recorder % 20 ) // if the package is the current printf(COLOR_START) 。 系統(tǒng)的顯示問題 在控制臺(tái)上，要想建造一個(gè)好的用戶 操作界面，是一件比較難的事情，根據(jù)我的體驗(yàn)， linux 下著名的 Sniffer 工具 tcpdump 的操作界面也不夠友好，普通用戶很難操作。 } load_packs ++ 。 for (i = 0。 i++) 南京郵電大學(xué)通達(dá)學(xué)院 2021屆本科生畢業(yè)設(shè)計(jì) (論文 ) 14 if ( Tab[i] != 1 amp。 in。 的信息如圖 所示： 圖 此刻的數(shù)據(jù) 根據(jù)此圖，便可以得知， 里面一共存儲(chǔ)了 220Bytes 的數(shù)據(jù)，包括 Pack0 = 40 Bytes, Pack1 = 50 Bytes, Pack2 = 60 Bytes, Pack3 = 70 Bytes 的信息如圖 所示： 圖 此刻的數(shù)據(jù) 根據(jù)此圖，便可以得知， 里面一共存儲(chǔ)了 16Bytes 的數(shù)據(jù)，包括 Pack0的大小 ＝ 40, Pack0 的大小 ＝ 50, Pack0 的大小 ＝ 60, Pack0 的大小 ＝ 70. Pack0:40 Bytes Pack1:50 Bytes Pack3:70 Bytes Pack2:60 Bytes 4bytes, value=40 4bytes, value=50 4bytes, value=60 4bytes, value=70 南京郵電大學(xué)通達(dá)學(xué)院 2021屆本科生畢業(yè)設(shè)計(jì) (論文 ) 13 根據(jù)上面兩個(gè)結(jié)構(gòu)（或文件），再加上內(nèi)存中的一個(gè)數(shù)組 Tab[MAX]，就可以算出任意編號(hào)的 Package 存儲(chǔ)數(shù)據(jù)的絕對(duì)起始位移，算法如下： 例如：已知， 中已經(jīng)存放了 4 個(gè) package 的 size 信息如下： sizeof (pack_0) = 40 。例如，如果想加入對(duì)某個(gè)新協(xié)議的處理，那么只需要加入和這個(gè)相關(guān)的程序源程序和頭文件 。 Decode 模塊以 Capture 模塊接收到的數(shù)據(jù)作為輸入進(jìn)行拆包。在 inter 內(nèi)部，計(jì)算機(jī)之間互相發(fā)送信息包進(jìn)行通信， TCP/IP 協(xié)議對(duì)這種信息包的傳輸方式作了具體的規(guī)定。 基于以上原因，我以此作為研究課題，目標(biāo)就是能夠做出一個(gè)界面類似 Ethereal的 Sniffer 工具，以方便用戶操作。普通情況下，直接啟動(dòng) tcpdump 將監(jiān)視第一個(gè)網(wǎng)絡(luò)界面上所有流過的數(shù)據(jù)包。這都?xì)w功于 ehereal 良好的設(shè)計(jì)結(jié)構(gòu)。 常用 Sniffer 系 統(tǒng)簡(jiǎn)介 Sniffer 可分軟、硬兩種，軟件 Sniffer有它的優(yōu)點(diǎn)，價(jià)格成本相對(duì)較低， 易于學(xué)習(xí)使用，同時(shí)也易于交流，缺點(diǎn)是無法抓取網(wǎng)絡(luò)上所有的傳輸，比如碎片、 fragment, short event等等，某些情況下也就無法真正了解網(wǎng)絡(luò)的故障和運(yùn)行 情。為了允許網(wǎng)絡(luò)管理人員在 switch環(huán)境下仍讓可以得到其他任何一臺(tái) 機(jī)器的網(wǎng)絡(luò)數(shù)據(jù)，采用了端口鏡像技術(shù)(Port mirroring)。它由一個(gè)或數(shù)個(gè)中心控制臺(tái)以及多個(gè)Sniffer服務(wù)器組成，每個(gè) Sniffer服務(wù)器可以放在一個(gè) 網(wǎng)絡(luò)段中，自動(dòng)監(jiān)視網(wǎng)絡(luò)情況。從 sniffer上可以得 到所有的信息，只要你有足夠的存儲(chǔ)空間。這種特殊的工作 模式，稱之為混雜模式 (Promiscuous Mode). Sniffer就是通過將網(wǎng)卡設(shè)置為混雜模式，它對(duì)遇到的每一個(gè)幀都產(chǎn)生一個(gè)硬件中斷以便提醒操作系統(tǒng)處理流經(jīng)該物理媒體上的每一個(gè)報(bào)文包。這種方法要求運(yùn)行 Sniffer 程序的主機(jī)和被監(jiān)聽的主機(jī)必須在同一個(gè)以太網(wǎng)段上， 并且要求要以 root 用戶登陸，運(yùn)行成功， 就能夠監(jiān)聽到 本 以太網(wǎng)段上的數(shù)據(jù)流 。我們一般認(rèn)為 Sniffer是指在運(yùn)行以太網(wǎng)協(xié)議、 TCP/ IP協(xié)議、 IPX協(xié)議或者其他協(xié)議的網(wǎng)絡(luò)上，可以攫取網(wǎng)絡(luò)信息流的軟件或硬件。 關(guān)鍵詞： 嗅探器；數(shù)據(jù)包；協(xié)議棧； 以太網(wǎng)ABSTRACT Sniffer is a powerful work analysis tool. It consists of a wellintegrated set of functions that can resolve work problems. Network Sniffer can list all of the work packets in realtime from multi work card (Include Modem, ISDN, ADSL) and can also support capturing packets based on the applications (SOCKET, TDI etc). You can observe all traffic of the application that you are interested in. Today, Sniffer bees a special name of work monitor and analyzer。 南京郵電大學(xué) 通達(dá)學(xué)院 畢 業(yè) 設(shè) 計(jì)（論 文） 題 目： Linux 系統(tǒng)下 Sniffer 的實(shí)現(xiàn) 專 業(yè)： 計(jì)算機(jī)科學(xué)與技術(shù) 學(xué)生姓名： 班級(jí)學(xué)號(hào)： 04003040 指導(dǎo)教師： 指導(dǎo)單位： 中磊（蘇州）研發(fā)中心 計(jì)算機(jī)學(xué)院軟件工程系 日期： 2021 年 03 月 17 日 至 2021 年 06 月 20 日 摘 要 Sniffer 是一種強(qiáng)大的網(wǎng)絡(luò)分析工具，它集成了很多可以有力解決網(wǎng)絡(luò)問題的功 能。同時(shí)，本文還簡(jiǎn)略介紹 TCP/IP 協(xié)議棧和 Sniffer 實(shí)現(xiàn)過程的關(guān)系，詳盡分析了 TCP/IP 中各個(gè)層次 。 ISS ( Int erS ecurityS ystem)為 Sniffer這樣定義 :Sniffer是利用計(jì) 算機(jī)的網(wǎng)絡(luò)接口截獲目的地為其他計(jì)算機(jī)的數(shù)據(jù)報(bào)文的一種工具。 Sniffer 的應(yīng)用 在內(nèi)部網(wǎng)上，黑客要想迅速獲得大量的賬號(hào)（包括用戶名和密碼），最為有效的手段是使用 sniffer 程序。通過修改網(wǎng)卡存在一種特殊的工作模式，在這種工作模式下，網(wǎng)卡不對(duì)目的地址進(jìn)行判斷，而直接將它收到的所有報(bào)文都傳遞給操作系 統(tǒng)進(jìn)行處理。基于入侵者可利用的資源，一個(gè)Sniffer可能截獲網(wǎng)絡(luò)上所有的信息。 目前 Sniffer工具的應(yīng)用一般分為以下幾個(gè)方面： 1. 分布式 Sniffer系統(tǒng) (Sniffer Distributed): 分布式的 Sniffer系統(tǒng) 適用于管理大型企業(yè)網(wǎng)絡(luò)或遠(yuǎn)距離的由多個(gè)網(wǎng)絡(luò)段組成的網(wǎng)絡(luò)。交換機(jī) (switch)采用交換方式來傳輸數(shù)據(jù)，這樣一臺(tái)機(jī)器就無法得到與他無關(guān)的網(wǎng) 絡(luò)數(shù)據(jù)了。 6. Sniffer無線解決方案 (Sniffer Wireless網(wǎng)絡(luò)分析器 ): Sniffer無線 解決方案高效率設(shè)計(jì)構(gòu)建起一個(gè)精密而安全的無線 LAN基礎(chǔ)架構(gòu)。很難想象如此多的人開發(fā)的代碼可以很好的融入系統(tǒng)中；并且在系統(tǒng)中加入一個(gè)新的協(xié) 議解析器很簡(jiǎn)單，一個(gè)不了解系統(tǒng) 的結(jié)構(gòu)的新手也可以根據(jù)留出的接口進(jìn)行自己的協(xié)議開發(fā)。因此系統(tǒng)中存在網(wǎng)絡(luò)分析工具主要 不是對(duì)本機(jī)安全的威脅，而是對(duì)網(wǎng)絡(luò)上的其他計(jì)算機(jī)的安全存在威脅。 為什么要實(shí)現(xiàn)此系統(tǒng)？ 在 linux 平臺(tái)下， tcpdump 作為一種很常用的 Sniffer 工具，功能很強(qiáng)大，但是有一個(gè)比較大的缺點(diǎn)，就是界 面不夠友好，不太方面用戶操作，尤其是對(duì)計(jì)算機(jī)知識(shí)不太熟悉的普通用戶。通常說 TCP/IP 是 Inter 協(xié)議族，而不單單是 TCP 和 IP. inter 實(shí)現(xiàn)互聯(lián)的關(guān)鍵是 TCP/IP 協(xié)議。在接收模塊中，將網(wǎng)絡(luò)層設(shè)置成 promiscuous 模式， Promiscuous 模式是指網(wǎng)絡(luò)上的所有設(shè)備都對(duì)總線上傳送的數(shù)據(jù)進(jìn)行偵聽，并不僅僅是它們自己的數(shù)據(jù)。 通過文件的組織層次結(jié)構(gòu)，還可以推斷出來，隨意的加入或者減少某個(gè)協(xié)議的解析是很簡(jiǎn)單的。這里我們做一個(gè)規(guī)定： Package 的從 0開始編號(hào)的，這一點(diǎn)和 C 語言中的數(shù)組一樣。 Tab[4] = 70 動(dòng)作二：算出各個(gè) package 在 里的絕對(duì)偏移量和 size 大 小 已知 Tab[0]=0,Tab[1]=40,Tab[2]=50, Tab[3]=60,Tab[4]=70 執(zhí)行： for (i=0。 i=TAB_SIZE2。 FILE *pack = fopen(PACK_FILE, r) 。 exit(1) 。 初始狀態(tài)下，假設(shè)系統(tǒng)已經(jīng)加載了編號(hào)為 0到 99 的數(shù)據(jù)包，如圖 所示： 圖 加載前緩沖區(qū)內(nèi)容 在某一時(shí)刻，假設(shè)用戶想查看編號(hào)為 100 的數(shù)據(jù)包，則需要重新加載，重新加載后 的數(shù)據(jù)包如圖 所示： 圖 加載后緩沖區(qū)內(nèi)容 使用此種 Buffer 思想，用戶操作的方便性即體現(xiàn)在這個(gè)方面，在對(duì)某條報(bào)文進(jìn)行研究時(shí)，會(huì)經(jīng)常查看它的臨近報(bào)文，使用此種機(jī)制，那么便不會(huì)不斷的對(duì)要查看的臨近報(bào)文進(jìn)行加載，減少了讀取硬盤的次數(shù)。 在“ simple”模式下，當(dāng)前控制臺(tái)最多可以顯示 20 個(gè) Package，主要是由函數(shù)List20Packages 函數(shù)實(shí)現(xiàn)的。 。這里 htons 函數(shù)用于短整數(shù)的字節(jié)順序轉(zhuǎn)換。 strcpy(, dev)。 //在標(biāo)志中加入 “ 混雜 ” 方式 i=ioctl(fd,SIOCSIFFLAGS,amp。 int fl。 IP 報(bào)頭首部提取 根據(jù) h_proto 的值，可以確定幀數(shù)據(jù)將交由上層何種協(xié)議處理，常見的 h_proto 值與協(xié)議的對(duì)應(yīng)關(guān)系有： 0x0800： IP協(xié)議； 南京郵電大學(xué)通達(dá)學(xué)院 2021屆本科生畢業(yè)設(shè)計(jì) (論文 ) 21 0x0806： ARP 協(xié)議； 0x8035： RARP 協(xié)議。 // ETH_HLEN為幀長(zhǎng) fl1=read(fd, (struct erhhdr *)ep, sizeof(ep))。在系統(tǒng)正常工作時(shí)，一個(gè)合法的網(wǎng)絡(luò)接口只響應(yīng)兩種數(shù)據(jù)幀：幀的目標(biāo) MAC地址與本地網(wǎng)卡地址相符；幀的目標(biāo)地址是廣播地址，除此之外數(shù)據(jù)幀將被丟棄。 return FALSE 。 } |= IFF_PROMISC 。正由于它能被動(dòng) 獲取網(wǎng)絡(luò)傳輸?shù)拿魑男畔?，因此，一旦被黑客利用，給網(wǎng)絡(luò)帶來的危害也是巨大的。這樣即使攻擊者能得到數(shù)據(jù)流，也不能得到具體信息了。這就意味著，將網(wǎng)絡(luò)分段工作進(jìn)行得越細(xì)，嗅探器能夠收集的信息就 越少。 Sniffer可以在網(wǎng)絡(luò)管理中實(shí)現(xiàn)的主要的功能 : ① 實(shí)時(shí)網(wǎng)絡(luò)包捕獲 :Sniffer能夠以線速率實(shí)時(shí)捕獲用戶定義的網(wǎng)絡(luò)數(shù)據(jù)包 截獲通信的內(nèi)容。 由于現(xiàn)有網(wǎng)絡(luò)管理工具的存在，許多人認(rèn)為沒有自己再開發(fā)網(wǎng)絡(luò)管理軟件的 必要了。 ShuSniffer是我們 自主開發(fā)的具有獨(dú)立版權(quán)的軟件產(chǎn)品。任何一個(gè)網(wǎng)段都可能運(yùn)行多種網(wǎng)絡(luò)協(xié)