【導(dǎo)讀】Sniffer是一種強(qiáng)大的網(wǎng)絡(luò)分析工具，它集成了很多可以有力解決網(wǎng)絡(luò)問(wèn)題的功能。持基于某些應(yīng)用的數(shù)據(jù)包捕捉。通過(guò)它，你可以獲得你所感興趣的某個(gè)應(yīng)用的所有網(wǎng)絡(luò)。ISS把它這樣定義：Sniffer是一種利用自身網(wǎng)絡(luò)接口來(lái)對(duì)目的地是其它。獲得相關(guān)數(shù)據(jù)包，并且詳細(xì)介紹了Linux環(huán)境下Sniffer的實(shí)現(xiàn)過(guò)程。通過(guò)閱讀本論文，同時(shí)，本文還簡(jiǎn)略介紹TCP/IP協(xié)議棧和Sniffer實(shí)現(xiàn)過(guò)程的關(guān)系，詳盡分。析了TCP/IP中各個(gè)層次。

　　

【正文】 據(jù) h_proto 的值，可以確定幀數(shù)據(jù)將交由上層何種協(xié)議處理，常見(jiàn)的 h_proto 值與協(xié)議的對(duì)應(yīng)關(guān)系有： 0x0800： IP協(xié)議； 南京郵電大學(xué)通達(dá)學(xué)院 2021屆本科生畢業(yè)設(shè)計(jì) (論文 ) 21 0x0806： ARP 協(xié)議； 0x8035： RARP 協(xié)議。 因此，一旦捕獲的幀中 h_proto 的取值為 0x800，將類型為 iphdr 的結(jié)構(gòu)指針指向幀頭后面負(fù)載數(shù)據(jù)的起始位置，則 IP 信包首部的數(shù)據(jù)結(jié)構(gòu)將一覽無(wú)余。以下程序段表明這一定位過(guò)程： char ep[ETH_FRAME_LEN]。 struct ethhdr * eh。 struct iphdr *ip。 int fl。 eh=(struct ethhdr *)ep。 // eh 指向幀頭 ip=(struct iphdr *)((unsigned long)ep + ETH_HLEN)。 // ETH_HLEN為幀長(zhǎng) fl1=read(fd, (struct erhhdr *)ep, sizeof(ep))。 //fl1為捕獲的數(shù)據(jù)幀長(zhǎng) printf(saddr:％ x =daddr:％ x\n,ipsaddr, ipdaddr)。 //取源和目標(biāo) IP 地址 TCP 報(bào)文段首部提取 在 IP 協(xié)議首部中包含協(xié)議數(shù)據(jù)單元類型標(biāo)識(shí)域： _u8 protocol；這一標(biāo)識(shí)域的常見(jiàn)取值及其協(xié)議對(duì)應(yīng)關(guān)系如下： 1： ICMP； 6： TCP； 17： UDP。 因此，如果 IP 報(bào)頭的協(xié)議域取值為 6，那么緊跟在 IP 報(bào)頭之后就是 TCP 報(bào)頭。 IP 報(bào)頭的長(zhǎng)度可以通過(guò) ihl 域取得。這樣，假如緩沖數(shù)組 ep 存放捕獲到的以太網(wǎng)數(shù)據(jù)幀， iph 是指向其中 IP 基本報(bào)頭結(jié)構(gòu)的指針，而 tcph 是指向 TCP 報(bào)頭結(jié)構(gòu)的指針，那么，定位tcph=(struct tcphdr *)(((unsignedlong)ep)+ETH_HLEN+ iphihl*4)， TCP 報(bào)頭的結(jié)構(gòu)信息就存放在 *tcph 中，并可通過(guò)以下語(yǔ)句獲取相關(guān)信息： fl2=read(fd, (struct ethhdr *)ep, sizeof(ep))。 // fl2 為捕獲的數(shù)據(jù)幀幀長(zhǎng) printf(source=%x,dest=%x\n,tcphsource,tcphdest)。 //取源端口和目的 端口號(hào) 怎樣把網(wǎng)卡置為“混雜模式”？ 在以太網(wǎng)中，通過(guò)廣播實(shí)現(xiàn)數(shù)據(jù)傳輸，在同一子網(wǎng)段的所有網(wǎng)卡都可“聽(tīng)”到網(wǎng)絡(luò)總線上傳輸?shù)乃袛?shù)據(jù)，但不是所有數(shù)據(jù)都能被接收到。在系統(tǒng)正常工作時(shí)，一個(gè)合法的網(wǎng)絡(luò)接口只響應(yīng)兩種數(shù)據(jù)幀：幀的目標(biāo) MAC地址與本地網(wǎng)卡地址相符；幀的目標(biāo)地址是廣播地址，除此之外數(shù)據(jù)幀將被丟棄。 由于網(wǎng)卡有 4 種工作模式：廣播 (能夠接收網(wǎng)絡(luò)中的廣播信息 )、組播 (能接收組播數(shù)據(jù) )、直接 (只有目的網(wǎng)卡才能接收該數(shù)據(jù) )和混雜 (能夠接收一切數(shù)據(jù) )模式，所以為了能夠捕獲以南京郵電大學(xué)通達(dá)學(xué)院 2021屆本科生畢業(yè)設(shè)計(jì) (論文 ) 22 太網(wǎng)所有數(shù)據(jù)包，通常需要將網(wǎng)卡設(shè)置 成混雜工作模式。當(dāng)主機(jī)連接在共享型以太網(wǎng)集線器上時(shí)，采用“混雜”方式可以捕獲到同一沖突域上傳輸?shù)臄?shù)據(jù)幀；但當(dāng)主機(jī)連接在交換機(jī)上時(shí)，由于交換機(jī)通常不會(huì)將數(shù)據(jù)幀廣播到所有端口上 (除非在其 MAC 地址 —— 端口映射表內(nèi)找不到相應(yīng)表項(xiàng) )，因而不能利用以太網(wǎng)絡(luò)的廣播特性進(jìn)行捕獲。這時(shí)，可以利用交換機(jī)的端口鏡像功能實(shí)現(xiàn)網(wǎng)絡(luò)數(shù)據(jù)包捕獲。因?yàn)楫?dāng)端口 A 和端口 B 之間建立鏡像關(guān)系后，流經(jīng)端口 A 的所有信息流量將同時(shí)通過(guò)端口 B 輸出，所以可以在端口 B 捕獲到端口 A的數(shù)據(jù)。 所以，要想運(yùn)行 Sniffer工具，執(zhí)行“偵聽(tīng)”功能，就必 須使得網(wǎng)卡處于“混雜模式”，把網(wǎng)卡置為“混雜模式”的代碼如下： BOOL SetPromis() { int fd 。 fd = socket(AF_INET, SOCK_PACKET, htons(0x0003) ) 。 if ( fd == 1 ) { printf(Can Not Establish A Socket To Control The Card...\n\n) 。 return FALSE 。 } struct ifreq ifr 。 strcpy(, eth0) 。 int i = ioctl(fd, SIOCGIFFLAGS, amp。ifr) 。 if ( i 0 ) { close(fd) 。 printf(Can Not Get Flags Of The Net Card...\n\n) 。 return FALSE 。 } |= IFF_PROMISC 。 i = ioctl(fd, SIOCSIFFLAGS, amp。ifr) 。 if ( i 0 ) { printf(Can Not Set The Net Card Promiscuous...\n\n) 。 return FALSE 。 南京郵電大學(xué)通達(dá)學(xué)院 2021屆本科生畢業(yè)設(shè)計(jì) (論文 ) 23 } printf(Set The Card To Be Promiscuous..............OK\n\n) 。 return TRUE 。 } Sniffer 攻擊的防范 Sniffer軟件可以進(jìn)行網(wǎng)絡(luò)流量監(jiān)控、拓?fù)浒l(fā)現(xiàn)、入侵檢測(cè)，給網(wǎng)絡(luò)管理帶來(lái) 了極大的便利。正由于它能被動(dòng) 獲取網(wǎng)絡(luò)傳輸?shù)拿魑男畔?，因此，一旦被黑客利用，給網(wǎng)絡(luò)帶來(lái)的危害也是巨大的。 作為一種入侵手段，嗅探器令人防不勝防，因?yàn)樗粍?dòng)接受而不主動(dòng)獲得。 它不會(huì)向網(wǎng)絡(luò)上發(fā)出任何包，網(wǎng)絡(luò)用戶很難發(fā)現(xiàn)它的存在。到目前為止還沒(méi)有一種比較好的防范手段。 防范 Sniffer攻擊，只能依靠用戶和網(wǎng)絡(luò)軟件設(shè)計(jì)者的安全意識(shí)。我們知 道， FTP, Tel等軟件都是進(jìn)行明文傳輸，因此，對(duì)攻擊者來(lái)說(shuō)，他們傳輸?shù)?信息就等于完全暴露出來(lái)。因此，必須對(duì)傳輸?shù)臄?shù)據(jù)進(jìn)行加密，這也是反嗅探器的唯一途徑。 在 Linux系統(tǒng)中，我們主張用 SSH和 openSSH來(lái)對(duì)傳輸數(shù)據(jù)進(jìn)行加密。這樣即使攻擊者能得到數(shù)據(jù)流，也不能得到具體信息了。 另一種防范嗅探攻擊的方式就是檢查網(wǎng)絡(luò)中有無(wú)網(wǎng)絡(luò)接口處于混亂模式。在 Linux環(huán)境下可以用 ifconfig來(lái)檢鋇」本地機(jī)器是否處于混亂模式， ifconfig是 Linux自帶的工具。對(duì)于子網(wǎng)中網(wǎng)絡(luò)接口的檢測(cè)，可以使用 NEPED工具。然而該 工具是利用 Linux的 ARP實(shí)現(xiàn)中的缺陷來(lái)檢測(cè)這些接口口它發(fā)送一個(gè) ARP請(qǐng)求， 一次來(lái)引起嗅探工作站的響應(yīng)。然而它本身就是一個(gè)缺陷，因?yàn)樗抢昧?Linux的其它缺陷來(lái)實(shí)現(xiàn)的。隨著 Linux系統(tǒng)的越來(lái) 越完善，如果 ARP實(shí)現(xiàn)得到修補(bǔ)， 嗅探工作站不再響應(yīng) ARP請(qǐng)求。 另外，安全的拓?fù)浣Y(jié)構(gòu)也是必要的，因?yàn)樾崽狡髦荒茉诋?dāng)前網(wǎng)絡(luò)段上進(jìn)行 數(shù)據(jù)捕獲。這就意味著，將網(wǎng)絡(luò)分段工作進(jìn)行得越細(xì)，嗅探器能夠收集的信息就 越少。 以上討論了目前對(duì)嗅探攻擊防范的困難，對(duì)此本人作出下列兩點(diǎn)設(shè)想 : ? 因?yàn)橐蕴W(wǎng)在局域網(wǎng)中進(jìn)行傳輸是使用廣播方式，如果不采用這種方 式，直接使用地址解析 ((ARP)影射物理地址，嗅探器就無(wú)法接收數(shù)據(jù)了?；蛘?進(jìn)行雙向驗(yàn)證，即主機(jī)對(duì)數(shù)據(jù)需要檢查，數(shù)據(jù)對(duì)主機(jī)也需檢查。 ? 由于進(jìn)行原始數(shù)據(jù)接收時(shí)需要將網(wǎng)卡設(shè)置為混亂模式 ，但如果網(wǎng)卡不 提供這種模式，嗅探器也無(wú)法工作了。另外，前面提供的兩種檢測(cè)網(wǎng)卡是否處于混亂模式的方式都有缺陷，希望以后能研究出沒(méi)有缺陷的檢測(cè)網(wǎng)卡狀態(tài)的方式。 南京郵電大學(xué)通達(dá)學(xué)院 2021屆本科生畢業(yè)設(shè)計(jì) (論文 ) 24 Sniffer 引入網(wǎng)絡(luò)管理中的可行性 Sniffer作為能夠捕獲網(wǎng)絡(luò)報(bào)文的設(shè)備，通常用來(lái)在網(wǎng)絡(luò)上截取閱讀位于 OS工協(xié)議模型中各個(gè)協(xié)議層次上的數(shù)據(jù)包。 Sniffer可以攔截所有的正在網(wǎng)絡(luò)上 傳送的數(shù)據(jù)，通過(guò)相應(yīng)的軟件分析處理，對(duì)網(wǎng)絡(luò)實(shí)時(shí)信息和歷史信息進(jìn)行監(jiān)控和統(tǒng)計(jì)分析，進(jìn)而分析子網(wǎng)的網(wǎng)絡(luò)狀態(tài)和網(wǎng)絡(luò)整體布局。為網(wǎng)絡(luò)性能的分析、網(wǎng)絡(luò)故障的判斷、信息流量 的審計(jì)、配置管理得調(diào)整、網(wǎng)絡(luò)安全的檢測(cè)提供強(qiáng)有力的使用工具，對(duì)網(wǎng)絡(luò)管理提供信息依據(jù)。 Sniffer可以在網(wǎng)絡(luò)管理中實(shí)現(xiàn)的主要的功能 : ① 實(shí)時(shí)網(wǎng)絡(luò)包捕獲 :Sniffer能夠以線速率實(shí)時(shí)捕獲用戶定義的網(wǎng)絡(luò)數(shù)據(jù)包 截獲通信的內(nèi)容。對(duì)網(wǎng)絡(luò)上主機(jī)間的通信，通過(guò)設(shè)置過(guò)濾條件，給出一個(gè)詳細(xì)的逐包的統(tǒng)計(jì)信息。 ② 網(wǎng)絡(luò)實(shí)時(shí)監(jiān)控 :Sniffer以表格、圖形等形式，實(shí)時(shí)顯示出網(wǎng)絡(luò)運(yùn)行情況 ，如協(xié)議分布、流量分布、帶寬利用率、錯(cuò)誤率等。 ③ 對(duì)協(xié)議進(jìn)行解析 :有些只能分析一種協(xié)議，而另一些能夠分析幾百 種協(xié)議。 ④ 統(tǒng)計(jì)歷史數(shù)據(jù)和發(fā)出警報(bào) :Sniffer可提供幾十種長(zhǎng)期數(shù)據(jù)報(bào)告，以便將 來(lái)的歷史查詢和分析，并可根據(jù)預(yù)先設(shè)定的閥值發(fā)出事件警報(bào)。 ⑤ 報(bào)文發(fā)送 :通過(guò)設(shè)置目的地址，發(fā)送次數(shù)，發(fā)送延遲和報(bào)文大小，形成 報(bào)文并發(fā)送，可以實(shí)現(xiàn)網(wǎng)絡(luò)流量模擬。 Sniffer 技術(shù)在網(wǎng)絡(luò)管理中開(kāi)發(fā)的可行性與必要性 根據(jù)以上各章節(jié)的論述，我們大致了解了網(wǎng)絡(luò)管理技術(shù)和 Sniffer技術(shù)的 基本概念，在Sniffer本身所具有的抓取網(wǎng)絡(luò)數(shù)據(jù)報(bào)的特性的基礎(chǔ)之上，首先產(chǎn) 生了一些簡(jiǎn)單的 Sniffer的工具，其后 Sniffer技術(shù)融合其他方面的技術(shù)，包括 :人工智能、數(shù)據(jù)庫(kù)、分 布式等技術(shù)，在網(wǎng)絡(luò)管理領(lǐng)域得到了極大的發(fā)展，在不同網(wǎng)絡(luò)類型、不同操作系統(tǒng)中都得到了或多或少的應(yīng)用，形成了各種專用的或通用的 Sniffer產(chǎn)品，從簡(jiǎn)單捕獲 400字節(jié)數(shù)據(jù)包的 Sniffit工具到集成的功能強(qiáng)到 的具有 Sniffer網(wǎng)絡(luò)管理性質(zhì)的 TVN商業(yè)軟件。從研究和實(shí)際應(yīng)用上說(shuō)明Sniffer技術(shù)在網(wǎng)絡(luò)管理中是一種行之有效的技術(shù)。 由于現(xiàn)有網(wǎng)絡(luò)管理工具的存在，許多人認(rèn)為沒(méi)有自己再開(kāi)發(fā)網(wǎng)絡(luò)管理軟件的 必要了。事實(shí)上，這種觀念是不正確的。因?yàn)?:盡管現(xiàn)有的網(wǎng)絡(luò)管理工具提供了 強(qiáng)大的網(wǎng)絡(luò)管理功能，但它不可能包羅 萬(wàn)象，適合于任何情況。也基于這個(gè)原因，很多的網(wǎng)絡(luò)管理平臺(tái)提供了 API，可以使第三方或客戶進(jìn)行二次開(kāi)發(fā)。這雖然使 得網(wǎng)絡(luò)管理工具的開(kāi)發(fā)容易了許多，但前提是要掌握網(wǎng)絡(luò)管理的深厚的專業(yè)知識(shí)。功能強(qiáng)大的網(wǎng)絡(luò)管理工具其使用相應(yīng)也較為復(fù)雜，而客戶使用可能只關(guān)心自己想要實(shí)現(xiàn)的功能，而不迷失于相對(duì)無(wú)必要的復(fù)雜的功能環(huán)境中，同時(shí)希望減少管理負(fù)擔(dān)，減少培訓(xùn)、操作和維護(hù)的費(fèi)用。另外優(yōu)秀的網(wǎng)絡(luò)管理工具的價(jià)格也是很昂貴的，微小型企業(yè)可能無(wú)法承受。 ⑥ 因此 Sniffer技術(shù)在網(wǎng)絡(luò)管理中的開(kāi)發(fā)應(yīng)用有著很大的必要性。 ShuSniffer是我們 自主開(kāi)發(fā)的具有獨(dú)立版權(quán)的軟件產(chǎn)品。它是針對(duì)廣播信道網(wǎng)絡(luò)環(huán)境下的企事業(yè)單位局域網(wǎng)南京郵電大學(xué)通達(dá)學(xué)院 2021屆本科生畢業(yè)設(shè)計(jì) (論文 ) 25 而專業(yè)設(shè)計(jì)的一套小巧、可靠、操作簡(jiǎn)便的計(jì)算機(jī)網(wǎng)絡(luò)診聽(tīng)分析軟件。它主要依靠信息在局域網(wǎng)中傳播的廣播方式，捕獲信道上的報(bào)文，進(jìn)行一系列特定分析，提取出實(shí)用數(shù)據(jù)提供給用戶作為參考。并且把數(shù)據(jù)存入數(shù)據(jù)庫(kù)，提供歷史查詢。它可以模擬網(wǎng)絡(luò)報(bào)文傳輸，以及對(duì)截獲的報(bào)文進(jìn)行深層次的分析，了解報(bào)文的具體內(nèi)容。它實(shí)現(xiàn)的主要功能包括 :網(wǎng)絡(luò)實(shí)時(shí)監(jiān)視、報(bào)文捕獲與分析、 報(bào)文發(fā)送、歷史查詢、系統(tǒng)配置，為網(wǎng)絡(luò)健康性能狀態(tài)的分析、調(diào)整提供強(qiáng)有力的實(shí)用工具，成為計(jì)算機(jī)網(wǎng) 絡(luò)管理體系中的重要組成部分。 Sniffer 對(duì)多協(xié)議的捕捉和分析的不足 當(dāng)前 Sniffer技術(shù)的應(yīng)用還十分簡(jiǎn)單，對(duì)復(fù)雜多協(xié)議的捕獲和分析也有很大 的缺陷。從推廣 Sniffer技術(shù)的企業(yè)來(lái)看， Sniffer因要十分具體的應(yīng)用于某個(gè) 領(lǐng)域，因此只能做到對(duì)某個(gè)特定協(xié)議集做到精確專業(yè)的分析口 而今天的網(wǎng)絡(luò)通常由多個(gè)網(wǎng)段經(jīng)過(guò)路由器、網(wǎng)橋、交換機(jī)和 WAN鏈路組成 。任何一個(gè)網(wǎng)段都可能運(yùn)行多種網(wǎng)絡(luò)協(xié)議。例如， TCP/IP協(xié)議與局域傳輸協(xié)議 (如 Novell的 IPX)一起用于連接企業(yè)范圍網(wǎng)絡(luò)的協(xié)議。對(duì)于某些商業(yè)站點(diǎn)，可能同 時(shí)需要運(yùn)行多種協(xié)議簇 — NetBEUI, IPX/SPX, TCP/IP, SNA等，每個(gè) 協(xié)議簇中又包括多種具體應(yīng)用協(xié)議。這時(shí)很難找到一種 Sniffer幫助解決網(wǎng)絡(luò)問(wèn) 題，因?yàn)樵S多 Sniffer往往將某些正確的協(xié)議數(shù)據(jù)包當(dāng)成了錯(cuò)誤數(shù)據(jù)包，然而我 們要想解決復(fù)雜的網(wǎng)絡(luò)問(wèn)題，通常需要詳細(xì)地解析各協(xié)議數(shù)據(jù)包內(nèi)容。 在實(shí)際應(yīng)用中，現(xiàn)有的 Sniffer軟件管理工具通常只能對(duì)單個(gè)協(xié)議或少數(shù)的 協(xié)議進(jìn)行捕獲，例如 Sniffer工具軟件不能檢測(cè)諸如 HTTP和 FTP之類的應(yīng)用協(xié) 議。這在工 nterne七八ntra環(huán)境 中對(duì)網(wǎng)絡(luò)的有效管理是一個(gè)大缺陷。所以 Sniffer應(yīng)該有對(duì)多種協(xié)議的捕獲和分析能力，包含了目前最熱門的 W49W所使用的通訊協(xié)議 .提供廣泛且詳盡的協(xié)議解析，使Sniffer成為一個(gè)功能 齊全，完全透視網(wǎng)絡(luò)的強(qiáng)大網(wǎng)絡(luò)管理工具。 南京郵電大學(xué)通達(dá)學(xué)院 2021屆本科生畢業(yè)設(shè)計(jì) (論文 ) 26 結(jié)束語(yǔ) 通過(guò)本次近三個(gè)月的畢業(yè)設(shè)計(jì)，我學(xué)習(xí)了很多東西，尤其是關(guān)于網(wǎng)絡(luò)方面的，另外，自己的 C語(yǔ)言編程能力也有很大的提