谈网络嗅探技术的实现

中国科技信息２００６年第１期 ＣＨＩＮＡ　ＳＣＩＥＮＣＥ　ＡＮＤ　ＴＥＣＨＮＯＬＯＧＹ　ＩＮＦＯＲＭＡＴＩＯＮ　Ｊａｎ．２００６
嗅探（Ｓｎｉｆｆｅｒ）技术就是从网络上截获传播的数据流，它是网络安全领域里一项非常重要的技术。

因为对于任何一个“Ｈａｃｋｅｒ”来说，他们可以用这种非常隐蔽的方式得到网络中传输的大量的敏感信息，如Ｔｅｌｎｅｔ，ｆｔｐ账号和密码等等明文传送的信息。

与主动扫描相比，这种嗅探的行为更加让管理员难以察觉，操作起来也不是很复杂！
而对于网络管理人员来说，也可以“以其人之道还至其人之身”，利用嗅探技术对网络活动进行监控，并及时发现各种攻击行为！使用嗅探技术截获的网络数据可以作为时下很流行的入侵检测系统的数据来源，按照通用入侵检测架构（ＣＩＤＦ）规则数据截获子系统位于入侵检测系统的最底层，其主要目的是从网络环境中获取事件，并向其他部分提供事件。

嗅探技术将是实现入侵检测的基础，否则，巧妇难为无米之炊，入侵检测就无从谈起。

在这篇文章里，我们主要探讨在Ｌｉｎｕｘ下如何利用Ｃ语言来实现一个嗅探程序！我们首先假设所有的主机在一个局域网内。

在看具体实现方法之前，让我们先了解以太的工作原理：
第一点：以太网采用载波侦听／冲突检测（ＣＳＭＡ／ＣＤ）技术
载波侦听是指在网络中的每个站点权利相同，在传输自己的数据之前，首先监听信道是否空闲，如果空闲，就传输自己的数据，如果信道被占用，就等待信道空闲。

而冲突检测则是为了防止发生两个站点同时监测到网络没有被使用时而产生冲突。

以太网正是采用了载波侦听／冲突检测技术，使用了广播机制，所以，所有与网络连接的工作站都可以看到网络上传递的数据。

第二点：网络一般分为共享网络和交换网络，通过ＨＵＢ连接起来的子网为共享式网络，通过这种网络传播的所有数据包发往每一个主机。

另一种是通过交换机连接的交换式网络。

一般在我们使用的局域网或校园中多为共享式网络，所以本文中暂不考虑交换式网络。

第三点：我们日常使用的以太网卡的都是采用４８位的ＭＡＣ地址，在一般情况下，网卡只接收——ＭＡＣ地址与自己相匹配的数据帧。

而网卡要完成收发数据包的工作，是有两种接收模式：
混杂模式：不管数据帧中的目的地址是否与自己的地址匹配，都接收下来
非混杂模式：只接收目的地址相匹配的数据帧，以及广播数据包（和组播数据包）
因此，我们只要把网卡设置为混杂模式就可以利用它监听网络上的流量。

于是，我们的设计思路就很清晰了：利用以太网的广播机制抓取网络数据——这种抓取技术是依赖网卡的。

而共享式网络上，网卡可以
谈网络嗅探技术的实现
李莹 张俊杰　河南交通职业技术学院计算机科学系 ４５００００
摘 要：嗅探（Ｓｎｉｆｆｅｒ）技术就是从网络上截获传播的数据流，它是网络安全领域里一项非常重要的技术。

对于黑客来说，嗅探技术比主动扫描更加让管理员难以察觉，操作起来也不是很复杂。

同样对于网络管理员来说，可以利用它对网络活动进行监控，并及时发现各种攻击行为。

使用嗅探技术截获的网络数据还可以作为时下很流行的入侵检测系统的数据来源。

本文从分析以太网的工作原理入手，提出利用以太网的广播机制依赖网卡的抓取网络数据方法。

并在Ｌｉｎｕｘ系统下利用常用的Ｃ语言来实现一个嗅探程序。

关键词：网络；数据截获；实现
通过广播监听到网络上的所有数据包，这就是嗅探技术也是网络数据采集的理论基础。

具体来说：在一般情况下，来源于应用程序的ＩＰ报文被封装成以太网帧，它是数据链路层的报文，包含有源地址、需要传送的信息和目的ＩＰ地址（通过ＡＲＰ协议进行映射为一个６字节的目的以太网址，经常叫做ＭＡＣ地址）！但在链路层中并不存在路线的概念，源主机发出的帧不会直接指向目的主机，而是基于广播方式传播，网络中的所有网卡都能看到它的传输。

每个网卡都会检查帧开始的６个字节（目的主机的ＭＡＣ地址），但是在非混杂模式下，只有和目的地址相符合的网卡，才接收这个帧，于是这个帧被网络驱动程序分解去掉报头等，还原成原来的ＩＰ报文，通过网络协议栈传送至接收的应用程序！
在ＬＩＮＵＸ内核版本中有一个名为ＰＦ＿ＰＡＣＫＥＴ的协议簇，它在理论上是数据链路层的，基于网卡驱动程序的。

在混杂模式下，可以直接从链路层（就是网线）获取数据帧。

建立这样的一个ｓｏｃｋｅｔ需要ｒｏｏｔ权限，编程时把ｕｉｄ设为０。

这样从ｐａｃｋｅｔｓｏｃｋｅｔ读到的数据就是链路层格式的数据，但经过处理（ｓｏｃｋｅｔ函数的第二个参量ＳＯＣＫ＿ＤＧＲＡＭ表示要去掉第二层的数据头，第三个参量ＥＴＨ＿Ｐ＿ＩＰ表示只接收ｉｐｖ４的数据包）后，缓冲区内的内容是个完整的ＩＰ包（未经任何其它处理）。

分析工作交由数据分析程序去做。

具体实现方法如下：
１、将网卡设置为混杂模式
可以采用了Ｌｉｎｕｘ内核中提供的ＰＦ＿ＰＡＣＫＥＴ类型的ｓｏｃｋｅｔ，用设备驱动程序中对设备的Ｉ／Ｏ通道进行管理的ｉｏｃｔｌ（　）函数设置：
首先使用ｒｏｏｔ权限打开一个ｐａｃｋｅｔｓｏｃｋｅｔ再执行
ｐａｃｋｅｔ＿ｓｏｃｋｅｔ　＝　ｓｏｃｋｅｔ（ＰＦ＿ＰＡＣＫＥＴ，ｉｎｔ　ｓｏｃｋｅｔ＿ｔｙｐｅ，　ｉｎｔ　ｐｒｏｔｏｃｏｌ）；　
在不同Ｌｉｎｕｘ版本可能会有不同的函数调用，但本质上都是打开一个ｓｏｃｋｅｔ或者通过ｏｐｅｎ打开一个设备）通过ｉｏｃｔｌ（　）或者ｓｅｔｓｏｃｋｏｐｔ（　）设置为混杂模式。

２、用ＰＦ＿ＰＡＣＫＥＴ协议簇抓包
＃ｉｎｃｌｕｄｅ　＜ｓｔｄｉｏ．ｈ＞＃ｉｎｃｌｕｄｅ　＜ｓｔｒｉｎｇ．ｈ＞＃ｉｎｃｌｕｄｅ　＜ｅｒｒｎｏ．ｈ＞
＃ｉｎｃｌｕｄｅ　＜ｕｎｉｓｔｄ．ｈ＞
＃ｉｎｃｌｕｄｅ　＜ｓｙｓ／ｓｏｃｋｅｔ．ｈ＞＃ｉｎｃｌｕｄｅ　＜ｓｙｓ／ｔｙｐｅｓ．ｈ＞＃ｉｎｃｌｕｄｅ　＜ｌｉｎｕｘ／ｉｎ．ｈ＞
＃ｉｎｃｌｕｄｅ　＜ｌｉｎｕｘ／ｉｆ＿ｅｔｈｅｒ．ｈ＞＃ｉｎｃｌｕｄｅ　＜ｎｅｔ／ｉｆ．ｈ＞＃ｉｎｃｌｕｄｅ　＜ｓｙｓ／ｉｏｃｔｌ．ｈ＞
ｉｎｔ　ｍａｉｎ（ｉｎｔ　ａｒｇｃ，　ｃｈａｒ　＊＊ａｒｇｖ）
｛ ｉｎｔ　ｓｏｃｋ，　ｎ； ｃｈａｒ　ｂｕｆｆｅｒ［２０４８］；ｕｎｓｉｇｎｅｄ　ｃｈａｒ　＊ｉｐｈｅａｄ，　＊ｅｔｈｈｅａｄ； ｓｔｒｕｃｔｉｆｒｅｑ　ｅｔｈｒｅｑ；
ｉｆ　（　（ｓｏｃｋ＝ｓｏｃｋｅｔ（ＰＦ＿ＰＡＣＫＥＴ，ＳＯＣＫ＿ＲＡＷ，　ｈｔｏｎｓ（ＥＴＨ＿Ｐ＿ＩＰ）））＜０）
｛ ｐｅｒｒｏｒ（＂ｓｏｃｋｅｔ＂）； ｅｘｉｔ（１）； ｝ ／＊　Ｓｅｔ　ｔｈｅ　ｎｅｔｗｏｒｋ　ｃａｒｄ　ｉｎ　ｐｒｏｍｉｓｃｕｏｓ　ｍｏｄｅ＊／
ｓｔｒｎｃｐｙ（ｅｔｈｒｅｑ．ｉｆｒ＿ｎａｍｅ，＂ｅｔｈ０＂，ＩＦＮＡＭＳＩＺ）；
ｉｆ　（ｉｏｃｔｌ（ｓｏｃｋ，ＳＩＯＣＧＩＦＦＬＡＧＳ，？ｒｅｑ）＝＝－１）
　｛ ｐｅｒｒｏｒ（＂ｉｏｃｔｌ＂）； ｃｌｏｓｅ（ｓｏｃｋ）；ｅｘｉｔ（１）； ｝
ｅｔｈｒｅｑ．ｉｆｒ＿ｆｌａｇｓ｜＝ＩＦＦ＿ＰＲＯＭＩＳＣ；
ｉｆ　（ｉｏｃｔｌ（ｓｏｃｋ，ＳＩＯＣＳＩＦＦＬＡＧＳ，？ｒｅｑ）＝＝－１）｛ ｐｅｒｒｏｒ（＂ｉｏｃｔｌ＂）； ｃｌｏｓｅ（ｓｏｃｋ）； ｅｘｉｔ（１）； ｝
　ｗｈｉｌｅ　（１）
｛ ｐｒｉｎｔｆ（＂－－－－－－－－－－＼ｎ＂）； ｎ　＝ｒｅｃｖｆｒｏｍ（ｓｏｃｋ，ｂｕｆｆｅｒ，２０４８，０，ＮＵＬＬ，ＮＵＬＬ）；ｐｒｉｎｔｆ（＂％ｄ　ｂｙｔｅｓ　ｒｅａｄ＼ｎ＂，ｎ）； ／＊　Ｃｈｅｃｋ　ｔｏｓｅｅ　ｉｆ　ｔｈｅ　ｐａｃｋｅｔ　ｃｏｎｔａｉｎｓ　ａｔ　ｌｅａｓｔ ＊ｃｏｍｐｌｅｔｅ　Ｅｔｈｅｒｎｅｔ　（１４），　ＩＰ　（２０）　ａｎｄ　ＴＣＰ／ＵＤＰ ＊　（８）　ｈｅａｄｅｒｓ． ＊／
　ｉｆ　（ｎ＜４２）　｛
ｐｅｒｒｏｒ（＂ｒｅｃｖｆｒｏｍ（）：＂）； ｐｒｉｎｔｆ（＂Ｉｎｃｏｍｐｌｅｔｅ　ｐａｃｋｅｔ　（ｅｒｒｎｏ　ｉｓ　％ｄ）＼ｎ＂，ｅｒｒｎｏ）；
ｃｌｏｓｅ（ｓｏｃｋ）； ｅｘｉｔ（０）； ｝ｅｔｈｈｅａｄ　＝　ｂｕｆｆｅｒ；
ｐｒｉｎｔｆ（＂Ｓｏｕｒｃｅ　ＭＡＣ　ａｄｄｒｅｓｓ：　＂＂％０２ｘ：％０２ｘ：％０２ｘ：％０２ｘ：％０２ｘ：％０２ｘ＼ｎ＂，
ｅｔｈｈｅａｄ［０］，ｅｔｈｈｅａｄ［１］，ｅｔｈｈｅａｄ［２］，ｅｔｈｈｅａｄ［３］，ｅｔｈｈｅａｄ［４］，ｅｔｈｈｅａｄ［５］）；
ｐｒｉｎｔｆ（＂Ｄｅｓｔｉｎａｔｉｏｎ　ＭＡＣ　ａｄｄｒｅｓｓ：　＂＂％０２ｘ：％０２ｘ：％０２ｘ：％０２ｘ：％０２ｘ：％０２ｘ＼ｎ＂，
ｅｔｈｈｅａｄ［６］，ｅｔｈｈｅａｄ［７］，ｅｔｈｈｅａｄ［８］，ｅｔｈｈｅａｄ［９］，ｅｔｈｈｅａｄ［１０］，ｅｔｈｈｅａｄ［１１］）；
ｉｐｈｅａｄ　＝　ｂｕｆｆｅｒ＋１４；　／＊　Ｓｋｉｐ　Ｅｔｈｅｒｎｅｔｈｅａｄｅｒ　＊／
ｉｆ　（＊ｉｐｈｅａｄ＝＝０ｘ４５）　｛　／＊　Ｄｏｕｂｌｅ　ｃｈｅｃｋｆｏｒ　ＩＰｖ４ ＊　ａｎｄ　ｎｏ　ｏｐｔｉｏｎｓ　ｐｒｅｓｅｎｔ　＊／ｐｒｉｎｔｆ（＂Ｓｏｕｒｃｅ　ｈｏｓｔ　％ｄ．％ｄ．％ｄ．％ｄ＼ｎ＂，
根据（４）式可得：
其中ｈ（ｚ）为整函数。

由（６），（７）式可：
注意到λ（ｆ）为有穷非整数，而λ（ｅ故：λ（ｆ）＜λ（ｅｈ） （８）用定理１的证明方法可得：
致谢：作者真诚感谢导师姚卫红老师给予的指导与帮助！。