Raw Socket（原始套接字）实现Sniffer（嗅探）

Raw Socket（原始套接字）实现Sniffer（嗅探）
一. 摘要
Raw Socket: 原始套接字
可以用它来发送和接收 IP 层以上的原始数据包, 如 ICMP, TCP, UDP...

int sockRaw = socket(AF_INET, SOCK_RAW, IPPROTO_RAW);

这样我们就创建了一个 Raw Socket

Sniffer: 嗅探器
关于嗅探器的原理我想大多数人可能都知道
1. 把网卡置于混杂模式;
2. 捕获数据包;
3. 分析数据包.

但具体的实现知道的人恐怕就不是那么多了. 好, 现在让我们用 Raw Socket 的做一个自已的 Sniffer.

二. 把网卡置于混杂模式
在正常的情况下，一个网络接口应该只响应两种数据帧:
一种是与自己硬件地址相匹配的数据帧
一种是发向所有机器的广播数据帧
如果要网卡接收所有通过它的数据, 而不管是不是发给它的, 那么必须把网卡置于混杂模式. 也就是说让它的思维混乱, 不按正常的方式工作. 用 Raw Socket 实现代码如下:

setsockopt(sock, IPPROTO_IP, IP_HDRINCL, (char*)&flag, sizeof(flag); //设置 IP 头操作选项
bind(sockRaw, (PSOCKADDR)&addrLocal, sizeof(addrLocal); //把 sockRaw 绑定到本地网卡上
ioctlsocket(sockRaw, SIO_RCVALL, &dwValue); //让 sockRaw 接受所有的数据

flag 标志是用来设置 IP 头操作的, 也就是说要亲自处理 IP 头: bool flag = ture;
addrLocal 为本地地址: SOCKADDR_IN addrLocal;
dwValue 为输入输出参数, 为 1 时执行, 0 时取消: DWORD dwValue = 1;
没想到这么简单吧?

三. 捕获数据包
你的 sockRaw 现在已经在工作了, 可以在局域网内其它的电脑上用 Sniffer 检测工具检测一下, 看你的网卡是否处于混杂模式(比如 DigitalBrain 的 ARPKiller).
不能让他白白的浪费资源啊, 抓包!

recv(sockRaw, RecvBuf, BUFFER_SIZE, 0); //接受任意数据包

#define BUFFER_SIZE 65535
char RecvBuf[BUFFER_SIZE];
越来越发现 Sniffer 原来如此的简单了, 这么一个函数就已经完成抓取数据包的任务了.

四. 分析数据包
这回抓来的包和平常用 Socket 接受的包可就不是一回事儿了, 里面包含 IP, TCP 等原始信息. 要分析它首先得知道这些结构.
数据包的总体结构:
----------------------------------------------
| ip header | tcp header(or x header) | data |
----------------------------------------------

IP header structure:
4 8 16 32 bit
|--------|--------|----------------|--------------------------------|
| Ver | IHL |Type of service | Total length |
|--------|--------|----------------|--------------------------------|
| Identification | Flags | Fragment offset |
|--------|--------|----------------|--------------------------------|
| Time to live | Protocol | Header checksum |
|--------|--------|----------------|--------------------------------|
| Source address |
|--------|--------|----------------|--------------------------------|
| Destination address |
|--------|--------|----------------|--------------------------------|
| Option + Padding |
|--------|--------|----------------|--------------------------------|
| Data |
|--------|--------|----------------|--------------------------------|

TCP header structure:
16 32 bit
|--------------------------------|--------------------------------|
| Source port | Destination port |
|--------------------------------|--------------------------------|
| Sequence number |
|--------------------------------|--------------------------------|
| Acknowledgement number |
|--------------------------------|--------------------------------|
| Offset | Resrvd |U|A|P|R|S|F| Window |
|--------------------------------|--------------------------------|
| Checksum | Urgent pointer |
|--------------------------------|--------------------------------|
| Option + Padding |
|--------------------------------|--------------------------------|
| Data |
|--------------------------------|--------------------------------|

五. 实现 Sniffer
OK!
现在都清楚了, 还等什么.
下面是我用 BCB6 写的一个 Simple Sniffer 的代码, 仅供参考.
（需要在工程文件里加入WS2_32.LIB这个文件）
//*************************************************************************//
//* CPP File: WMain.cpp
//* Simple Sniffer by shadowstar
//* http://shadowstar.126.com/
//*************************************************************************//
#include <vcl.h>
#pragma hdrstop

#include <winsock2.h>
#include <ws2tcpip.h>
#include <mstcpip.h>
#include <netmon.h>
#include "WMain.h"
//---------------------------------------------------------------------------
#pragma package(smart_init)
#pragma resource "*.dfm"
TMainForm *MainForm;
//---------------------------------------------------------------------------
__fastcall TMainForm::TMainForm(TComponent* Owner)
: TForm(Owner)
{
WSADATA WSAData;
BOOL flag = true;
int nTimeout = 1000;
char LocalName[16];
struct hostent *pHost;

//检查 Winsock 版本号
if (WSAStartup(MAKEWORD(2, 2), &WSAData) != 0)
throw Exception("WSAStartup error!");

//初始化 Raw Socket
if ((sock = socket(AF_INET, SOCK_RAW, IPPROTO_RAW)) == INVALID_SOCKET)
throw Exception("socket setup error!");

//设置IP头操作选项
if (setsockopt(sock, IPPROTO_IP, IP_HDRINCL, (char*)&flag, sizeof(flag)) == SOCKET_ERROR)
throw Exception("setsockopt IP_HDRINCL error!");

//获取本机名
if (gethostname((char*)LocalName, sizeof(LocalName)-1) == SOCKET_ERROR)
throw Exception("gethostname error!");

//获取本地 IP 地址
if ((pHost = gethostbyname((char*)LocalName)) == NULL)
throw Exception("gethostbyname error!");

addr_in.sin_addr = *(in_addr *)pHost->h_addr_list[0]; //IP
addr_in.sin_family = AF_INET;
addr_in.sin_port = htons(57274);

//把 sock 绑定到本地地址上
if (bind(sock, (PSOCKADDR)&addr_in, sizeof(addr_in)) == SOCKET_ERROR)
throw Exception("bind error!");

iSortDirection = 1;
}
//---------------------------------------------------------------------------
__fastcall TMainForm::~TMainForm()
{
WSACleanup();
}
//---------------------------------------------------------------------------

void __fastcall TMainForm::btnCtrlClick(TObject *Sender)
{
TListItem *Item;
DWORD dwValue;
int nIndex = 0;

if (btnCtrl->Caption == "&Start")
{
dwValue = 1;
//设置 SOCK_RAW 为SIO_RCVALL，以便接收所有的IP包
if (ioctlsocket(sock, SIO_RCVALL, &dwValue) != 0)
throw Exception("ioctlsocket SIO_RCVALL error!");
bStop = false;
btnCtrl->Caption = "&Stop";
lsvPacket->Items->Clear();
}
else
{
dwValue = 0;
bStop = true;
btnCtrl->Caption = "&Start";
//设置SOCK_RAW为SIO_RCVALL，停止接收
if (ioctlsocket(sock, SIO_RCVALL, &dwValue) != 0)
throw Exception("WSAIoctl SIO_RCVALL error!");
}

while (!bStop)
{
if (recv(sock, RecvBuf, BUFFER_SIZE, 0) > 0)
{
nIndex++;

ip = *(IP*)RecvBuf;
tcp = *(TCP*)(RecvBuf + (ip.HdrLen & IP_HDRLEN_MASK));

Item = lsvPacket->Items->Add();
Item->Caption = nIndex;
Item->SubItems->Add(GetProtocolTxt(ip.Protocol));
Item->SubItems->Add(inet_ntoa(*(in_addr*)&ip.SrcAddr));
Item->SubItems->Add(inet_ntoa(*(in_addr*)&ip.DstAddr));
Item->SubItems->Add(tcp.SrcPort);
Item->SubItems->Add(tcp.DstPort);
Item->SubItems->Add(ntohs(ip.TotalLen));
}
Application->ProcessMessages();
}
}
//---------------------------------------------------------------------------

AnsiString __fastcall TMainForm::GetProtocolTxt(int Protocol)
{
switch (Protocol)
{
case IPPROTO_ICMP : //1 /* control message protocol */
return PROTOCOL_STRING_ICMP_TXT;
case IPPROTO_TCP : //6 /* tcp */
return PROTOCOL_STRING_TCP_TXT;
case IPPROTO_UDP : //17 /* user datagram protocol */
return PROTOCOL_STRING_UDP_TXT;
default :
return PROTOCOL_STRING_UNKNOWN_TXT;
}
}
//---------------------------------------------------------------------------

//*************************************************************************//
//* Header File: WMain.h for WMain.cpp class TMainForm
//*************************************************************************//
//---------------------------------------------------------------------------

#ifndef WMainH
#define WMainH
//---------------------------------------------------------------------------
#define BUFFER_SIZE 65535

#include <Classes.hpp>
#include <Controls.hpp>
#include <StdCtrls.hpp>
#include <Forms.hpp>
#include <ComCtrls.hpp>
#include <ExtCtrls.hpp>
#include <winsock2.h>
#include "netmon.h"

//---------------------------------------------------------------------------
class TMainForm : public TForm
{
__published: // IDE-managed Components
TPanel *Panel1;
TButton *btnCtrl;
TListView *lsvPacket;
TLabel *Label1;
void __fastcall btnCtrlClick(TObject *Sender);
void __fastcall lsvPacketColumnClick(TObject *Sender,
TListColumn *Column);
void __fastcall lsvPacketCompare(TObject *Sender, TListItem *Item1,
TListItem *Item2, int Data, int &Compare);
void __fastcall Label1Click(TObject *Sender);
private: // User declarations
AnsiString __fastcall GetProtocolTxt(int Protocol);
public: // User declarations
SOCKET sock;
SOCKADDR_IN addr_in;
IP ip;
TCP tcp;
PSUHDR psdHeader;
char RecvBuf[BUFFER_SIZE];
bool bStop;

int iSortDirection;
int iColumnToSort;

__fastcall TMainForm(TComponent* Owner);
__fastcall ~TMainForm();
};
//---------------------------------------------------------------------------
extern PACKAGE TMainForm *MainForm;
//---------------------------------------------------------------------------
#endif

偷了个懒, IP, TCP 头及一些宏定义用了 netmon.h 的头, 这个文件在 BCB6 的 include 目录下可以找得到, 其中与本程序相关内容如下:

//*************************************************************************//
//* Header File: netmon.h
//*************************************************************************//
//
// IP Packet Structure
//
typedef struct _IP
{
union
{
BYTE Version;
BYTE HdrLen;
};
BYTE ServiceType;
WORD TotalLen;
WORD ID;
union
{
WORD Flags;
WORD FragOff;
};
BYTE TimeToLive;
BYTE Protocol;
WORD HdrChksum;
DWORD SrcAddr;
DWORD DstAddr;
BYTE Options[0];
} IP;

typedef IP * LPIP;
typedef IP UNALIGNED * ULPIP;

//
// TCP Packet Structure
//
typedef struct _TCP
{
WORD SrcPort;
WORD DstPort;
DWORD SeqNum;
DWORD AckNum;
BYTE DataOff;
BYTE Flags;
WORD Window;
WORD Chksum;
WORD UrgPtr;
} TCP;

typedef TCP *LPTCP;
typedef TCP UNALIGNED * ULPTCP;

// upper protocols
#define PROTOCOL_STRING_ICMP_TXT "ICMP"
#define PROTOCOL_STRING_TCP_TXT "TCP"
#define PROTOCOL_STRING_UDP_TXT "UDP"
#define PROTOCOL_STRING_SPX_TXT "SPX"
#define PROTOCOL_STRING_NCP_TXT "NCP"

#define PROTOCOL_STRING_UNKNOW_TXT "UNKNOW"

这个文件也有人声称没有.
//*************************************************************************//
//* Header File: mstcpip.h
//*************************************************************************//
// Copyright (c) Microsoft Corporation. All rights reserved.
#if _MSC_VER > 1000
#pragma once
#endif

/* Argument structure for SIO_KEEPALIVE_VALS */

struct tcp_keepalive {
u_long onoff;
u_long keepalivetime;
u_long keepaliveinterval;
};

// New WSAIoctl Options

#define SIO_RCVALL _WSAIOW(IOC_VENDOR,1)
#define SIO_RCVALL_MCAST _WSAIOW(IOC_VENDOR,2)
#define SIO_RCVALL_IGMPMCAST _WSAIOW(IOC_VENDOR,3)
#define SIO_KEEPALIVE_VALS _WSAIOW(IOC_VENDOR,4)
#define SIO_ABSORB_RTRALERT _WSAIOW(IOC_VENDOR,5)
#define SIO_UCAST_IF _WSAIOW(IOC_VENDOR,6)
#define SIO_LIMIT_BROADCASTS _WSAIOW(IOC_VENDOR,7)
#define SIO_INDEX_BIND _WSAIOW(IOC_VENDOR,8)
#define SIO_INDEX_MCASTIF _WSAIOW(IOC_VENDOR,9)
#define SIO_INDEX_ADD_MCAST _WSAIOW(IOC_VENDOR,10)
#define SIO_INDEX_DEL_MCAST _WSAIOW(IOC_VENDOR,11)

// Values for use with SIO_RCVALL* options
#define RCVALL_OFF 0
#define RCVALL_ON 1
#define RCVALL_SOCKETLEVELONLY 2

现在我们自已的 Sniffer 就做好了, Run, Start......哇, 这么多数据包, 都是从这一台机器上发出的, 它在干什么? 原来 Adminstrator 密码为空, 中了尼姆达病毒!

六. 小结
优点: 实现简单, 不需要做驱动程序就可实现抓包.
缺点: 数据包头不含帧信息, 不能接收到与 IP 同层的其它数据包, 如 ARP, RARP...
这里提供的程序仅仅是一个 Sniffer 的例子, 没有对数据包进行进一步的分析. 写此文的目的在于熟悉Raw Socket 编程方法, 了解 TCP/IP 协议结构原理以及各协议之间的关系.

查看全文
如若内容造成侵权/违法违规/事实不符，请联系编程学习网邮箱：809451989@qq.com进行投诉反馈，一经查实，立即删除！

Kali Linux 安全渗透教程
Kali Linux 安全渗透教程目录第1章 Linux安全渗透简介 1.1 什么是安全渗透 1.2 安全渗透所需工具 1.3 Kali Linux简介 1.4 安装Kali Linux 1.4.1 安装至硬盘 1.4.2 安装至USB驱动器 1.4.3 安装至VMware Workstation 1.4.4 安装WMware Tools 1.5 Kali更新与升级 1.6…...
2024/4/18 9:51:42
网络攻防第四周作业
教材内容学习网络嗅探与协议分析一、网络嗅探 1.网络嗅探概述网络嗅探利用计算机的网络接口截获目的地为其他计算机的数据报文，以监听数据流中所包含的用户账户密码或私密信息等。实现网络嗅探技术的工具称为网络嗅探器（Sniffer），嗅探器捕获的数据报文是经过封包处理之…...
2024/4/15 9:46:34
黑客教程——网络流量分析
一般而言，一个具体的IP对应一个具体的国家——城市——区域。有一款软件叫做LOIC，是“匿名者”黑客集团提供的DDOS攻击工具包。LOIC使用大量的UDP和TCP进行拒绝服务攻击。使用者相当于共享资源的联盟，可以使用他人的资源迅速瘫痪掉一个服务。如果自己的网络中有一个用户向…...
2024/4/18 13:41:53
用C++实现网络编程---抓取网络数据包的实现方法
一般都熟悉sniffer这个工具，它可以捕捉流经本地网卡的所有数据包。抓取网络数据包进行分析有很多用处，如分析网络是否有网络病毒等异常数据，通信协议的分析（数据链路层协议、IP、UDP、TCP、甚至各种应用层协议），敏感数据的捕捉等。下面我们就来看看在windows下如何实现数…...
2024/4/18 7:49:48
易语言网络验证防破解教程
百宝云网络验证系统是一款集合验证、防破解、自动售卡等众多优点于一身的网络验证系统，自其发布之日起就收到了各个语言作者的关注。但是部分作者在使用过程中遇到了不少问题，为此我们特意为易语言作者准备了详细的视频教程。一、一键安装即可使用二、为多个语言的作者提供…...
2024/4/13 5:36:03
六：入侵检测技术实战
入侵检测技术可实时监控网络传输，自动检测可疑行为，分析来自网络外部入侵信号和内部的非法活动，在系统受到危害前发出警告，对攻击做出实时的响应，并提供补救措施，最大程度地保障系统安全。 6.1　入侵检测概述所谓入侵检测是指试图监视和尽可能阻止有害信息的入侵，或其他…...
2024/4/13 5:36:18
[网络安全自学篇] 三十六.WinRAR漏洞复现（CVE-2018-20250）及恶意软件自启动劫持
这是作者的系列网络安全自学教程，主要是关于安全工具和实践操作的在线笔记，特分享出来与博友们学习，希望您们喜欢，一起进步。前文从产业界和学术界分别详细讲解恶意代码攻击溯源的相关知识。本文主要介绍WinRAR漏洞（CVE-2018-20250），并复现了该漏洞和讲解了恶意软件自启…...
2024/4/5 18:23:49
数据抓包分析基础
数据包分析基础数据包分析数据包嗅探或协议分析：指捕获和解析网络上在线传输数据的过程，为了能更好的了解网络上正在发生的事情。目的软件：Tcpdump、Omnipeek、Wireshark 监听网络线路集线器嗅探方式流经集线器的所有网络数据包都会被发送到每一个集线器连接的端口。交…...
2024/4/13 5:35:58
IDS***检测系统搭建（ linux ）
Snort 它是一个多平台的、实时流量分析的***检测系统。Snort是一个基于libpcap的数据包嗅探器并可以作为一个轻量级的网络***检测系统。snort有三种工作模式： 1、嗅探器嗅探器模式：是从网络上读取数据包并作为连续不断的流显示在终端上。 2、数据包记录器数据包记录器：是把数…...
2024/4/13 5:36:23
首届广西网络安全技术大赛初赛通关攻略
首届广西网络安全技术大赛初赛通关攻略前言第一次参加安全类比赛（好吧，其实我这种宅男参加的比赛都很少，很多种比赛都是第一次 - -），同组的组员建议我在比赛完写个通关攻略出来。听起来不错，写个通关攻略，顺便装装逼，真不错。初赛分为5类题目，分别是：密码学、安全杂…...
2024/4/5 18:23:46
ARP欺骗，DNS欺骗和图片嗅探——ettercap软件的使用
前言： ARP欺骗原理：在每台主机上都有ARP缓存表，缓存表中记录了IP地址与ARP地址对应的关系，而局域网数据传输依靠的是MAC地址(网络设置之间互相通信是用MAC地址而不是IP地址)，同理MAC地址在OSI模型中对应的是数据链路层的，其中ARP是IP转换为MAC的过程，所以ARP在也是在数据…...
2024/4/5 18:23:45
[网络安全自学篇] 六十.Cracer第八期——(2)五万字总结Linux基础知识和常用渗透命令
作为Web渗透的初学者，Linux基础知识和常用命令是我们的必备技能，本文详细讲解了Linux相关知识点及Web渗透免了高龄。如果想玩好Kali或渗透，你需要学好Linux及相关命令，以及端口扫描、漏洞利用、瑞士军刀等工具。安全领域通常分为网络安全（Web渗透）和系统安全（PWN逆向）两…...
2024/4/13 5:36:08
局域网查看工具LanSee使用教程【图文】
http://37rj.com/edu/25403局域网查看工具(LanSee)是一款对局域网上的各种信息进行查看的工具。LanSee采用多线程技术，可以快速搜索出局域网中的计算机(包括IP地址、MAC地址、计算机名称、工作组、用户名、操作系统)、共享资源、共享文件。集成了网络嗅探功能，可以捕获各种数…...
2024/4/15 15:17:05
毕业设计预备
笔者今年的毕业设计课题是：基于Linux的网络嗅探软件设计与实现。详细介绍：网络嗅探需要用到网络嗅探器，其最早是为网络管理人员配备的工具，有了嗅探器网络管理员可以随时掌握网络的实际情况，查找网络漏洞和检测网络性能，当网络性能急剧下降的时候，可以通过嗅探器统计…...
2024/4/17 5:01:04
10种防止网络攻击的方法
10种防止网络攻击的方法随着威胁形势的不断发展，建立全面的网络安全解决方案需要外围安全性和主动的网内防御。随着网络攻击的范围，规模和频率不断增加，网络卫生正变得越来越重要。与个人卫生相似，网络卫生是指旨在帮助维护系统整体健康小型实践和习惯。通过养成良好的网…...
2024/4/8 14:26:24
2017-2018-2 20179216 《网络攻防与实践》第四周总结
教材学习内容总结网络嗅探网络嗅探（sniff）是一种黑客常用的窃听技术，利用计算机的网络接口截获目的地为其他计算机的数据报文，以监听数据流中所包含的用户账户密码或私密通信等。实现网络嗅探的工具称为网络嗅探器（Sniffer），嗅探器捕获的数据报文是经过封包处理之后的…...
2024/4/13 5:36:13
全国计算机等级考试三级教程《网络技术》之第1~7章
《网络技术》作为等级考试科目之一，其内容涉及非常广泛。我们先来宏观认识一下它。本书分为网络规划与设计、局域网组网技术、计算机网络信息服务系统的建立及计算机网络安全与管理四个单元。在每个单元下都涉及了各自的内容。大致分为基础知识和实训任务两大块。网路规划与设…...
2024/4/13 5:36:18
第四周网络作业
20159319 《网络攻防实践》第四周学习教材第四章学习内容总结网络嗅探技术是一种窃听技术，与传统的电话窃听在电话线路上对特定号码的通话内容进行监听类似，网络嗅探利用计算机的网络接口截获目的地为其他计算机的数据报文，以监听数据流中所包含的用户账号或私密信息等。实…...
2024/4/13 5:35:53
[网络安全自学篇] 六十一.PE文件逆向之数字签名详细解析及Signcode、PEView、010Editor、Asn1View等工具用法（二）
本系列虽然叫“网络安全自学篇”，但由于系统安全、软件安全与网络安全息息相关，作者同样会分享一些系统安全案例及基础工具用法，也是记录自己的成长史，希望大家喜欢，一起进步。前文 “[网络安全自学篇] 五十七.PE文件逆向之什么是数字签名及Signtool签名工具详解（一）” …...
2024/4/5 18:23:38
[网络安全自学篇] 六十四.Windows漏洞利用之SMBv3服务远程代码执行漏洞（CVE-2020-0796）复现及详解
这是作者的网络安全自学教程系列，主要是关于安全工具和实践操作的在线笔记，特分享出来与博友们学习，希望您们喜欢，一起进步。前文分享了hack the box的OpenAdmin题目，结合Nmap、Gobuster、蚁剑等工具拿取管理员权限。本文将详细讲解SMBv3服务远程代码执行漏洞（CVE-2020-0…...
2024/4/5 18:23:37

Raw Socket（原始套接字）实现Sniffer（嗅探）

相关文章

最新文章