作者:Gianluca Insolvibile
整理:Seal(永遠的FLASH)
出處:http://www.nsfocus.com
日期:2003-04-02
嗅探——Sniffer技術是網絡安全領域里一項非常重要的技術!對於“Hacker”來說,他們可以以非常隱蔽的方式得到網絡中傳輸的大量的敏感信息,如Telnet,ftp帳號和密碼等等明文傳送的信息!與主動掃描相比,嗅探的行為更加難以被察覺,操作起來也不是很復雜!對於網絡管理人員來說,可以利用嗅探技術對網絡活動進行監控,並及時發現各種攻擊行為!
在這篇文章里,我們主要探討在Linux下如何利用C語言來實現一個Sniffer!我們將假設所有的主機在一個局域網內。
首先,我們將簡短的回顧一下一個普通的以太網卡是怎么工作的!(如果你對這方面的知識早已熟悉,那么你可以直接跳到下一段)來源於應用程序的IP報文被封裝成以太網幀(這
是在以太網上傳播的數據報文的名稱),它是底層鏈路層報文上面的一層報文,包含有源地址
報文和一些需要用來傳送至目標主機的信息。通常情況下,目的IP地址對應着一個6字節的目的以太網址(經常叫做MAC地址),它們之間通過ARP協議進行映射!就這樣,包含着以太網幀的報文從源主機傳輸到目的主機,中間經過一些網絡設備,如交換機,路由器等等,當然,因為我們的前提是主機在同一網內,所以我們的討論不涉及以上這些網絡設備!
在鏈路層中並不存在路線的概念,換句話說,源主機發出的幀不會直接指向目的主機,
而是基於廣播方式傳播,網絡中的所有網卡都能看到它的傳輸。每個網卡會檢查幀開始的6個字節(目的主機的MAC地址),但是只有一個網卡會發現自己的地址和其相符合,然后它接收這個幀,這個幀會被網絡驅動程序分解,原來的IP報文將通過網絡協議棧傳送至接收的應用程序!
更准確的說,網絡驅動程序會檢查幀中報文頭部的協議標識,以確定接收數據的上層協
議!大多數情況下,上層是IP協議,所以接收機制將去掉IP報文頭部,然后把剩下的傳送
至UDP或者TCP接收機制!這些協議,將把報文送到socket-handling機制,它將最后把報
文數據變成應用程序可接收的方式發送出去。在這個過程中,報文將失去所有的和其有關的
網絡信息,比如源地址(IP和MAC),端口號,IP選擇,TCP參數等等!所以如果目的主機沒
有一個包含正確參數的打開端口,那么這個報文將被丟棄而且永遠不會被送到應用層去!
因此我們在進行網絡嗅探的時候有兩個不同的問題:一個和以太網址有關,我們不能抓
到不是發給自己主機的包,另一個和協議棧的運行過程有關,我們需要一個SOCKET去監聽每
個端口,得到那些沒有被丟棄的報文!
第一個問題不是最根本的,因為我們可能不會對發往其他主機的報文有興趣而只想嗅探
所有發往自己主機的報文。第二個問題是必須要解決的,下面我們將看到這個問題是怎么樣
一步一步解決的!
當你打開一個標准的SOCKET套接字時,你需要指明你將使用哪個協議簇,大多數情況下
我們一般用PF_UNIX在本地機器間進行通信,PF_INET在基於IPv4協議簇基礎之上進行通信,
你還需要指明所用的協議類型及與協議簇相關的確切數值,,在PF_INET協議簇中,常用的有
SOCK_STREAM(與TCP相關),SOCK_DGRAM(與UDP相關)。在把報文發送到應用程序前內核對
其的處理與SOCKET類型有關,你指定的協議將處理報文在SOCKET的傳輸!(具體細節問題你
可以man socket(3))
在LINUX內核版本中(2.0 releases),一個名為PF_PACKET的協議簇被加了進來!這個簇允許應用程序直接利用網絡驅動程序發送和接收報文,避免了原來的協議棧處理過程,在這種情況下,所有SOCKET發出的報文直接送到以太網卡接口,而接口收到的任何報文將直接送到應用程序
PF_PACKET協議簇支持兩個稍微有點不同的SOCKET類型,SOCK_DGRAM和SOCK_RAW。
前者讓內核處理添加或者去除以太網報文頭部工作,而后者則讓應用程序對以太網報文頭部
有完全的控制!
在SOCKET調用中的協議類型必須符合/usr/include/linux/if_ether.h
中定義的以太網IDs中的一個,除非遇到特別聲明的協議,一般你可以用ETH_P_IP來處理
IP的一組協議(TCP,UDP,ICMP,raw IP等等)因為它們容易受到一些很嚴重的安全問題的牽
連(比如你可以偽造一個MAC地址),所以只有具有root權限才可以使用PF_PACKET-family
socket.這也就是為什么只有具有root權限后才能運行嗅探器的原因!
PF_PACKET-family 協議簇可以很容易解決協議棧處理嗅探來的數據報文時候遇到的問
題!我們一起來看看程序1,我們打開一個屬於PF_PACKET-family 協議簇的SOCKET,指定
一個SOCK_RAW socket類型和IP相關協議類型。這時我們開始從SOCKET抓包,在一些相關
檢查后.我們開始得到從鏈路層和IP層抓來的頭部信息,。通過閱讀程序一,你將會發現讓應
用程序從網絡層抓包其實並不難!
Example 1.
#include <stdio.h>
#include <errno.h>
#include <unistd.h>
#include <sys/socket.h>
#include <sys/types.h>
#include <linux/in.h>
#include <linux/if_ether.h>
int main(int argc, char **argv) {
int sock, n;
char buffer[2048];
unsigned char *iphead, *ethhead;
if ( (sock=socket(PF_PACKET, SOCK_RAW,
htons(ETH_P_IP)))<0) {
perror("socket");
exit(1);
}
while (1) {
printf("----------\n");
n = recvfrom(sock,buffer,2048,0,NULL,NULL);
printf("%d bytes read\n",n);
/* Check to see if the packet contains at least
* complete Ethernet (14), IP (20) and TCP/UDP
* (8) headers.
*/
if (n<42) {
perror("recvfrom():");
printf("Incomplete packet (errno is %d)\n",
errno);
close(sock);
exit(0);
}
ethhead = buffer;
printf("Source MAC address: "
"%02x:%02x:%02x:%02x:%02x:%02x\n",
ethhead[0],ethhead[1],ethhead[2],
ethhead[3],ethhead[4],ethhead[5]);
printf("Destination MAC address: "
"%02x:%02x:%02x:%02x:%02x:%02x\n",
ethhead[6],ethhead[7],ethhead[8],
ethhead[9],ethhead[10],ethhead[11]);
iphead = buffer+14; /* Skip Ethernet header */
if (*iphead==0x45) { /* Double check for IPv4
* and no options present */
printf("Source host %d.%d.%d.%d\n",
iphead[12],iphead[13],
iphead[14],iphead[15]);
printf("Dest host %d.%d.%d.%d\n",
iphead[16],iphead[17],
iphead[18],iphead[19]);
printf("Source,Dest ports %d,%d\n",
(iphead[20]<<8)+iphead[21],
(iphead[22]<<8)+iphead[23]);
printf("Layer-4 protocol %d\n",iphead[9]);
}
}
}
PF_PACKET協議簇可以讓一個應用程序把數據包變成似乎從網絡層接收的樣子,但是
沒有辦法抓到那些不是發向自己主機的包。正如我們前面看到的,網卡丟棄所有不含有主機
MAC地址的數據包,這是因為網卡處於非混雜模式,即每個網卡只處理源地址是它自己的幀!
只有三個例外:如果一個幀的目的MAC地址是一個受限的廣播地址(255.255.255.255)那么
它將被所有的網卡接收:如果一個幀的目的地址是組播地址,那么它將被那些打開組播接收
功能的網卡所接收;網卡如被設置成混雜模式,那么它將接收所有流經它的數據包
最后一種情況當然是我們最感興趣的了,把網卡設置成混雜模式,我們只需要發出一個
特殊的ioctl()調用在那個網卡上打開一個socket,因為這是一個具有危險性的操作,所以這
個調用只有具有root權限的用戶才可完成,假設那個“sock”包含一個已經打開的socket,
下面的代碼將完成這個操作:
strncpy(ethreq.ifr_name,"eth0",IFNAMSIZ); ioctl(sock, SIOCGIFFLAGS, ðreq); ethreq.ifr_flags |= IFF_PROMISC; ioctl(sock, SIOCSIFFLAGS, ðreq);
下面我們來看一個完整的例子:
Example 2.
#include <stdio.h>
#include <string.h>
#include <errno.h>
#include <unistd.h>
#include <sys/socket.h>
#include <sys/types.h>
#include <linux/in.h>
#include <linux/if_ether.h>
#include <net/if.h>
#include <sys/ioctl.h>
int main(int argc, char **argv) {
int sock, n;
char buffer[2048];
unsigned char *iphead, *ethhead;
struct ifreq ethreq;
if ( (sock=socket(PF_PACKET, SOCK_RAW,
htons(ETH_P_IP)))<0) {
perror("socket");
exit(1);
}
/* Set the network card in promiscuos mode */
strncpy(ethreq.ifr_name,"eth0",IFNAMSIZ);
if (ioctl(sock,SIOCGIFFLAGS,?req)==-1) {
perror("ioctl");
close(sock);
exit(1);
}
ethreq.ifr_flags|=IFF_PROMISC;
if (ioctl(sock,SIOCSIFFLAGS,?req)==-1) {
perror("ioctl");
close(sock);
exit(1);
}
while (1) {
printf("----------\n");
n = recvfrom(sock,buffer,2048,0,NULL,NULL);
printf("%d bytes read\n",n);
/* Check to see if the packet contains at least
* complete Ethernet (14), IP (20) and TCP/UDP
* (8) headers.
*/
if (n<42) {
perror("recvfrom():");
printf("Incomplete packet (errno is %d)\n",
errno);
close(sock);
exit(0);
}
ethhead = buffer;
printf("Source MAC address: "
"%02x:%02x:%02x:%02x:%02x:%02x\n",
ethhead[0],ethhead[1],ethhead[2],
ethhead[3],ethhead[4],ethhead[5]);
printf("Destination MAC address: "
"%02x:%02x:%02x:%02x:%02x:%02x\n",
ethhead[6],ethhead[7],ethhead[8],
ethhead[9],ethhead[10],ethhead[11]);
iphead = buffer+14; /* Skip Ethernet header */
if (*iphead==0x45) { /* Double check for IPv4
* and no options present */
printf("Source host %d.%d.%d.%d\n",
iphead[12],iphead[13],
iphead[14],iphead[15]);
printf("Dest host %d.%d.%d.%d\n",
iphead[16],iphead[17],
iphead[18],iphead[19]);
printf("Source,Dest ports %d,%d\n",
(iphead[20]<<8)+iphead[21],
(iphead[22]<<8)+iphead[23]);
printf("Layer-4 protocol %d\n",iphead[9]);
}
}
}
如果我們在一個與局域網相連的主機上以root權限編譯和運行這個程序,你將會看到流
經的所有數據包,即使它不是發向自己主機的,這是因為你的網卡現在處於混雜模式,你可
以很容易的用ifconfig這個命令看到!
注意,如果你的局域網用的是交換機而不是集線器,那么你只能抓到在你主機所在的交
換分支中的數據包,這是由於交換的工作原理,在這種情況下,你沒有什么其他可做的了(除非你利用MAC地址欺騙來瞞過交換機,這個內容超出本文討論的范圍了),如果你想知道這方面更多的信息,你可以去www.google.com,那里你將會搜索到很多你需要的東西!
我們關於嗅探方面的問題似乎都解決了,但是還有一個問題值得我們去思考!如果我們
實驗Example2的時候正好遇到了網絡擁塞,我們將會看到我們的嗅探器將打出非常多的數據,隨着網絡擁塞的加劇,主機將不能順暢的執行這個程序,嗅探器這時會開始丟包!
解決這個問題的方法就是對你抓到的包進行過濾,使它只顯示那些你感興趣的那些部分!
在源代碼中多使用一些if語句,這將有益於去除那些不需要的信息,當然這樣也許效率不是
很高!內核仍然將處理所有的報文,這將浪費進程時間。
最好的解決辦法就是把過濾過程盡可能早的放報文進程鏈(packet-processing chain)
中(它開始於鏈路層,終止於應用層)LINUX的內核允許我們把一個名為LPF的過濾器直接放到PF_PACKET protocol-processing routines(在網卡接收中斷執行后立即執行)中,過濾器將決定哪些包被送到應用程序,哪些包被丟棄!
為了做到盡可能的靈活,這個過濾程序可以根據使用者的定義來運行!這個程序是由一種名為BPF的偽機器碼寫成的。BPF看上去很象帶着一對寄存器和保存值的匯編語言,完成數學運算和條件分支程序!過濾程序檢查每個包,BP進程操作的內存空間包含着報文數據!過濾的結果是一個整數,指出有多少字節的報文需要送到應用層。這是一個更進一步的優點,因為我們一般只對報文的前面幾個字節感興趣,這樣可以避免復制過量的數據以節省進程時間。
雖然BPF語言非常簡單易學,但是大多數人還是習慣於人類可以閱讀的表達方式!所以
為了不用BPF語言去描述那些細節和代碼,我們將下面開始討論如何得到一個過濾器的代碼!
首先,你需要安裝tcpdump,可以從LBL得到!但是,如果你正在讀本文,那似乎說明
你已經會使用tcpdump了!第一個版本的作者也是那些寫BPF的人,事實上,tcpdump要用
到BPF,它要用到一個叫libpcap的類庫,以此去抓包和過濾。這個類庫是一個與操作系統
無關的獨立的包,為BPF的實現提供支持,當在裝有LINUX的機器上使用時,BPF的功能就
由LINUX包過濾器實現了!
libpcap提供的一個最有用的函數是pcap_compile(), 它可以把一個輸入輸出的邏輯表
達式變為BPF代碼!tcpdump利用這個函數完成在用戶輸入的命令行和BPF代碼之間的轉換!
tcpdump有個我們很感興趣但是很少使用的參數 ,-d,可以輸出BPF代碼!
舉個例子,如果tcpdump host 192.168.9.10那么將啟動嗅探器並只抓到源地址或者目
的地址是192.168.9.10的報文!如果tcpdump -d host 192.168.9.10那么將顯示出BPF代
碼,見下面
Example 3.
Seal:~# tcpdump -d host 192.168.9.10 (000) ldh [12] (001) jeq #0x800 jt 2 jf 6 (002) ld [26] (003) jeq #0xc0a8090a jt 12 jf 4 (004) ld [30] (005) jeq #0xc0a8090a jt 12 jf 13 (006) jeq #0x806 jt 8 jf 7 (007) jeq #0x8035 jt 8 jf 13 (008) ld [28] (009) jeq #0xc0a8090a jt 12 jf 10 (010) ld [38] (011) jeq #0xc0a8090a jt 12 jf 13 (012) ret #68 (013) ret #0
我們簡單的分析一下這個代碼,0-1,6-7行在確定被抓到的幀是否在傳輸着IP,ARP或
者RARP協議,通過比較幀的第12格的值與協議的特征值(見/usr/include/linux/if_ether.h)!如果比較失敗,那么丟棄這個包!
2-5,8-11行是比較幀的源地址和目的地址是否與192.168.9.10相同!注意,不同的
協議,地址值在幀中的偏移位不同,如果是IP協議,它在26-30,如果是其他協議,它在
28-38如果有一個地址符合,那么幀的前68字節將被送到應用程序去(第12行)
這個過濾器也不是總是有效的,因為它產生於一般的使用BPF的機器,沒考慮到一些特
殊結構的機器!在一些特殊情況下,過濾器由PF_PACKET進程運行,也許已經檢查過以太協
議了!這個根據你在socket()調用初使化的時候指定的那些協議!如果不是ETH_P_ALL(抓
所有的報文),那么只有那些符合指定的協議類型的報文會流過過濾器!舉個例子,如果是
ETH_P_IP socket,我們可以重寫一個更快且代碼更緊湊的過濾器,代碼如下
(000) ld [26] (001) jeq #0xc0a8090a jt 4 jf 2 (002) ld [30] (003) jeq #0xc0a8090a jt 4 jf 5 (004) ret #68(005) ret #0
安裝LPF是一個一往直前的操作,所有你需要做的就是建立一個sock_filter並為
它綁定一個打開的端口!一個過濾器很容易得到,只要把tcpdump -d中的-d換成-dd就可以了!過濾器將顯示出一段C代碼,你可以把它復制到自己的程序中,見Example 4,這樣你就可以通過調用setsockopt()來過濾端口!
Example 4.
Seal:~# tcpdump -dd host 192.168.9.01
{ 0x28, 0, 0, 0x0000000c },
{ 0x15, 0, 4, 0x00000800 },
{ 0x20, 0, 0, 0x0000001a },
{ 0x15, 8, 0, 0xc0a80901 },
{ 0x20, 0, 0, 0x0000001e },
{ 0x15, 6, 7, 0xc0a80901 },
{ 0x15, 1, 0, 0x00000806 },
{ 0x15, 0, 5, 0x00008035 },
{ 0x20, 0, 0, 0x0000001c },
{ 0x15, 2, 0, 0xc0a80901 },
{ 0x20, 0, 0, 0x00000026 },
{ 0x15, 0, 1, 0xc0a80901 },
{ 0x6, 0, 0, 0x00000044 },
{ 0x6, 0, 0, 0x00000000
A Complete Example
我們將用一個完整的程序Example 5來結束這篇文章
Example 5
#include <stdio.h>
#include <string.h>
#include <errno.h>
#include <unistd.h>
#include <sys/socket.h>
#include <sys/types.h>
#include <linux/in.h>
#include <linux/if_ether.h>
#include <net/if.h>
#include <linux/filter.h>
#include <sys/ioctl.h>
int main(int argc, char **argv) {
int sock, n;
char buffer[2048];
unsigned char *iphead, *ethhead;
struct ifreq ethreq;
/*
udp and host 192.168.9.10 and src port 5000
(000) ldh [12]
(001) jeq #0x800 jt 2 jf 14
(002) ldb [23]
(003) jeq #0x11 jt 4 jf 14
(004) ld [26]
(005) jeq #0xc0a8090a jt 8 jf 6
(006) ld [30]
(007) jeq #0xc0a8090a jt 8 jf 14
(008) ldh [20]
(009) jset #0x1fff jt 14 jf 10
(010) ldxb 4*([14]&0xf)
(011) ldh [x + 14]
(012) jeq #0x1388 jt 13 jf 14
(013) ret #68
(014) ret #0
*/
struct sock_filter BPF_code[]= {
{ 0x28, 0, 0, 0x0000000c },
{ 0x15, 0, 12, 0x00000800 },
{ 0x30, 0, 0, 0x00000017 },
{ 0x15, 0, 10, 0x00000011 },
{ 0x20, 0, 0, 0x0000001a },
{ 0x15, 2, 0, 0xc0a8090a },
{ 0x20, 0, 0, 0x0000001e },
{ 0x15, 0, 6, 0xc0a8090a },
{ 0x28, 0, 0, 0x00000014 },
{ 0x45, 4, 0, 0x00001fff },
{ 0xb1, 0, 0, 0x0000000e },
{ 0x48, 0, 0, 0x0000000e },
{ 0x15, 0, 1, 0x00001388 },
{ 0x6, 0, 0, 0x00000044 },
{ 0x6, 0, 0, 0x00000000 }
};
struct sock_fprog Filter;
Filter.len = 15;
Filter.filter = BPF_code;
if ( (sock=socket(PF_PACKET, SOCK_RAW,
htons(ETH_P_IP)))<0) {
perror("socket");
exit(1);
}
/* Set the network card in promiscuos mode */
strncpy(ethreq.ifr_name,"eth0",IFNAMSIZ);
if (ioctl(sock,SIOCGIFFLAGS,?req)==-1) {
perror("ioctl");
close(sock);
exit(1);
}
ethreq.ifr_flags|=IFF_PROMISC;
if (ioctl(sock,SIOCSIFFLAGS,?req)==-1) {
perror("ioctl");
close(sock);
exit(1);
}
/* Attach the filter to the socket */
if(setsockopt(sock, SOL_SOCKET, SO_ATTACH_FILTER,
&Filter, sizeof(Filter))<0){
perror("setsockopt");
close(sock);
exit(1);
}
while (1) {
printf("----------\n");
n = recvfrom(sock,buffer,2048,0,NULL,NULL);
printf("%d bytes read\n",n);
/* Check to see if the packet contains at least
* complete Ethernet (14), IP (20) and TCP/UDP
* (8) headers.
*/
if (n<42) {
perror("recvfrom():");
printf("Incomplete packet (errno is %d)\n",
errno);
close(sock);
exit(0);
}
ethhead = buffer;
printf("Source MAC address: "
"%02x:%02x:%02x:%02x:%02x:%02x\n",
ethhead[0],ethhead[1],ethhead[2],
ethhead[3],ethhead[4],ethhead[5]);
printf("Destination MAC address: "
"%02x:%02x:%02x:%02x:%02x:%02x\n",
ethhead[6],ethhead[7],ethhead[8],
ethhead[9],ethhead[10],ethhead[11]);
iphead = buffer+14; /* Skip Ethernet header */
if (*iphead==0x45) { /* Double check for IPv4
* and no options present */
printf("Source host %d.%d.%d.%d\n",
iphead[12],iphead[13],
iphead[14],iphead[15]);
printf("Dest host %d.%d.%d.%d\n",
iphead[16],iphead[17],
iphead[18],iphead[19]);
printf("Source,Dest ports %d,%d\n",
(iphead[20]<<8)+iphead[21],
(iphead[22]<<8)+iphead[23]);
printf("Layer-4 protocol %d\n",iphead[9]);
}
}
}
這個程序和開始的前兩個程序很類似,只是增加了LSP代碼和setsockopt()調用,這個
過濾器被用來嗅探UDP報文(源地址或者目的地址為192.168.9.10且源地址的端口為5000)
為了測試這個程序,你需要一個簡單的方法去生成不斷的UDP報文(如發送或者接受IP),而且你可以把程序修改為你指定的機器的IP地址,你只需要把代碼中的0xc0a8090a替換成你要的IP地址的16進制形式!
最后想說的就是關閉程序后如果我們沒有重新設置網卡,那么它還是處於混雜模式!你
可以加一個Control-C信號句柄來使網卡在程序關閉前恢復以前的默認配置。
進行網絡嗅探對於診斷網絡運行錯誤或者進行流量分析都是非常重要的!有些時候常用
的工具如tcpdump或者Ethereal不能非常符合我們的需要的時候,我們可以自己寫一個嗅探
器!為此我們應該感謝LPF,它使我們做到這點變的很容易!