嗅探器這個代碼我去年的時候就已經寫過了,這個學期並不是非常忙,順手復習網絡,就又嘗試着寫了一遍。
其實在寫嗅探器的時候,最主要的還是要將網卡設置為混雜模式。在此基礎之上,對抓到的數據包進行分析。
這個是我寫出來的效果圖,目前只是方便於查看,連菜單都沒添加:
左面的界面顯示的是主機和主機之間的鏈接信息,而右面則是選中主機信息之間的數據交互情況。
我覺得我這個嗅探器應該是個失敗品,或者說,沒能夠真正的將網卡設置為混雜模式。因為可以看到,上面的源地址全部都是本地主機地址,我在下載視頻文件的時候,每秒幾百kb的數據交互我的這個程序基本沒響應。網頁信息也都是發送的數據請求,根本抓不到接收數據。對於這一點希望高手能幫我指點一下。
使用原始套接字寫嗅探器的流程:
1 使用socket創建基於IP協議的原始套接字。
2 獲取本地IP地址。
3 將原始套接字綁定到本地IP地址上。
4 使用ioctlsocket函數設置套接字選項SIO_RCVALL,即接受所有數據。
5 無盡調用recv函數。
為了方便界面化我將Sniffer的核心代碼封裝到了一個類中,原本應該做成單件類的,但是懶得改了。
1 class CSniffer 2 { 3 public: 4 static DWORD WINAPI SnifferThread(LPVOID lpData);//線程函數
5 public: 6 CSniffer(HostArray * pOutPut);//構造函數,數據輸出指針
7 ~CSniffer(void);//析構函數,負責終止線程
8 DWORD IsSucceed();//判斷構造函數是否成功,我代碼中沒用上,就是單純的返回dwSucceed
9 private://Method
10 int IPHeadAnylasis(const char * pRecvBuf, const int nLen);//將IP數據存放到對應數據結構中。
11 unsigned short q_ntohs(const unsigned short nVal);//之前的遺留代碼,沒用上
12 const char * TypeTell(unsigned char type);//同上
13 unsigned short CheckSum(const void * pData, int size);//校驗和函數,可以用一下,但是我沒檢驗
14 void AddToInfoVector(PPortArray pInfoVector, ip_hdr * pIp, int nLen);//添加新的端口信息
15 private://Data
16 PHostArray pSnifferPool;//指向輸出數據,全部的信息都存在其指向
17 HANDLE hThread;//線程句柄
18 DWORD dwSucceed;//標示參數
19 };
然后值得看一看的就是線程函數代碼了,其余的沒有太多需要介紹的,這段代碼其實就是從之前的控制台程序扒下來的,現在單獨放到一個函數中。
1 DWORD WINAPI CSniffer::SnifferThread(LPVOID lpData) 2 { 3 CSniffer * pSniffer = (CSniffer *)lpData; 4
5 SOCKET hSnifferSock = socket(AF_INET, SOCK_RAW, IPPROTO_IP); 6 DWORD dwSetVal = 1; 7 char szhostname[32]; 8 char RecvBuff[65536]; 9 hostent * phost; 10 SOCKADDR_IN LocalIP; 11 //先進行綁定,綁定前先獲取本地地址
12 LocalIP.sin_family = AF_INET; 13 LocalIP.sin_port = htons(0); 14 gethostname(szhostname, 32); 15 phost = gethostbyname(szhostname); 16 memcpy(&LocalIP.sin_addr.S_un.S_addr, phost->h_addr_list[0], phost->h_length); 17 //cout << "LocalIP" << inet_ntoa(LocalIP.sin_addr) << endl;
18 if(SOCKET_ERROR == bind(hSnifferSock, (sockaddr *)&LocalIP, sizeof(sockaddr))) 19 { 20 ;//cout << "bind error" << endl;
21 } 22 //設置套接字選項
23 ioctlsocket(hSnifferSock, SIO_RCVALL, &dwSetVal); 24 //cout << q_ntohs(0x3100) << endl; 25 //std::vector<ConnectBetweenTwoHost> SnifferPool;
26
27 while(1) 28 { 29 int nRecvLen = recv(hSnifferSock, RecvBuff, 65536, 0); 30 if(nRecvLen != SOCKET_ERROR) 31 { 32 //cout << "Get Message" << endl;
33 pSniffer->IPHeadAnylasis(RecvBuff, 65536); 34 } 35 else
36 { 37 continue;//cout << "Nothing Valid" << endl;
38 } 39 } 40
41 return 0; 42 }
感覺這一套下來卻是是沒什么東西,不過我也是在程序跑出來之后,才觀察到我的這個程序在數據抓包上面真心做的不怎么樣。chrome瀏覽器的數據請求能抓到,但是反饋回來的數據就完全抓不到了。
列表數據原本應該做個排序的,整個散列也不錯,這樣當數據量比較大的時候插入效率能高一點。而我這個就呵呵了。。。
值得一提的就是我這次兩個列表全部使用的虛擬列表。使用之前還查看了我以前代碼中關於ListCtrl的使用文檔,這算是沒白寫。不過這里要補充的就是,使用虛擬列表前,需要設置ownerdata選項,也即是用戶擁有數據,列表僅僅負責數據的顯示,而不是把所有的數據都放到列表中。
對虛擬列表進行顯示刷新的方法比較簡單,只要調用SetItemCountEx就能實現刷新過程。
另外我昨天在網上下載了一個嗅探器,這叫一個慘啊,各種彈網頁,估計現在電腦是出於中木馬狀態。后來程序好不容易跑起來了,結果和我這個差不多,就是能判斷出來網頁請求信息資源的類型,僅僅是比我分析的深入了一點,至於數據接收,也是沒找到。如果您知道哪有比較好的嗅探器,麻煩給發個鏈接,我學習下。
另外關於網卡混雜模式設置貌似需要借助winpcap.dll的幫助,有沒有大神比較了解,給個學習鏈接往我看一下。