通信网络实验——嗅探器的实现.docx

通信网络实验嗅探器的实现 一、 实验目的掌握基于Libpcap/Winpcap的协议分析器的设计方法二、原理介绍嗅探器程序一般包括内核部分和用户分析部分。1) 内核部分负责从网络中捕获和过滤数据。2) 用户分析部分负责界面、数据转化与处理、格式化、协议分析，如果在内核没有过滤数据包，在这里还要对数据进行过滤。一个较为完整的基于网络监听和过滤的程序一般包括以下步骤：1) 数据包捕获2) 数据包过滤与分解3) 数据分析数据包捕获常用的方法有两种：1) 通过设置硬路由器的监听端口；2) 利用以太网络的广播特性。这种方式必须将网卡设置为混杂（promiscuous）模式。监听程序工作在网络环境的底三层，可以拦截所有经过该机器的网络上传送的数据，然后将这些数据做相应处理，可以实时分析这些数据的内容，进而分析网络当前状态和整体布局。基于windows的数据包捕获方案有以下几种：1) 使用原始套接字（row socket）机制。方法简单，但功能有限，只能捕获较高层的数据包；2) 直接连接调用NDIS库函数，这种方法功能非常强大，但是比较危险，很可能导致系统崩溃和网络瘫痪；基于windows的数据包捕获方案有以下几种：1) 使用或者自行编写中间层驱动程序，这是微软公司推荐使用的一种方法，微软提供的win2000 DDK中也提供了几个这样的驱动程序。在具体的实现方式上可分为用户级和内核级两类。其中内核级主要是TDI捕获过滤驱动程序，NDIS中间层捕获过滤驱动程序，NDIS捕获过滤钩子驱动程序等，它们都是利用网络驱动来实现的；而用户级的包括SPI接口，Windows2000包捕获过滤接口等；2) 使用或自行编写协议驱动程序；3) 使用第三方捕获组件或者库，比如Winpcap。捕获数据包后要进行的工作是对其进行包过滤与分解，就是在海量的数据里面找我们感兴趣的内容。一些基础的过滤规则如下：1) 站过滤：专门筛选出来自一台主机或者服务器的数据；2) 协议过滤：根据不同的协议来筛选数据，例如：选择TCP数据而非UDP数据；3) 服务过滤：根据端口号来选择特定数据包；4) 通用过滤：通过数据包中某一特定位置开始，选择具有某些共同数据特征的数据包；过滤完成后，必须进行数据分析，这一部分就是对已经捕获的数据包进行各种分析，比如：网络流量分析、数据包中信息、分析敏感信息提取分析等，功能取决于系统要达到的目的。WinPcap是Windows平台下一个专业网络数据包捕获开发包，是为Libpcap在Windows平台下实现数据包的捕获而设计的。Libcap（Winpcap是其windows版本）可以提供与平台无关的接口，而且操作简单，它是基于改进的BPF（Berkeley Packet Filter），该软件来自Berkeley的Lawrence National Laboratory研究院。使用Winpcap包过程比较规范。基于Libcap/Winpcap库的基本使用流程比较规范，一般为：1) 使用pcap_lookupdev获取设备；2) 使用pcap_lookupnet获取网络地址和子网掩码；3) 使用pcap_open_live打开设备；4) 使用pcap_complile编译过滤规则；5) 使用pcap_setfilter设置过滤规则；6) 使用pcap_loop循环捕获数据包，在其中调用相应处理函数；7) 使用pcap_close关闭设备句柄。三、实验环境Windows 8.1，WinPcap4.1，VS2013四、实验思路1、以老师给出的参考代码为基础编写基于Winpcap的监听过程，为了过滤出登录FTP服务器的帐号和密码，将过滤规则设置为“port 21”，即只过滤出端口号为21的传输数据；2、在回调函数中对捕获到的数据包进行分析，打印出每条数据包的时间、源地址和目的地址，并找出关键字“USER”和“PASS”，过滤出FTP服务器的帐号和密码。五、实验步骤参考代码编写基于WinPcap的监听程序。参考给出的代码，实现一个监听程序能够自动过滤FTP的用户名和密码。1、 代码 #include pcap.h#include #define _CRT_SECURE_NO_WARNINGS#pragma comment(lib, ws2_32.lib)/WINSOCK API链接库文件#pragma comment(lib,wpcap.lib)/Winpcap开发端必需文件#pragma comment(lib,Packet.lib)u_char user20;/存放用户名u_char pass20;/存放密码/*TCP首部*/typedef struct tcp_headeru_short sport;/源程序的端口号u_short dport;/目的程序的端口号u_int seq;/序列号u_int ack_num;/确认号u_char ihl;/Internet头部长度(4bits)+4bits保留u_char frame;/2bits保留+URG+ACK+PSH+RST+SYN+FINu_short wsize;/窗口大小16bitsu_short crc;/Headerchecksum首部校验和(16bits)u_short urg;/urgentframe16bitstcp_header;/*IPv4地址*/typedef struct ip_addressu_char byte1;u_char byte2;u_char byte3;u_char byte4;ip_address;/*IPv4头部*/typedef struct ip_headeru_char ver_ihl;/Version(4bits)+Internetheaderlength(4bits)版本+首部长度u_char tos;/Typeofservice区分服务(8bits)u_short tlen;/Totallength总长度(16bits)u_short identification;/Identification标识(16bits)u_short flags_fo;/Flags(3bits)+Fragmentoffset(13bits)标志和片偏移u_char ttl;/Timetolive生存时间(8bits)u_char proto;/Protocol协议(8bits)u_short crc;/Headerchecksum首部校验和(16bits)ip_address saddr;/Sourceaddress(32bits)ip_address daddr;/Destinationaddress(32bits)u_int op_pad;/Option+Paddingip_header;/*prototypeofthepackethandler*/void packet_handler(u_char *param, const struct pcap_pkthdr *header, const u_char *pkt_data);/*主函数*/int main() pcap_if_t *alldevs, *d;int inum;int i = 0;/网络设备个数pcap_t *adhandle;/网卡描述符char errbufPCAP_ERRBUF_SIZE;unsigned int netmask;char packet_filter = port 21;/过滤规则struct bpf_program fcode;/*Retrievethedevicelist获取网络设备列表*/if (pcap_findalldevs(&alldevs, errbuf) = -1)fprintf(stderr, Errorinpcap_findalldevs:%sn, errbuf);exit(1);/*Printthelist*/for (d = alldevs; d; d = d-next)printf(%d. %s, +i, d-name);if (d-description)printf( (%s)n, d-description);elseprintf( (No description available)n);if (i = 0)/没有获取到网络设备时，显示提示printf(nNo interfaces found! Make sure WinPcap is installed.n);return -1;printf(Enter the interface number (1-%d):, i);scanf_s(%d, &inum);if (inumi)printf(nInterfacenumberoutofrange.n);pcap_freealldevs(alldevs);/*Freethedevicelist*/return -1;/*跳转到已选设备*/for (d = alldevs, i = 0; inext, i+);/*打开适配器*/if (adhandle = pcap_open_live(d-name,/设备名65536,/要捕捉的数据包的部分1,/promiscuousmode混杂模式1000,/读取超时时间,单位mserrbuf/errorbuffer) = NULL)fprintf(stderr, nUnable to open the adapter. %s is not supported by WinPcapn);pcap_freealldevs(alldevs);/*释放设备列表*/return -1;/*Checkthelinklayer.WesupportonlyEthernetforsimplicity.*/if (pcap_datalink(adhandle) != DLT_EN10MB)/返回链路层的类型，DLT_EN10MB是以太网fprintf(stderr, nThis program works only on Ethernet networks.n);pcap_freealldevs(alldevs);/*Freethedevicelist*/return -1;if (d-addresses != NULL)/*Retrievethemaskofthefirstaddressoftheinterface获取子网掩码*/netmask = (struct sockaddr_in *)(d-addresses-netmask)-sin_addr.S_un.S_addr;else/*IftheinterfaceiswithoutaddresseswesupposetobeinaCclassnetwork*/netmask = 0xffffff;/compilethefilter编译过滤规则,packet_filter-fcode(内核认识的格式)if (pcap_compile(adhandle, &fcode, packet_filter, 1, netmask) 0)fprintf(stderr, nUnable to compile the packet filter. Check the syntax.n);/*Freethedevicelist*/pcap_freealldevs(alldevs);return -1;/setthefilter所有的一致的数据包将被复制给应用程序if (pcap_setfilter(adhandle, &fcode)description);/*Atthispoint,wedontneedanymorethedevicelist.Freeit*/pcap_freealldevs(alldevs);pcap_loop(adhandle,30, packet_handler, NULL);/*startthecapture抓取30个包，回调函数packet_handler*/return 0;/*Callbackfunctioninvokedbylibpcapforeveryincomingpacket*/void packet_handler(u_char *param, const struct pcap_pkthdr *header, const u_char *pkt_data) struct tm ltime;char timestr16;ip_header *ih;/指向ip数据报tcp_header *th;/指向tcp报文u_char *pdata;/指向传输数据u_int ip_len;/IP数据报头部长度u_int tcp_len;/TCP报文头部长度u_short sport, dport;/源端口和目的端口地址u_int data_len;/数据长度u_int i;/*convertthetimestamptoreadableformat*/time_t local_tv_sec;local_tv_sec = header-ts.tv_sec;localtime_s(<ime, &local_tv_sec);strftime(timestr, sizeof timestr, %H:%M:%S, <ime);/*printtimestampandlengthofthepacket*/printf(%s.%.6d len:%d , timestr, header-ts.tv_usec, header-len);/*retirevethepositionoftheipheader*/ih = (ip_header *)(pkt_data + 14);/lengthofethernetheader/*retirevethepositionoftheudpheader*/ip_len = (ih-ver_ihl & 0xf) * 4;/ver_ihl是8bit，位与0xf，高4位清零，后4位是首部长度，单位：4字节th = (tcp_header *)(u_char*)ih + ip_len);/*convertfromnetworkbyteordertohostbyteorder*/sport = ntohs(th-sport);dport = ntohs(th-dport);/*printipaddressesandudpports*/printf(%d.%d.%d.%d.%d - %d.%d.%d.%d.%dn, ih-saddr.byte1, ih-saddr.byte2, ih-saddr.byte3, ih-saddr.byte4,/源ip地址sport,/源地址的端口ih-daddr.byte1, ih-daddr.byte2, ih-daddr.byte3, ih-daddr.byte4,/目的ip地址dport);/目的地址的端口tcp_le