数据包的捕获与分析课件

网络安全编程技术第3讲:数据包的捕获与分析任德斌本讲编程训练目标编程实现一个协议分析暴。该协议分析暴犄包含以下几部分功能:1.数据乐集——捕捉Ethernet网絡数据包;2.解析Ethernet网数据帧头部的全部信息;3.解析IP数据包的头部信息;解析TCP和UDP包的头部信息主要内容用原始Socke抓包■进行协议分析使用开发工具包WinPcap抓包1.用原始Socket抓包流程创建原始Socket获取一个需要监听网络接口的i地址,并绑定(必须要显示绑定)3.设置网卡为混杂模式4.开始循环接收数据5.关闭Socket关键代码1:创建原始SocketSnifferSocket=socket(AF_INET,SOCK_RAWIPPROTOIPif(Result=SOCKET_ERROR)printf(socketfailedwitherror%d\nWSAGetlastError;return0原始socket的特点应用程序可以收到目标是其它主机的包应用程序会收到i包■如果设置IPHDRINCL选项,可以手动设置发送的jp包的头部不能拦截数据,因为系统采用的是拷贝的方式由于安全原因,在xpsp2,windows7中原始socket的使用有限制不能发送tcp包不能使用伪造的原j地址关键代码2:绑定到一个本地IP地址Result=gethostname(Name255);想想看这里端口号有没有意义,这个pOrtent=(structhostent*malloc(值合不合适hostent))pHostentgethostbyname(Name);SOCKADDR_INsoCk;sock.sin_family=AF_INsock.sin_port=tons(5555定是第一个接口吗memcpy(&sock.sin_addr.s_unpHostent->haddrlist[o1pOst>hlength)Resultbind(SnifferSocket,(PSOCKADDR)&sock,sizeof(sock))7获取本地接口的更好方法SOCKADDRINput:remoter[="8888";/以是任意地址shortremoteport=80buf1024]putsin_familyAF_INETinput.sin_addr.s_addrinet_addr(remoteip)input.sin_port=tons(remoteport)ResultWSAIoctl(SnifferSocketSIOROUTING_INTERFACE_QUERY,&inputsizeof(input),buf,1024,&dwBytesRetNULL,NULlSOCKADDR_IN*pIf=(SoCKADDR_IN*)buf;sock.sin_addr=lpIf->sin_addr8关键代码3:设置为混杂模式u_longInOutParam=1;Result=ioctlsocket(SnifferSocket,SIO_RCVALL,&inOutParam):参数rInoutParam表示命令SIORCVALL的输入参数WSAIoCtl是相应的Winows扩展函数,更复杂,更强大。以太网卡的工作模式网卡的MAC地址(48位)通过ARP来解析MAC与IP地址的转换用ipconfig/config可以查看MAC地址■正常情况下,网卡应该只接收这样的包MAC地址与自己相匹配的数据帧广播包网卡完成收发数据包的工作,两种接收模式混杂模式:不管