一个简易网络嗅探器的实现

一个简易网络嗅探器的实现

摘要：本文介绍一个用C语言和网络数据包分析开发工具实现的简易网络Sniffer。

关键词：网络；数据包；Sniffer

1引言

目前，已经有不少的Sniff工具软件，如Windows环境下，最富盛名的工具是Netxray和Snifferpro，用它们在Windows环境下抓包来分析，非常方便。在UNIX环境下如Sniffit，Snoop，Tcpdump，Dsniff等都是比较常见的。这里介绍一个用C语言和网络数据包和分析开发工具libpcap及winpcap实现的简易网络Sniffer。

2网络嗅探器程序实现

在c环境下编程，源码

/*June2nd，2002

*ProjectforgraduationqualificationByBbyTeam19*/

#include

#include

//必须加路径，必须把头文件包含进去

#include"..“..“Include“"

#include"..“..“Include“"

#defineMax_Num_Adapter10

//Prototypes原形

//发包

voidPrintPackets(LPPACKETlpPacket);

//设备列表

charAdapterList[Max_Num_Adapter][1024];

//主程序开始

intmain()

{

//defineapointertoanADAPTERstructure设备指针

LPADAPTERlpAdapter=0;

//defineapointertoaPACKETstructure包指针

LPPACKETlpPacket;

inti;

DWORDdwErrorCode;

DWORDdwVersion;

DWORDdwWindowsMajorVersion;

//Unicodestrings(WinNT)

WCHARAdapterName[8192];//网络适配器设备列表

WCHAR*temp,*temp1;

//ASCIIstrings(Win9x)

charAdapterNamea[8192];//网络适配器设备列表

char*tempa,*temp1a;

intAdapterNum=0,Open;

ULONGAdapterLength;

charbuffer[256000];//容纳来自驱动器的数据的缓冲区

structbpf_statstat;

//获得本机网卡名

AdapterLength=4096;

printf("testapplication.Libraryversion:%s“n",PacketGetVersion());

printf("Adaptersinstalled:“n");

i=0;

下面这段代码是用来在不同版本下得到网络适配器名：

Win9x和WinNT中的网卡名称是分别用ASCII和UNICODE实现的，所以首先要得到本地操作系统的版本号.：

dwVersion=GetVersion();

dwWindowsMajorVersion=(DWORD)(LOBYTE(LOWORD(dwVersion)));

这里首先用到的函数是PacketGetAdapterNames，它在到来的包上设置了一个硬件过滤器，如操作成功，返回TRUE。AdapterObject是过滤器所在的网卡设备指针；过滤器的常量Filter定义在头文件中，包括有：

•NDIS-PACKET-TYPE-PROMISCUOUS：设置混杂模式，每个到来的包都会被网卡接受；

•NDIS-PACKET-TYPE-DIRECTED：只有直接到主机网卡的包才会被接受；

•NDIS-PACKET-TYPE-BROADCAST：只接受广播包；

•NDIS-PACKET-TYPE-MULTICAST：只接受到主机所在的组的多播包；

•NDIS-PACKET-TYPE-ALL-MULTICAS：接受每个多播的包。

//setthenetworkadapterinpromiscuousmode

//如果混杂模式设置失败，提示错误：

if(PacketSetHwFilter(lpAdapter,NDIS_PACKET_TYPE_PROMISCUOUS)==FALSE){

printf("Warning:unabletosetpromiscuousmode!“n");

}

然后在driver中置512K的缓冲：

这里用到函数PacketSetBuff，它被用于设置AdapterObject指向的网卡的驱动程序的缓冲区，成功则返回TRUE。Dim是新的缓冲区的大小，当它被设定时，旧缓冲区中的数据将被丢弃，其中存储的包也会失去。

需要注意的地方：驱动器缓冲区的大小设置是否恰当，将影响截包进程的性能，设置应能保证运行快且不会丢包。这里设置的是512000Byte。

//seta512Kbufferinthedriver

//当无法设置缓冲区时，提示错误：

if(PacketSetBuff(lpAdapter,512000)==FALSE){

printf("Unabletosetthekernelbuffer!“n");

return-1;

}

PacketSetReadTimeout函数的功能是，设置与AdapterObject指定网卡绑定的读操作超时的值，timeout以毫秒为单位，0表示没有超时，当没有包到时，read就不返回。

//seta1secondreadtimeout

//设置1秒的读取操作超时

if(PacketSetReadTimeout(lpAdapter,1000)==FALSE){

printf("Warning:unabletosetthereadtiemout!“n");

}

接下来，定位设备，代码

这里用到函数PacketAllocatePacket将在内存中分配一个PACKET结构并返回一个指向它的指针，但这个结构的Buffer字段还没有设定，所以应再调用PacketInitPacket函数来对其进行初始化。

//allocateandinitializeapacketstructurethatwillbeusedto

//receivethepackets.

//当定位失败时，提示错误：

if((lpPacket=PacketAllocatePacket())==NULL){

printf("“nError:failedtoallocatetheLPPACKETstructure.");

return(-1);

}

然后，就可以初始化设备，开始接受网络包了：

用函数PacketInitPacket来初始化PACKET结构。lpPacket是要被初始化的指针；Buffer为指向用户分配的包含包的数据的缓冲区的指针；Length为缓冲区长度。

需要注意的地方：PACKET结构关联的缓冲区存储由packetcapturedriver截获的包，包的数量被缓冲区大小所限制，最大缓冲区的大小就是应用程序从驱动器中一次能读到的数据的多少。所以设置大的缓冲区可减少系统调用的次数，提高截获效率。这里设置的是256K。

PacketInitPacket(lpPacket,(char*)buffer,256000);

接下来，是截包主循环：

//maincaptureloop

这里又用到函数PacketReceivePacket，它将接受一个包的集合。参数包括一个指向用来指定截包的网卡的ADAPTER结构指针、一个指向用来容纳包的PACKET结构、一个指出是同步还是异步方式操作的标记。当操作同步时，函数锁定程序；当操作异步时，函数不锁定程序，必须调用PacketWaitPacket过程来检查是否正确完成。一般采用同步模式。

//直到有键盘键入：

while(!kbhit())

{

//capturethepackets捕获包

//捕获包失败时，提示错误：

if(PacketReceivePacket(lpAdapter,lpPacket,TRUE)==FALSE){

printf("Error:PacketReceivePacketfailed");

return(-1);

}

//打印包中的数据，调用自定义函数PrintPackets

PrintPackets(lpPacket);

}

最后将得到的统计数据打印出来，代码

这里用到函数PacketGetStats可以得到两个驱动程序的内部变量的值：从调用PacketOpenAdapter开始，已经被指定网卡接收的包数目；以及已经被网卡接收但被内核丢弃的包数目。这两个值被驱动程序拷贝到应用提供的bpf_stat结构中。

//printthecapturestatistics

//得到统计值

//当无法从内核读取状态时，提示错误：

if(PacketGetStats(lpAdapter,&stat)==FALSE){

printf("Warning:unabletogetstatsfromthekernel!“n");

}

//打印“XX包被截取；XX包被丢弃”：

else

printf("“n“n%dpacketsreceived.“n%dPacketslost",_recv,_drop);

这里用函数PacketFreePacket(LPPACKETlpPacket)来释放由lpPacket指向的结构：

//释放空间

PacketFreePacket(lpPacket);

用函数PacketCloseAdapter(LPADAPTERlpAdapter)来释放ADAPTER结构lpAdapter，并关闭网卡指针：

//closetheadapterandexit

//关闭设备退出

PacketCloseAdapter(lpAdapter);

return(0);

}//主程序结束

其中用来打印数据报的自定义的函数PrintPackets的代码在这里就不详细说明了。

3结束语

通过对网络嗅探器的编写，目的使大家知道网络管理的重要性，