在Linux下如何利用C語(yǔ)言來實(shí)現(xiàn)一個(gè)Sniffer
Sniffer技術(shù)是網(wǎng)絡(luò)安全領(lǐng)域里一項(xiàng)非常重要的技術(shù)!對(duì)于“Hacker”來說,他們可以以非常隱蔽的方式得到網(wǎng)絡(luò)中傳輸?shù)拇罅康拿舾行畔ⅲ?Telnet,ftp帳號(hào)和密碼等等明文傳送的信息!與主動(dòng)掃描相比,嗅探的行為更加難以被察覺,操作起來也不是很復(fù)雜!對(duì)于網(wǎng)絡(luò)管理人員來說,可以利用嗅探技術(shù)對(duì)網(wǎng)絡(luò)活動(dòng)進(jìn)行監(jiān)控,并及時(shí)發(fā)現(xiàn)各種攻擊行為!
在這篇文章里,我們主要探討在Linux下如何利用C語(yǔ)言來實(shí)現(xiàn)一個(gè)Sniffer!我們將假設(shè)所有的主機(jī)在一個(gè)局域網(wǎng)內(nèi)。
首先,我們將簡(jiǎn)短的回顧一下一個(gè)普通的以太網(wǎng)卡是怎么工作的!(如果你對(duì)這方面的知識(shí)早已熟悉,那么你可以直接跳到下一段)來源于應(yīng)用程序的IP報(bào)文被封裝成以太網(wǎng)幀(這是在以太網(wǎng)上傳播的數(shù)據(jù)報(bào)文的名稱),它是底層鏈路層報(bào)文上面的一層報(bào)文,包含有源地址報(bào)文和一些需要用來傳送至目標(biāo)主機(jī)的信息。通常情況下,目的IP地址對(duì)應(yīng)著一個(gè)6字節(jié)的目的以太網(wǎng)址(經(jīng)常叫做MAC地址),它們之間通過ARP協(xié)議進(jìn)行映射!就這樣,包含著以太網(wǎng)幀的報(bào)文從源主機(jī)傳輸?shù)侥康闹鳈C(jī),中間經(jīng)過一些網(wǎng)絡(luò)設(shè)備,如交換機(jī),路由器等等,當(dāng)然,因?yàn)槲覀兊那疤崾侵鳈C(jī)在同一網(wǎng)內(nèi),所以我們的討論不涉及以上這些網(wǎng)絡(luò)設(shè)備!
在鏈路層中并不存在路線的概念,換句話說,源主機(jī)發(fā)出的幀不會(huì)直接指向目的主機(jī),而是基于廣播方式傳播,網(wǎng)絡(luò)中的所有網(wǎng)卡都能看到它的傳輸。每個(gè)網(wǎng)卡會(huì)檢查幀開始的6個(gè)字節(jié)(目的主機(jī)的MAC地址),但是只有一個(gè)網(wǎng)卡會(huì)發(fā)現(xiàn)自己的地址和其相符合,然后它接收這個(gè)幀,這個(gè)幀會(huì)被網(wǎng)絡(luò)驅(qū)動(dòng)程序分解,原來的IP 報(bào)文將通過網(wǎng)絡(luò)協(xié)議棧傳送至接收的應(yīng)用程序!
更準(zhǔn)確的說,網(wǎng)絡(luò)驅(qū)動(dòng)程序會(huì)檢查幀中報(bào)文頭部的協(xié)議標(biāo)識(shí),以確定接收數(shù)據(jù)的上層協(xié)議!大多數(shù)情況下,上層是IP協(xié)議,所以接收機(jī)制將去掉IP報(bào)文頭部,然后把剩下的傳送至UDP或者TCP接收機(jī)制!這些協(xié)議,將把報(bào)文送到SOCKET-handling機(jī)制,它將最后把報(bào)文數(shù)據(jù)變成應(yīng)用程序可接收的方式發(fā)送出去。在這個(gè)過程中,報(bào)文將失去所有的和其有關(guān)的網(wǎng)絡(luò)信息,比如源地址(IP和MAC),端口號(hào),IP選擇,TCP參數(shù)等等!所以如果目的主機(jī)沒有一個(gè)包含正確參數(shù)的打開端口,那么這個(gè)報(bào)文將被丟棄而且永遠(yuǎn)不會(huì)被送到應(yīng)用層去!
因此我們?cè)谶M(jìn)行網(wǎng)絡(luò)嗅探的時(shí)候有兩個(gè)不同的問題:一個(gè)和以太網(wǎng)址有關(guān),我們不能抓到不是發(fā)給自己主機(jī)的包,另一個(gè)和協(xié)議棧的運(yùn)行過程有關(guān),我們需要一個(gè)socket去*每個(gè)端口,得到那些沒有被丟棄的報(bào)文!
第一個(gè)問題不是最根本的,因?yàn)槲覀兛赡懿粫?huì)對(duì)發(fā)往其他主機(jī)的報(bào)文有興趣而只想嗅探所有發(fā)往自己主機(jī)的報(bào)文。第二個(gè)問題是必須要解決的,下面我們將看到這個(gè)問題是怎么樣一步一步解決的!
當(dāng)你打開一個(gè)標(biāo)準(zhǔn)的SOCKET套接字時(shí),你需要指明你將使用哪個(gè)協(xié)議簇,大多數(shù)情況下我們一般用PF_UNIX在本地機(jī)器間進(jìn)行通信,PF_INET在基于IPv4協(xié)議簇基礎(chǔ)之上進(jìn)行通信,你還需要指明所用的協(xié)議類型及與協(xié)議簇相關(guān)的確切數(shù)值,,在PF_INET協(xié)議簇中,常用的有 SOCK_STREAM(與TCP相關(guān)),SOCK_DGRAM(與UDP相關(guān))。在把報(bào)文發(fā)送到應(yīng)用程序前內(nèi)核對(duì)其的處理與SOCKET類型有關(guān),你指定的協(xié)議將處理報(bào)文在SOCKET的傳輸!(具體細(xì)節(jié)問題你可以man socket(3))
在LINUX內(nèi)核版本中(2.0 releases),一個(gè)名為PF_PACKET的協(xié)議簇被加了進(jìn)來!這個(gè)簇允許應(yīng)用程序直接利用網(wǎng)絡(luò)驅(qū)動(dòng)程序發(fā)送和接收?qǐng)?bào)文,避免了原來的協(xié)議棧處理過程,在這種情況下,所有SOCKET發(fā)出的報(bào)文直接送到以太網(wǎng)卡接口,而接口收到的任何報(bào)文將直接送到應(yīng)用程序The PF_PACKET協(xié)議簇支持兩個(gè)稍微有點(diǎn)不同的SOCKET類型,SOCK_DGRAM和SOCK_RAW。
前者讓內(nèi)核處理添加或者去除以太網(wǎng)報(bào)文頭部工作,而后者則讓應(yīng)用程序?qū)σ蕴W(wǎng)報(bào)文頭部有完全的控制!在SOCKET調(diào)用中的協(xié)議類型必須符合/usr /include/linux/if_ether.h中定義的以太網(wǎng)IDs中的一個(gè),除非遇到特別聲明的協(xié)議,一般你可以用ETH_P_IP來處理IP的一組協(xié)議(TCP,UDP,ICMP,raw IP等等)因?yàn)樗鼈內(nèi)菀资艿揭恍┖車?yán)重的安全問題的牽連(比如你可以偽造一個(gè)MAC地址),所以只有具有root權(quán)限才可以使用PF_PACKET- familysocket.這也就是為什么只有具有root權(quán)限后才能運(yùn)行嗅探器的原因!
PF_PACKET-family 協(xié)議簇可以很容易解決協(xié)議棧處理嗅探來的數(shù)據(jù)報(bào)文時(shí)候遇到的問題!我們一起來看看程序1,我們打開一個(gè)屬于PF_PACKET-family 協(xié)議簇的SOCKET,指定一個(gè)SOCK_RAW socket類型和IP相關(guān)協(xié)議類型。這時(shí)我們開始從SOCKET抓包,在一些相關(guān)檢查后.我們開始得到從鏈路層和IP層抓來的頭部信息,。通過閱讀程序一,你將會(huì)發(fā)現(xiàn)讓應(yīng)用程序從網(wǎng)絡(luò)層抓包其實(shí)并不難!
Example 1.
#include
#include
#include
#include
#include
#include
#include
int main(int argc, char **argv) {
int sock, n;
char buffer[2048];
unsigned char *iphead, *ethhead;
if ( (sock=socket(PF_PACKET, SOCK_RAW,
htons(ETH_P_IP)))<0) {
perror("socket");
exit(1);
}
while (1) {
printf("----------n");
n = recvfrom(sock,buffer,2048,0,NULL,NULL);
printf("%d bytes readn",n);
/* Check to see if the packet contains at least
* complete Ethernet (14), IP (20) and TCP/UDP
* (8) headers.
*/[!--empirenews.page--]
if (n<42) {
perror("recvfrom():");
printf("Incomplete packet (errno is %d)n",
errno);
close(sock);
exit(0);
}
ethhead = buffer;
printf("Source MAC address: "
"%02x:%02x:%02x:%02x:%02x:%02xn",
ethhead[0],ethhead[1],ethhead[2],
ethhead[3],ethhead[4],ethhead[5]);
printf("Destination MAC address: "
"%02x:%02x:%02x:%02x:%02x:%02xn",
ethhead[6],ethhead[7],ethhead[8],
ethhead[9],ethhead[10],ethhead[11]);
iphead = buffer+14; /* Skip Ethernet header */
if (*iphead==0x45) { /* Double check for IPv4
* and no options present */
printf("Source host %d.%d.%d.%dn",
iphead[12],iphead[13],
iphead[14],iphead[15]);
printf("Dest host %d.%d.%d.%dn",
iphead[16],iphead[17],
iphead[18],iphead[19]);
printf("Source,Dest ports %d,%dn",
(iphead[20]<<8)+iphead[21],
(iphead[22]<<8)+iphead[23]);
printf("Layer-4 protocol %dn",iphead[9]);
}
}
}
PF_PACKET協(xié)議簇可以讓一個(gè)應(yīng)用程序把數(shù)據(jù)包變成似乎從網(wǎng)絡(luò)層接收的樣子,但是沒有辦法抓到那些不是發(fā)向自己主機(jī)的包。正如我們前面看到的,網(wǎng)卡丟棄所有不含有主機(jī)MAC地址的數(shù)據(jù)包,這是因?yàn)榫W(wǎng)卡處于非混雜模式,即每個(gè)網(wǎng)卡只處理源地址是它自己的幀!
只有三個(gè)例外:如果一個(gè)幀的目的MAC地址是一個(gè)受限的廣播地址(255.255.255.255)那么它將被所有的網(wǎng)卡接收:如果一個(gè)幀的目的地址是組播地址,那么它將被那些打開組播接收功能的網(wǎng)卡所接收;網(wǎng)卡如被設(shè)置成混雜模式,那么它將接收所有流經(jīng)它的數(shù)據(jù)包最后一種情況當(dāng)然是我們最感興趣的了,把網(wǎng)卡設(shè)置成混雜模式,我們只需要發(fā)出一個(gè)特殊的ioctl()調(diào)用在那個(gè)網(wǎng)卡上打開一個(gè)socket,因?yàn)檫@是一個(gè)具有危險(xiǎn)性的操作,所以這個(gè)調(diào)用只有具有root權(quán)限的用戶才可完成,假設(shè)那個(gè)“sock”包含一個(gè)已經(jīng)打開的socket。