嗅探器這個代碼我去年的時候就已經寫過了,這個學期並不是非常忙,順手復習網絡,就又嘗試著寫了一遍。
其實在寫嗅探器的時候,最主要的還是要將網卡設置為混雜模式。在此基礎之上,對抓到的數據包進行分析。
這個是我寫出來的效果圖,目前只是方便於查看,連菜單都沒添加:
左面的界面顯示的是主機和主機之間的鏈接信息,而右面則是選中主機信息之間的數據交互情況。
我覺得我這個嗅探器應該是個失敗品,或者說,沒能夠真正的將網卡設置為混雜模式。因為可以看到,上面的源地址全部都是本地主機地址,我在下載視頻文件的時候,每秒幾百kb的數據交互我的這個程序基本沒響應。網頁信息也都是發送的數據請求,根本抓不到接收數據。對於這一點希望高手能幫我指點一下。
使用原始套接字寫嗅探器的流程:
1 使用socket創建基於IP協議的原始套接字。
2 獲取本地IP地址。
3 將原始套接字綁定到本地IP地址上。
4 使用ioctlsocket函數設置套接字選項SIO_RCVALL,即接受所有數據。
5 無盡調用recv函數。
為了方便界面化我將Sniffer的核心代碼封裝到了一個類中,原本應該做成單件類的,但是懶得改了。
class CSniffer
{
public:
static DWORD WINAPI SnifferThread(LPVOID lpData);//線程函數
public:
CSniffer(HostArray * pOutPut);//構造函數,數據輸出指針
~CSniffer(void);//析構函數,負責終止線程
DWORD IsSucceed();//判斷構造函數是否成功,我代碼中沒用上,就是單純的返回dwSucceed
private://Method
int IPHeadAnylasis(const char * pRecvBuf, const int nLen);//將IP數據存放到對應數據結構中。
unsigned short q_ntohs(const unsigned short nVal);//之前的遺留代碼,沒用上
const char * TypeTell(unsigned char type);//同上
unsigned short CheckSum(const void * pData, int size);//校驗和函數,可以用一下,但是我沒檢驗
void AddToInfoVector(PPortArray pInfoVector, ip_hdr * pIp, int nLen);//添加新的端口信息
private://Data
PHostArray pSnifferPool;//指向輸出數據,全部的信息都存在其指向
HANDLE hThread;//線程句柄
DWORD dwSucceed;//標示參數
};
然後值得看一看的就是線程函數代碼了,其余的沒有太多需要介紹的,這段代碼其實就是從之前的控制台程序扒下來的,現在單獨放到一個函數中。
DWORD WINAPI CSniffer::SnifferThread(LPVOID lpData)
{
CSniffer * pSniffer = (CSniffer *)lpData;
SOCKET hSnifferSock = socket(AF_INET, SOCK_RAW, IPPROTO_IP);
DWORD dwSetVal = 1;
char szhostname[32];
char RecvBuff[65536];
hostent * phost;
SOCKADDR_IN LocalIP;
//先進行綁定,綁定前先獲取本地地址
LocalIP.sin_family = AF_INET;
LocalIP.sin_port = htons(0);
gethostname(szhostname, 32);
phost = gethostbyname(szhostname);
memcpy(&LocalIP.sin_addr.S_un.S_addr, phost->h_addr_list[0], phost->h_length);
//cout << "LocalIP" << inet_ntoa(LocalIP.sin_addr) << endl;
if(SOCKET_ERROR == bind(hSnifferSock, (sockaddr *)&LocalIP, sizeof(sockaddr)))
{
;//cout << "bind error" << endl;
}
//設置套接字選項
ioctlsocket(hSnifferSock, SIO_RCVALL, &dwSetVal);
//cout << q_ntohs(0x3100) << endl;
//std::vector<ConnectBetweenTwoHost> SnifferPool;
while(1)
{
int nRecvLen = recv(hSnifferSock, RecvBuff, 65536, 0);
if(nRecvLen != SOCKET_ERROR)
{
//cout << "Get Message" << endl;
pSniffer->IPHeadAnylasis(RecvBuff, 65536);
}
else
{
continue;//cout << "Nothing Valid" << endl;
}
}
return 0;
}
感覺這一套下來卻是是沒什麼東西,不過我也是在程序跑出來之後,才觀察到我的這個程序在數據抓包上面真心做的不怎麼樣。chrome浏覽器的數據請求能抓到,但是反饋回來的數據就完全抓不到了。
列表數據原本應該做個排序的,整個散列也不錯,這樣當數據量比較大的時候插入效率能高一點。而我這個就呵呵了。。。
值得一提的就是我這次兩個列表全部使用的虛擬列表。使用之前還查看了我以前代碼中關於ListCtrl的使用文檔,這算是沒白寫。不過這裡要補充的就是,使用虛擬列表前,需要設置ownerdata選項,也即是用戶擁有數據,列表僅僅負責數據的顯示,而不是把所有的數據都放到列表中。
對虛擬列表進行顯示刷新的方法比較簡單,只要調用SetItemCountEx就能實現刷新過程。
另外我昨天在網上下載了一個嗅探器,這叫一個慘啊,各種彈網頁,估計現在電腦是出於中木馬狀態。後來程序好不容易跑起來了,結果和我這個差不多,就是能判斷出來網頁請求信息資源的類型,僅僅是比我分析的深入了一點,至於數據接收,也是沒找到。如果您知道哪有比較好的嗅探器,麻煩給發個鏈接,我學習下。
另外關於網卡混雜模式設置貌似需要借助winpcap.dll的幫助,有沒有大神比較了解,給個學習鏈接往我看一下。
