libpcap是一个网络数据包捕获函数库,功能非常强大,Linux下著名的tcpdump就是以它为基础的。今天我们利用它来完成一个我们自己的网络嗅探器(sniffer)
首先先介绍一下本次实验的环境:
Ubuntu 11.04,IP:192.168.1.1,广播地址:192.168.1.255,子网掩码:255.255.255.0
可以使用下面的命令设置:
sudo ifconfig eth0 192.168.1.1 broadcast 192.168.1.255 netmask 255.255.255.0
1.安装
在下载libpcap(tcpdump的源码也可以从这个网站下载)
解压
./configure
make
sudo make install
2.使用
安装好libpcap后,我们要使用它啦,先写一个简单的程序,并介绍如何使用libpcap库编译它:
Makefile:
-
all: test.c
-
gcc -g -Wall -o test test.c -lpcap
-
-
clean:
-
rm -rf *.o test
其后的程序的Makefile均类似,故不再重复
test1.c
-
#include
-
#include
-
-
int main()
-
{
-
char errBuf[PCAP_ERRBUF_SIZE], * device;
-
-
device = pcap_lookupdev(errBuf);
-
-
if(device)
-
{
-
printf("success: device: %s\n", device);
-
}
-
else
-
{
-
printf("error: %s\n", errBuf);
-
}
-
-
return 0;
-
}
可以成功编译,不过运行的时候却提示找不到libpcap.so.1,因为libpcap.so.1默认安装到了/usr/local/lib下,我们做一个符号链接到/usr/lib/下即可:
运行test的时候输出"no suitable device found",原因是我们没有以root权限运行,root权限运行后就正常了:
下面开始正式讲解如何使用libpcap:
首先要使用libpcap,我们必须包含pcap.h头文件,可以在/usr/local/include/pcap/pcap.h找到,其中包含了每个类型定义的详细说明。
1.获取网络接口
首先我们需要获取监听的网络接口:
我们可以手动指定或让libpcap自动选择,先介绍如何让libpcap自动选择:
char * pcap_lookupdev(char * errbuf)
上面这个函数返回第一个合适的网络接口的字符串指针,如果出错,则errbuf存放出错信息字符串,errbuf至少应该是PCAP_ERRBUF_SIZE个字节长度的。注意,很多libpcap函数都有这个参数。
pcap_lookupdev()一般可以在跨平台的,且各个平台上的网络接口名称都不相同的情况下使用。
如果我们手动指定要监听的网络接口,则这一步跳过,我们在第二步中将要监听的网络接口字符串硬编码在pcap_open_live里。
2.释放网络接口
在操作为网络接口后,我们应该要释放它:
void pcap_close(pcap_t * p)
该函数用于关闭pcap_open_live()获取的pcap_t的网络接口对象并释放相关资源。
3.打开网络接口
获取网络接口后,我们需要打开它:
pcap_t * pcap_open_live(const char * device, int snaplen, int promisc, int to_ms, char * errbuf)
上面这个函数会返回指定接口的pcap_t类型指针,后面的所有操作都要使用这个指针。
第一个参数是第一步获取的网络接口字符串,可以直接使用硬编码。
第二个参数是对于每个数据包,从开头要抓多少个字节,我们可以设置这个值来只抓每个数据包的头部,而不关心具体的内容。典型的以太网帧长度是1518字节,但其他的某些协议的数据包会更长一点,但任何一个协议的一个数据包长度都必然小于65535个字节。
第三个参数指定是否打开混杂模式(Promiscuous Mode),0表示非混杂模式,任何其他值表示混合模式。如果要打开混杂模式,那么网卡必须也要打开混杂模式,可以使用如下的命令打开eth0混杂模式:
ifconfig eth0 promisc
第四个参数指定需要等待的毫秒数,超过这个数值后,第3步获取数据包的这几个函数就会立即返回。0表示一直等待直到有数据包到来。
第五个参数是存放出错信息的数组。
4.获取数据包
打开网络接口后就已经开始监听了,那如何知道收到了数据包呢?有下面3种方法:
a)
u_char * pcap_next(pcap_t * p, struct pcap_pkthdr * h)
如果返回值为NULL,表示没有抓到包
第一个参数是第2步返回的pcap_t类型的指针
第二个参数是保存收到的第一个数据包的pcap_pkthdr类型的指针
pcap_pkthdr类型的定义如下:
-
struct pcap_pkthdr
-
{
-
struct timeval ts;
-
bpf_u_int32 caplen;
-
bpf_u_int32 len;
-
};
注意这个函数只要收到一个数据包后就会立即返回
b)
int pcap_loop(pcap_t * p, int cnt, pcap_handler callback, u_char * user)
第一个参数是第2步返回的pcap_t类型的指针
第二个参数是需要抓的数据包的个数,一旦抓到了cnt个数据包,pcap_loop立即返回。负数的cnt表示pcap_loop永远循环抓包,直到出现错误。
第三个参数是一个回调函数指针,它必须是如下的形式:
void callback(u_char * userarg, const struct pcap_pkthdr * pkthdr, const u_char * packet)
第一个参数是pcap_loop的最后一个参数,当收到足够数量的包后pcap_loop会调用callback回调函数,同时将pcap_loop()的user参数传递给它
第二个参数是收到的数据包的pcap_pkthdr类型的指针
第三个参数是收到的数据包数据
c)
int pcap_dispatch(pcap_t * p, int cnt, pcap_handler callback, u_char * user)
这个函数和pcap_loop()非常类似,只是在超过to_ms毫秒后就会返回(to_ms是pcap_open_live()的第4个参数)
例子:
test2:
-
#include
-
#include
-
#include
-
#include
-
-
int main()
-
{
-
char errBuf[PCAP_ERRBUF_SIZE], * devStr;
-
-
-
devStr = pcap_lookupdev(errBuf);
-
-
if(devStr)
-
{
-
printf("success: device: %s\n", devStr);
-
}
-
else
-
{
-
printf("error: %s\n", errBuf);
-
exit(1);
-
}
-
-
-
pcap_t * device = pcap_open_live(devStr, 65535, 1, 0, errBuf);
-
-
if(!device)
-
{
-
printf("error: pcap_open_live(): %s\n", errBuf);
-
exit(1);
-
}
-
-
-
struct pcap_pkthdr packet;
-
const u_char * pktStr = pcap_next(device, &packet);
-
-
if(!pktStr)
-
{
-
printf("did not capture a packet!\n");
-
exit(1);
-
}
-
-
printf("Packet length: %d\n", packet.len);
-
printf("Number of bytes: %d\n", packet.caplen);
-
printf("Recieved time: %s\n", ctime((const time_t *)&packet.ts.tv_sec));
-
-
pcap_close(device);
-
-
return 0;
-
}
打开两个终端,先ping 192.168.1.10,由于我们的ip是192.168.1.1,因此我们可以收到广播的数据包,另一个终端运行test,就会抓到这个包。
下面的这个程序会把收到的数据包内容全部打印出来,运行方式和上一个程序一样:
test3:
-
#include
-
#include
-
#include
-
#include
-
-
void getPacket(u_char * arg, const struct pcap_pkthdr * pkthdr, const u_char * packet)
-
{
-
int * id = (int *)arg;
-
-
printf("id: %d\n", ++(*id));
-
printf("Packet length: %d\n", pkthdr->len);
-
printf("Number of bytes: %d\n", pkthdr->caplen);
-
printf("Recieved time: %s", ctime((const time_t *)&pkthdr->ts.tv_sec));
-
-
int i;
-
for(i=0; ilen; ++i)
-
{
-
printf(" %02x", packet[i]);
-
if( (i + 1) % 16 == 0 )
-
{
-
printf("\n");
-
}
-
}
-
-
printf("\n\n");
-
}
-
-
int main()
-
{
-
char errBuf[PCAP_ERRBUF_SIZE], * devStr;
-
-
-
devStr = pcap_lookupdev(errBuf);
-
-
if(devStr)
-
{
-
printf("success: device: %s\n", devStr);
-
}
-
else
-
{
-
printf("error: %s\n", errBuf);
-
exit(1);
-
}
-
-
-
pcap_t * device = pcap_open_live(devStr, 65535, 1, 0, errBuf);
-
-
if(!device)
-
{
-
printf("error: pcap_open_live(): %s\n", errBuf);
-
exit(1);
-
}
-
-
-
int id = 0;
-
pcap_loop(device, -1, getPacket, (u_char*)&id);
-
-
pcap_close(device);
-
-
return 0;
-
}
从上图可以看出,如果我们没有按Ctrl+c,test会一直抓到包,因为我们将pcap_loop()设置为永远循环
由于ping属于icmp协议,并且发出icmp协议数据包之前必须先通过arp协议获取目的主机的mac地址,因此我们抓到的包是arp协议的,而arp协议的数据包长度正好是42字节(14字节的以太网帧头+28字节的arp数据)。具体内容请参考相关网络协议说明。
5.分析数据包
我们既然已经抓到数据包了,那么我们要开始分析了,这部分留给读者自己完成,具体内容可以参考相关的网络协议说明。在本文的最后,我会示范性的写一个分析arp协议的sniffer,仅供参考。要特别注意一点,网络上的数据是网络字节顺序的,因此分析前需要转换为主机字节顺序(ntohs()函数)。
6.过滤数据包
我们抓到的数据包往往很多,如何过滤掉我们不感兴趣的数据包呢?
几乎所有的操作系统(BSD, AIX, Mac OS, Linux等)都会在内核中提供过滤数据包的方法,主要都是基于BSD Packet Filter(BPF)结构的。libpcap利用BPF来过滤数据包。
过滤数据包需要完成3件事:
a) 构造一个过滤表达式
b) 编译这个表达式
c) 应用这个过滤器
a)
BPF使用一种类似于汇编语言的语法书写过滤表达式,不过libpcap和tcpdump都把它封装成更高级且更容易的语法了,具体可以man tcpdump,以下是一些例子:
src host 192.168.1.177
只接收源ip地址是192.168.1.177的数据包
dst port 80
只接收tcp/udp的目的端口是80的数据包
not tcp
只接收不使用tcp协议的数据包
tcp[13] == 0x02 and (dst port 22 or dst port 23)
只接收SYN标志位置位且目标端口是22或23的数据包(tcp首部开始的第13个字节)
icmp[icmptype] == icmp-echoreply or icmp[icmptype] == icmp-echo
只接收icmp的ping请求和ping响应的数据包
ehter dst 00:e0:09:c1:0e:82
只接收以太网mac地址是00:e0:09:c1:0e:82的数据包
ip[8] == 5
只接收ip的ttl=5的数据包(ip首部开始的第8个字节)
b)
构造完过滤表达式后,我们需要编译它,使用如下函数:
int pcap_compile(pcap_t * p, struct bpf_program * fp, char * str, int optimize, bpf_u_int32 netmask)
fp:这是一个传出参数,存放编译后的bpf
str:过滤表达式
optimize:是否需要优化过滤表达式
metmask:简单设置为0即可
c)
最后我们需要应用这个过滤表达式:
int pcap_setfilter(pcap_t * p, struct bpf_program * fp)
第二个参数fp就是前一步pcap_compile()的第二个参数
应用完过滤表达式之后我们便可以使用pcap_loop()或pcap_next()等抓包函数来抓包了。
下面的程序演示了如何过滤数据包,我们只接收目的端口是80的数据包:
test4.c
-
#include
-
#include
-
#include
-
#include
-
-
void getPacket(u_char * arg, const struct pcap_pkthdr * pkthdr, const u_char * packet)
-
{
-
int * id = (int *)arg;
-
-
printf("id: %d\n", ++(*id));
-
printf("Packet length: %d\n", pkthdr->len);
-
printf("Number of bytes: %d\n", pkthdr->caplen);
-
printf("Recieved time: %s", ctime((const time_t *)&pkthdr->ts.tv_sec));
-
-
int i;
-
for(i=0; ilen; ++i)
-
{
-
printf(" %02x", packet[i]);
-
if( (i + 1) % 16 == 0 )
-
{
-
printf("\n");
-
}
-
}
-
-
printf("\n\n");
-
}
-
-
int main()
-
{
-
char errBuf[PCAP_ERRBUF_SIZE], * devStr;
-
-
-
devStr = pcap_lookupdev(errBuf);
-
-
if(devStr)
-
{
-
printf("success: device: %s\n", devStr);
-
}
-
else
-
{
-
printf("error: %s\n", errBuf);
-
exit(1);
-
}
-
-
-
pcap_t * device = pcap_open_live(devStr, 65535, 1, 0, errBuf);
-
-
if(!device)
-
{
-
printf("error: pcap_open_live(): %s\n", errBuf);
-
exit(1);
-
}
-
-
-
struct bpf_program filter;
-
pcap_compile(device, &filter, "dst port 80", 1, 0);
-
pcap_setfilter(device, &filter);
-
-
-
int id = 0;
-
pcap_loop(device, -1, getPacket, (u_char*)&id);
-
-
pcap_close(device);
-
-
return 0;
-
}
在下面的这一个例子中,客户机通过tcp的9732端口连接服务器,发送字符'A',之后服务器将'A'+1即'B'返回给客户机,具体实现可以参考:http://blog.csdn.net/htttw/article/details/7519964
服务器的ip是192.168.56.101,客户机的ip是192.168.56.1
服务器:
Makefile:
-
all: tcp_client.c tcp_server.c
-
gcc -g -Wall -o tcp_client tcp_client.c
-
gcc -g -Wall -o tcp_server tcp_server.c
-
-
clean:
-
rm -rf *.o tcp_client tcp_server
tcp_server:
-
#include
-
#include
-
#include
-
#include
-
#include
-
#include
-
#include
-
-
#define PORT 9832
-
#define SERVER_IP "192.168.56.101"
-
-
int main()
-
{
-
-
int server_sockfd = socket(AF_INET, SOCK_STREAM, 0);
-
-
struct sockaddr_in server_addr;
-
server_addr.sin_family = AF_INET;
-
server_addr.sin_addr.s_addr = inet_addr(SERVER_IP);
-
server_addr.sin_port = htons(PORT);
-
-
-
bind(server_sockfd, (struct sockaddr *)&server_addr, sizeof(server_addr));
-
-
-
listen(server_sockfd, 5);
-
-
char ch;
-
int client_sockfd;
-
struct sockaddr_in client_addr;
-
socklen_t len = sizeof(client_addr);
-
while(1)
-
{
-
printf("server waiting:\n");
-
-
-
client_sockfd = accept(server_sockfd, (struct sockaddr *)&client_addr, &len);
-
-
-
read(client_sockfd, &ch, 1);
-
printf("get char from client: %c\n", ch);
-
++ch;
-
write(client_sockfd, &ch, 1);
-
-
-
close(client_sockfd);
-
}
-
-
return 0;
-
}
tcp_client:
-
#include
-
#include
-
#include
-
#include
-
#include
-
#include
-
#include
-
-
#define PORT 9832
-
#define SERVER_IP "192.168.56.101"
-
-
int main()
-
{
-
-
int sockfd = socket(AF_INET, SOCK_STREAM, 0);
-
-
struct sockaddr_in address;
-
address.sin_family = AF_INET;
-
address.sin_addr.s_addr = inet_addr(SERVER_IP);
-
address.sin_port = htons(PORT);
-
-
-
int result = connect(sockfd, (struct sockaddr *)&address, sizeof(address));
-
if(result == -1)
-
{
-
perror("connect failed: ");
-
exit(1);
-
}
-
-
-
char ch = 'A';
-
write(sockfd, &ch, 1);
-
read(sockfd, &ch, 1);
-
printf("get char from server: %c\n", ch);
-
-
-
close(sockfd);
-
-
return 0;
-
}
运行方法如下,首先在服务器上运行tcp_server,然后运行我们的监听器,然后在客户机上运行tcp_client,注意,我们可以先清空arp缓存,这样就可以看到整个通信过程(包括一开始的arp广播)
在客户机上运行下列命令来清空记录服务器的arp缓存:
sudo arp -d 192.168.56.101
arp -a后发现已经删除了记录服务器的arp缓存
抓包的结果如下所示,由于包太多了,无法全部截图,因此我把所有内容保存在下面的文本中了:
全部的包如下:
仔细研究即可发现服务器与客户机是如何通过tcp通信的。
下面的这个程序可以获取eth0的ip和子网掩码等信息:
test5:
-
#include
-
#include
-
#include
-
#include
-
#include
-
#include
-
-
int main()
-
{
-
-
char * dev;
-
char errbuf[PCAP_ERRBUF_SIZE];
-
dev = pcap_lookupdev(errbuf);
-
-
-
if(!dev)
-
{
-
printf("pcap_lookupdev() error: %s\n", errbuf);
-
exit(1);
-
}
-
-
-
printf("dev name: %s\n", dev);
-
-
-
bpf_u_int32 netp;
-
bpf_u_int32 maskp;
-
int ret;
-
ret = pcap_lookupnet(dev, &netp, &maskp, errbuf);
-
-
if(ret == -1)
-
{
-
printf("pcap_lookupnet() error: %s\n", errbuf);
-
exit(1);
-
}
-
-
-
char * net;
-
char * mask;
-
struct in_addr addr;
-
-
addr.s_addr = netp;
-
net = inet_ntoa(addr);
-
-
if(!net)
-
{
-
perror("inet_ntoa() ip error: ");
-
exit(1);
-
}
-
-
printf("ip: %s\n", net);
-
-
-
addr.s_addr = maskp;
-
mask = inet_ntoa(addr);
-
-
if(!mask)
-
{
-
perror("inet_ntoa() sub mask error: ");
-
exit(1);
-
}
-
-
printf("sub mask: %s\n", mask);
-
-
return 0;
-
}
结果如图:
int pcap_lookupnet(const char * device, bpf_u_int32 * netp, bpf_u_int32 * maskp, char * errbuf)
可以获取指定设备的ip地址,子网掩码等信息
netp:传出参数,指定网络接口的ip地址
maskp:传出参数,指定网络接口的子网掩码
pcap_lookupnet()失败返回-1
我们使用inet_ntoa()将其转换为可读的点分十进制形式的字符串
本文的绝大部分来源于libpcap的官方文档:libpcapHakin9LuisMartinGarcia.pdf,可以在官网下载,文档只有9页,不过很详细,还包括了数据链路层,网络层,传输层,应用层等的分析。很好!
更多参考可以man pcap
转自:http://blog.csdn.net/htttw/article/details/7521053
阅读(1888) | 评论(0) | 转发(0) |