《libpcap编程-编写自己的网络嗅探程序》.pdf

Programming with Libpcap --Sniffing the Network Author: Luis Martin Garcia =-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=- ｜ ** 你将会学到什么？ ** | ｜ 1.数据包捕获的原则; | ｜ 2.如何利用libpcap 捕获数据包； | ｜ 3.关于我们何时需要编写数 | ｜ 据包捕获程序等方面. | ｜ | ｜ ** 你应该所掌握的... ** | ｜ 1.C 语言程序设计； | ｜ 2.网络的基本工作原理和OSI 的标 | ｜ 准模型； | ｜ 3.了解常见的协议，比如以太协仪，| ｜ TCP/IP 协议，或者ARP 协议。 | =-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=- ******概要********************************************************************* 自从1969 年第一条电子信息带着研究人员的期望成功地通过阿葩网（ARPANET）进行了 有史以来最便捷的信息传递方式，计算机网络已经发生了巨大的变化。以前网络（此处及以 下均指计算机网络）规模小，结构简单，利用一些简单的诊断工具通常便可以解决网络问题。 但随着网络的不断复杂化，对复杂网络的管理和检测的需求日益增加。 现如今，计算机网络不仅规模大而且通常有着各种系统利用大量不同种类的协议所进行 的通信。这种复杂的局面产生了更多的可以监视和检测网络通信的智能化工具。今天,在任何 一个网络管理员的管理工具箱中都有着这样的一个工具，那就是嗅探器（sniffer）。 嗅探器，也称做数据包分析器，是一些拥有拦截网络传输数据的能力的程序 。这些程 序在网络管理人员和黑帽社区之中相当流行，因为他们既可被环绕于正义的光环也可沦为邪 恶的爪牙。在本文中，我们将阐述数据包捕获的主要原则和方法并且为大家介绍libpcap （一 个开源并可移植的数据捕获库，著名的网络工具tcpdump，dsniff，kismet，snort 和ettercap 的核心便有libpcap 库中的各种API）。 ******数据包捕获************************************************************** 数据包捕获是在数据传输的网络上进行数据收集的一种行为。嗅探器是捕获数据包的最 佳实现，但是许多其它种类的应用需要通过网卡才能完成数据包的捕获，它们包括网络数据 统计工具，入侵检测系统，端口锁定守护进程，密码嗅探器，ARP 注入攻击，路由检测器等 等。 首先让我们大致了解一下数据包捕获在以太网络中的工作原理。每当一个网卡收到一个 以太帧，它就会检测该帧的目的网卡地址（MAC address ）是否与自己的网卡地址相符（相同）。 如果相符，网卡便产生一个中断请求，该中断请求将由负责处理此类中断的系统网卡驱动程 序处理。该驱动给接收到的数据打上时间戳，然后将数据从网卡缓冲区复制到系统内核空间 的一块内存上。接着系统通过查看以太数据帧头的以太类型区域判断接收到的数据包是属于 哪一种类型继而将该包中的数据传递给协议堆栈由相应的协议处理机制处理。大多数情况下 数据包包含一个 IPv4 数据报，如此，IPv4 协议处理机制将被激活。这种处理机制将进行一 系列验证行为来确保比如数据包没有遭到损坏，本机的确是该包的目的地等等。当所有验证 均通过后，IP 头被移除，剩下的部分再被传递到下一层协议处理机制（可能是TCP 或者UDP）。 这种处理过程不断重复直到数据到达由用户空间的应用程序来处理的应用层。 当我们使用嗅探器时，数据包将完成上述的相同过程，但除了一个地方：网络驱动程序 也将拷贝接收到的或是发出的任何数据到内核中名叫数据包过滤器的部分。而