一个简易网络嗅探器的实现 何忠龙 顾丽娜 2 (1．公安海警高等专科学校计算机教研室 ； 2．装备指挥技术学院研究部 ) 要：本文介绍一个用 C 语言和网络数据包分析开发工具实现的简易网络 Sniffer。 摘 关 键 词：网络；数据包；Sniffer 1 引言 目前，已经有不少的 Sniff 工具软件，如 Windows 环境下，最富盛名的工具是 Netxray 和 Sniffer pro，用 它们在 Windows 环境下抓包来分析，非常方便。在 UNIX 环境下如 Sniffit，Snoop，Tcpdump，Dsniff 等都是 比较常见的。这里介绍一个用 C 语言和网络数据包和分析开发工具 libpcap 及 winpcap 实现的简易网络 Sniffer。 2 网络嗅探器程序框图 首先给出流程如图 1 所示。 UNICODE 编 码 获得本地 OS 版本号 ASCII 编码 显示 NT 设备列表 显示 9X 设备列表 选择监听的网络适配器号 打开设备，把网卡设为“混杂”模式 在驱动器中设置缓冲 定位及初始化设备 接收并打印网络包 打印统计数据 释放空间，关闭网卡指针 关闭设备，退出 图 1 流程图 3 网络嗅探器程序实现 在 c 环境下编程，源码如下： Project for graduation qualification By Bby Team 19 /* June 2nd，2002 * #include #include //必须加路径，必须把头文件 packet32.h 包含进去 #include "..\..\Include\packet32.h" #include "..\..\Include\ntddndis.h" #define Max_Num_Adapter 10 */ 1 

// Prototypes 原形 //发包 void PrintPackets(LPPACKET lpPacket); //设备列表 char AdapterList[Max_Num_Adapter][1024]; // 主程序开始 int main() { AdapterName[8192]; //网络适配器设备列表 *temp,*temp1; lpPacket; i; dwErrorCode; dwVersion; dwWindowsMajorVersion; //define a pointer to an ADAPTER structure 设备指针 LPADAPTER lpAdapter = 0; //define a pointer to a PACKET structure 包指针 LPPACKET int DWORD DWORD DWORD //Unicode strings (WinNT) WCHAR WCHAR //ASCII strings (Win9x) char char int ULONG char buffer[256000]; struct bpf_stat stat; // 获得本机网卡名 AdapterLength=4096; printf("Packet.dll test application. Library version:%s\n", PacketGetVersion()); printf("Adapters installed:\n"); i=0; AdapterNamea[8192]; //网络适配器设备列表 *tempa,*temp1a; AdapterNum=0,Open; AdapterLength; // 容纳来自驱动器的数据的缓冲区 下面这段代码是用来在不同版本下得到网络适配器名： Win9x 和 WinNT 中的网卡名称是分别用 ASCII 和 UNICODE 实现的，所以首先要得到本地操作系统的 版本号.： dwVersion=GetVersion(); dwWindowsMajorVersion= (DWORD)(LOBYTE(LOWORD(dwVersion))); 这里首先用到的 Packet.dll 函数是 PacketGetAdapterNames（PTSTR pStr，PULONG BufferSize,通常它是与 驱动程序通信并被调用的第一个函数，它将返回的用户本地系统中安装的网络适配器的名字放在缓冲区 pStr 中；BufferSize 是缓冲区的长度： if (!(dwVersion >= 0x80000000 && dwWindowsMajorVersion >= 4)) { //是 Windows NT // 找不到设备列表 if(PacketGetAdapterNames(AdapterName,&AdapterLength)==FALSE){ printf("Unable to retrieve the list of the adapters!\n"); return -1; } // 找到设备列表 temp=AdapterName; temp1=AdapterName; while ((*temp!='\0')||(*(temp-1)!='\0')) { if (*temp=='\0') { } temp++; } // 显示适配器列表 memcpy(AdapterList[i],temp1,(temp-temp1)*2); temp1=temp+1; i++; 2 

AdapterNum=i; for (i=0;iAdapterNum) printf("\nThe number must be smaller than %d",AdapterNum); } while (Open>AdapterNum); // 打开设备 lpAdapter = PacketOpenAdapter(AdapterList[Open-1]); // 当设备无法打开时，出示错误信息： if (!lpAdapter || (lpAdapter->hFile == INVALID_HANDLE_VALUE)) dwErrorCode=GetLastError(); printf("Unable to open the adapter, Error Code : %lx\n",dwErrorCode); return -1; 然后，将所选择的设备打开，这里可以设置为“混杂”模式打开，也可以是“直接”模式打开。代码 如下： 

printf("Warning: unable to set promiscuous mode!\n"); } 然后在 driver 中置 512K 的缓冲： 这里用到函数 PacketSetBuff（LPADAPTER AdapterObject，int dim），它被用于设置 AdapterObject 指向的 网卡的驱动程序的缓冲区，成功则返回 TRUE。Dim 是新的缓冲区的大小，当它被设定时，旧缓冲区中的数 据将被丢弃，其中存储的包也会失去。 需要注意的地方：驱动器缓冲区的大小设置是否恰当，将影响截包进程的性能，设置应能保证运行快且 } PacketSetReadTimeout（LPADAPTER AdapterObject，int timeout）函数的功能是，设置与 AdapterObject 指定网卡绑定的读操作超时的值，timeout 以毫秒为单位，0 表示没有超时，当没有包到时，read 就不返回。 不会丢包。这里设置的是 512000Byte。 // set a 512K buffer in the driver // 当无法设置缓冲区时，提示错误： if(PacketSetBuff(lpAdapter,512000)==FALSE){ printf("Unable to set the kernel buffer!\n"); return -1; // set a 1 second read timeout // 设置 1 秒的读取操作超时 if(PacketSetReadTimeout(lpAdapter,1000)==FALSE){ printf("Warning: unable to set the read tiemout!\n"); } 接下来，定位设备，代码如下： //allocate and initialize a packet structure that will be used to //receive the packets. // 当定位失败时，提示错误： if((lpPacket = PacketAllocatePacket())==NULL){ printf("\nError: failed to allocate the LPPACKET structure."); return (-1); 这里用到函数 PacketAllocatePacket（Void）将在内存中分配一个 PACKET 结构并返回一个指向它的指针， 但这个结构的 Buffer 字段还没有设定，所以应再调用 PacketInitPacket 函数来对其进行初始化。 } 然后，就可以初始化设备，开始接受网络包了： 用函数 PacketInitPacket（LPPACKET lpPacket，PVOID Buffer，UINT Length）来初始化 PACKET 结构。 lpPacket 是要被初始化的指针；Buffer 为指向用户分配的包含包的数据的缓冲区的指针；Length 为缓冲区长度。 需要注意的地方：PACKET 结构关联的缓冲区存储由 packet capture driver 截获的包，包的数量被缓冲 区大小所限制，最大缓冲区的大小就是应用程序从驱动器中一次能读到的数据的多少。所以设置大的缓冲区 可减少系统调用的次数，提高截获效率。这里设置的是 256K。 PacketInitPacket(lpPacket,(char*)buffer,256000); 接下来，是截包主循环： //main capture loop 这里又用到函数 PacketReceivePacket（LPADAPTER AdapterObject，LPPACKET lpPacket，BOOLEAN Sync），它将接受（截获）一个包的集合。参数包括一个指向用来指定截包的网卡的 ADAPTER 结构指针、一 个指向用来容纳包的 PACKET 结构、一个指出是同步还是异步方式操作的标记。当操作同步时，函数锁定程 序；当操作异步时，函数不锁定程序，必须调用 PacketWaitPacket 过程来检查是否正确完成。一般采用同步模 式。 // 直到有键盘键入： while(!kbhit()) { // capture the packets 捕获包 // 捕获包失败时，提示错误： if(PacketReceivePacket(lpAdapter,lpPacket,TRUE)==FALSE){ printf("Error: PacketReceivePacket failed"); return (-1); } } // 打印包中的数据，调用自定义函数 PrintPackets（） PrintPackets(lpPacket); 最后将得到的统计数据打印出来，代码如下： 这里用到函数 PacketGetStats（LPADAPTER AdapterObject，struct bpf_star*s）可以得到两个驱动程序的内 部变量的值：从调用 PacketOpenAdapter 开始，已经被指定网卡接收的包数目；以及已经被网卡接收但被内核 4 

丢弃的包数目。这两个值被驱动程序拷贝到应用提供的 bpf_stat 结构中。 //print the capture statistics // 得到统计值 // 当无法从内核读取状态时，提示错误： if(PacketGetStats(lpAdapter,&stat)==FALSE){ // 打印“XX 包被截取；XX 包被丢弃”： } else printf("Warning: unable to get stats from the kernel!\n"); printf("\n\n%d packets received.\n%d Packets lost",stat.bs_recv,stat.bs_drop); 这里用函数 PacketFreePacket(LPPACKET lpPacket)来释放由 lpPacket 指向的结构： // 释放空间 PacketFreePacket(lpPacket); 用函数 PacketCloseAdapter(LPADAPTER lpAdapter)来释放 ADAPTER 结构 lpAdapter，并关闭网卡指针： // close the adapter and exit // 关闭设备退出 PacketCloseAdapter(lpAdapter); return (0); } // 主程序结束 其中用来打印数据报的自定义的函数 PrintPackets（）的代码在这里就不详细说明了。 4 结束语 通过对网络嗅探器的编写，目的使大家知道网络管理的重要性，时刻注意网络信息安全问题，做好信息 的加密和解密工作。 参 考 文 献 【1】王腾蛟等，《新概念 Visual C＋＋ 6.0 教程》，北京科海集团公司，2001 【2】王宝智等，《全新计算机网络教程》，北京希望电子出版社，2001 【3】单征等，《网络黑洞攻击与防范指南》，中国电力出版社，2002 【4】程秉恢等，《黑客任务实战》，北京希望电子出版社，2002 【5】王力等，《病毒武器与网络战争》，军事谊文出版社，2001 【6】卢昱等，《网络安全技术》，中国物质出版社，2001 5