我的嗅探器程序无法分析数据包的类型

Posted 2023-04-04

包
0. 前言

来源：《Computer Security》A Hands-on Approach — Wenliang Du

所有的代码/文档见github：https://github.com/da1234cao/computer_security

chapter 12 Packet sniffing and spoffing.

这一章有点硬核。知识点不难，但对socket编程有点要求。

我看过《unix网络编程》第一卷 前五章 ,背景知识还是相当欠缺。这章内容虽然看完，基本明白，但距离实际动手完成一个简单的有线/无线嗅探工具还挺远。本文，暂时仅仅看看书上的嗅探实现。

1. 摘要与总结

首先介绍了网卡的工作原理，嗅探需要网卡的工作模式（杂乱模式/监控模式）。

为了提早过滤过滤不需要的数据包，介绍了BPF。

接着用三种方式：普通套接字，原生套接字，pcap API，递进的讲述了包的嗅探过程。

2. 包(Packet)的接收

2.1 网卡

参考文章：网卡工作原理详解 、关于网络的混杂模式 、实战无线网络分析（篇一）无线监听

简单了解下：

网卡(Network Interface Card,NIC)是一块被设计用来允许计算机在计算机网络上进行通讯的计算机硬件。每块网卡有一个硬件地址，被称为MAC地址；网卡接入网络，使得用户可以通过电缆或无线相互连接；用户A要发送信息给B，通过电缆或者无线进行广播；每一块网卡都将广播的内容拷贝到自己的网卡内存中，检查头部信息中的MAC地址，判断是否是发送给自己的。如果是则将其拷贝进入内存，否则丢弃；因为MAC唯一，所以最后只有B接受了用户A的信息。

维基百科：混杂模式(promiscuous mode)。一般计算机网卡都工作在非混杂模式下，此时网卡只接受来自网络端口的目的地址指向自己的数据。当网卡工作在混杂模式下时，网卡将来自接口的所有数据都捕获并交给相应的驱动程序。网卡的混杂模式一般在网络管理员分析网络数据作为网络故障诊断手段时用到，同时这个模式也被网络黑客利用来作为网络数据窃听的入口。在Linux操作系统中设置网卡混杂模式时需要管理员权限。在Windows操作系统和Linux操作系统中都有使用混杂模式的抓包工具，比如著名的开源软件Wireshark。

监控模式(monitor mode)。 类似于有线网络的混杂模式。 无线网卡在监视模式下运行时支持嗅探。 与以太网不同，无线设备面临附近其他设备的干扰。 这将严重阻碍网络连接的性能。 为解决此问题，WIFI设备在不同的信道上传输数据。接入点将附近的设备连接到不同的信道，以减少它们之间的干扰影响。 Wifi网卡还设计为在整个可用带宽和通道的片上进行通信。 将这些卡置于监视模式时，它们将捕获802. 1I帧，这些帧在它们正在侦听的通道上传输。 这意味着，与以太网不同，无线网卡可能会丢失同一网络上的信息，因为它位于不同的信道上。 大多数无线网卡不支持监视器模式或制造商禁用了该模式。

2.2 (BSD Packet Filter)BPF

参考文章：BPF与eBPF

这个参考文章我没懂。目前大概知道怎么回事就好。后面使用pcap API会用到这里的概念。

嗅探网络流量时，嗅探器只对某些类型的数据包感兴趣，例如TCP数据包或DNS查询数据包，这是很常见的。系统可以将所有捕获的数据包提供给嗅探器程序，后者可以丢弃不需要的数据包。这是非常低效的，因为处理这些不需要的数据包并将其从内核传送到嗅探器应用程序需要花费时间。当有很多不需要的数据包时，浪费的时间相当可观。最好尽早过滤这些不需要的数据包。

随着对数据包捕获的需求的增加，Unix操作系统定义了BSD数据包过滤器（BSD Packet Filter,BPF）以支持较低级别的过滤。 BPF允许用户空间程序将过滤器附加到套接字，这实际上是告诉内核尽早丢弃不需要的数据包。过滤器通常使用布尔运算符以人类可读的格式编写，并被编译为伪代码并传递给BPF驱动程序。然后由BPF伪机（一个专门为数据包过滤设计的内核级状态机）解释该低级代码。

3. 包的嗅探

3.1 通常套接字编程接收包

/**
* 作用：将进入服务器所有IP的9090端口的UDP内容，输出。
*
* 准备：
* 一个套接字描述符：scoket函数，指定期望的通信协议类型
* 一个监听套接字：指定协议族，ip，端口
* bind：将一个本地协议地址赋予一个套接字（描述符）
* recvfrom:接受经指定的socket 传来的数据，放入buf --》准备个buffer，一个客户端套接字，套接字长度
*
* 头文件：
* netinet/in.h 定义了ip地址结构 struct sockaddr_in （struct in_addr作为sockaddr_in 的成员)
* 还有函数 htons等，以及一些宏。
* sys/socket.h 定义了一些列的socket API函数 如
* socket()，bind() listen() ， send() ，sendmsg()，setsockopt()，等等。
* unistd.h close函数
*
* 验证：echo "Hello World\!" | nc -4u 127.0.0.1 9090
*/

#include <stdio.h>
#include <string.h>
#include <netinet/in.h>
#include <sys/socket.h>
#include <errno.h>
#include <unistd.h>

int main(void)
int sock;
struct sockaddr_in server;
int client_len;
struct sockaddr_in client;
char buf[1000];

// IPV4,数据包套接字，UDP传输协议
sock = socket(AF_INET,SOCK_DGRAM,IPPROTO_UDP);
if(sock <= 0)
perror("error in socket");
return -1;


// 用这个初始化为零，比memset函数少一个参数
// sockaddr_in结构体中sin_zero，还没用；整个结构体用之前，我们全部初始化为零
// IPv4协议族，监听该服务器上所有IP的9090端口
// 按照网络标准转化字节序
bzero(&server,sizeof(server));
server.sin_family = AF_INET;
server.sin_addr.s_addr = htonl(INADDR_ANY);
server.sin_port = htons(9090);

// 将一个本地协议地址赋予一个套接字（描述符）
if( bind(sock,(struct sockaddr *)&server,sizeof(server)) < 0)
perror("error in bind");
return -1;


while (1)
bzero(buf,sizeof(buf));
// 进入一个慢系统调用；
recvfrom(sock,buf,sizeof(buf)-1,0,(struct sockaddr *)&client,&client_len);
printf("%s",buf);


close(sock);

return 0;


1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68

3.2 使用原生套接字接收包 参考技术A 我的嗅探器程序无法分析数据包的类型　一般指嗅探器。嗅探器 可以窃听网络上流经的数据包。 用集线器hub组建的网络是基于共享的原理的， 局域网内所有的计算机都接收相同的数据包， 而网卡构造了硬件的“过滤器“ 通过识别MAC地址过滤掉和自己无关的信息， 嗅探程序只需关闭这个过滤器， 将网卡设置为“混杂模式“就可以进行嗅探 用交换机switch组建的网络是基于“交换“原理的 ，交换机不是把数据包发到所有的端口上， 而是发到目的网卡所在的端口。 参考技术B 方法步骤如下，1.什么是数据包嗅探?
一个数据包嗅探程序是一个能够通过指定的网络接口,指定的计算机,指定的网络上记录所有在网络之间传播的数据包的程序.它能够用来检查校正网络问题,也可以用来提取敏感信息如未加密登录会话的凭证(Credentials)等.
2.嗅探程序(sniffer)
一个嗅探程序是一个能够监控和分析网络信息流,检测网络瓶颈和问题的程序.使用这些相关的信息,一个网管人员能够(让网络)保持有效率的信息流通.
一个嗅探程序同时也能够用于非法抓取在网络上传送的数据.一个网络路由读取每个经过它的数据包,判断(数据包)是否

过滤 IPv6 数据包的嗅探器

【中文标题】过滤 IPv6 数据包的嗅探器

【英文标题】：Sniffer that filters IPv6 packets

【发布时间】：2014-08-28 13:37:20

【问题描述】：

我有一个使用 Python 和 pcapy 的简单数据包嗅探器。

pc = pcapy.open_live(str(self.port), max_bytes, promiscuous, read_timeout)
#My problem is here
pc.setfilter('???')
pc.loop(-1, self.recv_pkts) 

我需要丢弃所有 IPv6 数据包并捕获其他所有数据（包括纯 L2 数据包等）。 应该可以使用 setfilter() 函数来做到这一点，但是我找不到任何关于如何传递所有内容的示例。我真的不想在 python 中手动解析每个数据包并检查它是否不是 IPv6

【参考方案1】：

pc.setfilter('not ip6')

参考：http://www.tcpdump.org/manpages/pcap-filter.7.html

【讨论】：

非常感谢您的帮助！