网络嗅探器设计.docx

网络嗅探器设计.docx

《网络嗅探器设计.docx》由会员分享，可在线阅读，更多相关《网络嗅探器设计.docx（13页珍藏版）》请在冰点文库上搜索。

网络嗅探器设计

目录

一、什么是嗅探器2

二、嗅探器的作用2

三、网络嗅探器原理2

四、反嗅探技术6

五、网络嗅探器的设计7

六、总结：

13

一、什么是嗅探器

嗅探器，可以理解为一个安装在计算机上的窃听设备它可以用来窃听计算机在网络上所产生的众多的信息。

简单一点解释：

一部电话的窃听装置,可以用来窃听双方通话的内容，而计算机网络嗅探器则可以窃听计算机程序在网络上发送和接收到的数据。

　　可是，计算机直接所传送的数据，事实上是大量的二进制数据。

因此,一个网络窃听程序必须也使用特定的网络协议来分解嗅探到的数据，嗅探器也就必须能够识别出那个协议对应于这个数据片断，只有这样才能够进行正确的解码。

计算机的嗅探器比起电话窃听器，有他独特的优势：

很多的计算机网络采用的是“共享媒体"。

也就是说，你不必中断他的通讯，并且配置特别的线路，再安装嗅探器，你几乎可以在任何连接着的网络上直接窃听到你同一掩码范围内的计算机网络数据。

我们称这种窃听方式为“基于混杂模式的嗅探”（promiscuousmode）。

尽管如此，这种“共享”的技术发展的很快，慢慢转向“交换”技术，这种技术会长期内会继续使用下去，它可以实现有目的选择的收发数据。

二、嗅探器的作用

嗅探器是网络的抓包工具，可以对网络中大量数据抓取，从而方便使用者对网络中用户的一些信息进行分析，所以，通常被黑客运用于网络攻击。

我们如果也能掌握网络嗅探器的原理和设计，可以将它运用与网络故障检测、网络状况的监视，还可以加强企业信息安全防护。

三、网络嗅探器原理

嗅探器是如何工作的？

如何窃听网络上的信息？

网络的一个特点就是数据总是在流动中，从一处到另外一处，而互联网是由错综复杂的各种网络交汇而成的，也就是说:

当你的数据从网络的一台电脑到另一台电脑的时候，通常会经过大量不同的网络设备，（我们用tracert命令就可以看到这种路径是如何进行的）。

如果传输过程中，有人看到了传输中的数据，那么问题就出现了——这就好比给人发了一封邮件，在半路上被人拆开偷看一样，这样说或许还不是很可怕，那要是传送的数据是企业的机密文件那，或是用户的信用卡帐号和密码呢……?

嗅探侦听主要有两种途径，一种是将侦听工具软件放到网络连接的设备或者放到可以控制网络连接设备的电脑上，（比如网关服务器，路由器）——当然要实现这样的效果可能也需要通过其他黑客技术来实现:

比如通过木马方式将嗅探器发给某个网络管理员，使其不自觉的为攻击者进行了安装。

另外一种是针对不安全的局域网（采用交换hub实现），放到个人电脑上就可以实现对整个局域网的侦听，这里的原理是这样的:

共享hub获得一个子网内需要接收的数据时，并不是直接发送到指定主机，而是通过广播方式发送到每个电脑，对于处于接受者地位的电脑就会处理该数据，而其他非接受者的电脑就会过滤这些数据，这些操作与电脑操作者无关，是系统自动完成的，但是电脑操作者如果有意的话，他是可以将那些原本不属于他的数据打开!

——这就是安全隐患!

以太网的数据传输是基于“共享”原理的：

所有的同一本地网范围内的计算机共同接收到相同的数据包。

这意味着计算机直接的通讯都是透明可见的。

正是因为这样的原因，以太网卡都构造了硬件的“过滤器”这个过滤器将忽略掉一切和自己无关的网络信息。

事实上是忽略掉了与自身MAC地址不符合的信息。

嗅探程序正是利用了这个特点，它主动的关闭了这个嗅探器，也就是前面提到的设置网卡“混杂模式”。

因此，嗅探程序就能够接收到整个以太网内的网络数据了信息了。

　　什么是以太网的MAC地址（MAC：

MediaAccessControl）？

由于大量的计算机在以太网内“共享“数据流，所以必须有一个统一的办法用来区分传递给不同计算机的数据流的。

这种问题不会发生在拨号用户身上，因为计算机会假定一切数据都由你发动给modem然后通过电话线传送出去。

可是，当你发送数据到以太网上的时候，你必须弄清楚，哪台计算机是你发送数据的对象。

的确，现在有大量的双向通讯程序出现了，看上去，他们好像只会在两台机器内交换信息，可是你要明白，以太网的信息是共享的，其他用户，其实一样接收到了你发送的数据，只不过是被过滤器给忽略掉了。

　　MAC地址是由一组6个16进制数组成的，它存在于每一块以太网卡中。

后面的章节将告诉你如何查看自己计算机的MAC地址。

如果对网络结构不太熟悉，建议参考一下OSI7-LayerModel，这将有助于你理解后面的东西以太网所使用的协议主要是TCP/IP，并且TCP/IP也用于其他的网络模型（比如拨号用户,他们并不是处于一个以太网环境中）。

举例一下，很多的小团体计算机用户都为实现文件和打印共享，安装了“NetBEUI”因为它不是基于TCP/IP协议的，所以来自于网络的黑客一样无法得知他们的设备情况。

基于Raw协议，传输和接收都在以太网里起着支配作用。

你不能直接发送一个Raw数据给以太网，你必须先做一些事情，让以太网能够理解你的意思。

这有点类似于邮寄信件的方法，你不可能直接把一封信投递出去，你必须先装信封，写地址，贴邮票，网络上的传输也是这样的。

下面给出一个简单的图示，有助于你理解数据传送的原理：

　　_________

　　/.........\

　　/..Internet.\

　　+-----++----+.............+-----+

　　　UserA　-----　路由　.............　UserB　

　　+-----+^+----+.............+-----+

　　　\.........../

　　　\---------/

　　+------+

　　　嗅探器　

　　+------+

　　UserAIP地址:

10.0.0.23

　　UserBIP地址:

192.168.100.54

　　现在知道UserA要于UserB进行计算机通讯，UserA需要为10.0.0.23到192.168.100.54的通讯建立一个IP包。

这个IP包在网络上传输，它必须能够穿透路由器。

因此，UserA必须首先提交这个包给路由器。

由每个路由器考查目地IP地址然后决定传送路径。

　　UserA所知道的只是本地与路由的连接，和UserB的IP地址。

UserA并不清楚网络的结构情况和路由走向。

UserA必须告诉路由预备发送的数据包的情况，以太网数据传输结构大概是这样的：

　　+--+--+--+--+--+--+

　　　目标MAC　

　　+--+--+--+--+--+--+

　　　源MAC　

　　+--+--+--+--+--+--+

　　　0800　

　　+--+--+-----------+　　　　

　　..

　　.IP包.

　　..　　　　

　　+--+--+--+--+-----+

　　　CRC校验　

　　+--+--+--+--+

　　理解一下这个结构，UserA的计算机建立了一个包假设它由100个字节的长度（我们假设一下，20个字节是IP信息，20个字节是TCP信息，还有60个字节为传送的数据）。

现在把这个包发给以太网,放14个字节在目地MAC地址之前，源MAC地址，还要置一个0x0800的标记，他指示出了TCP/IP栈后的数据结构。

同时，也附加了4个字节用于做CRC校验（CRC校验用来检查传输数据的正确性）。

　　现在发送数据到网络。

所有在网内的计算机通过适配器都能够发现这个数据片，其中也包括路由适配器，嗅探器和其他一些机器。

通常，适配器都具有一块芯片用来做结构比较的，检查结构中的目地MAC地址和自己的MAC地址，如果不相同，则适配器会丢弃这个结构。

这个操作会由硬件来完成，所以，对于计算机内的程序来说，整个过程时毫无察觉的。

当路由器的以太网适配器发现这个结构后，它会读取网络信息，并且去掉前14个字节，跟踪4个字节。

查找0x8000标记，然后对这个结构进行处理（它将根据网络状况推测出下一个最快路由节点，从而最快传送数据到预定的目标地址）。

设想，只有路由机器能够检查这个结构，并且所有其他的机器都忽略这个结构，则嗅探器无论如何也无法检测到这个结构的。

MAC地址的格式是什么？

以太网卡的MAC地址是一组48比特的数字，这48比特分为两个部分组成，前面的24比特用于表示以太网卡的寄主，后面的24比特是一组序列号，是由寄主进行支派的。

这样可以担保没有任何两块网卡的MAC地址是相同的（当然可以通过特殊的方法实现）。

如果出现相同的地址，将发生问题，所有这一点是非常重要的。

这24比特被称之为OUI（OrganizationallyUniqueIdentifier）。

可是，OUI的真实长度只有22比特，还有两个比特用于其他：

一个比特用来校验是否是广播或者多播地址，另一个比特用来分配本地执行地址（一些网络允许管理员针对具体情况再分配MAC地址）。

举个例子，你的MAC地址在网络中表示为030000000001。

第一个字节所包含的值二进制表示方法为00000011。

可以看到，最后两个比特都被置为真值。

他指定了一个多播模式，向所有的计算机进行广播，使用了“NetBEUI”协议（一般的，在Windows计算机的网络中，文件共享传输等是不使用TCP/IP协议的）。

四、反嗅探技术

　　如何才能检测网内是否存在有嗅探程序？

理论上，嗅探程序是不可能被检测出来的，因为嗅探程序是一种被动的接收程序，属于被动触发的，它只会收集数据包，而不发送出任何数据，尽管如此，嗅探程序有时候还是能够被检测出来的。

一个嗅探程序，不会发送任何数据，但是当它安装在一台正常的局域网内的计算机上的时候会产生一些数据流。

举个例子，它能发出一个请求，始DNS根据IP地址进行反相序列查找。

　　下面一种简单的检测方法：

　　ping方法

　　很多的嗅探器程序，如果你发送一个请求给哪台有嗅探程序的机器，它将作出应答

　　说明：

　　1.怀疑IP地址为10.0.0.1的机器装有嗅探程序，它的MAC地址确定为00-40-05-A4-79-32.

　　2.确保机器是在这个局域网中间。

　　3.现在修改MAC地址为00-40-05-A4-79-33.

4.现在用ping命令ping这个IP地址。

5.没有任何人能够看到发送的数据包，因为每台计算机的MAC地址无法与这个数据包中的目地MAC不符，所以，这个包应该会被丢弃。

6.如果看到了应答，说明这个MAC包没有被丢弃，也就是说，很有可能有嗅探器存在。

现在，这种方法已经得到了广泛的推崇和宣扬，新一代的黑客们也学会了在他们的代码中加入虚拟的MAC地址过滤器很多的计算机操作系统（比如Windows）都支持MAC过滤器（很多过虑器只检查MAC的第一个字节，这样一来，MAC地址FF-00-00-00-00-00和FF-FF-FF-FF-FF-FF就没有区别了。

（广播地址消息会被所有的计算机所接收）。

这种技术通常会用在交换模型的以太网中。

当交换机发现一个未知的MAC地址的时候，它会执行类似“flood”的操作，把这个包发送给每个节点。

五、网络嗅探器的设计

基于C#，WindownsForm编程实现一个简单嗅探器的设计和实现。

1、需求分析：

有于水平有限，不可能实现像Sniffer或者影音神探那样复杂的设置和分析，所以我们只对抓取到的本机在网络中的通信数据（如协议类型，源、目的地址和端口、数据包的大小等）加以分析，实现一个简单的网络嗅探器。

一个窗体显示主页面，另一个页面显示详细的包信息。

详细信息页面，我们显示一下信息：

开始时间：

嗅探器抓取数据包的时间；

源端口：

源目的IP地址+端口号；

目的端口：

目的IP地址+端口号；

协议类型：

只分析一下类型，GPG,ICMP,IDP,IGMP,IP,ND,PUP,TCP,UDP,其他的不再分析；

版本信息：

协议的版本；

生存时间：

；

报头大小：

报文报首部大小；

报文总长：

整个数据报的大小；

优先级别：

提供七个级别，分别是Routine=0,Priority=1,Immediate=2,Flash=3,FlashOverride=4,CRITICECP=5,InternetworkControl=6,NetworkControl=7；

延迟：

NormalDelay=0、LowDelay=1；

吞吐量：

NormalThroughput=0,HighThroughput=1；

可靠性：

NormalReliability=0,HighReliability=1；

2、项目实施

（1）vs2005中新建项目Windows应用程序PackerMonitor。

（2）添加三个窗体文件和两个类文件，分别命名AboutForm.cs、

PacketForm.cs、PacketMonitorForm.cs和Packet.cs、PacketMonitor.cs。

PacketForm.cs实现主页面，PacketMonitorForm.cs实现详细信息页面。

（3）编码，详细的代码如源程序。

当使用C#系统类提供的接口取到数据包的bite流时，对流的初始化处理如下：

publicPacket（byte[]raw,DateTimetime）

{

if（raw==null）

thrownewArgumentNullException（）;

if（raw.Length<20）

thrownewArgumentException（）;

m_Raw=raw;

m_Time=time;

m_Version=（raw[0]&0xF0）>>4;

m_HeaderLength=（raw[0]&0x0F）*4;

if（（raw[0]&0x0F）<5）

thrownewArgumentException（）;//无效的报头

m_Precedence=（Precedence）（（raw[1]&0xE0）>>5）;

m_Delay=（Delay）（（raw[1]&0x10）>>4）;

m_Throughput=（Throughput）（（raw[1]&0x8）>>3）;

m_Reliability=（Reliability）（（raw[1]&0x4）>>2）;

m_TotalLength=raw[2]*256+raw[3];

if（m_TotalLength!

=raw.Length）

thrownewArgumentException（）;//无效的数据包大小

m_Identification=raw[4]*256+raw[5];

m_TimeToLive=raw[8];

if（Enum.IsDefined（typeof（Protocol）,（int）raw[9]））

m_Protocol=（Protocol）raw[9];

else

m_Protocol=Protocol.Other;

m_Checksum=newbyte[2];

m_Checksum[0]=raw[11];

m_Checksum[1]=raw[10];

m_SourceAddress=newIPAddress（BitConverter.ToUInt32（raw,12））;

m_DestinationAddress=newIPAddress（BitConverter.ToUInt32（raw,16））;

if（m_Protocol==Protocol.Tcp||m_Protocol==Protocol.Udp）{

m_SourcePort=raw[m_HeaderLength]*256+raw[m_HeaderLength+1];

m_DestinationPort=raw[m_HeaderLength+2]*256+raw[m_HeaderLength+3];

}

else{

m_SourcePort=-1;

m_DestinationPort=-1;

}

}

3、测试

嗅探器运行后的界面如下：

点击绿色按钮，开始抓取以太网中与本机通信的IP数据包；点击红色按钮，停止监听。

抓取到的信息如下图：

从图中可以看出，抓到的有UDP数据报，ICMP数据报，TCP数据报。

鼠标双击列表行，分别得到详细的报文信息。

TCP报文信息如下：

UDP报文信息如下：

ICMP报文信息如下：

六、总结：

通过这次的程序设计，我认识到自己对知识的掌握还不完善，在小组同学的共同努力下，基本实现了预期的功能。

这个系统还有许多需要完善的地方，我们都相信没有最好，只有更好，我们以后会根据不同的需要，努力的去学习，探索，把这个软件完善好，让它能更好的为我们服务，让它变得更为完善。