libpcap是一个网络数据包捕获函数库,功能非常强大,Linux下著名的
tcpdump就是以它为基础的。今天我们利用它来完成一个我们自己的网络嗅探器(sniffer)
首先先介绍一下本次实验的环境:
Ubuntu 11.04,IP:192.168.1.1,广播地址:192.168.1.255,子网掩码:255.255.255.0可以使用下面的命令设置:
sudo ifconfig eth0 192.168.1.1 broadcast 192.168.1.255 netmask 255.255.255.01.安装
在
http://www.tcpdump.org/下载libpcap(tcpdump的源码也可以从这个网站下载)
解压
./configure
make
sudo make install2.使用
安装好libpcap后,我们要使用它啦,先写一个简单的程序,并介绍如何使用libpcap库编译它:
Makefile:
- all: test.c
- gcc -g -Wall -o test test.c -lpcap
-
- clean:
- rm -rf *.o test
其后的程序的Makefile均类似,故不再重复
test1.c
- #include <pcap.h>
- #include <stdio.h>
-
- int main()
- {
- char errBuf[PCAP_ERRBUF_SIZE], * device;
-
- device = pcap_lookupdev(errBuf);
-
- if(device)
- {
- printf("success: device: %s\n", device);
- }
- else
- {
- printf("error: %s\n", errBuf);
- }
-
- return 0;
- }
可以成功编译,不过运行的时候却提示找不到libpcap.so.1,因为libpcap.so.1默认安装到了/usr/local/lib下,
我们做一个符号链接到/usr/lib/下即可:
运行test的时候输出"no suitable device found",原因是我们没有以root权限运行,root权限运行后就正常了:
下面开始正式讲解如何使用libpcap:首先要使用libpcap,
我们必须包含pcap.h头文件,可以在/usr/local/include/pcap/pcap.h找到,其中包含了每个类型定义的详细说明。
1.获取网络接口首先我们需要获取监听的网络接口:
我们可以手动指定或让libpcap自动选择,先介绍如何让libpcap自动选择:
char * pcap_lookupdev(char * errbuf)上面这个函数返回第一个合适的网络接口的字符串指针,如果出错,则errbuf存放出错信息字符串,errbuf至少应该是PCAP_ERRBUF_SIZE个字节长度的。注意,很多libpcap函数都有这个参数。
pcap_lookupdev()一般可以在跨平台的,且各个平台上的网络接口名称都不相同的情况下使用。
如果我们手动指定要监听的网络接口,则这一步跳过,我们在第二步中将要监听的网络接口字符串硬编码在pcap_open_live里。
2.释放网络接口在操作为网络接口后,我们应该要释放它:
void pcap_close(pcap_t * p)该函数用于关闭pcap_open_live()获取的pcap_t的网络接口对象并释放相关资源。
3.打开网络接口获取网络接口后,我们需要打开它:
pcap_t * pcap_open_live(const char * device, int snaplen, int promisc, int to_ms, char * errbuf)上面这个函数会返回指定接口的pcap_t类型指针,后面的所有操作都要使用这个指针。
第一个参数是第一步获取的网络接口字符串,可以直接使用硬编码。
第二个参数是对于每个数据包,从开头要抓多少个字节,我们可以设置这个值来只抓每个数据包的头部,而不关心具体的内容。典型的以太网帧长度是1518字节,但其他的某些协议的数据包会更长一点,但任何一个协议的一个数据包长度都必然小于65535个字节。
第三个参数指定是否打开混杂模式(Promiscuous Mode),0表示非混杂模式,任何其他值表示混合模式。如果要打开混杂模式,那么网卡必须也要打开混杂模式,可以使用如下的命令打开eth0混杂模式:
ifconfig eth0 promisc
第四个参数指定需要等待的毫秒数,超过这个数值后,第3步获取数据包的这几个函数就会立即返回。0表示一直等待直到有数据包到来。
第五个参数是存放出错信息的数组。
4.获取数据包打开网络接口后就已经开始监听了,那如何知道收到了数据包呢?有下面3种方法:
a)u_char * pcap_next(pcap_t * p, struct pcap_pkthdr * h)如果返回值为NULL,表示没有抓到包
第一个参数是第2步返回的pcap_t类型的指针
第二个参数是保存收到的第一个数据包的pcap_pkthdr类型的指针
pcap_pkthdr类型的定义如下:
- struct pcap_pkthdr
- {
- struct timeval ts;
- bpf_u_int32 caplen;
- bpf_u_int32 len;
- };
注意这个函数只要收到一个数据包后就会立即返回
b)int pcap_loop(pcap_t * p, int cnt, pcap_handler callback, u_char * user)第一个参数是第2步返回的pcap_t类型的指针
第二个参数是需要抓的数据包的个数,一旦抓到了cnt个数据包,pcap_loop立即返回。负数的cnt表示pcap_loop永远循环抓包,直到出现错误。
第三个参数是一个回调函数指针,它必须是如下的形式:
void callback(u_char * userarg, const struct pcap_pkthdr * pkthdr, const u_char * packet)
第一个参数是pcap_loop的最后一个参数,当收到足够数量的包后pcap_loop会调用callback回调函数,同时将pcap_loop()的user参数传递给它
第二个参数是收到的数据包的pcap_pkthdr类型的指针
第三个参数是收到的数据包数据
c)int pcap_dispatch(pcap_t * p, int cnt, pcap_handler callback, u_char * user)
这个函数和pcap_loop()非常类似,只是在超过to_ms毫秒后就会返回(to_ms是pcap_open_live()的第4个参数)
例子:
test2:
- #include <pcap.h>
- #include <time.h>
- #include <stdlib.h>
- #include <stdio.h>
-
- int main()
- {
- char errBuf[PCAP_ERRBUF_SIZE], * devStr;
-
-
- devStr = pcap_lookupdev(errBuf);
-
- if(devStr)
- {
- printf("success: device: %s\n", devStr);
- }
- else
- {
- printf("error: %s\n", errBuf);
- exit(1);
- }
-
-
- pcap_t * device = pcap_open_live(devStr, 65535, 1, 0, errBuf);
-
- if(!device)
- {
- printf("error: pcap_open_live(): %s\n", errBuf);
- exit(1);
- }
-
-
- struct pcap_pkthdr packet;
- const u_char * pktStr = pcap_next(device, &packet);
-
- if(!pktStr)
- {
- printf("did not capture a packet!\n");
- exit(1);
- }
-
- printf("Packet length: %d\n", packet.len);
- printf("Number of bytes: %d\n", packet.caplen);
- printf("Recieved time: %s\n", ctime((const time_t *)&packet.ts.tv_sec));
-
- pcap_close(device);
-
- return 0;
- }
打开两个终端,先ping 192.168.1.10,由于我们的ip是192.168.1.1,因此我们可以收到广播的数据包,另一个终端运行test,就会抓到这个包。下面的这个程序会把收到的数据包内容全部打印出来,运行方式和上一个程序一样:
test3:
- #include <pcap.h>
- #include <time.h>
- #include <stdlib.h>
- #include <stdio.h>
-
- void getPacket(u_char * arg, const struct pcap_pkthdr * pkthdr, const u_char * packet)
- {
- int * id = (int *)arg;
-
- printf("id: %d\n", ++(*id));
- printf("Packet length: %d\n", pkthdr->len);
- printf("Number of bytes: %d\n", pkthdr->caplen);
- printf("Recieved time: %s", ctime((const time_t *)&pkthdr->ts.tv_sec));
-
- int i;
- for(i=0; i<pkthdr->len; ++i)
- {
- printf(" %02x", packet[i]);
- if( (i + 1) % 16 == 0 )
- {
- printf("\n");
- }
- }
-
- printf("\n\n");
- }
-
- int main()
- {
- char errBuf[PCAP_ERRBUF_SIZE], * devStr;
-
-
- devStr = pcap_lookupdev(errBuf);
-
- if(devStr)
- {
- printf("success: device: %s\n", devStr);
- }
- else
- {
- printf("error: %s\n", errBuf);
- exit(1);
- }
-
-
- pcap_t * device = pcap_open_live(devStr, 65535, 1, 0, errBuf);
-
- if(!device)
- {
- printf("error: pcap_open_live(): %s\n", errBuf);
- exit(1);
- }
-
-
- int id = 0;
- pcap_loop(device, -1, getPacket, (u_char*)&id);
-
- pcap_close(device);
-
- return 0;
- }
从上图可以看出,如果我们没有按Ctrl+c,test会一直抓到包,因为我们将pcap_loop()设置为永远循环由于ping属于icmp协议,并且发出icmp协议数据包之前必须先通过arp协议获取目的主机的mac地址,因此我们抓到的包是arp协议的,而arp协议的数据包长度正好是42字节(14字节的以太网帧头+28字节的arp数据)。具体内容请参考相关网络协议说明。5.分析数据包我们既然已经抓到数据包了,那么我们要开始分析了,这部分留给读者自己完成,具体内容可以参考相关的网络协议说明。在本文的最后,我会示范性的写一个分析arp协议的sniffer,仅供参考。
要特别注意一点,网络上的数据是网络字节顺序的,因此分析前需要转换为主机字节顺序(ntohs()函数)。
6.过滤数据包我们抓到的数据包往往很多,如何过滤掉我们不感兴趣的数据包呢?
几乎所有的操作系统(BSD, AIX, Mac OS, Linux等)都会在内核中提供过滤数据包的方法,
主要都是基于BSD Packet Filter(BPF)结构的。libpcap利用BPF来过滤数据包。
过滤数据包需要完成3件事:
a) 构造一个过滤表达式
b) 编译这个表达式
c) 应用这个过滤器
a)BPF使用一种类似于汇编语言的语法书写过滤表达式,不过libpcap和tcpdump都把它封装成更高级且更容易的语法了,具体可以man tcpdump,以下是一些例子:
src host 192.168.1.177只接收源ip地址是192.168.1.177的数据包
dst port 80只接收tcp/udp的目的端口是80的数据包
not tcp只接收不使用tcp协议的数据包
tcp[13] == 0x02 and (dst port 22 or dst port 23)只接收SYN标志位置位且目标端口是22或23的数据包(tcp首部开始的第13个字节)
icmp[icmptype] == icmp-echoreply or icmp[icmptype] == icmp-echo只接收icmp的ping请求和ping响应的数据包
ehter dst 00:e0:09:c1:0e:82只接收以太网mac地址是00:e0:09:c1:0e:82的数据包
ip[8] == 5只接收ip的ttl=5的数据包(ip首部开始的第8个字节)
b)构造完过滤表达式后,我们需要编译它,使用如下函数:
int pcap_compile(pcap_t * p, struct bpf_program * fp, char * str, int optimize, bpf_u_int32 netmask)fp:这是一个传出参数,存放编译后的bpf
str:过滤表达式
optimize:是否需要优化过滤表达式
metmask:简单设置为0即可
c)最后我们需要应用这个过滤表达式:
int pcap_setfilter(pcap_t * p, struct bpf_program * fp)第二个参数fp就是前一步pcap_compile()的第二个参数
应用完过滤表达式之后我们便可以使用pcap_loop()或pcap_next()等抓包函数来抓包了。下面的程序演示了如何过滤数据包,我们只接收目的端口是80的数据包:
test4.c
- #include <pcap.h>
- #include <time.h>
- #include <stdlib.h>
- #include <stdio.h>
-
- void getPacket(u_char * arg, const struct pcap_pkthdr * pkthdr, const u_char * packet)
- {
- int * id = (int *)arg;
-
- printf("id: %d\n", ++(*id));
- printf("Packet length: %d\n", pkthdr->len);
- printf("Number of bytes: %d\n", pkthdr->caplen);
- printf("Recieved time: %s", ctime((const time_t *)&pkthdr->ts.tv_sec));
-
- int i;
- for(i=0; i<pkthdr->len; ++i)
- {
- printf(" %02x", packet[i]);
- if( (i + 1) % 16 == 0 )
- {
- printf("\n");
- }
- }
-
- printf("\n\n");
- }
-
- int main()
- {
- char errBuf[PCAP_ERRBUF_SIZE], * devStr;
-
-
- devStr = pcap_lookupdev(errBuf);
-
- if(devStr)
- {
- printf("success: device: %s\n", devStr);
- }
- else
- {
- printf("error: %s\n", errBuf);
- exit(1);
- }
-
-
- pcap_t * device = pcap_open_live(devStr, 65535, 1, 0, errBuf);
-
- if(!device)
- {
- printf("error: pcap_open_live(): %s\n", errBuf);
- exit(1);
- }
-
-
- struct bpf_program filter;
- pcap_compile(device, &filter, "dst port 80", 1, 0);
- pcap_setfilter(device, &filter);
-
-
- int id = 0;
- pcap_loop(device, -1, getPacket, (u_char*)&id);
-
- pcap_close(device);
-
- return 0;
- }
在下面的这一个例子中,客户机通过tcp的9732端口连接服务器,发送字符‘A‘,之后服务器将‘A‘+1即‘B‘返回给客户机,具体实现可以参考:
http://blog.csdn.net/htttw/article/details/7519964服务器的ip是192.168.56.101,客户机的ip是192.168.56.1服务器:
Makefile:
- all: tcp_client.c tcp_server.c
- gcc -g -Wall -o tcp_client tcp_client.c
- gcc -g -Wall -o tcp_server tcp_server.c
-
- clean:
- rm -rf *.o tcp_client tcp_server
tcp_server:
- #include <sys/types.h>
- #include <sys/socket.h>
- #include <netinet/in.h>
- #include <arpa/inet.h>
- #include <unistd.h>
- #include <stdlib.h>
- #include <stdio.h>
-
- #define PORT 9832
- #define SERVER_IP "192.168.56.101"
-
- int main()
- {
-
- int server_sockfd = socket(AF_INET, SOCK_STREAM, 0);
-
- struct sockaddr_in server_addr;
- server_addr.sin_family = AF_INET;
- server_addr.sin_addr.s_addr = inet_addr(SERVER_IP);
- server_addr.sin_port = htons(PORT);
-
-
- bind(server_sockfd, (struct sockaddr *)&server_addr, sizeof(server_addr));
-
-
- listen(server_sockfd, 5);
-
- char ch;
- int client_sockfd;
- struct sockaddr_in client_addr;
- socklen_t len = sizeof(client_addr);
- while(1)
- {
- printf("server waiting:\n");
-
-
- client_sockfd = accept(server_sockfd, (struct sockaddr *)&client_addr, &len);
-
-
- read(client_sockfd, &ch, 1);
- printf("get char from client: %c\n", ch);
- ++ch;
- write(client_sockfd, &ch, 1);
-
-
- close(client_sockfd);
- }
-
- return 0;
- }
tcp_client:
- #include <sys/types.h>
- #include <sys/socket.h>
- #include <netinet/in.h>
- #include <arpa/inet.h>
- #include <unistd.h>
- #include <stdlib.h>
- #include <stdio.h>
-
- #define PORT 9832
- #define SERVER_IP "192.168.56.101"
-
- int main()
- {
-
- int sockfd = socket(AF_INET, SOCK_STREAM, 0);
-
- struct sockaddr_in address;
- address.sin_family = AF_INET;
- address.sin_addr.s_addr = inet_addr(SERVER_IP);
- address.sin_port = htons(PORT);
-
-
- int result = connect(sockfd, (struct sockaddr *)&address, sizeof(address));
- if(result == -1)
- {
- perror("connect failed: ");
- exit(1);
- }
-
-
- char ch = ‘A‘;
- write(sockfd, &ch, 1);
- read(sockfd, &ch, 1);
- printf("get char from server: %c\n", ch);
-
-
- close(sockfd);
-
- return 0;
- }
运行方法如下,首先在服务器上运行tcp_server,然后运行我们的监听器,然后在客户机上运行tcp_client,注意,
我们可以先清空arp缓存,这样就可以看到整个通信过程(包括一开始的arp广播)在客户机上运行下列命令来清空记录服务器的arp缓存:
sudo arp -d 192.168.56.101
arp -a后发现已经删除了记录服务器的arp缓存
抓包的结果如下所示,由于包太多了,无法全部截图,因此我把所有内容保存在下面的文本中了:
全部的包如下:
仔细研究即可发现服务器与客户机是如何通过tcp通信的。
下面的这个程序可以获取eth0的ip和子网掩码等信息:
test5:
- #include <stdio.h>
- #include <stdlib.h>
- #include <pcap.h>
- #include <errno.h>
- #include <netinet/in.h>
- #include <arpa/inet.h>
-
- int main()
- {
-
- char * dev;
- char errbuf[PCAP_ERRBUF_SIZE];
- dev = pcap_lookupdev(errbuf);
-
-
- if(!dev)
- {
- printf("pcap_lookupdev() error: %s\n", errbuf);
- exit(1);
- }
-
-
- printf("dev name: %s\n", dev);
-
-
- bpf_u_int32 netp;
- bpf_u_int32 maskp;
- int ret;
- ret = pcap_lookupnet(dev, &netp, &maskp, errbuf);
-
- if(ret == -1)
- {
- printf("pcap_lookupnet() error: %s\n", errbuf);
- exit(1);
- }
-
-
- char * net;
- char * mask;
- struct in_addr addr;
-
- addr.s_addr = netp;
- net = inet_ntoa(addr);
-
- if(!net)
- {
- perror("inet_ntoa() ip error: ");
- exit(1);
- }
-
- printf("ip: %s\n", net);
-
-
- addr.s_addr = maskp;
- mask = inet_ntoa(addr);
-
- if(!mask)
- {
- perror("inet_ntoa() sub mask error: ");
- exit(1);
- }
-
- printf("sub mask: %s\n", mask);
-
- return 0;
- }
结果如图:
int pcap_lookupnet(const char * device, bpf_u_int32 * netp, bpf_u_int32 * maskp, char * errbuf)
可以获取指定设备的ip地址,子网掩码等信息
netp:传出参数,指定网络接口的ip地址
maskp:传出参数,指定网络接口的子网掩码
pcap_lookupnet()失败返回-1
我们使用inet_ntoa()将其转换为可读的点分十进制形式的字符串本文的绝大部分来源于libpcap的官方文档:libpcapHakin9LuisMartinGarcia.pdf,可以在官网下载,文档只有9页,不过很详细,还包括了数据链路层,网络层,传输层,应用层等的分析。很好!
更多参考可以man pcap
最后为了方便大家,本文的所有代码和上述的pdf文档都一并上传上来了:
http://download.csdn.net/detail/htttw/4264686
完成!