实用网络sniffer的设计与实现.doc

实用网络sniffer的设计与实现.doc实用网络sniffer的设计与实现摘要:本文在分析网络嗅探器的基本原理基础上,阐述在WindowsXp环境下实现一个网络嗅探器的具体方法和过程并在VisualC++。对运行结果进行分析,表明该网络嗅探器具备数据捕获以及对数据包的分析等基本功能,具有较好的应用价值。关键词:网络嗅探器;混杂模式;数据包捕获;原始套接字中图分类号::A文章编号:1007-9599(2011)16-0000-02 workSniffer LiuLei (DepartmentofInformationEngineering,JilinBusinessandTechnologyCollege,Changchun130061,China) Abstract:worksniffer,worksnifferprogramwithVisualC++. worksniffer;Promiscuousmode;Packetcapturing;Rawsocket 一、前言网络嗅探器,英文名称为Sniffer,是利用计算机的网络接口截获在网络中传输的数据信息的一种工具。与主动扫描相比,工作方式非常隐蔽,也容易操作。大多数的嗅探器能分析的协议有:标准以太网、TCP/IP、IPX、、FDDI、Token等。Sniffer技术用途非常广泛:网络故障诊断、协议分析、应用性能分析、网络安全保障和截获账号密码等。二、网络Sniffer的工作原理第一,以太网中数据以广播方式传送。数据的收发是由网卡来完成的,网卡内的单片程序接收数据帧的目的MAC地址,根据计算机上的网卡驱动程序设置的接收模式判断是否接收,若接收,则产生中断信号通知CPU――>CPU产生中断――>操作系统(OS)调用驱动程序接收数据――>放入堆栈――>OS进行处理;若不接收,数据就被网卡截断,不通知CPU。第二,网卡接收模式置为混杂模式。网卡一般有四种接收模式:广播、组播、直接方式、混杂模式。其中混杂模式下网卡能够接收通过它的一切数据,不论是不是传给它的。这是编写网络嗅探器的关键。三、网络Sniffer的具体实现捕获的整个过程是连续的,如加载Winsock信息,建立套接字,设置网卡的混杂模式,捕获、分析数据包等。因此将这些功能的实现集中到一起,直观显示截获的数据信息。操作界面上采用控件列表框ListBox显示数据,下压按钮Button触发或停止工作。应用ClassWizard添加函数来处理按钮单击事件。在编辑规则上,用户可选择对特定目标捕捉,即套接字的三个元素:协议,IP地址,端口号。采用控件radiobutton进行选择操作,最后将截获的数据保存到记事本文件中。功能模块有:网络截包、数据包显示、分解数据包和规则编辑。其中主要功能代码实现如下: //在线程冲中不断接收IP包 UINTRecvIpPro(LPVOIDlpParam) //处理已经接收到的IP包 EnterCriticalSection(&pDlg->m_ls); pDlg->SplitIpPack(recvBuf,