关键词  网络嗅探器 混杂模式  模块化设计

1  引 言

    随着网络技术的发展，网络系统对于整个社会的工作和建设发挥着越来越大的作用，网络环境也变得越来越复杂，与此同时网络系统的安全问题也引起了我们的关注。设计数据包嗅探器的目的在于能够使系统管理员运用此类软件分析网络流量以便更好地控制网络。它能够帮助系统管理人员迅速地找到问题症结所在（如网络瓶颈、错误配置等），它们通常被用来在网路上截取/阅读位于OSI 协议模型中各个协议层次上的数据包。 

2 网络嗅探软件的设计原理 

嗅探器可以理解为一个安装在计算机上的窃听设备，它可以用来窃听计算机在网络上所产生的众多的信息，可以窃听计算机程序在网络上发送和接收到的数据，用来接收在网络上传输的信息。

很多计算机网络采用的是“共享媒体"。也就是说，不必中断他的通讯，并且配置特别的线路，再安装嗅探器，几乎可以在任何连接着的网络上直接窃听到同一掩码范围内的计算机网络数据。这种窃听方式为“基于混杂模式的嗅探”（promiscuous mode）。

2.1 以太网的工作原理

以太网的数据传输是基于“共享”原理的：所有的同一本地网范围内的计算机共同接收到相同的数据包。这意味着计算机直接的通讯都是透明可见的。正是因为这样的原因，以太网卡都构造了硬件的“过滤器”,这个过滤器将忽略掉一切和自己无关的网络信息。事实上是忽略掉了与自身MAC地址不符合的信息。嗅探程序正是利用了这个特点，它把网卡设置为“混杂模式”。因此，嗅探程序就能够接收到整个以太网内的网络数据信息了。 

在以太网中所有的通讯都是广播的，也就是说通常在同一个网段的所有网络接口都可以访问在物理媒体上传输的所有数据，而每一个网络接口都有一个唯一的硬件地址，这个硬件地址也就是网卡的MAC地址。大多数系统使用48比特的地址，这个地址用来表示

网络中的每一个设备。一般来说每一块网卡上的MAC地址都是不同的，每个网卡厂家得到一段地址，然后用这段地址分配给其生产的每个网卡一个地址。在硬件地址和IP地址间使用ARP和RARP协议进行相互转换。

在正常的情况下，一个网络接口应该只响应这样的两种数据帧：

① 与自己硬件地址相匹配的数据帧。

② 发向所有机器的广播数据帧。

2.2 网卡的工作原理

在一个实际的系统中，数据的收发是由网卡来完成的。网卡接收到传输来的数据，网卡内的单片程序接收数据帧的目的MAC地址。根据计算机上的网卡驱动程序设置的接收模式判断该不该接收。认为该接收就接收后产生中断信号通知CPU；认为不该接收就丢掉不管。所以不该接收的数据，网卡就截断了，计算机根本就不知道。CPU得到中断信号产生中断，操作系统就根据网卡的驱动程序设置的网卡中断程序地址调用驱动程序接收数据，驱动程序接收数据后放入信号堆栈让操作系统处理。

对于网卡一般有四种接收模式：

① 广播方式：该模式下的网卡能够接收网络中的广播信息。

② 组播方式：设置在该模式下的网卡能够接收组播数据。

③ 直接方式：在这种模式下，只有目的网卡才能接收该数据。

④ 混杂模式：在这种模式下的网卡能够接收一切通过它的数据,而不管该数据是否是传给它的。

数据包MAC

接口配置模式

产生中断，通知CPU

产生中断，通知CPU

不处理，丢弃

本地接口硬件地址

广播地址

其他硬件地址

混杂模式

非混合模式

数据包MAC

接口配置模式

产生中断，通知CPU

产生中断，通知CPU

不处理，丢弃

数据包

2.3 网络嗅探软件的工作原理

根据以上的介绍，我们可以得出结论如下：

首先，在以太网中是基于广播方式传送数据的，也就是说，所有的物理信号都要经过我的机器。再次，网卡可以置于一种模式叫混杂模式（promiscuous mode），在这种模式下工作的网卡能够接收到一切通过它的数据，而不管实际上数据的目的地址是不是它。这就是以下将要介绍的网络嗅探软件的工作的基本原理：让网卡接收一切它所能接收的数据。

计算机直接所传送的数据，事实上是大量的二进制数据。因此, 一个网络窃听程序还必须也使用特定的网络协议来分解嗅探到的数据，嗅探器也就必须能够识别出哪个协议对应于这个数据片断，只有这样才能够进行正确的解码。   

3 网络嗅探软件的设计实现

    该网络嗅探软件能够从网络上读取数据包并且解析数据包报文头中各字段的意义。能够分析数据帧以及所使用的协议的类型。

3.1 网络嗅探软件的模块结构

设计该网络嗅探软件可分为以下几个步骤：

① 创建套接字

② 把网卡设置为混杂模式

③ 捕获数据包

④ 分析数据包

3.2 模块说明

⑴　 该网络嗅探软件主要是运用LINUX环境下的SOCKET编程。网络的SOCKET数据传输是一种特殊的I/O, SOCKET也是一种文件描述符。该网络嗅探软件设计的目的是截获所有的数据包，即包括所有的协议。

Socket（）函数的定义式如下：

Sockfd = socket ( int family, int type, int protocol ) ；

第一个参数是地址类型，如果选用AF UNIX, 是用于本机上不同进程之间进行通信，而设为AF INET 则是用于不同主机之间的通信；第二个参数即socket的类型参数，主要有4种参数类型如下：

①　SOCK DRAM：used for udp datagrams.

②　SOCK STREAM：used for tcp packets.

③　SOCK RAW：used to bypass the transport layer and directly access the IP layer.

      　④　SOCK PACKET：this is linux specific, it is similuar to sock raw except it accesses the DATA LINK layer.

第三个参数是协议参数，指定程序使用具体的协议。

在此程序中为截获包含所有协议的数据包，故在程序的开始就写语句：

＃define PROTO   htons （0x0003）/ *Ethernet code for all protol */

且在本程序中socket（）函数的第二个参数选用sock packet。

⑵　套接字创建成功之后，就可以选择网络接口并加以参数控制了。进入第二个模块：设置网卡于混杂模式。

在程序中有一个单独的自定义函数是用来将网卡设置为混杂模式的。在这个模块中主要是调用了ioctl 函数，ioctl 函数是用来控制特殊文件的底层设备参数的，这些特殊文件通常是终端、套接字和接口。ioctl 函数的定义如下：

     ioctl（sock， SIOCGIFFLAGS, &ifr ）

     ioctl（）函数中第一个参数是一个打开的原始套接字描述符“sock”，第二个参数是所要执行的请求操作。这里，请求操作是“SIOCGIFFLAGS”，意思是获取接口“etho”的标记符。第三个参数是接口请求数据结构的地址指针，该结构中包含了所要进行请求操作的接口名称值。

⑶　网络接口设置为混杂模式以后，接着就可以接收数据包了, 进入捕获数据包的模块。

   recvfrom ( if_eth_fd, &ep, sizeof (ep), 0, &dest, &dlen );

这个函数要做的就是接收数据，并把接收到的数据放入buffer中。

⑷　在成功的接收到数据包后，程序将进入下一个模块：分析数据包。

这里要介绍一下有关的网络基本知识，首先介绍一下TCP/IP的分层：

在TCP/IP协议族中，有很多种协议。可用图一简单概括TCP/IP协议族中不同层次的协议。如图所示，由于TCP、UDP、ICMP和IGMP都要向IP传送数据，因此IP必须在生成的IP首部中加入某种标识，以表明数据属于哪一层。为此，IP在首部中存入一个长度为8 bit的数据，称作协议域。1表示为ICMP协议，2表示为IGMP协议，6表示为TCP协议，17表示为UDP协议。类似地，许多应用程序都可以使用TCP或UDP来传送数据。运输层协议在生成报文首部时要存入一个应用程序的标识符。TCP和UDP都用一个16 bit的端口号来表示不同的应用程序。TCP和UDP把源端口号和目的端口号分别存入报文首部中。网络接口分别要发送和接收IP、ARP和RARP数据，因此也必须在以太网的帧首部中加入某种形式的标识，以指明生成数据的网络层协议。为此，以太网的帧首部也有一个16 bit的帧类型域。

TCP

UDP

ICMP

IP

IGMP

ARP

硬件接口

RARP

用户进程        用户进程        用户进程        用户进程      应用层    运输层 网络层   链路层

                          媒体

（图一）

    网络嗅探程序在分析数据包这一阶段正是根据了网络的工作原理：在收到一个以太网数据帧时，数据就开始从协议栈中由底向上升，同时去掉各层协议加上的报文首部。每层协议盒都要去检查报文首部中的协议标识，以确定接收数据的上层协议。这个过程即是分用。

4 进一步的发展方向

     还有很多的功能可以加入到本文所设计的软件中，使其变得更加完整。它的另一个发展的方向就是进一步更好的分析数据包中的数据部分，并能够把分析出来的数据从ASCII码转换为自然语言，这就能够给用户带来很大的方便。