嗅探器(Sniffer)一直以來都是一種讓人惱火的黑客工具,因為它是一種靜態(tài)的攻擊軟件���,它的存在不會留下任何痕跡��,因此人們很難將它揪出來����。可是���,它的危害性卻又是相當大的(它就像一個監(jiān)視器��,你的“一舉一動”都在它的監(jiān)視之下��,你說危害大不大)��。所以���,我們不能不要想個辦法出來檢查網(wǎng)絡中是否存在Sniffer,這是非常必要的���。
1. Sniffer原理
所謂知己知彼方能百戰(zhàn)不殆���,要了解探測Sniffer的方法,就先得了解Sniffer的原理�。首先,讓我們來看一看局域網(wǎng)中是怎樣傳輸數(shù)據(jù)的�。當一個數(shù)據(jù)包的目的地是局域網(wǎng)內(nèi)的某臺計算機時,此數(shù)據(jù)包將以廣播的形式被發(fā)送到網(wǎng)內(nèi)每一臺計算機上��。而每臺計算機的網(wǎng)卡將分析數(shù)據(jù)包中的目的Mac地址(即以太網(wǎng)地址),如果此地址為本計算機Mac地址或為廣播地址(FF-FF-FF-FF-FF-FF)�����,那么���,數(shù)據(jù)包將被接收���,而如果不是,網(wǎng)卡將直接將其丟棄�。但是,這里有一個前提�,就是接收端計算機的網(wǎng)卡是在正常模式下工作的。而如果網(wǎng)卡被設置為混雜模式���,那么它就可以接收所有經(jīng)過的數(shù)據(jù)包了(當然也包括目的地不是本機的數(shù)據(jù)包)���。就是說,只要是發(fā)送到局域網(wǎng)內(nèi)的數(shù)據(jù)包�,都會被設置成混雜模式的網(wǎng)卡所接收!這也就是Sniffer的基本原理了。至于Sniffer的具體實現(xiàn)和一些細節(jié)�����,這里就不多講了����,大家有興趣可以參考相關資料。
2. 以太網(wǎng)中傳輸?shù)腁RP數(shù)據(jù)報
知道了Sniffer的基本原理���,現(xiàn)在�,我們就要想想怎么才能將局域網(wǎng)中隱藏的Sniffer揪出來��,這才是本篇文章的主題��。這里���,我們需要自己構造ARP數(shù)據(jù)包�,所以����,就先簡單介紹一下ARP請求和應答數(shù)據(jù)報的結構:
typedef struct _et_header //以太網(wǎng)頭部
{
unsigned char eh_dst[6];
unsigned char eh_src[6];
unsigned short eh_type;
}ET_HEADER;
{
unsigned short arp_hdr;
unsigned short arp_pro;
unsigned char arp_hln;
unsigned char arp_pln;
unsigned short arp_opt;
unsigned char arp_sha[6];
unsigned long arp_spa;
unsigned char arp_tha[6];
unsigned long arp_tpa;
}ARP_HEADER;
以上就是網(wǎng)絡中傳輸?shù)腁RP數(shù)據(jù)包的結構了。至于結構中每個字段所表示的具體含義以及如何初始化����,超出了本文章的討論范圍,大家有興趣可以參看《TCP-IP協(xié)議詳解》一書。
3. 探測局域網(wǎng)中的Sniffer
終于進入主題了�����。既然Sniffer是一種靜態(tài)的黑軟�,不會留下任何日志,那么我們就要主動的去探測它���。鑒于Sniffer的原理是設置網(wǎng)卡為混雜模式��,那么���,我們就可以想辦法探測網(wǎng)絡中被設置為混雜模式的網(wǎng)卡,以此來判斷是否存在Sniffer�。
這里,讓我們再來看看計算機接收數(shù)據(jù)包的規(guī)則���。前面已經(jīng)講過��,在正常模式下���,首先由網(wǎng)卡判斷數(shù)據(jù)包的目的Mac地址,如果為本機Mac地址或為廣播地址�,那么數(shù)據(jù)包將被接收進入系統(tǒng)核心,否則將被丟棄。而如果網(wǎng)卡被設置為混雜模式���,那么所有的數(shù)據(jù)包都將直接進入系統(tǒng)核心。數(shù)據(jù)包到達系統(tǒng)核心后��,系統(tǒng)還將進一步對數(shù)據(jù)包進行篩選:系統(tǒng)只會對目的Mac地址為本機Mac地址或廣播地址的數(shù)據(jù)包做出響應――如果接收到的是ARP請求報文���,那么系統(tǒng)將回饋一個ARP應答報文�。但是�����,不同的是�,系統(tǒng)核心和網(wǎng)卡對廣播地址的判斷有些不一樣:以Windows系統(tǒng)為例,網(wǎng)卡會判斷Mac地址的所有六位�����,而系統(tǒng)核心只判斷Mac地址的前兩位(Win98甚至只判斷前一位)���,也就是說�,對于系統(tǒng)核心而言��,正確的廣播地址FF-FF-FF-FF-FF-FF和錯誤的廣播地址FF-FF-FF-FF-FF-FE是一樣的,都被認為是廣播地址����,甚至FF-FF-00-00-00-00也會被系統(tǒng)核心認為是廣播地址!
寫到這里,聰明的讀者大概已經(jīng)知道該怎么做了��。如果我們構造一個目的Mac
4. 主要源碼分析
由以上分析可知��,程序大概分為兩個模塊��,一個是發(fā)送偽裝廣播地址的ARP請求報文���,另一個是接收回饋的ARP應答報文并做出分析�����。我們就分別用兩個線程來實現(xiàn)����。主線程負責發(fā)送�����,監(jiān)聽線程負責接收���。
首先是創(chuàng)建以太網(wǎng)頭部和ARP頭部的結構:
typedef struct _et_header //以太網(wǎng)頭部
{
unsigned char eh_dst[6];
unsigned char eh_src[6];
unsigned short eh_type;
}ET_HEADER;
{
unsigned short arp_hdr;
unsigned short arp_pro;
unsigned char arp_hln;
unsigned char arp_pln;
unsigned short arp_opt;
unsigned char arp_sha[6];
unsigned long arp_spa;
unsigned char arp_tha[6];
unsigned long arp_tpa;
}ARP_HEADER;
然后是發(fā)送ARP請求報文的主線程�,取得所有適配器的名字。其中�,“adapter_name”表示一個用于存放適配器名字的緩沖區(qū),而這些適配器名字將以UNICODE編碼方式存入此緩沖區(qū)中�����。UNICODE編碼方式就是用一個字的空間(兩個字節(jié))來存放一個字符�。這樣�����,每個字符間自然會出現(xiàn)一個’\0’��。而兩個適配器名字之間將會有一個字為’\0’作為間隔��。adapter_length:這個緩沖區(qū)的大�。
if(PacketGetAdapterNames((char*)adapter_name, &adapter_length)==FALSE)
{
printf("PacketGetAdapterNames error:%d\n",GetLastError());
return 0;
}
打開適配器,此處我默認打開第一塊適配器:
lpAdapter=(LPADAPTER)PacketOpenAdapter((LPTSTR)adapter_list[0]);
if (!lpAdapter||(lpAdapter->hFile==INVALID_HANDLE_
以太網(wǎng)頭部和ARP頭部結構賦值�����,StrToMac函數(shù)是筆者自定義的字符串轉(zhuǎn)換為Mac地址的函數(shù):
StrToMac("00E06E41508F",s_Mac); //"00E06E41508F"是筆者測試程序所用的本地機的網(wǎng)卡地址,測試者應將其改為測試機網(wǎng)卡地址
memcpy(et_header.eh_src,s_Mac,6);
StrToMac("FFFFFFFFFFFE",d_Mac); //目的物理地址設置為FFFFFFFFFFFE����。
memcpy(et_header.eh_dst,d_Mac,6);
et_header.eh_type=htons(0x0806); //類型為0x0806表示這是ARP包
arp_header.arp_hdr=htons(0x0001); //硬件地址類型以太網(wǎng)地址
arp_header.arp_pro=htons(0x0800); //協(xié)議地址類型為IP協(xié)議
arp_header.arp_hln=6; //硬件地址長度為6
arp_header.arp_pln=4; //協(xié)議地址長度為4
arp_header.arp_opt=htons(0x0001); //標識為ARP請求
arp_header.arp_spa=inet_addr("172.24.21.10"); //"172.24.21.10"是我測試程序所用的本地機的IP,測試者應將其改為測試機IP
memcpy(arp_header.arp_sha,et_header.eh_src,6);
arp_header.arp_tpa=inet_addr(argv[1]);
memcpy(arp_header.arp_tha,et_header.eh_dst,6);
發(fā)送數(shù)據(jù)包:
lpPacket=PacketAllocatePacket(); //給PACKET結構指針分配內(nèi)存
PacketInitPacket(lpPacket,buffer,512); //初始化PACKET結構指針
PacketSetNumWrites(lpAdapter,5); //設置發(fā)送次數(shù)
PacketSendPacket(lpAdapter,lpPacket,TRUE);//發(fā)送ARP請求包
最后別忘了掃尾工作:
PacketFreePacket(lpPacket); //釋放PACKET結構指針
PacketCloseAdapter(lpAdapter); //關閉適配器
最后是監(jiān)聽線程����,設置接收數(shù)據(jù)包的系列參數(shù):
PacketSetHwFilter(lpAdapter, NDIS_PACKET_TYPE_DIRECTED); //設置網(wǎng)卡為直接模式
PacketSetBuff(lpAdapter,1024); //設置網(wǎng)卡接收數(shù)據(jù)包的緩沖區(qū)大小
PacketSetReadTimeout(lpAdapter,2); //設置接收到一個包后的“休息”時間
接收數(shù)據(jù)包:
PacketReceivePacket(lpAdapter, lpPacket, TRUE); //接收數(shù)據(jù)包
對數(shù)據(jù)包進行分析��,以得出結論:
char *buf;
bpf_hdr *lpBpfhdr;
ET_HEADER *lpEthdr;
in_addr addr={0};
buf=(char *)lpPacket->Buffer;
lpBpfhdr=(bpf_hdr *)buf;
lpEthdr=(ET_HEADER *)(buf+lpBpfhdr->bh_hdrlen);
if(lpEthdr->eh_type==htons(0x0806)) //判斷是否為ARP包
{
ARP_HEADER *lpArphdr=(ARP_HEADER*)(buf+lpBpfhdr->bh_hdrlen+sizeof(ET_HEADER));
char source_ip[20]={0},dest_ip[20]={0};
addr.S_un.S_addr=lpArphdr->arp_spa;
memcpy(source_ip,inet_ntoa(addr),strlen(inet_ntoa(addr)));
memset(&addr,0,sizeof(in_addr));
addr.S_un.S_addr=lpArphdr->arp_tpa;
memcpy(dest_ip,inet_ntoa(addr),strlen(inet_ntoa(addr)));
if(!strcmp(source_ip,ip) && !strcmp(dest_ip,"172.24.21.10")) //判斷接收到的包的源IP與目的IP是否正確(字符串變量ip是從主線程傳遞過來的被探測機的ip)
{
if(lpArphdr->arp_opt==htons(0x0002)) //判斷是否為ARP應答
{
printf("There is a Sniffer!\n");
}
}
}
本文出自:億恩科技【prubsntakaful.com】
服務器租用/服務器托管中國五強��!虛擬主機域名注冊頂級提供商��!15年品質(zhì)保障�����!--億恩科技[ENKJ.COM]
|
香港服務器租用
美國服務器租用
電信骨干機房
聯(lián)通骨干機房
0371-60135900
