Sniffer是网络中一种常见的嗅探技术。对于网络管理员而言,他可以利用Sniffer来获取相关的网络流量情况进而发现一些潜在的网络性能或者安全问题;而对于黑客而言,Sniffer则能够帮助他得到一些重要的数据诸如用户名和密码或者其他的商业机密。Sniffer工作在用户看不见也注意不到的网络底层,隐蔽性极强,如被非法利用将会造成极大的危害,而利益受损的用户可能还浑然不觉。
为了使读者对Sniffer的原理有一个深入的理解,本实例实现一个Sniffer来捕捉用户名和密码,如果抓到密码的话,就在屏幕上面打印出来,同时还输出源计算机和目的计算机的IP地址,至于其他的信息我们则进行简单的抛弃而不做任何处理。程序编译运行后,启动控制台,运行snifpass.exe文件后,使用IE登录163.com,使用您的用户名和密码登录会员区时,sniffer获取的结果如下图所示:
图一、sniffer程序界面效果图
一、实现方法
在说明Sniffer实现方法之前,让我们先来看看以太网的工作方式。我们知道,以太网是一种基于广播信道的通信网络,在这种广播网络中,数据的发送是以广播方式来进行的。当一台计算机向另外一台计算机发送数据时,该数据将同时被发送到局域网中的其他所有计算机的网卡上。这样一来,每台计算机的网卡都能够收到这个数据帧。但在正常情况下,网卡只接受两种数据帧:
1、和自己的MAC地址相匹配的数据帧。
2、网络中的广播数据帧。
换而言之,只要网卡发现自己收到的数据帧和自己的MAC地址并不匹配,网卡就简单的将其抛弃,不做任何处理。所以在正常情况下,网络中的通信还是安全的。
但是以太网卡还有一种特殊的接收模式:混杂模式。在混杂模式下面,网卡能够接收一切通过它的数据,而不管该数据是否是传给它的。
好了,现在Sniffer的原理已经浮出水面,我们来总结一下实现Sniffer的两个条件:
1、 我们需要一个共享式以太网环境。
2、我们需要将网卡的接收模式设置为混杂模式。
满足这两个条件后,我们就可以在网络中不动声色的来嗅探我们想要的数据了。下面我们来分析一下一个基本的Sniffer是如何实现的。
为了能够在网络上捕捉所有的数据包,我们首先需要将网卡设置为混杂模式。在Windows环境下面我们要用到一个函数:WSAIoctl()。在MSDN里我们可以看到该函数的定义如下:
int WSAIoctl (
SOCKET s,
DWORD dwIoControlCode,
LPVOID lpvInBuffer,
DWORD cbInBuffer,
LPVOID lpvOUTBuffer,
DWORD cbOUTBuffer,
LPDWORD lpcbBytesReturned,
LPWSAOVERLAPPED lpOverlapped,
LPWSAOVERLAPPED_COMPLETION_ROUTINE lpCompletionROUTINE
);
该函数共有九个参数,第一个参数s是套接字描述符;第二个参数是I/O控制命令,有很多个命令可供选择,但在我们的程序中将只使用SIO_RCVALL命令。第三、第四个参数是对输入参数进行了描述。第五、第六个参数用于自调用返回的任何数据。第七个参数对应于实际返回的字节数。最后两个参数是lpOverlapped和lpCompletionROUTINE,在随重叠I/O调用这个函数时使用。在我们的程序中将其设置为NULL。
通过这个函数我们可以将网卡设置为混杂模式,并允许指定的套接字接收网络上的所有IP数据包。解决了网卡混杂模式设置的问题,下面我们就可以做一个实际的Sniffer,毕竟只有通过亲自动手写程序你才能够真正理解Sniffer。在这个例子中,我们将只捕捉用户名和密码,如果抓到密码的话,就在屏幕上面打印出来,同时还输出源计算机和目的计算机的IP地址,至于其他的信息我们则进行简单的抛弃而不做任何处理。