sniff,截取外部發送到你機器上的IP數據包.

sniff,截取外部發送到你機器上的IP數據包.

sniffer 這類型的軟件多了去了,都是大同小異的,我簡單的實現了一個..下面描述下工作原理吧.

這樣的小程序是在應用層通過套接字直接獲取留進網卡的IP數據包,注意是流進的,同時獲取到的是

原封的IP數據包,只有這樣纔可以對數據包進行分析來源和協議.

 

sniff不是直接通過調用底層的API,所以無法直接控制網卡的信息,如果要獲取本機發出的包,或者說獲取更底

層的協議的數據,就必須要從網卡驅動下手了,很多的網絡防火牆就是這樣做的.對這個我也不大瞭解,也是剛看了

別人的文章.沒怎麼深入,要了解的自己百度.

 

 //IP頭部，總長度20字節 typedef struct _IP_HEADER { unsigned char header_len:4; unsigned char version:4; unsigned char tos; // type of service unsigned short total_len; // length of the packet unsigned short ident; // unique identifier unsigned short flags; unsigned char ttl; unsigned char protocol; // protocol ( IP , TCP, UDP etc) unsigned short checksum; unsigned int sourceIP; unsigned int destIP; }IP_HEADER; //TCP頭部，總長度20字節 typedef struct _TCP_HEADER { unsigned short src_port; //源端口號 unsigned short dst_port; //目的端口號 unsigned int seq_no; //序列號 unsigned int ack_no; //確認號 #if LITTLE_ENDIAN unsigned char reserved_1:4; //保留6位中的4位首部長度 unsigned char thl:4; //tcp頭部長度 unsigned char flag:6; //6位標誌 unsigned char reseverd_2:2; //保留6位中的2位 #else unsigned char thl:4; //tcp頭部長度 unsigned char reserved_1:4; //保留6位中的4位首部長度 unsigned char reseverd_2:2; //保留6位中的2位 unsigned char flag:6; //6位標誌 #endif unsigned short wnd_size; //16位窗口大小 unsigned short chk_sum; //16位TCP檢驗和 unsigned short urgt_p; //16爲緊急指針 }TCP_HEADER; //UDP頭部，總長度8字節 typedef struct _UDP_HEADER { unsigned short src_port; //遠端口號 unsigned short dst_port; //目的端口號 unsigned short uhl; //udp頭部長度 unsigned short chk_sum; //16位udp檢驗和 }UDP_HEADER; //ICMP頭部，總長度4字節 typedef struct _ICMP_HEADER{ unsigned char icmp_type; //類型 unsigned char code; //代碼 unsigned short chk_sum; //16位檢驗和 }ICMP_HEADER;

這幾個是重要的數據結構,從socket中獲得ip數據包後,你就可以進行分析

要記得的一點是:

IP包首部長度,這個值以4字節爲單位.IP協議首部的固定長度爲20個字節,如果IP包沒有選項,那麼這個值爲5.
TCP包頭呢貌似是以1/4字節爲單位的-_-!

破空間不支持上傳文件哦！！