Hướng dẫn viết một chương trình Sniffer
Bài này mình hướng dẫn các bạn viết một sniffer (nghe lén) packet đơn giản
trên Windows. Để lập trình được thì cần các bạn hiểu rõ cách lập trình
socket trong ngôn ngữ C.
Với cách lập trình socket thông thường chúng ta sử dụng SOCK_STREAM,
SOCK_DGRAM tức lập trình ở mức Application của mạng mà thôi, để lập trình ở mức IP (tức
tầng Network trong 4 tầng của Internet: Tầng vật lý --> Tầng Ip--> Tầng TCP --> Tầng ứng
dụng) sử dụng SOCK_RAW là một dạng socket "thô"
Điều đầu tiên bao giờ chúng ta cũng phải khởi tạo thư viện Winsocket
Hàm khởi tạo thư viện như sau:
Code:
void InitWinSock()
{
WSADATA wsaData;
if (WSAStartup(MAKEWORD(1,1),&wsaData)!=0) return;
}
Chi tiết hàm WSAStartup có thể xem trợ giúp của MSDN ...
Cách tạo một Raw Socket như sau:
Code:
int CreateRawSocket()
{
int sock;
if
((sock=WSASocket(AF_INET,SOCK_RAW,0,NULL,NULL,WSA_FLAG_OVERLAPPED))=
=INVALID_SOCKET) return 0;
return sock;
}
Hàm trên trả về một sock mới nếu như không gặp lỗi
Như chúng ta đã biết mô hình mạng Internet được phân chia thành 4 tầng (Tầng vật lý Tầng
Ip Tầng TCP Tầng ứng dụng) tương ứng với 7 tầng của mô hình OSI (Tầng vật lý
Tầng liên kết Tầng mạng Tầng vận chuyển Tầng phiên Tầng trình diễn
Tầng ứng dụng). Mình khỏi phải nhắc lại mô hình OSI như thế nào vì có rất nhiều bài viết trong
diễn đàn đã nói đến OSI
Giới thiệu cấu trúc của gói IP, TCP, ICMP
a. Gói IP (ở tầng IP)
Định nghĩa một struct mô tả gói IP
Code:
struct ip_hdr{
unsigned char ver_ihl; //Code:
#include
#define SIO_RCVALL _WSAIOW(IOC_VENDOR,1)
#pragma comment (lib,"ws2_32.lib")
void InitWinSock();
int CreateRawSocket();
int Sniffer(int sock);
int packetcapture(char *packet);
int tcp_display(struct ip_hdr *ip,struct tcp_hdr *tcp);
int icmp_display(struct ip_hdr *ip,struct icmp_hdr *icmp);
struct ip_hdr
{
unsigned char ver_ihl;//VER va IHL (Internet Header Length)
unsigned char tos; //Type of Server
unsigned short tol_len;//Total Length=IpHeader + TCP Header + Data
unsigned short id; //Identification
unsigned short offset; //Frame offset
unsigned char ttl; //Time To Live
unsigned char protocol;
unsigned short checksum;
unsigned int saddr; //Source Address
unsigned int daddr; //Destination Address
};
struct tcp_hdr
{
unsigned short sport; //Source Port
unsigned short dport; //Detinations Port
unsigned int seqnum; //Sequence;
unsigned int acknum; //Acknowlege
unsigned char dataoffset; //Data Offset
unsigned char flags; //SYN, URG, FIN, ACK, RST, PUSH + Preserve
unsigned short windows;
unsigned short checksum;
unsigned short urgpointer;
};
struct icmp_hdr
{
unsigned char type;
unsigned char code;
unsigned short checksum;
unsigned short id;
unsigned short sequence;
unsigned short timestamp;
};
int socksniffer;
int main()
{
InitWinSock();
socksniffer=CreateRawSocket();
printf("Seamoun (http://nhomvicki.net)\n");
printf("Sniffer TCP, ICMP v1.0\n\n");
printf(" Packet Capture ...\n");
Sniffer(socksniffer);
return 0;
}
//Ham khoi tao thu vien WinSock
void InitWinSock()
{
WSADATA wsaData;
if (WSAStartup(MAKEWORD(1,1),&wsaData)!=0) return;
}
//Ham tao RawSocket
int CreateRawSocket()
{
int sock;
if
((sock=WSASocket(AF_INET,SOCK_RAW,0,NULL,NULL,WSA_FLAG_OVERLAPPED))=
=INVALID_SOCKET) return 0;
return sock;
}
//Ham thuc hien Sniffer
int Sniffer(int sock)
{
DWORD dwBufferLen[10], dwBufferInLen = 1, dwBytesReturned = 0;
char *HostName=new char [32];
unsigned long nSize=32;
struct hostent *hp;
sockaddr_in from,dest;
int sread,fromlen=sizeof(from);
char *packet=new char [2048];
if (GetComputerName(HostName,&nSize)==0) return -1;
if ((hp=gethostbyname(HostName))==0) return -1;
delete(HostName);
int i=0;
while ((hp->h_addr_list[i+1])!=NULL)
{
i++;
}
memcpy(&from.sin_addr.s_addr,hp->h_addr_list[i],hp->h_length);
if ((hp=gethostbyname(inet_ntoa(from.sin_addr)))==NULL) return -1;
memset(&dest,0,sizeof(dest));
memcpy(&dest.sin_addr.s_addr,hp->h_addr_list[0],hp->h_length);
dest.sin_family=AF_INET;
dest.sin_port=htons(8000);
if (bind(sock,(struct sockaddr *)&dest,sizeof(dest))==SOCKET_ERROR) return -1;
//WSAIoctl : dieu khien vao ra socket
if(WSAIoctl(sock, SIO_RCVALL, &dwBufferInLen, sizeof(dwBufferInLen), &dwBufferLen,
sizeof(dwBufferLen),&dwBytesReturned , NULL , NULL) == SOCKET_ERROR) return(-1);
//Don nhan va su ly goi du lieu
while (1)
{
sread=recvfrom(sock,packet,8191,0,(struct sockaddr *)&from.sin_addr,&fromlen);
if ((sread==SOCKET_ERROR)||sreadprotocol)
{
case 6:
tcp_display(ip,tcp);
break;
case 1:
icmp_display(ip,icmp);
break;
default:
break;
}
return 0;
}
//Ham hien thi goi TCP
int tcp_display(ip_hdr *ip,tcp_hdr *tcp)
{
printf("TCP: [%d] %s:%d", ntohs(ip->tol_len), inet_ntoa(*(struct in_addr *)&ip->saddr),
ntohs(tcp->sport));
printf(" > %s:%d|ttl = %d|win = %d|checksum = %d|flag = %d\n\n", inet_ntoa(*(struct in_addr
*)&ip->daddr),
ntohs(tcp->dport), ip->ttl, ntohs(tcp->windows), tcp->checksum, tcp->flags);
return 0;
}
//Ham hien thi goi ICMP
int icmp_display(struct ip_hdr *ip, struct icmp_hdr *icmp)
{
printf("ICMP: [%d] %s", ntohs(ip->tol_len), inet_ntoa(*(struct in_addr *)&ip->saddr));
printf(" > %s type = %d|code = %d|ttl = %d|seq = %x\n", inet_ntoa(*(struct in_addr *)&ip-
>daddr), icmp->type, icmp->code, ip->ttl, ntohs(icmp->sequence));
return 0;
}
Kết quả khi chạy chương trình
+ Thực hiện gửi gói ICMP bằng cách dùng lệnh PING
Code:
C:\>ping 10.0.0.2
Reply from 10.0.0.2: bytes=32 time 10.0.0.2 type = 8|code = 0|ttl = 128|seq = 3d00
ICMP: [60] 10.0.0.2 > 10.0.0.1 type = 0|code = 0|ttl = 64|seq = 3d00
ICMP: [60] 10.0.0.1 > 10.0.0.2 type = 8|code = 0|ttl = 128|seq = 3e00
ICMP: [60] 10.0.0.2 > 10.0.0.1 type = 0|code = 0|ttl = 64|seq = 3e00
ICMP: [60] 10.0.0.1 > 10.0.0.2 type = 8|code = 0|ttl = 128|seq = 3f00
ICMP: [60] 10.0.0.2 > 10.0.0.1 type = 0|code = 0|ttl = 64|seq = 3f00
ICMP: [60] 10.0.0.1 > 10.0.0.2 type = 8|code = 0|ttl = 128|seq = 4000
ICMP: [60] 10.0.0.2 > 10.0.0.1 type = 0|code = 0|ttl = 64|seq = 4000
+Thực hiện gửi gói TCP bằng netcat
Code:
C:\>nx -vv -n 10.0.0.1
Chương trình Sniffer:
Seamoun (http://nhomvicki.net)
Sniffer TCP, ICMP v1.0
Packet Capture ...
TCP: [64] 10.0.0.1:80 > 10.0.0.2:1033|ttl = 128|win = 64240|checksum = 55340|flag = 18
TCP: [60] 10.0.0.2:1033 > 10.0.0.1:80|ttl = 64|win = 5840|checksum = 5942|flag = 2
TCP: [52] 10.0.0.2:1033 > 10.0.0.1:80|ttl = 64|win = 5840|checksum = 23589|flag = 16
Copyright by webtailieu.net