基于winpcap的嗅探器设计与实现毕业设计.doc

计算机与信息学院计算机网络系统实践报告设计题目：嗅探器的设计与实现学生姓名：*学 号：2010*专业班级：信息安全*2013 年 9 月 25一、设计要求1.不限平台，可以使用Libpcap、WinPcap 或 Linux的原始套接字；2.实现一个功能比较简单的、具有图形界面的Sniffer，主线程响应用户界面操作，工作线程完成抓包等工作；3.能够解析出IP层和传输层的协议头，能够过滤TCP、UDP等数据包；4.能够输出文本方式传送的数据包的内容；5.能够进行简单的流量统计。二、开发环境与工具操作系统：windows7开发工具：visual studio开发语言：C+附加库 ：Winpcap三、设计原理网络嗅探器是一种常用的监听网络的工具。所谓嗅探器( Sniffer) ，是一种利用计算机网络接口截获网络数据的软件或硬件，可用于网络管理、网络协议分析以及网络安全等众多方面。嗅探器不同于一般的键捕获工具，后者只能捕获当地终端控制台上的按键内容，而嗅探器所“嗅”到的是动态的以信息包形式( 如IP 数据包或者以太网包) 封装的信息流。其中可能携带了重要数据或敏感信息。可以将这些捕获到的信息包存档，以利用相应工具可以作进一步分析。计算机网络的设计为嗅探器的使用创造了最基本的条件。在目前的网络环境中，所有计算机节点都是共享传输介质，任意节点发出或发往任意节点的数据帧必将经过网内每一个节点的网络接口，此时只需对嗅探节点的网络接口( 网卡) 进行适当的设置便可为实现嗅探的做好准备工作。在计算机网络系统中，网卡是用来接收网络上其他节点发来的数据帧，其内嵌的单片处理程序会检测数据帧来源的MAC 地址，并根据网卡所设置的接收方式来是否接收处理数据，如果认为应该处理，则网卡就会产生中断信号通知中央处理器，接收该数据帧并传输给操作系统处理。否则就简单丢弃，所对应节点的网卡就截断，计算机的中央处理器并不参与。网卡是网络中节点主机的关键硬件设备。对数据的接收一般有四种设置模式: 广播模式: 接收在网络中进行广播数据信息。组播模式: 接收组播数据信息。单播模式: 只有匹配的目的网卡才能接收数据信息。混杂模式: 网卡能够可以接收一切通过它的数据信息。四、 系统功能描述及软件模块划分系统功能设计本系统的基本功能为实现网络数据包的捕获, 并将其数据内容解析显示。网络数据包捕获功能主要负责从网络中捕获和过滤数据,这可以通过调用winPcap提供的丰富的API函数来实现; 数据解析及显示部分主要负责界面数据转化、解析、处理、格式化、协议分析等, 这一部分主要通过MFC 来设计一个单文档图形用户界面GUI,解析结果将通过MFC的类库显示到GUI中系统总系结构网络嗅探器的整体设计由三个模块组成, 自底向上分别是嗅探器设置模块, 数据包捕获模块, 解析和显示模块。嗅探器设置模块主要调用w inP c aP 提供的API,分为获取网络设备信息，设置并编译过滤器,打开网络设备三个步骤。数据包捕获模块创建了新的线程,利用了winPcap的非回调函数Pcap_ next_ex()函数从winPcap底层驱动的数据缓冲区中读取数据包,并将数据包存储在系统临时文件中, 以便之后的分析。用Pcap_open_offline()函数从离线文件中读取包。读取到的任意一个符合捕获条件数据包, 将其内容解析, 并显示本数据包。捕获完成后, 进人解析和显示模块。(嗅探器总体结构如图1 )图1.嗅探器总体结构五、设计步骤嗅探器的设置模块a .获取已连接的网络设备列表, winPcap提供了pcap_findalldevs_ex()函数, 这个函数返回一个PcaP-if结构的链表, 每个这样的结构都包含了一个适配器的详细信息。b.打开网络设备,winPcap提供了pcap_open()函数,该函数第一参数制定要捕获数据包的哪些部分, 第二参数用来制定适配器是否为混杂模式, 第三参数为读取数据的超时时间, 当适配器被打开后, 就可以进行捕获工作了;c.设置过滤器, winPcap中用来过滤数据包的函数是pcap_compile()和pc ap_setfilter()。pcap_compile()它将一个高层的布尔过滤表达式编译成一个能够被过滤引擎所解释的低层的字节码。pcap_setfilter()将一个过滤器与内核捕获会话相关联。当pcap_set_filter()被调用时, 这个过滤器将被应用到来自网络的所有数据包, 并且, 所有的符合要求的数据包(即那些经过过滤器以后, 布尔表达式为真的包), 将会立即复制给应用程序。数据包的捕获模块该部分创建了一个用于捕获数据包的线程, 在该线程中调用winPcap提供的pcap_next_ex()函数从底层驱动数据缓冲区中读取数据包, 该函数接受已打开的网络设备句柄, 返回捕获数据包的实体,并用pcap_dump函数将每一个数据包写人临时文件中。解析与显示模块该部分在接收到用户发出的捕获完成消息后, 将数据包从离线文件中逐条取出并进行解析和显示。将解析完毕数据包中的各项内容填人已经预先声明的协议的数据结构中, 包括(序号,捕获时间,以太帧长度,传输层协议,源IP 地址,目的IP地址,源MAC地址,目的MAC地址),然后将数据结构添加到列表视图中六、关键问题及其解决方法界面初始化BOOL CzszhangDlg:OnInitDialog()CDialog:OnInitDialog();ASSERT(IDM_ABOUTBOX & 0xFFF0) = IDM_ABOUTBOX);ASSERT(IDM_ABOUTBOX < 0xF000);CMenu* pSysMenu = GetSystemMenu(FALSE);if (pSysMenu != NULL)CString strAboutMenu;strAboutMenu.LoadString(IDS_ABOUTBOX);if (!strAboutMenu.IsEmpty()pSysMenu->AppendMenu(MF_SEPARATOR);pSysMenu->AppendMenu(MF_STRING, IDM_ABOUTBOX, strAboutMenu);SetIcon(m_hIcon, TRUE);/ 设置大图标SetIcon(m_hIcon, FALSE);/ 设置小图标ShowWindow(SW_MINIMIZE);m_listCtrl.SetExtendedStyle(LVS_EX_FULLROWSELECT|LVS_EX_GRIDLINES);m_listCtrl.InsertColumn(0,_T("编号"),3,30); /1表示右，表示中，表示左m_listCtrl.InsertColumn(1,_T("时间"),3,130);m_listCtrl.InsertColumn(2,_T("长度"),3,72);m_listCtrl.InsertColumn(3,_T("源MAC地址"),3,140);m_listCtrl.InsertColumn(4,_T("目的MAC地址"),3,140);m_listCtrl.InsertColumn(5,_T("协议"),3,70);m_listCtrl.InsertColumn(6,_T("源IP地址"),3,145);m_listCtrl.InsertColumn(7,_T("目的IP地址"),3,145);m_combobox.AddString(_T("请选择一个网卡接口(必选)");m_comboBoxRule.AddString(_T("请选择过滤规则(可选)");if(sniffer_initCap()<0)return FALSE;/*初始化接口列表*/for(dev=alldev;dev;dev=dev->next)if(dev->description)m_combobox.AddString(CString(dev->description); /*初始化过滤规则列表*/m_comboBoxRule.AddString(_T("tcp");m_comboBoxRule.AddString(_T("udp");m_comboBoxRule.AddString(_T("ip");m_comboBoxRule.AddString(_T("icmp");m_comboBoxRule.AddString(_T("arp");m_combobox.SetCurSel(0);m_comboBoxRule.SetCurSel(0);m_buttonStop.EnableWindow(FALSE);m_buttonSave.EnableWindow(FALSE);return TRUE; / 除非将焦点设置到控件，否则返回TRUE捕获数据包/开始捕获int CzszhangDlg:sniffer_startCap()int if_index,filter_index,count;u_int netmask;struct bpf_program fcode;CString Ncard;sniffer_initCap();/获得接口和过滤器索引if_index = this->m_combobox.GetCurSel();filter_index = this->m_comboBoxRule.GetCurSel();if(0=if_index | CB_ERR = if_index)MessageBox(_T("请选择一个合适的网卡接口");return -1;if(CB_ERR = filter_index)MessageBox(_T("过滤器选择错误");return -1;/*获得选中的网卡接口*/dev=alldev;for(count=0;count<if_index-1;count+)dev=dev->next;if (adhandle= pcap_open_live(dev->name,/ 设备名 65536,/捕获数据包长度 1,/ 混杂模式(非意味着是混杂模式) 1000,/ 读超时设置 errbuf/ 错误信息 ) = NULL)MessageBox(_T("无法打开接口："+CString(dev->description);pcap_freealldevs(alldev);return -1; /*检查是否为以太网*/if(pcap_datalink(adhandle)!=DLT_EN10MB)MessageBox(_T("这不适合于非以太网的网络!");pcap_freealldevs(alldev);return -1;if(dev->addresses!=NULL)netmask=(struct sockaddr_in *)(dev->addresses->netmask)->sin_addr.S_un.S_addr;elsenetmask=0xffffff; /编译过滤器if(0=filter_index)char filter = ""if (pcap_compile(adhandle, &fcode, filter, 1, netmask) <0 )MessageBox(_T("语法错误，无法编译过滤器");pcap_freealldevs(alldev);return -1;elseCString str;char *filter;int len,x;this->m_comboBoxRule.GetLBText(filter_index,str);len = str.GetLength()+1;filter = (char*)malloc(len);for(x=0;x<len;x+)filterx = str.GetAt(x);if (pcap_compile(adhandle, &fcode, filter, 1, netmask) <0 )MessageBox(_T("语法错误，无法编译过滤器");pcap_freealldevs(alldev);return -1;/设置过滤器if (pcap_setfilter(adhandle, &fcode)<0)MessageBox(_T("设置过滤器错误");pcap_freealldevs(alldev);return -1;/* 设置数据包存储路径*/CFileFind file;char thistime30;struct tm *ltime;memset(filepath,0,512);memset(filename,0,64);if(!file.FindFile(_T("SavedData")CreateDirectory(_T("SavedData"),NULL);time_t nowtime;time(&nowtime);ltime=localtime(&nowtime);strftime(thistime,sizeof(thistime),"%Y%m%d %H%M%S",ltime);strcpy(filepath,"SavedData");strcat(filename,thistime);strcat(filename,".zsz");strcat(filepath,filename);dumpfile =pcap_dump_open(adhandle, filepath);if(dumpfile=NULL)MessageBox(_T("文件创建错误！");return -1; pcap_freealldevs(alldev);/*接收数据，新建线程处理*/LPDWORD threadCap=NULL;m_ThreadHandle=CreateThread(NULL,0,sniffer_CapThread,this,0,threadCap);if(m_ThreadHandle=NULL)int code=GetLastError();CString str;str.Format(_T("创建线程错误，代码为%d."),code);MessageBox(str);return -1;return 1;数据包处理DWORD WINAPI sniffer_CapThread(LPVOID lpParameter)int res,nItem ;struct tm *ltime;CString timestr,buf,srcMac,destMac;time_t local_tv_sec;struct pcap_pkthdr *header; /数据包头const u_char *pkt_data=NULL,*pData=NULL; /网络中收到的字节流数据u_char *ppkt_data;CzszhangDlg *pthis = (CzszhangDlg*) lpParameter;if(NULL = pthis->m_ThreadHandle)MessageBox(NULL,_T("线程句柄错误"),_T("提示"),MB_OK);return -1;while(res = pcap_next_ex( pthis->adhandle, &header, &pkt_data) >= 0)if(res = 0)/超时continue;struct datapkt *data = (struct datapkt*)malloc(sizeof(struct datapkt);memset(data,0,sizeof(struct datapkt);if(NULL = data)MessageBox(NULL,_T("空间已满，无法接收新的数据包"),_T("Error"),MB_OK);return -1; /分析出错或所接收数据包不在处理范围内if(analyze_frame(pkt_data,data,&(pthis->npacket)<0)continue; /将数据包保存到打开的文件中if(pthis->dumpfile!=NULL)pcap_dump(unsigned char*)pthis->dumpfile,header,pkt_data);/更新各类数据包计数pthis->sniffer_updateNPacket();/将本地化后的数据装入一个链表中，以便后来使用ppkt_data = (u_char*)malloc(header->len);memcpy(ppkt_data,pkt_data,header->len);pthis->m_localDataList.AddTail(data);pthis->m_netDataList.AddTail(ppkt_data);/*预处理，获得时间、长度*/data->len = header->len;/链路中收到的数据长度local_tv_sec = header->ts.tv_sec;ltime = localtime(&local_tv_sec);data->time0 = ltime->tm_year+1900;data->time1 = ltime->tm_mon+1;data->time2 = ltime->tm_mday;data->time3 = ltime->tm_hour;data->time4 = ltime->tm_min;data->time5 = ltime->tm_sec;/*为新接收到的数据包在listControl中新建一个item*/buf.Format(_T("%d"),pthis->npkt);nItem = pthis->m_listCtrl.InsertItem(pthis->npkt,buf);/*显示时间戳*/timestr.Format(_T("%d/%d/%d %d:%d:%d"),data->time0,data->time1,data->time2,data->time3,data->time4,data->time5);pthis->m_listCtrl.SetItemText(nItem,1,timestr);/*显示长度*/buf.Empty();buf.Format(_T("%d"),data->len);pthis->m_listCtrl.SetItemText(nItem,2,buf);/*显示源MAC*/buf.Empty();buf.Format(_T("%02X-%02X-%02X-%02X-%02X-%02X"),data->ethh->src0,data->ethh->src1,data->ethh->src2,data->ethh->src3,data->ethh->src4,data->ethh->src5);pthis->m_listCtrl.SetItemText(nItem,3,buf);/*显示目的MAC*/buf.Empty();buf.Format(_T("%02X-%02X-%02X-%02X-%02X-%02X"),data->ethh->dest0,data->ethh->dest1,data->ethh->dest2,data->ethh->dest3,data->ethh->dest4,data->ethh->dest5);pthis->m_listCtrl.SetItemText(nItem,4,buf);/*获得协议*/pthis->m_listCtrl.SetItemText(nItem,5,CString(data->pktType);/*获得源IP*/buf.Empty();if(0x0806= data->ethh->type)buf.Format(_T("%d.%d.%d.%d"),data->arph->ar_srcip0,data->arph->ar_srcip1,data->arph->ar_srcip2,data->arph->ar_srcip3);else if(0x0800 = data->ethh->type) struct in_addr in;in.S_un.S_addr = data->iph->saddr;buf = CString(inet_ntoa(in);else if(0x86dd =data->ethh->type )int n;for(n=0;n<8;n+)if(n<=6)buf.AppendFormat(_T("%02x:"),data->iph6->saddrn);elsebuf.AppendFormat(_T("%02x"),data->iph6->saddrn);pthis->m_listCtrl.SetItemText(nItem,6,buf);/*获得目的IP*/buf.Empty();if(0x0806 = data->ethh->type)buf.Format(_T("%d.%d.%d.%d"),data->arph->ar_destip0,data->arph->ar_destip1,data->arph->ar_destip2,data->arph->ar_destip3);else if(0x0800 = data->ethh->type)struct in_addr in;in.S_un.S_addr = data->iph->daddr;buf = CString(inet_ntoa(in);else if(0x86dd =data->ethh->type )int n;for(n=0;n<8;n+)if(n<=6)buf.AppendFormat(_T("%02x:"),data->iph6->daddrn);elsebuf.AppendFormat(_T("%02x"),data->iph6->daddrn);pthis->m_listCtrl.SetItemText(nItem,7,buf);/*对包计数*/pthis->npkt+;return 1;数据解析函数/*分析链路层*/int analyze_frame(const u_char * pkt,struct datapkt * data,struct pktcount *npacket)int i;struct ethhdr *ethh = (struct ethhdr*)pkt;data->ethh = (struct ethhdr*)malloc(sizeof(struct ethhdr);if(NULL = data->ethh)return -1;for(i=0;i<6;i+)data->ethh->desti = ethh->desti;data->ethh->srci = ethh->srci;npacket->n_sum+;data->ethh->type = ntohs(ethh->type);/处理ARP还是IP包？switch(data->ethh->type)case 0x0806:return analyze_arp(u_char*)pkt+14,data,npacket); /mac 头大小为break;case 0x0800:return analyze_ip(u_char*)pkt+14,data,npacket);break;case 0x86dd:return analyze_ip6(u_char*)pkt+14,data,npacket);return -1;break;default:npacket->n_other+;return -1;break;return 1;/*分析网络层：ARP*/int analyze_arp(const u_char* pkt,datapkt *data,struct pktcount *npacket)int i;struct arphdr *arph = (struct arphdr*)pkt;data->arph = (struct arphdr*)malloc(sizeof(struct arphdr);if(NULL = data->arph )return -1;/复制IP及MACfor(i=0;i<6;i+)if(i<4)data->arph->ar_destipi = arph->ar_destipi;data->arph->ar_srcipi = arph->ar_srcipi;data->arph->ar_destmaci = arph->ar_destmaci;data->arph->ar_srcmaci= arph->ar_srcmaci;data->arph->ar_hln = arph->ar_hln;data->arph->ar_hrd = ntohs(arph->ar_hrd);data->arph->ar_op = ntohs(arph->ar_op);data->arph->ar_pln = arph->ar_pln;data->arph->ar_pro = ntohs(arph->ar_pro);strcpy(data->pktType,"ARP");npacket->n_arp+;return 1;/*分析网络层：IP*/int analyze_ip(const u_char* pkt,datapkt *data,struct pktcount *npacket)int i;struct iphdr *iph = (struct iphdr*)pkt;data->iph = (struct iphdr*)malloc(sizeof(struct iphdr);if(NULL = data->iph)return -1;data->iph->check = iph->check;npacket->n_ip+;data->iph->saddr = iph->saddr;data->iph->daddr = iph->daddr;data->iph->frag_off = iph->frag_off;data->iph->id = iph->id;data->iph->proto = iph->proto;data->iph->tlen = ntohs(iph->tlen);data->iph->tos = iph->tos;data->iph->ttl = iph->ttl;data->iph->ihl = iph->ihl;data->iph->version = iph->version;data->iph->op_pad = iph->op_pad;int iplen = iph->ihl*4;/ip头长度switch(iph->proto)case PROTO_ICMP:return analyze_icmp(u_char*)iph+iplen,data,npacket);break;case PROTO_TCP:return analyze_tcp(u_char*)iph+iplen,data,npacket);break;case PROTO_UDP:return analyze_udp(u_char*)iph+iplen,data,npacket);break;default :return-1;break;return 1;/*分析网络层：IPV6*/int analyze_ip6(const u_char* pkt,datapkt *data,struct pktcount *npacket)int i;struct iphdr6 *iph6 = (struct iphdr6*)pkt;data->iph6 = (struct iphdr6*)malloc(sizeof(struct iphdr6);if(NULL = data->iph6)return -1;npacket->n_ip6+;data->iph6->version = iph6->version;data->iph6->flowtype = iph6->flowtype;data->iph6->flowid = iph6->flowid;data->iph6->plen = ntohs(iph6->plen);data->iph6->nh = iph6->nh;data->iph6->hlim =iph6->hlim;for(i=0;i<16;i+)data->iph6->saddri = iph6->saddri;data->iph6->daddri = iph6->daddri;switch(iph6->nh)case 0x3a:return analyze_icmp6(u_char*)iph6+40,data,npacket);break;case 0x06:return analyze_tcp(u_char*)iph6+40,data,npacket);break;case 0x11:return analyze_udp(u_char*)iph6+40,data,npacket);break;default :return-1;break;return 1;/*分析传输层：ICMP*/int analyze_icmp(const u_char* pkt,datapkt *data,struct pktcount *npacket)struct icmphdr* icmph = (struct icmphdr*)pkt;data->icmph = (struct icmphdr*)malloc(sizeof(struct icmphdr);if(NULL = data->icmph)return -1;data->icmph->chksum = icmph->chksum;data->icmph->code = icmph->code;data->icmph->seq =icmph->seq;data->icmph->type = icmph->type;strcpy(data->pktType,"ICMP");npacket->n_icmp+;return 1;/*分析传输层：ICMPv6*/int analyze_icmp6(const u_char* pkt,datapkt *data,struct pktcount *npacket)int i;struct