sniff,截取外部发送到你机器上的IP数据包.

sniff,截取外部发送到你机器上的IP数据包.

sniffer 这类型的软件多了去了,都是大同小异的,我简单的实现了一个..下面描述下工作原理吧.

这样的小程序是在应用层通过套接字直接获取留进网卡的IP数据包,注意是流进的,同时获取到的是

原封的IP数据包,只有这样才可以对数据包进行分析来源和协议.

 

sniff不是直接通过调用底层的API,所以无法直接控制网卡的信息,如果要获取本机发出的包,或者说获取更底

层的协议的数据,就必须要从网卡驱动下手了,很多的网络防火墙就是这样做的.对这个我也不大了解,也是刚看了

别人的文章.没怎么深入,要了解的自己百度.

 

 //IP头部，总长度20字节typedef struct _IP_HEADER{ unsigned char header_len:4; unsigned char version:4; unsigned char tos; // type of service unsigned short total_len; // length of the packet unsigned short ident; // unique identifier unsigned short flags; unsigned char ttl; unsigned char protocol; // protocol ( IP , TCP, UDP etc) unsigned short checksum; unsigned int sourceIP; unsigned int destIP;}IP_HEADER;//TCP头部，总长度20字节typedef struct _TCP_HEADER{unsigned short src_port; //源端口号unsigned short dst_port; //目的端口号unsigned int seq_no; //序列号unsigned int ack_no; //确认号#if LITTLE_ENDIANunsigned char reserved_1:4; //保留6位中的4位首部长度unsigned char thl:4; //tcp头部长度unsigned char flag:6; //6位标志unsigned char reseverd_2:2; //保留6位中的2位#elseunsigned char thl:4; //tcp头部长度unsigned char reserved_1:4; //保留6位中的4位首部长度unsigned char reseverd_2:2; //保留6位中的2位unsigned char flag:6; //6位标志 #endifunsigned short wnd_size; //16位窗口大小unsigned short chk_sum; //16位TCP检验和unsigned short urgt_p; //16为紧急指针}TCP_HEADER;//UDP头部，总长度8字节typedef struct _UDP_HEADER{unsigned short src_port; //远端口号unsigned short dst_port; //目的端口号unsigned short uhl; //udp头部长度unsigned short chk_sum; //16位udp检验和}UDP_HEADER;//ICMP头部，总长度4字节typedef struct _ICMP_HEADER{unsigned char icmp_type; //类型unsigned char code; //代码unsigned short chk_sum; //16位检验和}ICMP_HEADER;

这几个是重要的数据结构,从socket中获得ip数据包后,你就可以进行分析

要记得的一点是:

IP包首部长度,这个值以4字节为单位.IP协议首部的固定长度为20个字节,如果IP包没有选项,那么这个值为5.
TCP包头呢貌似是以1/4字节为单位的-_-!

破空间不支持上传文件哦！！