一.背景

為了使不同體系結構的計算機網路都能進行互聯，國際標準化組織ISO於1997年成立了專門的結構研究這個問題。不久他們就提出了一個試圖使各種計算機在世界範圍內都能互聯的成網的標準框架，即著名的OSI/RM(Open Systems Interconnection Reference Model , 開放系統互聯基本參考模型），簡稱為OSI。它的主要目標是：只要遵循OSI標準，一個系統就可以和位於世界任何地方的，也遵循同一標準的其他任何系統進行通訊。

OSI採用分層結構，每一層完成不同的功能，較好地從理論上解決了不同系統之間互聯的難題。但是由於OSI模型歸於複雜以及種種原因，當它被制定出來時，

二．TCP/IP 的4層結構

通常意義上的TCP/IP結構共有4層協議，從下到上依次是網路協議層，互聯協議層，傳輸層和應用層，不同的層次上執行的協議也不同。

1.網路協議層

網路協議層工作在TCP/IP模型的最底層，它負責將資料通過電纜傳送出去，並將接收到的訊號通過網絡卡驅動轉換成計算機能夠識別的資料。主要是管理網路資料包的接收很傳送，在作業系統中主要體現在裝置驅動程式和網路介面。對應各種網路通訊介質，不同的通訊網路有其不同的訪問協議，例如通常用的乙太網和PPP等。

執行至這一層的協議主要有:Ethernet 802.3等等。

2.互聯協議層

互聯協議層是十分重要的一層，網絡卡驅動將解析後的資料遞交給互聯協議層，互聯協議層的工作主要就是對這些混亂的資料進行解析，然後分門別類地傳遞給不同的上層協議。

執行在這一層的協議主要由：IP( Internet Protocol )，ICMP( Internet Control Message Protocol ),ARP( Address Resolution Protocol , 地址轉換協議），RARP( Reverse Address Resolution Protocol .反向地址解析協議）

3.傳輸層協議

傳輸層協議有兩個具有代表性的協議，分別是TCP( Transmission Control Protocol , 傳輸控制協議) 和UDP( User Datagram Protocol ，使用者資料報協議）。

TCP的面向連線的通訊協議，通過三次握手建立連線，通訊完後要斷開連線。由於它是面向連線的協議，那麼它只能用於點對點之間的通訊。

UDP是面向無連線的通訊協議，UDP資料包括目的埠號和源埠號資訊，由於通訊不需要連線，所以它可以實現廣播發送。UDP通訊時不需要接收方的確認，屬於不可靠的傳輸，可能會出現丟包的現象，實際應用中要求在程式設計師程式設計驗證。

4.應用層協議

應用層協議一般是面向使用者的服務，如FTP，Telnet,DNS，SMTP，POP3等。

四．相關概念詳解

1.ARP/RARP

ARP/RARP協議是進行IP地址和MAC地址相互轉換的協議。在網路資料通訊中，鏈路層使用MAC地址進行實際的資料通訊，而在網路層使用IP地址進行機器定位定址。ARP協議把IP地址對映為MAC地址，而RARP協議是通過MAC地址對映為IP地址。

ARP請求應答報文是一種比較常用的資料包，它的主要目的是找到IP地址對應的MAC地址。利用ARP請求報文來獲得其MAC地址。這個過程是這樣的：

首先發送ARP請求報文，它是以廣播的方式傳送到網路上的，每一臺機器都會收到這個ARP請求報文，它是以廣播方式傳送到網路上的，每個機器都會收到這個ARP請求報文。在這個ARP請求報文中，傳送端乙太網地址欄位是傳送ARP請求報文機器的MAC地址，而且傳送端IP欄位內容是要查詢的MAC的主機的IP地址。當某個主機檢查到自己的IP地址是目的IP地址時，它會返回一個ARP應答報文，在此應答報文中，其傳送端乙太網地址欄位內容就是要查詢的MAC地址。

一個主機裡面一般有ARP快取，裡面儲存了IP地址和MAC地址對。

2.交換網路

在共享網路中，把網絡卡設為混雜模式就可以監聽所有的網路資料包，但是在交換網路中，情況就發生了變化。

乙太網分為共享式乙太網和交換式乙太網，共享式乙太網通常以集線器作為網路裝置，交換式乙太網通常使用交換機作為網路連線裝置。共享式乙太網中資料幀以廣播方式傳送到每個乙太網埠，網內每臺主機的網絡卡能接收到網內的所有資料幀。因此只要把網絡卡設定成為混雜模式就可以獲取到這本地網絡卡的所有資料幀。

最典型的交換網路使用交換機連線，在交換機中可以設為一個埠一個MAC地址，形成一個埠一個MAc地址對。這樣當網路資料包到達埠時，而不是轉發給所有的埠，只是轉發MAC對應的埠。這樣，其他埠的通訊不受干擾，所以其他埠上的主機就無法接收到網路上的資料包了。

可以利用ARP重定向技術來實現交換網路的資料包捕獲，其主要原理用到了ARP欺騙技術，但此方法有一定的危險性。另外有的交換機上有一個用於除錯的埠，任何其他埠的通訊資料都會出現在此埠上，所以也可以在此埠上進行網路資料包的監聽工作。

3.資料包在區域網內的傳輸方式

眾所周知，資料包在網際網路上的傳播是根據IP地址進行定址的，但是完整的過程並非如此。資料包通過IP地址可以達到的最遠的地點就是目標主機所在的子網，而在該子網內的定址卻是使用實體地址的，即MAC地址。

資料包被傳送到目標主機所在的子網時，它將被交給路由器，路由器在該子網內使用廣播方式傳播出去，這意味著該子網內的雖有主機都可以接收到該資料包。不過主機接收到資料包後通常會先檢查其目的地址，如果目的地址不是自己，那麼就是丟棄，只有目的地址為自己的資料包才會將其交付給上一層處理。

Sniffer將網絡卡設定為混雜模式，這樣就可以接收到所有的資料包了，達到了嗅探了目的。

網絡卡對接收到的資料包經過一步步的解析之後就得到了最終的應用程式報文，此時就可以清晰易懂地看出它所包含的內容。

四. 網路抓包用到的技術

1.原始套接字程式設計

2.Winpcap程式設計

使用Winpcap來生成資料包比使用原始套接字更加靈活，功能更加豐富。在基於原始套接字方法中，由於原始套接字的某些限制，其構造的資料包最底層協議的資料包只能是IP資料包不能夠構造IP層以下的協議資料包，例如鏈路層資料包就不能構造，而使用Winpcap可以構造基於鏈路層的資料包。

使用WinPcap構造資料包與使用原始套接字構造資料包是不同的。在原始套接字裡面構造的資料包是從IP層開始的，而在WinPcap中是從鏈路層開始構造的。也就是說，在WinPcap中藥構造一個Ip資料包，需要先構造鏈路層首部，在這裡是乙太網首部，然後再構造Ip首部，最後才是IP負載資料。而在原始套接字中直接從IP層開始構造，所以只需要構造IP首部和負載資料就可以了。

五．簡單嗅探器的具體實現解析

定義一個IP頭

typedef  struct IPHEAD

{

    unsigned char h_len:4;          //4位首部長度+4位IP版本號

    unsigned char ver:4;

    unsigned char tos;              //8位服務型別TOS

    unsigned short total_len;        //16位總長度（位元組）

    unsigned short ident;           //16位標識

    unsigned short frag_and_flags;   //3位標誌位

    unsigned char ttl;              //8位生存時間 TTL

    unsigned char proto;           //8位協議 (TCP, UDP 或其他)

    unsigned short checksum;       //16位IP首部校驗和

    unsigned int sourceip;          //32位源IP地址

    unsigned int destip;            //32位目的IP地址

}IPHEAD;

定義TCP頭部

typedef  struct TCPHEAD 

{

USHORT th_sport;            //16位源埠

USHORT th_dport;            //16位目的埠

unsigned int th_seq;            //32位序列號

unsigned int th_ack;            //32位確認號

unsigned char th_lenres;         //4位首部長度/6位保留字

unsigned char th_flag;           //6位標誌位

USHORT th_win;               //16位視窗大小

USHORT th_sum;              //16位校驗和

USHORT th_urp;              //16位緊急資料偏移量

}TCPHEAD ;

接收資料資訊：

IPHEAD  piphd=(struct IPHEAD *)cbuf;                 //取得IP頭資料的地址

int iIphLen = sizeof(unsigned long) * (piphd->h_len  & 0xf);

TCPHEAD  ptcphd=(struct TCPHEAD *)(cbuf+iIphLen);   //取得TCP頭資料的地址

得到頭部中的資訊，直接引用即可：

printf("From:%s\tport%d\t",inet_ntoa(*(structin_addr*)&piphd->sourceip),ntohs(ptcphd->th_sport) );

printf("To:%s\tport%d",inet_ntoa(*(structin_addr*)&piphd->destip),ntohs(ptcphd->th_dport));

判斷協議型別：

switch(piphd->proto)       //根據IP頭的協議判斷資料包協議型別

        {

        case 1:

            printf("ICMP\n");

            break;

        case 2:

            printf("IGMP\n");

            break;

        case 6:

            printf("TCP\n");

            break;

        case 17:

            printf("UDP\n");

            break;

        default:

            printf("unknow:%d\n",piphd->proto);

        }

}