作者：張志強

下載原始碼


1、引言
    網路監聽工具（sinff）是提供給網路管理員的一類管理工具。在乙太網中（Ethernet），當網路上連線多臺計算機時，某瞬間只能有一臺計算機可以傳送資料。乙太網中，資料是以被稱為幀的資料結構為單位進行交換的。通常，在計算機網路上交換的資料結構體的單位是資料包。而在乙太網中則稱為幀。這種資料包是由記錄著資料包傳送給對方所必需資訊的報頭部分和記錄著傳送資訊的報文部分構成。報頭部分包含接收端的地址、傳送端的地址、資料校驗碼等資訊。
在乙太網上，幀（資料包）是被稱為帶碰撞檢測的載波偵聽多址訪問（CAMA/CD）傳送的，在這種方法中，傳送到指定地址的幀實際上是傳送到所有計算機的，只是如果網絡卡檢測到經過的資料不是發往自身的，簡單忽略過去而已。

2、網路監聽工作原理
    工作在普通模式下的網絡卡只能接收發往本地地址和廣播的資料包，其餘資料包將簡單的轉發，並不把資料提交給主機處理。工作在混雜模式下的網絡卡將接收所有經過本網絡卡的資料。所以網路監聽程式只能工作在混雜模式下。對於不能工作在網絡卡，將無法監聽所有在網路上傳輸的資料。網路監聽的核心就是設定網絡卡為混雜模式。通常的套接字只能相應與自己硬體地址相匹配的或以廣播方式傳送的資料幀。對於其他資料幀，網路介面驗證投遞地址並非自身地址後將不做響應，也就是說網路程式無法接收到達網絡卡的資料包。

3、具體實現
    對網絡卡設定混雜模式是通過原始套接字（row socket）實現的，這有別於通常是使用的資料流和資料報套接字。在建立了原始套接字後，需要通過setsockopt()函式來設定IP頭操作選項，然後再通過bind()函式將原始套接字繫結到本地網絡卡。為了讓原始套接字能接受所有的資料，還需要通過ioctlsocket()來進行設定，而且還可以指定是否親自處理IP頭。至此，實際就可以開始對網路資料包進行監聽了，對資料包的獲取仍象流式套接字或資料報套接字那樣通過recv()函式來完成。但是與其他兩種套接字不同的是，原始套接字此時捕獲到的資料包並不僅僅是單純的資料資訊，而是包含有 IP頭、 TCP頭等資訊頭的最原始的資料資訊，這些資訊保留了它在網路傳輸時的原貌。通過對這些在低層傳輸的原始資訊的分析可以得到有關網路的一些資訊。由於這些資料經過了網路層和傳輸層的打包，因此需要根據其附加的幀頭對資料包進行分析。

例子程式執行畫面如圖所示：

如圖一

4、小結
    本文介紹的以原始套接字實現網路偵聽的方法實現起來比較簡單，尤其是不需要編寫驅動程式就能實現網路偵聽。但由於接收到的資料報頭不含幀資訊，因此不能接收網路層的其他資料包，如ARP、RARP等。原始套接字只能監聽但不能實現攔截。另外最致命的缺點就是隻能在Winsock層次上進行，而對於網路協議棧中底層協議的資料包例如TDI無法進行處理。對於一些木 馬和病毒來說很容易避開這個層次的監聽。