减小字体
增大字体- ·上一篇文章:十大Windows服务隐患重重
- ·下一篇文章:安全研究:Linux系统下的网络监听技术 (1)
安全研究:Linux系统下的网络监听技术(2)
以太网上数据帧的监听剖析
以太网上的数据帧主要涉及Tcp/ip协议,针对以下几个协议的分析:IP,ARP,RARP,IPX,其中重点在于ip和 arp协议,这两个协议是多数网络协议的基础,因此把他们研究彻底,就对大多数的协议的原理和特性比较清楚了。由于各种协议的数据帧个不相同,所以涉及很多的数据帧头格式分析,接下来将一一描述。
在linux 下监听网络,应先设置网卡状态,使其处于杂混模式以便监听网络上的所有数据帧。然后选择用Linux socket 来截取数据帧,通过设置socket() 函数参数值,可以使socket截取未处理的网络数据帧,关键是函数的参数设置,下面就是有关的程序部分:
if ( ( fd=socket (AF_INET, SOCK_PACKET,htons(0x0003)))<0)
{perror (“can get SOCK_PACKET socket
”);
exit(0);
}
AF_INET=2 表示 internet ip protocol
SOCK_PACKET=10 表示 截取数据帧的层次在物理层,既不作处理。
Htons(0x0003)表示 截取的数据帧的类型为不确定,既接受所有的包。
总的设定就是网卡上截取所有的数据帧。这样就可以截取底层数据帧,因为返回的将是一个指向数据的指针,为了分析方便,我设置了一个基本的数据帧头结构。
Struct etherpacket
{struct ethhdr eth;
struct iphdr ip;
struct tcphdr tcp;
char buff[8192];
} ep;
将返回的指针赋值给指向数据帧头结构的指针,然后对其进行分析。以下是有关协议的报头:ethhdr 这是以太网数据帧的mac报头:
