Linux下以太網網絡監聽技術研究
Linux是用戶可以免費獲得的面向網絡的操作系統由于能夠自由傳播和源代碼開放,越來越多的程序員熱衷于Linux下的網絡應用程序開發。目前,大多數內部網絡都接入了Internet,對網絡的安全管理非常重要。網絡監聽可以幫助網絡管理員檢查網絡流量、網絡協議分析和故障檢測,同時其他網絡用戶也可以利用網絡監聽程序非法竊取重要數據,截取用戶口令。有必要分析Linux下的數據監聽技術。
1 網絡監聽的原理
Ethernet協議的工炸仿式是將要發送的數據包發往連接在一起的所有主機。在包頭中包括有應該接收數據包的主機的正確地址,只有與數據包中目標地址一致的那臺主機才能接收到信息包。但是當主機工作在監聽模式下,不管數據包中的目標物理地址是什么,主機都將可以接收到。
當數字信號到達一臺主機的網絡接口時,正常狀態下網絡接口對讀人數據禎進行檢查。如果數據禎中攜帶的物理地址是自己的或者物理地址是廣播地址.那么就會將數據禎交給IP層軟件,對于每個到達網絡接口的數據禎都要進行這個過程的.但是當主機工作在監聽模式下的話,所有的數據禎都將被交給上層協議軟件處理。
Linux下的網絡監聽技術主要有兩要點:
(1)如何盡可能完整的截取網絡上的數據幀因為以太網上每時每刻都可能有信息傳遞,且據以太網的規模不同網絡上的信息量變化也很大,所以截取數據幀不僅要保證數據幀的完整,而且還要考慮到如何才能減少漏截取數據幀。
(2)對截取的數據幀的過濾分析
將截取的數據幀翻譯為我們能使用的數據,監聽才算成功。
2 以太網數據幀的監聽和過濾分析的設計
以太網上的數據幀主要涉及TCP/IP協議,主要是針對以下幾個協議的分析IP,ARP,RARP,ICMP,IGMP,其中重點在于IP和ARP協議,這兩個協議是多數網絡協議的基礎.由于各種協議的數據幀不扣同,所以涉及各協議數據幀頭格式分析,下文將一一描述。
在Linux下監聽網絡,應先設置網卡狀態,使其處于雜混模式以便監聽網絡上的所有數據幀。然后選擇用Linuxsocket來截取數據幀,通過設置socket()函數參數值,可以使socket截取未處理的網絡數據禎.關鍵是函數的參數設里,有關的程序部分如下:
if((fd=socket (AF_INET. SOCK_ PACKET.htons
表示截取數據幀的層次在物理層,即不作處理;Htons(0x0003)表示截取的數據幀的類型為不確定,即接受所有的包。
總的設定就是網卡上截取所有的數據幀,這樣就可以截取底層數據幀,因為返回的將是一個指向數據的指針.為了分析方便,本文設置了一個基本的數據幀頭結構,程序如下:
其中,ar_hrd是硬件地址的格式:ar_pro是協議地址的格式;ar_hln是硬件地址的長度;ar_ln是協議地址的長度;ar_op是arp協議的分類:0x001是arp echo:Ox0002是arpreply。接下來的分別是源地址的物理地址、源IP地址、目標地址的物理地址、目標IP地址。
Igmphdr是IP協議的icmp協議的報頭,定義其結構如下:
arphdr是arp協議的報頭,定義其結構如下:
u_intl6_t_unused:
u_intI6_t mtu:
}frag:
)un:
};
Linux下的TP協議中的icmp的協議,這里主要是前兩項參數,其中type是icmp協議的類型,而code則是對type類型的再分析.如:type 0x03是表示。nsearchable,這時code的不同表示了不同的unsearchable:Ox00表示網絡不可尋:0x01表示主機不可尋;0x02表示協議不可尋;0x03表示端口不可尋;0x05表示源路由失敗;0x06表示網絡不可知;0x07表示主機不可知。
Igmphdr是IP協議的igmp協議報頭,定義其結構如下:
struct igmhdr
{
_
新文章:
- CentOS7下圖形配置網絡的方法
- CentOS 7如何添加刪除用戶
- 如何解決centos7雙系統后丟失windows啟動項
- CentOS單網卡如何批量添加不同IP段
- CentOS下iconv命令的介紹
- Centos7 SSH密鑰登陸及密碼密鑰雙重驗證詳解
- CentOS 7.1添加刪除用戶的方法
- CentOS查找/掃描局域網打印機IP講解
- CentOS7使用hostapd實現無AP模式的詳解
- su命令不能切換root的解決方法
- 解決VMware下CentOS7網絡重啟出錯
- 解決Centos7雙系統后丟失windows啟動項
- CentOS下如何避免文件覆蓋
- CentOS7和CentOS6系統有什么不同呢
- Centos 6.6默認iptable規則詳解