[发明专利]基于套接字的网络嗅探器及其方法

说明书

技术领域

本发明涉及一种网络嗅探器，具体地涉及一种基于套接字的网络嗅探器及其方法。

背景技术

随着互联网的普及,越来越多的网络应用和信息资源被放在了互联网上，与此同时,互联网的复杂性和网络犯罪的增长，给网络的稳定和安全带来了巨大的压力，网络安全性和可靠性显得越发重要。因此，对于能够分析、诊断网络、测试网络稳定性和安全性的工具软件的需求也越来越迫切。网络嗅探器作为网络管理、系统稳定与网络安全的基础，始终发挥着至关重要的作用。一方面攻击者可以利用其来监听网络中数据，以达到非法获取信息的目的。另一方面网络管理者也可用其分析网络状况，查找漏洞以供修补。

目前，大多数操作系统都为应用程序提供了访问数据链路层的手段，它使得应用程序可拥有如下功能：监视数据链路层上所收到的分组。这使得我们可以在普通计算机上通过像Tcpdump这样的程序来监视网络，而无须使用特殊的硬件设备。如果结合网卡的混杂模式，我们甚至可以监听局域网内的所有分组。

网络嗅探行为就是利用网络嗅探器，在网络的任何一个位置上获取数据，并加以分析整理，得出有关网络状态、数据流动情况等信息，从而达到对网络的管理、攻击以及信息截获等目的，是网络监听的重要手段。而网络嗅探器就是能够捕获网络中数据的工具。

网络嗅探器一般用于分析网络的流量，以便找出所关心的网络中潜在的问题。假设网络的某一段运行得不是很好，报文的发送比较慢，而我们又不知道问题出在什么地方，此时就可以用嗅探器来做出精确的问题判断。也有出于保密等的需要而用于监听等场合，当然也有不少黑客利用它窃取重要信息来达到自己的目的。

网络嗅探器与一般的键盘捕获程序不同。键盘捕获程序捕获在终端上输入的键值，而网络嗅探器则捕获真实的网络报文。嗅探器将以太网卡设置成“混杂模式”来达到这个目的。网络嗅探器对网络上主机间的通信，能给出一个详细的，逐包的统计信息。可以选择某一台主机，看看它正在同哪些主机进行通信，使用了哪些协议，传输了一些什么内容。对于这类工具，常常可以设置详细的过滤条件，可以针对信息的源主机、目的主机、使用的协议、使用的端口以及包的长度来设置过滤条件，也可以是这些条件的组合。

“端口嗅探”通常指用同一信息对目标计算机的所有所需扫描的端口进行发送，然后根据返回端口状态来分析目标计算机的端口是否打开、是否可用。“端口嗅探”行为的一个重要特征，是在短时期内有很多来自相同的信源地址，传向不同的目的端口的包。

通常进行端口嗅探的工具目前主要采用的是端口嗅探软件，也称之为“端口嗅探器”。端口嗅探器也是一种程序，它可以对目标主机的端口进行连接，并记录目标端口的应答。端口嗅探器通过选用远程TCP/IP协议不同的端口的服务，记录目标计算机端口给予回答的方法，可以收集到很多关于目标计算机的各种有用信息，比如是否有端口在监听，是否允许匿名登录，是否有可写的FTP目录，是否能用Telnet等。

嗅探器作为一种网络通讯程序，是通过对网卡的编程来实现网络通讯的，对网卡的编程可以使用通常的套接字（Socket）方式来进行。

套接字有三种类型：流式套接字，数据报套接字及原始套接字。

流式套接字定义了一种可靠的面向连接的服务,实现了无差错无重复的顺序数据传输。数据报套接字定义了一种无连接的服务，数据通过相互独立的报文进行传输，是无序的，并且不保证可靠，无差错。原始套接字允许对低层协议如IP或ICMP直接访问，主要用于新的网络协议实现的测试等。

无连接服务器一般都是面向事务处理的，一个请求一个应答就完成了客户程序与服务程序之间的相互作用。若使用无连接的套接字编程，程序的流程如图1所示。

面向连接服务器处理的请求往往比较复杂，不是一来一去的请求应答所能解决的，而且往往是并发服务器。使用面向连接的套接字编程，程序的流程如图2所示。