SOCK_RAW 写一个简单的网络嗅探器

本文主要是介绍SOCK_RAW 写一个简单的网络嗅探器，希望对大家解决编程问题提供一定的参考价值，需要的开发者们随着小编来一起学习吧！

之前有一篇写UDP反射放大攻击的
为什么IP头和UDP头可以伪造，看下面的TCP自己想一想就知道了
一般情况下我们使用的都是封装好的TCP或UDP协议。但事实上我们可以自己封装和解析。
注意：SOCK_RAW 程序必须有管理员权限

简单实现代码

/*
通常的套接字只能响应与自己MAC地址相匹配的或是以广播行事发出的数据帧。
对于其他形式的数据帧网路接口采取的动作是直接丢弃。为了使网卡接收所有经过它的封包，
要将其设为混杂模式。在用户模式下，对网卡混杂模式的设置是通过原始套接字来实现的。创建原始套接字之后，将它绑定到一个明确的本地地址，然后向套接字发送SIO_RCVALL控制命令，让它接收所有的IP包，这样网卡便进入了混杂模式。*/#include "pch.h"
#include <iostream>
#include <WinSock2.h>
#include <ws2ipdef.h>
#include <mstcpip.h> //SIO_RCVALL
#include <process.h>
#pragma warning(disable:4996)
#pragma comment(lib,"ws2_32.lib")typedef struct _IPHeader {u_char VIHL; //版本和首部长度 各占4bitu_char ToS; //服务类型u_short TotalLen; //总长度u_short ID; //标识号u_short Frag_Flags; //片偏移量u_char TTL; //生存时间u_char Protocol; //协议u_short Checksum; //首部校验和//ULONG SrcIP;//ULONG DestIP;struct in_addr SrcIP; //源IP地址struct in_addr DestIP; //目的地址
}IPHDR, *PIPHDR;/*TCP头*/
typedef struct _tcpheader {USHORT sourcePort; //来源端口USHORT destinationPort;//目标端口ULONG sequenceNumber; // 32位序列号ULONG acknowledgeNumber; //32位确认号//下面2个 共占16位UCHAR dataOffset;//4位首部长度/6位保留字UCHAR flags;//6位标志位USHORT windows;//16位窗口大小USHORT checksum;//16位校验和USHORT urgentPointer;//16位紧急数据偏移量}TCP_HDR, *PTCP_HDR;//解析TCP封包
void DecodeTCPPacket(char* pData) {PTCP_HDR pTcphdr = (PTCP_HDR)pData;//取出端口printf_s("Port: %d -> %d \n", ntohs(pTcphdr->sourcePort), ntohs(pTcphdr->destinationPort));//下面还可以根据端口进一步解析应用层协议：switch (ntohs(pTcphdr->destinationPort)) {case 80: {printf_s("这是一个80端口 具体信息：%s\n", pData+sizeof(TCP_HDR));break;}case 21: {printf_s("这是一个21端口 具体信息：%s\n", pData + sizeof(TCP_HDR));break;}case 8080: {printf_s("这是一个8080端口 具体信息：%s\n", pData + sizeof(TCP_HDR));break;}}
}//解析IP封包
void DecodeIPPacket(char * pData) {PIPHDR pIphdr = (PIPHDR)pData;char szSourceIP[32] = { 0 }, szDestIP[32] = {0};printf_s("---------------------\n");//从IP头中取出源IP地址和目的IP地址strcpy_s(szSourceIP, inet_ntoa(pIphdr->SrcIP));strcpy_s(szDestIP, inet_ntoa(pIphdr->DestIP));printf_s("%s -> %s \n", szSourceIP, szDestIP);//IP头长度//因为IP头 版本号和首部长度各占4位，先取低4位长度//IP头我们封装的时候是这样：//pIphdr->VIHL = (4 << 4 | (sizeof(IPHDR) / sizeof(ULONG)));int nHeaderLen = (pIphdr->VIHL & 0xf) * sizeof(ULONG);switch (pIphdr->Protocol) {case IPPROTO_TCP:{//解析TCP封包DecodeTCPPacket(pData + nHeaderLen);break;}case IPPROTO_UDP:{break;}case IPPROTO_ICMP:{break;}}
}int main()
{WSADATA wsaData;WSAStartup(MAKEWORD(2, 2), &wsaData);SOCKET s = socket(AF_INET, SOCK_RAW, IPPROTO_IP);if (s == INVALID_SOCKET) {printf_s("请管理员运行\n");return -1;}//获取本地IP地址char szHostName[56];SOCKADDR_IN sin;struct hostent* pHost;gethostname(szHostName,56);if( (pHost=gethostbyname((char*)szHostName)) == NULL){printf_s("gethostbyname失败\n");return -1;}sin.sin_family = AF_INET;sin.sin_port = htons(0);//因为我有一大堆网卡，所以我这里是第三个是我需要的for (ULONG i = 0; pHost->h_addr_list[i] + pHost->h_length < pHost->h_name;) {printf_s("我的IP[%d]：%s\n", ++i , inet_ntoa(*((in_addr *)pHost->h_addr_list[i])));}memcpy_s(&sin.sin_addr.S_un.S_addr, 4U, pHost->h_addr_list[3], pHost->h_length);printf_s("准备绑定到IP：%s\n", inet_ntoa(sin.sin_addr));//在调用ioctl之前，套接字必须绑定if (bind(s, (sockaddr*)&sin, sizeof(sin)) == SOCKET_ERROR){printf_s("Bind失败\n");return -1;}//设置SIO_RCVALLDWORD dwValue = 1;if (ioctlsocket(s, SIO_RCVALL, &dwValue) != 0) {printf_s("SIO_RCVALL 失败\n");return -1;}//开始接收封包char buff[1024];int nRet;while (TRUE) {nRet = recv(s, buff, 1024, 0);if (nRet > 0) {//解析IP封包DecodeIPPacket(buff);}}closesocket(s);WSACleanup();
}