技術領域

本發明涉及一種網絡嗅探器，具體地涉及一種基于套接字的網絡嗅探器及其方法。

背景技術

隨著互聯網的普及,越來越多的網絡應用和信息資源被放在了互聯網上，與此同時,互聯網的復雜性和網絡犯罪的增長，給網絡的穩定和安全帶來了巨大的壓力，網絡安全性和可靠性顯得越發重要。因此，對于能夠分析、診斷網絡、測試網絡穩定性和安全性的工具軟件的需求也越來越迫切。網絡嗅探器作為網絡管理、系統穩定與網絡安全的基礎，始終發揮著至關重要的作用。一方面攻擊者可以利用其來監聽網絡中數據，以達到非法獲取信息的目的。另一方面網絡管理者也可用其分析網絡狀況，查找漏洞以供修補。

目前，大多數操作系統都為應用程序提供了訪問數據鏈路層的手段，它使得應用程序可擁有如下功能：監視數據鏈路層上所收到的分組。這使得我們可以在普通計算機上通過像Tcpdump這樣的程序來監視網絡，而無須使用特殊的硬件設備。如果結合網卡的混雜模式，我們甚至可以監聽局域網內的所有分組。

網絡嗅探行為就是利用網絡嗅探器，在網絡的任何一個位置上獲取數據，并加以分析整理，得出有關網絡狀態、數據流動情況等信息，從而達到對網絡的管理、攻擊以及信息截獲等目的，是網絡監聽的重要手段。而網絡嗅探器就是能夠捕獲網絡中數據的工具。

網絡嗅探器一般用于分析網絡的流量，以便找出所關心的網絡中潛在的問題。假設網絡的某一段運行得不是很好，報文的發送比較慢，而我們又不知道問題出在什么地方，此時就可以用嗅探器來做出精確的問題判斷。也有出于保密等的需要而用于監聽等場合，當然也有不少黑客利用它竊取重要信息來達到自己的目的。

網絡嗅探器與一般的鍵盤捕獲程序不同。鍵盤捕獲程序捕獲在終端上輸入的鍵值，而網絡嗅探器則捕獲真實的網絡報文。嗅探器將以太網卡設置成“混雜模式”來達到這個目的。網絡嗅探器對網絡上主機間的通信，能給出一個詳細的，逐包的統計信息。可以選擇某一臺主機，看看它正在同哪些主機進行通信，使用了哪些協議，傳輸了一些什么內容。對于這類工具，常常可以設置詳細的過濾條件，可以針對信息的源主機、目的主機、使用的協議、使用的端口以及包的長度來設置過濾條件，也可以是這些條件的組合。

“端口嗅探”通常指用同一信息對目標計算機的所有所需掃描的端口進行發送，然后根據返回端口狀態來分析目標計算機的端口是否打開、是否可用。“端口嗅探”行為的一個重要特征，是在短時期內有很多來自相同的信源地址，傳向不同的目的端口的包。

通常進行端口嗅探的工具目前主要采用的是端口嗅探軟件，也稱之為“端口嗅探器”。端口嗅探器也是一種程序，它可以對目標主機的端口進行連接，并記錄目標端口的應答。端口嗅探器通過選用遠程TCP/IP協議不同的端口的服務，記錄目標計算機端口給予回答的方法，可以收集到很多關于目標計算機的各種有用信息，比如是否有端口在監聽，是否允許匿名登錄，是否有可寫的FTP目錄，是否能用Telnet等。

嗅探器作為一種網絡通訊程序，是通過對網卡的編程來實現網絡通訊的，對網卡的編程可以使用通常的套接字（Socket）方式來進行。

套接字有三種類型：流式套接字，數據報套接字及原始套接字。

流式套接字定義了一種可靠的面向連接的服務,實現了無差錯無重復的順序數據傳輸。數據報套接字定義了一種無連接的服務，數據通過相互獨立的報文進行傳輸，是無序的，并且不保證可靠，無差錯。原始套接字允許對低層協議如IP或ICMP直接訪問，主要用于新的網絡協議實現的測試等。

無連接服務器一般都是面向事務處理的，一個請求一個應答就完成了客戶程序與服務程序之間的相互作用。若使用無連接的套接字編程，程序的流程如圖1所示。

面向連接服務器處理的請求往往比較復雜，不是一來一去的請求應答所能解決的，而且往往是并發服務器。使用面向連接的套接字編程，程序的流程如圖2所示。