嗅探器(Sniffer)一直以來都是一種讓人惱火的黑客工具， 因為它是一種靜態(tài)的攻擊軟件， 它的存在不會留下任何痕跡， 因此人們很難將它揪出來。 可是， 它的危害性卻又是相當(dāng)大的(它就像一個監(jiān)視器， 你的“一舉一動”都在它的監(jiān)視之下， 你說危害大不大)。 所以， 我們不能不要想個辦法出來檢查網(wǎng)絡(luò)中是否存在Sniffer， 這是非常必要的。

　　1. Sniffer原理

　　所謂知己知彼方能百戰(zhàn)不殆， 要了解探測Sniffer的方法， 就先得了解Sniffer的原理。 首先， 讓我們來看一看局域網(wǎng)中是怎樣傳輸數(shù)據(jù)的。 當(dāng)一個數(shù)據(jù)包的目的地是局域網(wǎng)內(nèi)的某臺計算機(jī)時， 此數(shù)據(jù)包將以廣播的形式被發(fā)送到網(wǎng)內(nèi)每一臺計算機(jī)上。 而每臺計算機(jī)的網(wǎng)卡將分析數(shù)據(jù)包中的目的Mac地址(即以太網(wǎng)地址)， 如果此地址為本計算機(jī)Mac地址或為廣播地址(FF-FF-FF-FF-FF-FF)， 那么， 數(shù)據(jù)包將被接收， 而如果不是， 網(wǎng)卡將直接將其丟棄。 但是， 這里有一個前提， 就是接收端計算機(jī)的網(wǎng)卡是在正常模式下工作的。 而如果網(wǎng)卡被設(shè)置為混雜模式， 那么它就可以接收所有經(jīng)過的數(shù)據(jù)包了(當(dāng)然也包括目的地不是本機(jī)的數(shù)據(jù)包)。 就是說， 只要是發(fā)送到局域網(wǎng)內(nèi)的數(shù)據(jù)包， 都會被設(shè)置成混雜模式的網(wǎng)卡所接收!這也就是Sniffer的基本原理了。 至于Sniffer的具體實現(xiàn)和一些細(xì)節(jié)， 這里就不多講了， 大家有興趣可以參考相關(guān)資料。

　　2. 以太網(wǎng)中傳輸?shù)腁RP數(shù)據(jù)報

　　知道了Sniffer的基本原理， 現(xiàn)在， 我們就要想想怎么才能將局域網(wǎng)中隱藏的Sniffer揪出來， 這才是本篇文章的主題。 這里， 我們需要自己構(gòu)造ARP數(shù)據(jù)包， 所以， 就先簡單介紹一下ARP請求和應(yīng)答數(shù)據(jù)報的結(jié)構(gòu)：

　　typedef struct _et_header //以太網(wǎng)頭部

           { 

　　unsigned char eh_dst[6]; 

　　unsigned char eh_src[6]; 

　　unsigned short eh_type; 

　　}ET_HEADER; 

          { 

　　unsigned short arp_hdr; 

　　unsigned short arp_pro; 

　　unsigned char arp_hln; 

　　unsigned char arp_pln; 

　　unsigned short arp_opt; 

　　unsigned char arp_sha[6]; 

　　unsigned long arp_spa; 

　　unsigned char arp_tha[6]; 

　　unsigned long arp_tpa; 

　　}ARP_HEADER; 

    以上就是網(wǎng)絡(luò)中傳輸?shù)腁RP數(shù)據(jù)包的結(jié)構(gòu)了。 至于結(jié)構(gòu)中每個字段所表示的具體含義以及如何初始化， 超出了本文章的討論范圍， 大家有興趣可以參看《TCP-IP協(xié)議詳解》一書。

3. 探測局域網(wǎng)中的Sniffer

　　終于進(jìn)入主題了。 既然Sniffer是一種靜態(tài)的黑軟， 不會留下任何日志， 那么我們就要主動的去探測它。 鑒于Sniffer的原理是設(shè)置網(wǎng)卡為混雜模式， 那么， 我們就可以想辦法探測網(wǎng)絡(luò)中被設(shè)置為混雜模式的網(wǎng)卡， 以此來判斷是否存在Sniffer。

　　這里， 讓我們再來看看計算機(jī)接收數(shù)據(jù)包的規(guī)則。 前面已經(jīng)講過， 在正常模式下， 首先由網(wǎng)卡判斷數(shù)據(jù)包的目的Mac地址， 如果為本機(jī)Mac地址或為廣播地址， 那么數(shù)據(jù)包將被接收進(jìn)入系統(tǒng)核心， 否則將被丟棄。 而如果網(wǎng)卡被設(shè)置為混雜模式， 那么所有的數(shù)據(jù)包都將直接進(jìn)入系統(tǒng)核心。 數(shù)據(jù)包到達(dá)系統(tǒng)核心后， 系統(tǒng)還將進(jìn)一步對數(shù)據(jù)包進(jìn)行篩選：系統(tǒng)只會對目的Mac地址為本機(jī)Mac地址或廣播地址的數(shù)據(jù)包做出響應(yīng)――如果接收到的是ARP請求報文， 那么系統(tǒng)將回饋一個ARP應(yīng)答報文。 但是， 不同的是， 系統(tǒng)核心和網(wǎng)卡對廣播地址的判斷有些不一樣：以Windows系統(tǒng)為例， 網(wǎng)卡會判斷Mac地址的所有六位， 而系統(tǒng)核心只判斷Mac地址的前兩位(Win98甚至只判斷前一位)， 也就是說， 對于系統(tǒng)核心而言， 正確的廣播地址FF-FF-FF-FF-FF-FF和錯誤的廣播地址FF-FF-FF-FF-FF-FE是一樣的， 都被認(rèn)為是廣播地址， 甚至FF-FF-00-00-00-00也會被系統(tǒng)核心認(rèn)為是廣播地址!

　　寫到這里， 聰明的讀者大概已經(jīng)知道該怎么做了。 如果我們構(gòu)造一個目的Mac

4. 主要源碼分析

　　由以上分析可知， 程序大概分為兩個模塊， 一個是發(fā)送偽裝廣播地址的ARP請求報文， 另一個是接收回饋的ARP應(yīng)答報文并做出分析。 我們就分別用兩個線程來實現(xiàn)。 主線程負(fù)責(zé)發(fā)送， 監(jiān)聽線程負(fù)責(zé)接收。

　　首先是創(chuàng)建以太網(wǎng)頭部和ARP頭部的結(jié)構(gòu)：

　　typedef struct _et_header //以太網(wǎng)頭部

       　{ 

　　unsigned char eh_dst[6]; 

　　unsigned char eh_src[6]; 

　　unsigned short eh_type; 

　　}ET_HEADER; 

           { 

　　unsigned short arp_hdr; 

　　unsigned short arp_pro; 

　　unsigned char arp_hln; 

　　unsigned char arp_pln; 

　　unsigned short arp_opt; 

　　unsigned char arp_sha[6]; 

　　unsigned long arp_spa; 

　　unsigned char arp_tha[6]; 

　　unsigned long arp_tpa; 

　　}ARP_HEADER; 

    然后是發(fā)送ARP請求報文的主線程， 取得所有適配器的名字。 其中， “adapter_name”表示一個用于存放適配器名字的緩沖區(qū)， 而這些適配器名字將以UNICODE編碼方式存入此緩沖區(qū)中。 UNICODE編碼方式就是用一個字的空間(兩個字節(jié))來存放一個字符。 這樣， 每個字符間自然會出現(xiàn)一個’\0’。 而兩個適配器名字之間將會有一個字為’\0’作為間隔。 adapter_length:這個緩沖區(qū)的大小：

      if(PacketGetAdapterNames((char*)adapter_name, &adapter_length)==FALSE) 

　　{ 

　　printf("PacketGetAdapterNames error:%d\n",GetLastError()); 

　　return 0; 

　　} 

    打開適配器， 此處我默認(rèn)打開第一塊適配器：

      lpAdapter=(LPADAPTER)PacketOpenAdapter((LPTSTR)adapter_list[0]); 

　　if (!lpAdapter (lpAdapter->hFile==INVALID_HANDLE_ 

 以太網(wǎng)頭部和ARP頭部結(jié)構(gòu)賦值， StrToMac函數(shù)是筆者自定義的字符串轉(zhuǎn)換為Mac地址的函數(shù)：

　　StrToMac("00E06E41508F",s_Mac); //"00E06E41508F"是筆者測試程序所用的本地機(jī)的網(wǎng)卡地址,測試者應(yīng)將其改為測試機(jī)網(wǎng)卡地址

　　memcpy(et_header.eh_src,s_Mac,6);

　　StrToMac("FFFFFFFFFFFE",d_Mac); //目的物理地址設(shè)置為FFFFFFFFFFFE。

　　memcpy(et_header.eh_dst,d_Mac,6);

　　et_header.eh_type=htons(0x0806); //類型為0x0806表示這是ARP包

　　arp_header.arp_hdr=htons(0x0001); //硬件地址類型以太網(wǎng)地址

　　arp_header.arp_pro=htons(0x0800); //協(xié)議地址類型為IP協(xié)議

　　arp_header.arp_hln=6; //硬件地址長度為6

　　arp_header.arp_pln=4; //協(xié)議地址長度為4

　　arp_header.arp_opt=htons(0x0001); //標(biāo)識為ARP請求

　　arp_header.arp_spa=inet_addr("172.24.21.10"); //"172.24.21.10"是我測試程序所用的本地機(jī)的IP,測試者應(yīng)將其改為測試機(jī)IP

　　memcpy(arp_header.arp_sha,et_header.eh_src,6);

　　arp_header.arp_tpa=inet_addr(argv[1]);

　　memcpy(arp_header.arp_tha,et_header.eh_dst,6);

　　發(fā)送數(shù)據(jù)包：

　　lpPacket=PacketAllocatePacket(); //給PACKET結(jié)構(gòu)指針分配內(nèi)存

　　PacketInitPacket(lpPacket,buffer,512); //初始化PACKET結(jié)構(gòu)指針

　　PacketSetNumWrites(lpAdapter,5); //設(shè)置發(fā)送次數(shù)

　　PacketSendPacket(lpAdapter,lpPacket,TRUE);//發(fā)送ARP請求包

　　最后別忘了掃尾工作：

　　PacketFreePacket(lpPacket); //釋放PACKET結(jié)構(gòu)指針

　　PacketCloseAdapter(lpAdapter); //關(guān)閉適配器

　　最后是監(jiān)聽線程， 設(shè)置接收數(shù)據(jù)包的系列參數(shù)：

　　PacketSetHwFilter(lpAdapter, NDIS_PACKET_TYPE_DIRECTED); //設(shè)置網(wǎng)卡為直接模式

　　PacketSetBuff(lpAdapter,1024); //設(shè)置網(wǎng)卡接收數(shù)據(jù)包的緩沖區(qū)大小

　　PacketSetReadTimeout(lpAdapter,2); //設(shè)置接收到一個包后的“休息”時間

　　接收數(shù)據(jù)包：

　　PacketReceivePacket(lpAdapter, lpPacket, TRUE); //接收數(shù)據(jù)包

　　對數(shù)據(jù)包進(jìn)行分析， 以得出結(jié)論：

　　char *buf;

　　bpf_hdr *lpBpfhdr;

　　ET_HEADER *lpEthdr;

　　in_addr addr={0};

　　buf=(char *)lpPacket->Buffer;

　　lpBpfhdr=(bpf_hdr *)buf;

　　lpEthdr=(ET_HEADER *)(buf+lpBpfhdr->bh_hdrlen);

　　if(lpEthdr->eh_type==htons(0x0806)) //判斷是否為ARP包

　　{

　　ARP_HEADER *lpArphdr=(ARP_HEADER*)(buf+lpBpfhdr->bh_hdrlen+sizeof(ET_HEADER));

　　char source_ip[20]={0},dest_ip[20]={0};

　　addr.S_un.S_addr=lpArphdr->arp_spa;

　　memcpy(source_ip,inet_ntoa(addr),strlen(inet_ntoa(addr)));

　　memset(&addr,0,sizeof(in_addr));

　　addr.S_un.S_addr=lpArphdr->arp_tpa;

　　memcpy(dest_ip,inet_ntoa(addr),strlen(inet_ntoa(addr)));

　　if(!strcmp(source_ip,ip) && !strcmp(dest_ip,"172.24.21.10")) //判斷接收到的包的源IP與目的IP是否正確(字符串變量ip是從主線程傳遞過來的被探測機(jī)的ip)

　　{

　　if(lpArphdr->arp_opt==htons(0x0002)) //判斷是否為ARP應(yīng)答

　　{

　　printf("There is a Sniffer!\n");

　　}

　　}

　　}