抓包分析主机上网浏览了那些网页,并把浏览网页的网址写入一个文件。
首先我列举下我在写抓包程序所犯下的错误。供大家学习参考。
创建原始套接字失败:
分析原因:刚开始的时候运行程序正常,但是同事覃书芹帮我虚拟机添加了一个虚拟网卡的时候就出现错误了。原因说出来很简单,就是设备名称错误,但是当时我怎么调都调不出来。最后请他们看了下,一下就看出来了。起码让我明白创建套接字的时候要与监听的网卡名称相对应,不然要监听eth1,结果在绑定设备名称的时候绑成了eth0,那就可能出现错误,获得不到效果。
1. 写文件总是乱码:
分析原因:这个问题在我进公司前以前就犯过,那时候是用C++写,改正过来比较快。现在在全字符环境下,改了半天,最后发现,在写的时候直接传了地址,而没有加上所传字符串的长度。导致乱码,加上一个sizeof()以后问题解决。
2. 浏览部分网页时程序出现段错误:
在C环境下,出现段错误是很常见的,但对于我来说见的很少,,所以出现这类问题的时候显得还不到哪错了。原因是我在定位域名字段的时候是以“com\r\n”结束为标记的。因为很多域名都是以.com结尾的,所以就忽略了还有以“.cn”或者以“.net”结尾的域名。我当时就奇怪了,为什么有的网页可以,但是访问有些域名的时候,一点击就出错。当找不到.com的时候就会定位到下一个包,定义到一个不存在的内存区域。所以导致段错误。
3. 分析的出是tcp包但是分析不出是http包:
错误原因:这个错误本来应该是不会出现的,就是我把usleep(1000),改为了sleep(1),都是停止一秒钟。在while循环里用sleep(1)可以让程序暂停执行一秒钟效果很明显,但是usleep(1000)就不是很明显了。在while循环里用sleep(1)就明显减慢了抓包的速度,所以就出现抓漏了包的情况。把while循环里的sleep(1)改成usleep(1000);就行了。
程序过程:
首先抓住经过网卡的数据包,首先检测他是不是ip包,如果是剥去包头,然后看是不是tcp包,如果是则检测它的端口是不是80端口。如果是则证明传输的是http协议。然后就可以分析是不是存在“get”字段,是不是存在“host”字段。然后取“host”后面的一个字符串,即我们要得到的主机访问的域名,即上网记录。
具体代码如下:
#include <string.h>#include <stdio.h>#include <stdlib.h>#include <unistd.h>#include <sys/socket.h>#include <sys/ioctl.h>
#include <net/ethernet.h>
#include <netinet/in.h>#include <linux/if_ether.h>#include <linux/if_packet.h>#include <linux/if_arp.h>
#define NOT_UNICAST(e) ((e[0] & 0x01) != 0)
#define APP_NAME “pppc”#define APP_VER “0.1.0”
#define PPPOE_DISCOVER 0x8863#define PPPOE_SESSION 0x8864
#define ETH_ALEN 6#define NET_FACE_LEN 8
#define TRUE 1#define FALSE 0
#ifndef ETH_DATA_LEN#define ETH_DATA_LEN ETHERMTU#endif
#pragma pack(1)
typedef struct __st_pconn{ unsigned char myName[NET_FACE_LEN]; unsigned char myEth[ETH_ALEN]; unsigned char peerEth[ETH_ALEN]; unsigned short session_id; int net_socket; } tPconn;
typedef struct __st_eth_head{ unsigned char dst[ETH_ALEN]; unsigned char src[ETH_ALEN]; unsigned short proto; } tEthHead;
typedef struct __st_pppoe_head{ unsigned char ver:4; unsigned char type:4; unsigned char code; unsigned short sid; unsigned short len; } tPPPPOEHead;
typedef struct __st_pppoe_pkt_info{ tEthHead ethHead; tPPPPOEHead pppoeHead; unsigned char payload[32]; } tPPPOEPkt;
typedef struct __st_ip_pkt_head{ //unsigned char hlen:4; //unsigned char ver:4; unsigned char vhlen; unsigned char tos; unsigned short tlen; unsigned short ipid; unsigned short flag; unsigned char ttl; unsigned char proto; unsigned short checksum; unsigned long sip; unsigned long dip; unsigned char data[1]; } tIPktHead;
typedef struct _st_tcp{ unsigned short sport; unsigned short dport; unsigned long seq; unsigned long ack; unsigned char offset; unsigned char code; unsigned short window; unsigned short cksum; unsigned short urg; unsigned char data[1]; } tTcp;
#pragma pack()
无论如何,没有人有办法把自己抑或他人的刺拔掉。那是一碰便痛的软肋,
