嗅探C中的所有网络流量

Question

我正在寻找有关制作小型网络嗅探器和found this one 的最简单的教程。我跟着它，但建议嗅探数据包的方法是：

sock_raw = socket( AF_PACKET , SOCK_RAW , htons(ETH_P_ALL)) ;;
while(1)
{
  data_size = recvfrom(sock_raw , buffer , 65536 , 0 , &saddr , &saddr_size);
}

有理：

在 recvfrom 循环中的原始套接字接收所有传入的数据包。 这是因为它没有绑定到特定的地址或端口。

在我看来，这只会监控进出我自己计算机的网络流量，而不是整个 LAN。测试运行证实了我的直觉。

正确吗？这种方法只能嗅探进出我的笔记本电脑的数据包吗？

我应该采用哪种方法来嗅探所有网络流量（即：netsniff-ng、Wireshark）？

我想避免在这种情况下使用 libpcap。

Answer 1

这取决于您的网络，尤其是连接一切的路由器和交换机的类型和配置。在大多数安装中，计算机并不直接相互连接。相反，他们与交换机交谈。开关只会向您发送适用于您的计算机的数据包 - 理由是开关精心地将电子推向您是没有意义的，而您只会将其丢弃。

但是计算机可以告诉开关进入“promiscuous mode”。这将配置您的交换机端口，以向您发送交换机看到的每个数据包的副本。有两个问题：

1. 交换机仍然看不到其他交换机/路由器未发送给它的数据包。混杂模式不会传播 - 否则，您将很快获得通过 Internet 在任何地方发送的每个数据包的副本。即使是 Google 或 NSA 也无法处理这种流量。

2. 如果您的交换机不是即插即用型，您的系统管理员将禁用此功能。

[编辑] Wireshark 使用libpcap，它是一个低级库，可以完成从配置网络设备到获取和过滤它可以看到的数据包的所有工作。所以你应该尝试找到这个库的源代码，以更好地了解它是如何完成的。

相关：

• FedEx Bandwidth：互联网的带宽何时——如果有的话——会超过联邦快递？