基于Linux环境下的Sniffer设计与实现

　　一、Sniffer原理分析

　　在实现嗅探器之前，我们先需要掌握TCP/IP协议。TCP协议和IP协议指两个用在Internet上的网络协议（或数据传输的方法）。它们分别是传输控制协议和互连网协议。这两个协议属于众多的TCP/IP 协议组中的一部分。

　　TCP/IP协议组中的协议保证Internet上数据的传输，提供了几乎现在上网所用到的所有服务。这些服务包括：电子邮件的传输、文件传输、新闻组的发布和访问万维网。

　　TCP协议在IP协议之上。与IP协议提供不可靠传输服务不同的是，TCP协议为其上的应用层提供了一种可靠传输服务。这种服务的特点是：可靠、全双工、流式和无结构传输。TCP传输原理：

　　TCP协议使用了一个叫积极确认和重发送(positive acknowledgement with retransmission)的技术来实现可靠传输。接收者在收到发送者发送的数据后，必须发送一个相应的确认（ACK）消息，表示它已经收到了数据。发送者保存发送的数据的记录，在发送下一个数据之前，等待这个数据的确认消息。在它发送这个数据的同时，还启动了一个记时器。如果在一定时间之内，没有接收到确认消息，就认为是这个数据在传送时丢失了，接着，就会重新发送这个数据。

　　这种方法还产生了一个问题，就是包的重复。如果网络传输速度比较低，等到等待时间结束后，确认消息才返回到发送者，那么，由于发送者采用的发送方法，就会出现重复的数据了。解决的一个办法是给每个数据一个序列号，并需要发送者记住哪个序列号的数据已经确认了。为了防止由于延时或重复确认，规定确认消息里也要包含确认序列号。从而发送者就能知道哪个包已经确认了。TCP协议中还有一个重要的概念：滑动窗口。这一方法的使用，使得传输更加高效。

　　有前面的描述可见，发送者在发送完一个数据包之后，要等待确认。在它收到确认消息之前的这段时间是空闲的。如果网络延时比较长，这个问题会相当明显。滑动窗口方法是在它收到确认消息以前，发送多个数据包。可以想象成有一个窗口在一个序列上移动。如果一个包发送出去之后还没有确认，叫做未确认包。通常未确认的包的个数就是窗口的大小。在接收端，也有一个滑动窗口接收和确认一个包。