网络安全大作业之一,乘机好好学一波网络相关知识(由于这篇文章本来是针对python 写的,但是后来得知要求是用C来完成sniffer。。。。。于是这里先从简单的scanner进行编写:)
C编写scanner
1.socket了解
首先,socket即为所谓的套接字,套接字将底层的网络通信的工程封装成一个个函数,我们通过使用套接字提供的接口,完成网络通信。
网络通信过程中,客户端通过以下几个步骤完成数据通信:
- 与地址结构进行绑定(指定通信机制和地址)
- 读写数据
- 关闭套接字
2.具体通信相关函数
int socket(int domain, int type, int protocol)
- domain:域,也就是创建的套接字使用的协议簇,比如说ipv4(AF_INET),ipv6(AF_INET6)
- type: SOCKET的种类,比如SOCK_STREAM(流,tcp),SOCK_DGRAW(数据报, udp),SOCK_RAW(原始socket)
- protocol: SOCKET使用的协议,比如IPPROTO_TCP, IPPROTO_UDP, IPPROTO_IP
通过这个函数,能够设置套接字的基本属性,并且返回一个套接字句柄。我们之后可以通过操作此句柄来完成对socket的具体操作。
int bind(int sockfd,struct sockaddr *my_addr,socklen_t addrlen)
- sockfd:sock的句柄
- my_addr:这里是一个结构体,通用结构体如下:TCP/IP协议使用的协议地址格式为:
1
2
3
4struct sockaddr {
sa_family_t sa_family; // 之前的地址协议
char sa_data[14]; // 存储具体的协议地址
}1
2
3
4
5
6
7
8
9struct sockaddr_in{
unsigned short sin_family;/*地址类型*/
unsigned short sin_port;/*端口号*/
struct in_addr sin_addr;/*IP地址*/
unsigned char sin_zero[8];/*填充字节,一般赋值为0*/
}
struct in_addr{
unsignedlong s_addr;
}
这里注意地方:
- inet_addr这个函数能够将一个ip地址穿换成unsigned long的形式,也就是说:
1 | addr_serv.sin_addr.s_addr = inet_addr(DEST_IP_ADDRESS); |
通常按照如上赋值。
2.htons可以将整型变量从主机字节顺序转变成网络字节顺序。就是所谓的高字节在低位,低数字在高位。
- addrlen:地址长度
当使用socket函数后,会创建一个命名空间(就是地址簇),但是我们此时还没有指定当前的地址(也就是当前的socket的名字)。所以我们使用bind将对应的地址进行绑定。
使用前通常要进行清空处理:
1 | struct sockaddr_in addr_serv,addr_client;/*本地的地址信息*/ |
此函数为服务器端调用
int cnnect(int sockfd, struck sockaddr* servaddr, int addrlen)
- sockfd: 进行了绑定的sockfd
- servaddr: 服务方的地址
- addrlen: 地址的长度
通常为客户端使用,使用的时候我们 通常使用tcp/udp协议,从而sockaddr通常写作 sockaddr_in结构体。
ssize_t send(int s,const void *msg,size_t len,int flags);
ssize_t recv(int s,const void *msg,size_t len,int flags);
- s:套接字的描述符fd
- msg:所发送的缓冲区
- len:待发送数据的长度
- flags:数据类型:
- MSG_OOB:发送或接收加急数据;
- MSG_PEEK:观察输入报文;
- MSG_DONTROUTE:旁路路由选择;
4. 设计思路
最初的设计思路比较简单,就是简单额度使用了connect函数进行连接。调用了connect之后,客户端便会向指定服务器发送一个带有SYN的数据包,然后此时如果此端口没有开放的话,则会返回RST数据包。但是这个过程比较慢,因为connect这个过程在失败的时候,计算机会进行等待。显然这么做是非常低效的。于是这里打算采用发送FIN数据包的方式进行端口扫描
socket raw
比起之前提到的两种协议,socket还支持第三种协议:SOCK_RAW,这个协议可以保证让我们自行的构造tcp头部和ip头部。
我们这里只选择创建tcp头部,于是我们的socket要改成如下的形式:
1 | socket(AF_INET, SOCK_RAW, IPPROTO_TCP); |
上述的说法能够让我们自己定义tcp头部(如果要定义ip头部的话,我们需要增加setsockopt这个函数)
同时,只有超级用户能够使用socket raw,我们这里调用setuid来提升我们的权限。并且,经测试,在编译期间也必须给予超级用户的权限,否则的话依然会报错
struct tcphdr :结构体,可以用来 构成tcp头部。注意当我们手动构造tcp的头部的时候,此时目标地址的port也要提前放入dest_addr(?)
这是头文件中的结构体(看到网上很多地方都没有提到怎么写啊…),几乎就是直接往这些结构体元素中填入我们指定的值,就能够构成tcp头部。
我们这里只需要随机构造我们的random,完成我们的32bit随机数。
并且由于不适用connect,我们需要改成如下函数:
int sendto(int s, const void * msg, int len, unsigned int flags, const struct sockaddr * to, int tolen);
- s:socket fd
- msg:传输的信息
- len:传输信息的长度,就是整个报文的长度
- flags:附加说明,没有填0
- to :地址
- tolne:地址的长度(直接sizeof(struct sockaddr_in即可))
在实验了两天后,发现首先第一个问题是checksum不能错哇。。。不然的话tcp那边不认。。会丢掉这个包的。。。
然后,发现发送一个fin包的时候,是不会有任何的回应的(?),于是靠着syn包的回复来进行辨认。。。。
C编写sniffer
1. 什么是sniffer
sniffer 在wiki上的解释就是packet analyzer,也就是【包分析】。sniffer可以拦截和记录经过的数据包。
换句话说,就是要有
- 拦截
- 记录
- 分析
三个功能。
换句话说,这个程序的功能就是记录数据包并且分析其内容,需要的话可以拦截数据包传输
2. 系统设计
大致的过程了解清楚以后,就可以大概设计一下框架了:
然后参考了他人读的sniffer,加上大致的思考,getPacket,decodePacket应该都会与socket有关系,应该将这两个方法抽象在同一个类里面。
sniffer必定会处理多个数据包(数据包已经被封装了),所以在Sniffer中必定要有一个记录每一个经过数包的属性。
3. 具体设计
指明了不给用python 啊好气,看来只能是用C的Winpcap来实现这个过程了。
获得所有设备
首先我们需要获得所有的ethernet adapter(以太网适配器),这个过程可以使用函数pcap_findalldevs_ex()来实现:
1 | int pcap_findalldevs_ex ( char * source, |
source: 源地址,我们通过设定源地址来指定我们需要监听的地址,比如监听本地的话就是:‘rpcap://’ 监听远程的话就是’rpcap://host:port’ 。其中,宏 PCAP_SRC_IF_STRING 就是’rpcap://’。
auth: 指定了当前监听的对象权限的路径。如果是本地的话,可以直接设置为空
alldevs: 关键参数,如果成功获得设备的话,会给当前指针一个pcap_if_t的链表的头指针。
errbuf: 出错参数。这个char*[PCAP_ERRBUF_SIZE]中会包含当前的出错信息。
关键参数就是这个alldevs,其结构体为pcap_if
1 | struct pcap_if * next |
释放设备
void pcap_freealldevs(pcap_if_t** alldevs);
用于释放当前获得的设备
获得指定设备
1 | pcap_t* pcap_open ( const char * source, |
snaplen: 制定要捕获数据包中的哪些部分。 在一些操作系统中 (比如 xBSD 和 Win32), 驱动可以被配置成只捕获数据包的初始化部分: 这样可以减少应用程序间复制数据的量,从而提高捕获效率。如果将值定为65535,它比我们能遇到的最大的MTU还要大。因此总能收到完整的数据包。
flags: 最最重要的flag是用来指示适配器是否要被设置成混杂模式(promiscuous,宏为PCAP_OPENFLAG_PROMISCUOUS )。 一般情况下,适配器只接收发给它自己的数据包, 而那些在其他机器之间通讯的数据包,将会被丢弃。 相反,如果适配器是混杂模式,那么不管这个数据包是不是发给机器,机器都会去捕获。这意味着在一个共享媒介(比如总线型以太网),WinPcap能捕获其他主机的所有的数据包。 大多数用于数据捕获的应用程序都会将适配器设置成混杂模式。
to_ms:指定读取数据的超时时间,以毫秒计(1s=1000ms)。在适配器上进行读取操作(比如用 pcap_dispatch() 或 pcap_next_ex()) 都会在to_ms 毫秒时间内响应,即使在网络上没有可用的数据包。 在统计模式下,to_ms 还可以用来定义统计的时间间隔。 将to_ms 设置为0意味着没有超时,那么如果没有数据包到达的话,读操作将永远不会返回。 如果设置成-1,则情况恰好相反,无论有没有数据包到达,读操作都会立即返回。
pcap_open()函数的返回类型为 pcap_t * ,在引用时我们需要先声明一个pcap_t 类型的指针。这个函数将会返回当前的设备。并且在获得当前设备后,我们就能够释放掉其他的设备。
监听是否得到数据包(回掉函数)
1 | pcap_loop(pcap_t * p, |
p: 当前设备的句柄
cnt: 指定收到多少的数据包就停止检测。如果我们设置为0,那么将会一直接受数据包
user: 指定的操作者(?)
callback: 关键参数,用于存放回调函数,回调函数的格式为:
1 | void packet_handler(u_char *param, const struct pcap_pkthdr *header, const u_char *pkt_data) |
param: 传入的各类参数(?)
header: 捕捉的数据包的头部
pkt_data: 数据包的内容
数据包头中会记录相关的时间信息
1 | struct pcap_pkthdr { |
为了获得可读取的时间,我们需要对header中的时间参数进行修改:
1 | time_t local_tv_sec = header->ts.tv_sec; |
监听是否得到数据包
1 | int pcap_next_ex ( pcap_t * p, |
p: 设备句柄
pkt_header: 包的时间信息与长度的指针
pkt_data: 包收到的数据的指针
返回值:
1 成功读取数据
0 经过了在pcap_open_live() 设置的存活时间. 此时 pkt_header 和 pkt_data 将不会指向一个有效的包
-1 发生了错误
-2 此时读到了捕捉器的末尾(?)
在能够抓取到数据包后,我们应该尝试的解析数据包中内容。winpcap能够抓到的最上层的报头为链路层报头,于是乎我们还得复习一下链路层的帧的结构:
实现里面遇到的那些坑
1. ssh数据包?
一开始做实验的时候,发现无论怎么发送请求,都会返回数据包,仔细研究了NNNN久之后,意识到我是用ssh连接上去的,然后这个ssh呢,自然也是有数据包的。。。。
2. 防火墙的安全起见
这个也是一个大坑。当我快要完成的时候,我发现无论怎么发送数据包到主机,都不能成功。后来在大佬同学的指点下,才知道windows的防火墙会过滤掉这种数据包,只有在关闭了防火墙我才能够继续发送请求。。
3. bind?std::bind?
这个是帮同学调试数据传输的时候遇到的问题。C++的std下有一个函数也叫bind,而且作用是绑定一个函数形成函数指针,而winsock2下的bind是用来绑定端口的地址的,然后,在漫长的调试之后,终于发现了这个事情。。。所以当我们使用winsock2的bind时,应该写作:
1 | ::bind(); |
4. EX的Winpcap
由于windows下不能使用socket而准备使用的winpcap,如果要使用官方的例子的代码的话,就必须要在引入pcap.h之前,加入***#define HAVE_REMOTE**的宏定义,否则很多函数就会出现未定义的提示
参考博客:
http://blog.csdn.net/tigerjibo/article/details/6764613
http://blog.csdn.net/cqcre/article/details/39924789
http://blog.csdn.net/u010487568/article/details/39329791