编程随记 ---- 拼包程序(二)
找来了Richard Stevens的经典著作《TCP/IP祥解 卷1:协议》仔细的
翻阅TCP和IP协议部分。从而发现截获到的数据包前面包含若干头:
wpcap Header + Ethernet Header + IP Header + TCP Header + Data
前面已经分析了wpcap的头部。由于只需要分析TCP数据包,所以以太网包
头部只需解析一下类型字段,看是不是后面封装的IP包(类型字段是不是
0800)。然后分析一下IP头,找到源和目的IP地址。再查看8位协议字段,
看IP包封装的是否是TCP包,当协议字段的值为6时,为TCP包。再相应解析
tcp头,解析出源和目的IP的端口号,并需要保存seq,ack,flag,已备后
面分析三次握手协议和断开连接时作准备。
上述过程很简单,看了具体的协议内容就可以实现。但是接下来分析
TCP连接过程时则相应比较麻烦些。TCP建立连接过程必须满足三次握手协
议:
1、源端发送一个SYN:seq1的TCP包;
2、目的端收到上面的包后,返回一个SYN:seq2:ack2的TCP包,其中ack2
值为seq1+1;
3、源端收到目的端的TCP包后,再发送一个ack1的TCP包,其中ack1的
值为seq2+1。
这样,经过三个TCP包才能正常建立一个TCP连接。而且这个连接是双向的,
所以需要对每个方向分别保存数据。显然可以使用srcIP + desIP + srcPort
&