用Go处理原始数据包

最新推荐文章于 2024-08-07 09:51:58 发布
最新推荐文章于 2024-08-07 09:51:58 发布
阅读量2.1k 收藏 2
点赞数
文章标签: golang 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Ga4ra/article/details/123183010
版权

文章目录

1. gopacket基本使用

Google开发的gopacket库可以方便地处理网络数据包,比如操作pcap文件,支持BPF过滤器语法(Berkeley Packet Filter, 又称为tcpdump语法)等。

文档:https://pkg.go.dev/github.com/google/gopacket/

安装:

go get github.com/google/gopacket

linux系统需要安装libpcap库:

sudo apt-get install libpcap-dev

windows则需要安装WinPcap

检索可用设备

文档:https://pkg.go.dev/github.com/google/gopacket/pcap

package main

import (
	"fmt"
	"log"

	"github.com/google/gopacket/pcap"
)

func main() {
	pcapDevices, err := pcap.FindAllDevs()
	if err != nil {
		log.Panicln(err)
	}

	for _, pcapDev := range pcapDevices {
		fmt.Println(pcapDev.Name)
		fmt.Println(pcapDev.Description)
		for _, address := range pcapDev.Addresses {
			fmt.Printf("    IP:      %s\n", address.IP)
			fmt.Printf("    Netmask: %s\n", address.Netmask)
			fmt.Printf("    Broadaddr: %s\n", address.Broadaddr)
			fmt.Printf("    P2P: %s\n", address.P2P)
		}
	}
}

捕获并过滤数据包

官网example: https://pkg.go.dev/github.com/google/gopacket/pcap#hdr-Reading_PCAP_Files

保存为pcap官方example: https://pkg.go.dev/github.com/google/gopacket/pcapgo#example-package-CaptureEthernet

BPF语法可参考tcpdump官网:https://www.tcpdump.org/manpages/pcap-filter.7.html

package main

import (
	"fmt"
	"log"
	"os"

	"github.com/google/gopacket"
	"github.com/google/gopacket/layers"
	"github.com/google/gopacket/pcap"
	"github.com/google/gopacket/pcapgo"
)

func main() {
	var (
		strIntface  = "enp0s3"
		nSnaplen    = int32(1600)
		bPromisc    = false
		nTimeout    = pcap.BlockForever
		strFilter   = "tcp and port 80"
		bDevFound   = false
		strPcapFile = "/tmp/test.pcap"
	)

	// 1. Find the interface
	devices, err := pcap.FindAllDevs()
	if err != nil {
		log.Panicln(err)
	}

	for _, device := range devices {
		fmt.Printf("iface: %s\n", device.Name)
		if device.Name == strIntface {
			bDevFound = true
			break
		}
	}
	if !bDevFound {
		log.Panicf("Device named '%s' does not exist\n", strIntface)
	}

	// 2. Get the handle of the interface
	handle, err := pcap.OpenLive(strIntface, nSnaplen, bPromisc, nTimeout)
	if err != nil {
		log.Panicln(err)
	}
	defer handle.Close()

	// 3. set bpf filter
	if err := handle.SetBPFFilter(strFilter); err != nil {
		log.Panicln(err)
	}

	// 3. save as .pcap
	fPcap, err := os.Create(strPcapFile)
	if err != nil {
		log.Fatal(err)
	}
	defer fPcap.Close()
	pcapw := pcapgo.NewWriter(fPcap)
	if err := pcapw.WriteFileHeader(1600, layers.LinkTypeEthernet); err != nil {
		log.Fatalf("WriteFileHeader: %v", err)
	}

	// 4. Make handle as the source
	// source := gopacket.NewPacketSource(handle, handle.LinkType())
	source := gopacket.NewPacketSource(handle, layers.LayerTypeEthernet)
	for packet := range source.Packets() {
		fmt.Println(packet)
		if err := pcapw.WritePacket(packet.Metadata().CaptureInfo, packet.Data()); err != nil {
			log.Fatalf("pcap.WritePacket(): %v", err)
		}
	}
}

保存的/tmp/test.pcap可以用wireshark打开,也可以用 pcap.OpenOffline打开后解码分析,具体可参考asta谢的这篇文章,《网络流量抓包库 gopacket》,以及官方Packet接口注释

2. 嗅探用户凭证

应用前提:已经拿下目标网络的某台机器

在过滤数据包代码基础上,修改过滤表达式:

strFilter  = "tcp and dst port 21"

然后在遍历数据包时,提取应用层,分析其payload中是否有我们关心的关键词:

source := gopacket.NewPacketSource(handle, handle.LinkType())
for packet := range source.Packets() {
    appLayer := packet.ApplicationLayer()
    if appLayer == nil {
        continue
    }
    payload := appLayer.Payload()
    arrStrKeyWords := [2]string{"USER", "PASS"}
    for _, strKeyWord := range arrStrKeyWords {
        if bytes.Contains(payload, []byte(strKeyWord)) {
            fmt.Print(string(payload))
        }
    }
}

3. 绕过SYN泛洪保护进行端口扫描

SYN Cookie

简单复习一下syn泛洪攻击:攻击者对服务器发送大量的SYN连接请求(第一次握手),却不回复服务器返回的SYN+ACK(第二次握手),服务器就保存了大量半连接(half-open)请求,每个请求都要为TCB(TCP 传输控制块)开辟内存(backlog维护上限),最终内存耗尽或达到backlog上限而拒绝服务。

[syn cookie](https://baike.baidu.com/item/syn cookie)是用来防范SYN Flood攻击的手段之一,服务端收到一个SYN时不需要分配空间,而是结合SYN初始序列号、双方ip、端口等信息计算出SYN-ACK序列号(就是SYN cookies),收到ack时在进行验证。

在使用syn泛洪保护时,通常所有端口(open, closed, filtered)都会产生相同的数据交换,以表明端口处于打开状态。

绕过

TCP SYN泛洪主要发生在OSI的传输层,抓包后自然也要分析传输层(TransportLayer()),要关注的是tcp的标志位(Control Flag),它在下标13的字节。

7->0
CWR | ECE | URG | ACK | PSH | RST | SYN | FIN

通过标志位可以检查是否有三次握手之外的其它数据包,以下的BPF过滤条件可以表示监听服务:

tcp[13] == 0x11 or tcp[13] == 0x10 or tcp[13] == 0x18

解释:

  • ACK & FIN : b00010001 == 0x11
  • ACK : b00010000 == 0x10
  • ACK & PSH: b00011000 == 0x18

源码:


var (
	nSnaplen   = int32(320)
	bPromisc   = true
	nTimeout   = pcap.BlockForever
	strFilter  = "tcp[13] == 0x11 or tcp[13] == 0x10 or tcp[13] == 0x18"
	bDevFound  = false
	mapResults = make(map[string]int)
)

func capture(iface, target string) {
	handle, err := pcap.OpenLive(iface, nSnaplen, bPromisc, nTimeout)
	if err != nil {
		log.Panicln(err)
	}
	defer handle.Close()

	if err := handle.SetBPFFilter(strFilter); err != nil {
		log.Panicln(err)
	}

	source := gopacket.NewPacketSource(handle, handle.LinkType())
	fmt.Println("Capturing packets")
	for packet := range source.Packets() {
		networkLayer := packet.NetworkLayer()
		if networkLayer == nil {
			continue
		}
		transportLayer := packet.TransportLayer()
		if transportLayer == nil {
			continue
		}

		srcHost := networkLayer.NetworkFlow().Src().String()
		srcPort := transportLayer.TransportFlow().Src().String()

		if srcHost != target {
			continue
		}
		mapResults[srcPort] += 1
	}
}

func explode(portString string) ([]string, error) {
	ret := make([]string, 0)

	ports := strings.Split(portString, ",")
	for _, port := range ports {
		port := strings.TrimSpace(port)
		ret = append(ret, port)
	}

	return ret, nil
}

func newSliceValue(vals []string, p *[]string) *[]string {
	*p = vals
	return (*[]string)(p)
}

func main() {
	var (
		pStrFlagDev   = flag.String("iface", "", "The interface to capture.")
		pStrFlagIp    = flag.String("ip", "", "The target ip.")
		pStrFlagPorts = flag.String("ports", "", "The ports to listen to.")
	)
	flag.Parse()

	if len(os.Args) != 4 {
		log.Fatalln("Usage: main.go <capture_iface> <target_ip> <port1,port2,port3>")
	}

	devices, err := pcap.FindAllDevs()
	if err != nil {
		log.Panicln(err)
	}

	for _, device := range devices {
		if device.Name == *pStrFlagDev {
			bDevFound = true
		}
	}
	if !bDevFound {
		log.Panicf("Device named '%s' does not exist\n", *pStrFlagDev)
	}

	go capture(*pStrFlagDev, *pStrFlagIp)
	time.Sleep(1 * time.Second)

	ports, err := explode(*pStrFlagPorts)
	if err != nil {
		log.Panicln(err)
	}

	for _, port := range ports {
		target := fmt.Sprintf("%s:%s", *pStrFlagIp, port)
		fmt.Println("Trying", target)
		conn, err := net.DialTimeout("tcp", target, 1000*time.Millisecond)
		if err != nil {
			continue
		}
		conn.Close()
	}
	time.Sleep(2 * time.Second)

	for port, confidence := range mapResults {
		if confidence >= 1 {
			fmt.Printf("Port %s open (confidence: %d)\n", port, confidence)
		}
	}
}
CodeStarr
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Golang 通过tcp / ip发送数据
weixin_34179968的博客
01-25 2622
2019独角兽企业重金招聘Python工程师标准>>> ...
raw:原始数据包使您可以在设备驱动程序级别上为网络接口读取和写入数据。 麻省理工学院许可
04-30
有关在Go中将原始套接字与以太网帧一起使用的更多信息,请查看我的博客文章: 。 该代码的某些部分来自Go标准库。 Go标准库为(c)2012 The Go Authors版权所有。 版权所有。 可以在上找到Go许可证。 稳定 此时,...
[golang] 抓包注入分析
weixin_30256901的博客
07-31 562
视频信息 Packet Capture, Analysis, and Injection with Goby John Leonat GopherCon 2016 https://www.youtube.com/watch?v=APDnbmTKjgM 代码:https://github.com/gophercon/2016-talks/tree/master/JohnLeon-Pack...
gopacket:提供Go的封包处理能力
04-27
GoPacket 该库为Go提供了数据包解码功能。 有关更多详细信息,请参见 。 除pcapgo / EthernetHandle,afpacket和bsdbpf(由于x / sys / unix依赖性而至少需要1.9)外,最低Go版本要求为1.5。 最初是由Andreas Krennmair ( )编写的gopcap项目派生的。
探索网络数据的密钥 —— GoPacket 深度解读
最新发布
gitblog_00439的博客
08-07 940
探索网络数据的密钥 —— GoPacket 深度解读 gopacketProvides packet processing capabilities for Go项目地址:https://gitcode.com/gh_mirrors/go/gopacket 在当今这个信息飞速交换的时代,网络数据的解析和分析成为了技术领域中不可或缺的一环。今天,我们向您隆重推荐一个来自Google的重量级开源库—...
Go-gopacket-为Go提供网络数据包处理功能
08-14
gopacket - 为Go提供网络数据包处理功能
golang使用gopacket包进行数据包捕获,注入和分析
热门推荐
虾米的博客
05-23 2万+
使用golang实现网络抓包是非常容易的,可以使用谷歌的包github.com/google/gopacket。由于gopacket构建在libpcap之上,我强烈建议您了解该库的工作原理。您可以在C中学习如何使用libpcap进行更深入的了解。 1.libpcap gopacket是基于libpcap(数据包捕获函数库)的,该库提供的C函数接口用于捕捉经过指定网络接口的数据包,该接口应该是被...
Go最全gopacket使用示例(1),2024年最新面试杀手锏
2401_84905039的博客
05-16 962
nil {err!= nil {### 解析FTPimport (“fmt”“io”“log”“time”var (if err!
golang如何利用原始套接字构造UDP包详解
09-21
Golang中,原始套接字(RAW SOCKET)允许开发者直接操作网络协议栈,从而能够构建自定义的数据包,如TCP、UDP等。本篇将详细介绍如何利用原始套接字构造UDP包,这对于网络编程、协议分析或特殊场景的网络通信具有...
go-intercept:一个精简的 http 数据包嗅探器
06-06
- **数据包捕获**:通过系统调用获取网络接口的原始数据包。 - **包过滤**:筛选出 HTTP 数据包,忽略其他非 HTTP 流量。 - **包解析**:解析 HTTP 头部和内容,提取关键信息。 - **数据处理**:根据需求对捕获的...
用gopacket构建一个原始数据包发送给客户端浏览器
04-02
但是,以下是Golang中使用gopacket构建原始数据包的一些示例代码: ``` package main import ( "fmt" "log" "net" "time" "github.com/google/gopacket" "github.com/google/gopacket/layers" "github....
PacketThief:Go编写的端口镜像工具,用于将流量发送到外部服务器
03-28
PacketThief Go编写的端口镜像工具,用于将流量发送到外部服务器 建造 该服务器将打开端口并将数据写入pcap文件。 cd ptserver # Download deps go get -u github.com/google/gopacket # Build go build . 客户端将捕获流量并将其发送到服务器。 cd ptclient # Download deps go get -u github.com/erikdubbelboer/gspt go get -u github.com/google/gopacket # Build go build . 用法 服务器 Usage: ptserver [ ... ] Parameters: -a string Listen IP address (default " 0.0.0.0:8080 "
使用gopacket解析协议层中的相关数据
tian的博客
08-15 2665
使用gopacket获取数据包中的相关内容
go代码可以复制Linux某端口的流量并转发给另外一台服务器
servepeople的博客
09-12 385
请确保在使用此代码时具备适当的权限和网络环境,并根据实际需求进行修改和扩展。来编写代码来捕获网络流量,并将其转发到另一台服务器。以下是一个简单的示例,演示如何复制指定端口的流量并将其转发到另一台服务器上。来编写代码来捕获网络流量,并将其转发到另一台服务器。以下是一个简单的示例,演示如何复制指定端口的流量并将其转发到另一台服务器上。请确保在使用此代码时具备适当的权限和网络环境,并根据实际需求进行修改和扩展。库来捕获网络数据包,并使用。库来捕获网络数据包,并使用。在上述代码中,我们使用了。
用GO调用C的动态库的说明
qq_36035906的博客
10-27 883
这里写自定义目录标题 package main /* #cgo CFLAGS: -I<path_of_header_file> #cgo LDFLAGS: -L<path_of_so_file> -l<name_of_so> #include “header_file” */ import “C” func main(){ C.function() }
Go语言获取实时网速(gopacket实践)
Bpazy的博客
10-06 1万+
winpcap 已经停止更新,现在可以使用nmap维护的npcap
如何构建编译gopacket包的测试用例?(gopacket抓取数据包、类似于tcpdump、Wireshark)
码二哥的技术池
04-16 1266
如何构建编译gopacket测试用例
基于Go的网络嗅探测试
向水一生的博客
03-20 1104
本文中主要代码参考https://github.com/timest/goscan进行结构上的修改并处理了其中一个并发访问Map的问题。 主要原理是利用gopacket实现对网段的IPv4地址批量发送ARP包,并等待响应。 程序运行需要root权限。 主要目录结构如下图: 相关代码如下: ip.go: package util import ( "bytes" "github.com/la...
Golang代码漏洞扫描工具介绍——govulncheck
killer1989的博客
09-15 710
govulncheck是一个命令行工具,帮助Go用户在项目依赖中查找已知的漏洞。该工具可以分析代码库和二进制文件,并通过优先考虑实际调用你代码的函数中的漏洞来减少干扰。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值