原始套接字抓取所有以太网数据包与分析

最新推荐文章于 2023-10-25 09:13:22 发布
最新推荐文章于 2023-10-25 09:13:22 发布
阅读量4.8k 收藏 17
点赞数 5
分类专栏: Network Linux 文章标签: socket 原始套接字 抓取 以太网 网络数据解析
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/JAZZSOLDIER/article/details/52367887
版权

If you have any idea, just send comments to me.

####1.原始套接字介绍
关于socket使用客户机/服务器模型的 SOCK_STREAM 或者 SOCK_DGRAM 用于 TCP 和 UDP 连接的应用更为普遍一些,而如果考虑到从网卡中直接捕获原始报文数据就需要用到原始套接字 SOCK_RAW 类型了。其中原始套接字根据 socket 选项可以工作在网络不同层级上。如果 socket 的第一个参数 domain 设置为 AF_INET 那么套接字就工作在 IP 层,如果设置为 AF_PACKET, 那么套接字就工作在网络接口层和 IP层;本文所给例程将使用后者以便于抓取更多协议类型的数据;关于 socket 最后一个参数 protocol 需要根据第一个参数来选择,本文使用 ETH_P_ALL。更多的使用细节参考 socket 和 protocols 的 man page 即可;

####2.网卡模式
默认情况下网卡只接收 MAC 地址和自己相关的数据包,因此要抓取网络中所有数据包需要将网卡设置为混杂模式,关于混杂模式请参阅我的其他博客。在编程实现上,通过 ioctl 即可将我们程序中设定的参数传递给网卡驱动以实现控制,同样关闭混杂模式也是通过该方法;

####3.数据解析
首先 linux 系统头文件中已经提供好了所有协议类型相关的头文件,这点也可以在例程中发现。但作为程序员,还是要十分清楚每一种协议下报文的基本结构以及报文中每一个字段的含义,关于报文结构也请参阅我的其他博文。在下面解析程序里也可以对每种报文协议略知一二。

####4.源代码
代码如下,具体使用步骤可以阅读代码,也可以直接输入: ./capture -h 来查看用法。关于其中的数据类型最好配合内核源代码进行查看,也更利于协议记忆。另外数据读取采取了最基本的 while 循环解析模式,为了提升效率可以采用 libevent 进行实现。当然目前缺点是退出 while(1) 循环会直接退出程序,无法取消网卡混杂模式和关闭套接字,优化任务就交给你们啦。
PS:如果在网卡上抓取到了大于 MTU 的数据包,不要慌张, 这是正常现象。解决办法参考我的其他博文,或者 send comments to me ? 。

/* normal header files */
#include <stdio.h>
#include <stdlib.h>
#include <unistd.h>
#include <stdbool.h>
#include <string.h>
#include <signal.h>

/* network header files */
#include <arpa/inet.h>
#include <netdb.h>
#include <linux/if_ether.h>
#include <linux/igmp.h>
#include <netinet/ip_icmp.h>
#include <netinet/in.h>
#include <netinet/ip.h>
#include <netinet/tcp.h>
#include <netinet/udp.h>
#include <net/if.h>
#include <net/ethernet.h>
#include <sys/types.h>
#include <sys/socket.h>
#include <sys/ioctl.h>
#include <sys/stat.h>
#include <linux/if_arp.h>

/* type definations */
struct global_info{
	unsigned int bytes;
	unsigned int packet_all;

	unsigned int packet_arp;
	unsigned int packet_rarp;

	unsigned int packet_ip;
	unsigned int packet_icmp;
	unsigned int packet_igmp;

	unsigned int packet_tcp;
	unsigned int packet_udp;

	bool print_flag_frame;
	bool print_flag_arp;
	bool print_flag_rarp;
	bool print_flag_ip;
	bool print_flag_icmp;
	bool print_flag_igmp;
	bool print_flag_tcp;
	bool print_flag_udp;
};

struct ip_pair {
	unsigned int source_ip;
	unsigned int dest_ip;
};

/* varibles */
struct global_info global;

struct ip_pair ip_pair[1000];

/* function declaration */
void mac_to_str(char *buf, char *mac_buf);

void init_global(struct global_info *info)
{
	info->bytes = 0;
	info->packet_all = 0;

	info->packet_arp = 0;
	info->packet_rarp = 0;
	info->packet_ip = 0;
	info->packet_icmp = 0;
	info->packet_igmp = 0;
	info->packet_tcp = 0;
	info->packet_udp = 0;

	info->print_flag_arp = false;
	info->print_flag_rarp = false;
	info->print_flag_ip = false;
	info->print_flag_icmp = false;
	info->print_flag_igmp = false;
	info->print_flag_tcp = false;
	info->print_flag_udp = false;
}

void print_global(struct global_info *info)
{
	printf("=============== GLOBAL MESSAGE ===============\n");
	printf("Capture size: %.1f KB\n", (float)(info->bytes / 1024));
	printf("%d packet captured.\n", info->packet_all);
	if (info->packet_arp) 
		printf("Num of arp packet: %d\n", info->packet_arp);
	if (info->packet_rarp) 
		printf("Num of rarp packet: %d\n", info->packet_rarp);
	if (info->packet_ip) 
		printf("Num of ip packet: %d\n", info->packet_ip);
	if (info->packet_icmp) 
		printf("Num of icmp packet: %d\n", info->packet_icmp);
	if (info->packet_igmp) 
		printf("Num of igmp packet: %d\n", info->packet_igmp);
	if (info->packet_tcp) 
		printf("Num of tcp packet: %d\n", info-&g
最低0.47元/天 解锁文章
SoldierJazz2021
关注
  • 5
    点赞
  • 17
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
使用Sniffer截获流经本机卡的IP数据包
raphyer的专栏
10-07 3561
Win2K下的Sniffer工具源代码 详细信息   Win2K下的Sniffer源代码。[代码性质] VC完整应用程序代码[代码作者] zw[文件大小] 130K [更新日期] 2002-11-26 19:47:00 [下载次数] 6015  http://www.vckbase.com/code/downcode.asp?id=1692IP包监听程序(For 9x)源代码 详细信息
易语言-使用 RawSocket 捕获卡/指定程序/指定端口/指定IP 数据包
06-26
TCP是属于IPXY的一个子XY,那么要发送一个TCP数据包就得加上(以XY报头这个先不提),IPXY的报头,和TCPXY报头,这些东西流套都会帮你处理,而原始则不会(当然也可以设置让原始构造IP报头)。...
抓包工具(ethernet)
07-04
非常好用的以抓包工具,用于以学习及分析
tcp/ip 协议栈Linux内核源码分析14 udp套收流程一
fuyuande的博客
05-31 567
内核版本:3.4.39 前面两篇文章分析了UDP套从应用层发送数据到内核层的处理流程,这里继续分析相反的流程,看看数据是怎么从内核送到应用层的。 与发送类似,内核也提供了多个收数据的系统调用口,口定义如下: #include <sys/types.h> #include <sys/socket.h> ssize_t recv(int sockfd, voi...
使用RawSocket进行络抓包
weixin_33763244的博客
04-28 1319
aw socket,即原始,可以收本机卡上的数据帧或者数据包,对与监听络的流量和分析是很有作用的,一共可以有3种方式创建这种socket。 中文名原始外文名RAW SOCKET作    用卡对该数据帧进行硬过滤类    型3种方式   目录 1 简介 2 总结 简介编辑 1.socket(AF_INET, SOCK_RA...
18.1 Socket 原生套抓包
最新发布
CSDN
10-25 7289
原生套抓包的实现原理依赖于`Windows`系统中提供的`ioctlsocket`函数,该函数可将指定的卡设置为混杂模式,卡混杂模式(`Promiscuous Mode`)是常用于计算机络抓包的一种模式,也称为监听模式。在混杂模式下,卡可以收到经过主机的所有数据包,而非只收它所对应的`MAC`地址的数据包。混杂模式可以通过软件驱动程序或卡硬件实现。启用混杂模式的主要用途之一是络抓包分析,使用混杂模式可以捕获络中所有的数据包,且不仅仅是它所连的设备的通信数据包。因此,可以完整获取络中的
Windows下利用原始实现的一个抓包程序Demo
linking530的专栏
05-16 4499
版权声明:本文为博主原创文章,未经博主允许不得转载。 早就学过了套编程,但是原始还没用过。最近听了络安全老师的课,心血来潮,写了个抓包程序Demo,把代码分享给大家,感兴趣的可以看看。引用一句络安全老师的话:“你们要本着技术的心态去实践,哎,一部分人,写着写着就成黑客了”。 [cpp] view plain copy #define _CR
使用Linux套络包程序
10-18
本主题将深入探讨如何使用Linux原始(raw sockets)来抓取数据包,以及`tgsniffer`这个源代码项目。原始允许我们访问络协议栈的底层,直处理原始数据包,而不仅仅是应用层的协议,如TCP或UDP...
RawSend_RawSocket基于MAC发送_sock_raw_C++_原始Socket发送_
10-03
在本主题中,“RawSend_RawSocket基于MAC发送_sock_raw_C++_原始Socket发送_”指的是使用C++语言通过原始(Raw Socket)向指定MAC地址发送以数据帧的过程。以下将详细介绍这一技术及其相关知识点。 1. **...
TCPS.rar_IP数据_TCP数据包_发送tcp数据包_封装Ip数据包
09-20
在源代码实现中,这通常涉及到套编程,如使用socket函数创建套,bind绑定本地端口,connect连远程服务器,send发送数据,recv收数据,最后close关闭连。 5. **封装IP数据包**:在发送TCP数据之前,...
基于winsock原始的IP数据包的捕获与解析
01-22
本文使用windows sockets 的原始实现IP数据包的捕获与解析,有详细的设计过程,并附有源代码,源代码中有注释。
c语言抓包并分析
01-21
本项目“c语言抓包并分析”提供了一个纯C语言实现的示例,帮助开发者了解如何利用原始(raw sockets)进行数据包的捕获和解析。以下是对该项目及相关知识点的详细解释。 1. **原始(Raw Sockets)*...
[源码和文档分享]使用原始Raw Socket实现数据包嗅探
qq_38474647的博客
12-28 2331
背景 络上随时都流通了大量的数据包,我们要想实现抓包并分析,实现思路思路大概是:在合适的时候捕获数据包,保存到缓冲区,作为备用;然后,按照一定的结构和格式去读取缓冲区的内容。由于各种公开的络协议是已知的,所以对于数据包分析就比较简单。 通常我们都是使用类似WireShark的抓包软件嗅探数据包,这些抓包工具大部分都是基于WinPcap库实...
抓取帧报文程序分析
火山锅锅的博客
04-03 1616
抓取帧程序分析程序框架 rawSocket()//创建原始; int setPromisc(char *interface,int *sock)//设置interface的混乱模式 分析数据 程序细节创建socket 从数据链路层 sock = socket(PF_PACKET,SOCK_RAW,htons(ETH_P_ALL)); IP层抓取 sock = socket(PF_INET,
通讯报文详解
qq_43491149的博客
02-07 2万+
通讯报文详解 来源:编程帮,http://c.biancheng.net/view/6385.html 1、物理层协议有:EIA/TIA-232, EIA/TIA-499,V.35, V.24,RJ45, Ethernet, 802.3 2、数据链路层协议有:Frame Relay,HDLC,PPP, IEEE 802.3/802.2 3、络层协议有:IP,IPX,AppleTalk DDP 4、传输层协议有:TCP,UDP,SPX,ICMP 5、会话层协议有:RPC,SQL,NFS,NetBIO
【头歌】——抓取Ethernet包(计算机络)
公众号:风景邮递Yuan的博客
11-04 4021
(2)根据包含 HTTP GET 消息的以帧进行分析:以帧中 48 位目的地址是什么?的MAC地址,如果有,将其MAC地址填写到文件中,如果没有,填写“否”到文件中;(4)Ethernet II 两节的帧类型段的十六进制值,填写到文件中;在 Wireshark 下抓取 Ethernet 包。(1)打开 Wireshark,加载实训文件夹中的。双击打开桌面上的工作区文件夹。,将查询的信息保存到文件。
【原创】络报文抓取研究
weixin_33889665的博客
04-12 299
1 引言 络报文抓取是指通过对主机络设备的探测,实现获取该络当前传输的所有信息,并根据信息的源主机、目标主机、服务协议和端口等信息简单过滤掉不关心数据,然后提交给上层应用程序进行进一步处理。 2 数据包捕获原理 一个包捕获机制包含三个主要部分 1) 包捕获机制 不同的操作系统实现的底层包捕获机制可能是不一样的,但从形式上看大同小异。数据包常规的传输路径依次为卡...
原始使用总结 (端口扫描和流量统计实现)
&Ψ的博客
07-11 1235
1. 络中的四层 应用层 传输层 络层 数据链路层 数据链路层:解决点对点的通讯 (mac地址) 络层:解决主机到主机的通讯 (ip地址) 传输层:解决一台主机的任意的进程和另一台主机的任意进程的通讯 (端口) 应用层:解决应用程序个各种业务问题 1.1 传输层 tcp套的使用 int fd = socket(AF_INET,SOCK_STREAM,0); AF_INET/AF_INET6 ipv4/ipv6 这种套可以直使用tcp协议,发送和
虚拟机找不到/mnt/hgfs挂载目录
热门推荐
SoldierJazz的专栏
02-10 4万+
如果在安装好 VMware Tools 并在设置里面设定好共享目录之后仍然找不到 /mnt/hgfs 默认挂载目录,那么尝试以下步骤: 1. 确认VMware Tools 和共享目录设定已经完成: 2. 如果操作结果如上所示,那么表示前提条件准备充足啦,因为
利用Python自带的封装类对原始抓取数据包的不同协议进行解析
05-26
在上面的代码中,我们首先创建了一个原始,并使用recvfrom()方法数据包。然后,我们解析以头部和IP头部,并判断是否为HTTP协议。如果是HTTP协议,我们将HTTP数据包解析并输出。 类似的,我们可以使用...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值