利用socket raw抓包

最新推荐文章于 2023-03-14 22:13:15 发布
最新推荐文章于 2023-03-14 22:13:15 发布
阅读量7.4k 收藏 42
点赞数 2
分类专栏: Linux网络 文章标签: socket  linux 抓包
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Sophisticated_/article/details/83184729
版权

RAW SOCKET能够对较低层次的协议直接访问,网络监听技术很大程度上依赖于它。该文介绍了利用RAW SOCKET捕获网络底层数据包的步骤和方法

【原理】网卡对数据帧进行硬过滤(根据网卡的模式不同采取不同的操作,如果设置了混杂模式,则不做任何过滤直接交给下一层,否则非本机mac或者广播mac的会被直接丢弃)。在进入ip层之前,系统会检查系统中是否有通过socket(AP_PACKET,SOCK_RAW,…)创建的套接字,如果有并且协议相符,系统就给每个这样的socket接收缓冲区发送一个数据帧的拷贝。如果数据的校验和出错的话,内核直接丢弃该数据包,而不会拷贝给sock_raw的套接字。

创建套接字

发送接收ip数据包

socket(AF_INET, SOCK_RAW, IPPROTO_TCP|IPPROTO_UDP|IPPROTO_ICMP)

发送接收以太网数据帧

socket(PF_PACKET, SOCK_RAW, htons(ETH_P_IP|ETH_P_ARP|ETH_P_ALL))

使用SOCK_RAW发送接受的数据包含链路层的协议头。

设置网卡混杂模式
struct ifreq ifr;
strcpy(ifr.ifr_name, "eth0");
ifr.ifr_flags |= IFF_PROMISC;
ioctl(sock, SIOCGIFFLAGS, ifr);

SIOCGIFFLAGS, SIOCSIFFLAGS 读取 或 设置 设备的 活动标志字

设备标志
IFF_UP接口正在运行.
IFF_BROADCAST有效的广播地址集.
IFF_DEBUG内部调试标志.
IFF_LOOPBACK这是自环接口.
IFF_POINTOPOINT这是点到点的链路接口.
IFF_RUNNING资源已分配.
IFF_NOARP无arp协议, 没有设置第二层目的地址.
IFF_PROMISC接口为杂凑(promiscuous)模式.
IFF_NOTRAILERS避免使用trailer .
IFF_ALLMULTI接收所有组播(multicast)报文.
IFF_MASTER主负载平衡群(bundle).
IFF_SLAVE从负载平衡群(bundle).
IFF_MULTICAST支持组播(multicast).
IFF_PORTSEL可以通过ifmap选择介质(media)类型.
IFF_AUTOMEDIA自动选择介质.
IFF_DYNAMIC接口关闭时丢弃地址.
抓包
recvfrom(sock, buffer, BUF_SIZE, 0, NULL, NULL)

最后两个参数置为NULL,表示不绑定地址,来了的数据包都接收

示例代码
#include<stdio.h>
#include<net/if.h>
#include<netinet/in.h>
#include<netinet/ether.h>
#include<netinet/tcp.h>
#include<netinet/ip.h>
#include<netinet/udp.h>
#include<sys/types.h>
#include<sys/socket.h>
#include<sys/ioctl.h>

int main(int argc, char *argv[])
{
    int socketfd;
    ssize_t recvlen;
    unsigned char buffer[1024];
    
    socketfd = socket(PF_PACKET, SOCK_RAW, htons(ETH_P_ALL));
    if (socketfd < 0)
    {
        print("sock create fail!\n");
        return socketfd;
    }
    
    int id = 1;
    while (1)
    {
        recvlen = recvfrom(socketfd, buffer, sizeof(buffer), 0, NULL, NULL);
        if (recvlen < 42)
        {
            continue;
        }
        
        int i = 0;
        
        print("id: %d\n",id);
        for (i; i < sizeof(buffer); i++)
        {
            print(" %02x",buffer[i]);
             if ((i + 1) % 16 == 0)
            {
                print("\n");
            }
       }
       id ++;
       print("\n\n");
   }
}

运行结果截图:
在这里插入图片描述

然后就可以根据ethernet,ip,tcp等各协议头部字段对报文进行解析,
例如:这个报文的前6个字节目的mac:
在这里插入图片描述
接下来的6个字节源mac:
在这里插入图片描述
再接下来的两个字节为3层协议类型:
在这里插入图片描述
0x0800 即 IP协议

以太网头部就解析完成,接下来的报文就是ip头部了,以此类推。

具体解析过程详情附代码可参照另一篇使用libpcap抓包文章。
https://blog.csdn.net/Sophisticated_/article/details/83339483

lw_yang
关注
  • 2
    点赞
  • 42
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Delphi网络数据包捕获器源程序..rar
04-27
Delphi网络数据包捕获器源程序..rar``
rawsocket抓包侦听
10-10
**rawsocket抓包侦听**是一种网络数据包捕获技术,它通过使用操作系统底层的原始套接字(raw sockets)来直接访问网络层的数据包,而不是通过应用层协议(如TCP或UDP)进行通信。这种方法使得开发者可以直接查看和...
使用RawSocket进行网络抓包
weixin_33763244的博客
04-28 1318
aw socket,即原始套接字,可以接收本机网卡上的数据帧或者数据包,对与监听网络的流量和分析是很有作用的,一共可以有3种方式创建这种socket。 中文名原始套接字外文名RAW SOCKET    网卡对该数据帧进行硬过滤类    型3种方式   目录 1 简介 2 总结 简介编辑 1.socket(AF_INET, SOCK_RA...
服务器多网卡指定程序,使用 RawSocket 捕获网卡/指定程序/指定端口/指定IP 数据包...
weixin_39894473的博客
07-30 866
本文章将介绍如何使用RawSocket(原始套接字)开发网络嗅探器:首先我们得了解什么是套接字,这个我就不多说,自己百度,百度百科比我说的好。那么什么又是原始套接字呢,常用的套接字分为 SOCK_STREAM(流套接字) 用于TCPXY通讯。 SOCK_DGRAM(数据报套接字) 同于UDPXY通讯。那么原始呢,他则是和名字一样原始套接字;举例:要想用流套接字进行一次TCP的发包,那么直接连接上对...
raw_socket(原始套接字)以及普通socket使用终极总结
热门推荐
聆听风雨的博客
08-03 3万+
一、传输层socket(四层socket,普通socket) 可参考本人以下博客: Windows Socket编程之UDP实现大文件的传输:http://blog.csdn.net/luchengtao11/article/details/71016222 Windows Socket编程之TCP实现大文件的传输:http://blog.csdn.net/luchengtao11/arti...
[C++]-Windows下Socket连接之服务端
农家小舍
05-17 411
辅助函数 TCP服务端 Socket即套接字,用于网络通讯,有三种模式: 流式套接字(SOCK_STREAM) 数据报套接字(SOCK_DGRAM) 原始套接字(SOCK_RAW) 辅助函数 Windows下提供了WSAXXX系列函数来辅助Socket的开发。为了使用这些函数需要: #include<WinSock2.h> #include<WS2tcpip.h> #include<Mswsock.h> #pragmacomment(lib...
socket发送自定义IP包之解析
cohenxiaomiao的专栏
08-10 3393
使用原始套接字发送自定义IP包 这里介绍Windows Sockets的一些关于原始套接字(Raw Socket)的编程。同Winsock1相比,最明显的就是支持了Raw Socket套接字类型,通过原始套接字,我们可以更加自如地控制Windows下的多种协议,而且能够对网络底层的传输机制进行控制。 1、创建一个原始套接字,并设置IP头选项。 SOCKET sock; sock =
rawsocket抓包工具源码
08-25
本文将围绕“rawsocket抓包工具源码”这一主题,深入探讨其背后的原理和技术实现。 首先,我们要理解什么是Raw SocketRaw Socket是操作系统提供的一个低级别的网络编程接口,允许程序员直接与网络协议栈交互,而...
c# socket抓包 混合抓包工具。
06-15
对于抓包,我们需要监听所有的网络流量,而不是只关注特定的连接,因此,通常会使用套接字选项SOCK_RAW来实现底层的数据包访问。 “混合抓包工具”意味着这个程序不仅支持通过Socket直接抓取数据包,还支持pcap模式...
简单的网络抓包分享工具源码
04-26
总结起来,这个项目是一个基于MFC的网络抓包工具,利用Raw Socket直接操作IP层数据包,支持捕获、解析、过滤IP和TCP数据包,并具备分享功能。对于学习网络编程、理解网络协议或进行网络调试的人员来说,这是一个有...
raw socket 抓包(delphi7),只是代码片段,word格式
03-24
用Delphi7实现网络数据抓包,获取TCP/IP数据包,只是代码片段,word格式
raw socket
01-14
raw socket exmaples, 包括各种协议,源代码来自github
C# 抓包分析工具 源码
04-15
本项目"**C# 抓包分析工具 源码**"正是基于C#开发的一款网络抓包工具,它包含了对RawSocket的使用以及HTTP协议的抓包能力。 首先,让我们深入理解**RawSocket**。RawSocket是TCP/IP协议栈中的原始套接字,它允许...
解析struct sockaddr_ll获得混杂模式
08-15 1万+
文章来源:http://hi.baidu.com/sjb811023/blog/item/bb0008635a16566a0c33fa22.html 参考:http://hi.baidu.com/zkheartboy/blog/item/3ce6c207000e10cf7a89
RAW SOCKET
SendRecvDream的专栏
01-05 1279
<br /> raw socket,即原始套接字,可以接收本机网卡上的数据帧或者数据包,对与监听网络的流量和分析是很有作用的.一共可以有3种方式创建这种socket <br />  1.socket(AF_INET, SOCK_RAW, IPPROTO_TCP|IPPROTO_UDP|IPPROTO_ICMP)发送接收ip数据包 <br />  2.socket(PF_PACKET, SOCK_RAW, htons(ETH_P_IP|ETH_P_ARP|ETH_P_ALL))发送接收以太网数据帧 <br /
Raw Delphi
yethyeth的专栏
09-11 2005
Raw DelphiDelphi Without the VCL or the IDE It is practically impossible to teach good programming style to students that have had prior exposure to BASIC; as potential programmers they are mental
raw socket应用笔记
OnlyLove_的博客
03-14 798
AF_INET:能看到网络层数据。AF_PACKET:能看到链路层数据。AF_INET + SOCK_STREAM:获取基于TCP协议的应用层数据(不能获取TCP头部信息)。AF_INET + SOCK_DGRAM:获取基于UDP协议的应用层数据(不能获取UDP头部信息)。AF_INET + SOCK_RAW:获取基于IP协议的传输层数据(不能获取IP头部信息),获取IP头部信息需要开启IP_HDRINCL特性。
Win10创建原始套接字失败原因及解决方法
Rickie_7的博客
04-21 5059
2019/04/21 转载自https://blog.csdn.net/qq_26399665/article/details/52859146 //创建原始套接字 m_s=socket(AF_INET,SOCK_RAW,IPPROTO_IP); 原因:SOCK_RAW要管理员权限 解决方法1:用管理员权限启动你使用的编译器, 重新编译运行。 解决方法2:http://jingyan.b...
TCP/IP 抓包 流量监听 SOCK_RAW
cixieku3433的博客
08-06 291
研究一下网上的相关文章自己又实践了下,走了一些歪路,不过最终在xp下可以用环境:VC6.0 ,XP系统关键步骤:1.设置Socketsocket(AF_INET,SOCK_RAW,IPPROTO_IP)2.bind(...)地...
c写一个socket抓包
最新发布
05-17
以下是一个简单的使用 socket 抓包的 C 代码示例: ```c #include <stdio.h> #include <stdlib.h> #include <string.h> #include <sys/socket.h> #include <arpa/inet.h> #include <netinet/in.h> #include <netinet/ip.h> #include <netinet/tcp.h> #define BUFFER_SIZE 65536 void print_packet(unsigned char* buffer, int size) { struct iphdr *iph = (struct iphdr*)buffer; unsigned short iphdrlen = iph->ihl * 4; struct tcphdr *tcph = (struct tcphdr*)(buffer + iphdrlen); printf("Source IP: %s\n", inet_ntoa(*(struct in_addr*) &iph->saddr)); printf("Destination IP: %s\n", inet_ntoa(*(struct in_addr*) &iph->daddr)); printf("Source Port: %d\n", ntohs(tcph->source)); printf("Destination Port: %d\n", ntohs(tcph->dest)); printf("Data: "); for(int i = iphdrlen + tcph->doff * 4; i < size; i++) { printf("%c", buffer[i]); } printf("\n\n"); } int main() { int sock_raw = socket(AF_INET, SOCK_RAW, IPPROTO_TCP); if(sock_raw < 0) { printf("Socket creation error\n"); return 1; } unsigned char buffer[BUFFER_SIZE]; int buffer_len; while(1) { buffer_len = recvfrom(sock_raw, buffer, BUFFER_SIZE, 0, NULL, NULL); if(buffer_len < 0) { printf("Packet receive error\n"); return 1; } print_packet(buffer, buffer_len); } close(sock_raw); return 0; } ``` 该程序使用原始套接字(raw socket)来监听所有传入的 TCP 数据包。当接收到一个数据包时,程序会打印出源 IP 地址、目标 IP 地址、源端口、目标端口以及数据内容。 请注意,使用原始套接字需要在 root 权限下运行。另外,这只是一个简单的示例,实际使用时需要考虑更多的细节和安全问题。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值