tcpdump抓包实现过程

已于 2023-01-09 14:36:29 修改
阅读量824 收藏 4
点赞数 3
分类专栏: linux内核分析 文章标签: 服务器 tcpdump linux内核
于 2022-06-23 09:35:26 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/WANGYONGZIXUE/article/details/125379293
版权

目录

应用层

socket内核实现

内核根据ptype_all找抓包点(重要)

过滤包抓包点netfilter(重要)

总结

应用层实现抓包关键程序

tcpdump抓包源码分析

应用层

协议族AF_PACKET

socket(AF_PACKET, SOCK_RAW, ETH_P_ALL)

协议族和地址族关系:每一种协议族都有对应的地址族。IPV4的协议族PF_INET,地址族为AF_INET,一一对应,值完全一样,经常混用。

socket内核实现

SYSCALL_DEFINE3(socket, int, family, int, type, int, protocol)
{
    return __sys_socket(family, type, protocol);
}

int __sys_socket(int family, int type, int protocol)
{
    retval = sock_create(family, type, protocol, &sock);
}

int __sock_create(struct net *net, int family, int type, int protocol,
             struct socket **res, int kern)
{
    pf = rcu_dereference(net_families[family]);
    err = pf->create(net, sock, protocol, kern);
}

net_families中获取指定协议,并调用create方法创建

static const struct net_proto_family packet_family_ops = {
    .family =   PF_PACKET,
    .create =   packet_create,
    .owner  =   THIS_MODULE,
};


static int __init packet_init(void)
{
    rc = sock_register(&packet_family_ops);
}

//注册packet_family_ops 到net_families中
int sock_register(const struct net_proto_family *ops)
{
      rcu_assign_pointer(net_families[ops->family], ops);
}

//pf->create就是packet_create 
static int packet_create(struct net *net, struct socket *sock, int protocol,
             int kern)
{
    //创建时的状态
    sock->state = SS_UNCONNECTED;

    sk = sk_alloc(net, PF_PACKET, GFP_KERNEL, &packet_proto, kern);
    sock->ops = &packet_ops;
    po = pkt_sk(sk);
    //拥塞控制
    init_completion(&po->skb_completion);
    sk->sk_family = PF_PACKET;
    po->xmit = dev_queue_xmit;

    //fun上注册回调函数为 packet_rcv
    po->prot_hook.func = packet_rcv;
    if (proto) {
        po->prot_hook.type = proto;
        __register_prot_hook(sk);
    }
}

static void __register_prot_hook(struct sock *sk)
{
    struct packet_sock *po = pkt_sk(sk);
    dev_add_pack(&po->prot_hook);//注册
}


void dev_add_pack(struct packet_type *pt)
{
    struct list_head *head = ptype_head(pt);
    list_add_rcu(&pt->list, head);
}

//ptype_head
static inline struct list_head *ptype_head(const struct packet_type *pt)
{
    if (pt->type == htons(ETH_P_ALL))
        return pt->dev ? &pt->dev->ptype_all : &ptype_all;
    else
        return pt->dev ? &pt->dev->ptype_specific :
                 &ptype_base[ntohs(pt->type) & PTYPE_HASH_MASK];
}

dev_add_pack 其实最后是把 hook 函数添加到了 ptype_all 里了,代码如下。

内核根据ptype_all找抓包点(重要)

static int __netif_receive_skb_core(struct sk_buff *skb, bool pfmemalloc)
{
    ......
    //遍历 ptype_all (tcpdump 在这里挂了虚拟协议)
    list_for_each_entry_rcu(ptype, &ptype_all, list) {
        if (pt_prev)
            ret = deliver_skb(skb, pt_prev, orig_dev);
        pt_prev = ptype;
    }
 }


static inline int deliver_skb(struct sk_buff *skb,
                  struct packet_type *pt_prev,
                  struct net_device *orig_dev)
{
    //这个回调函数就是注册的packet_rcv
    return pt_prev->func(skb, skb->dev, pt_prev, orig_dev);
}

//将skb添加到sk_receive_queue中
static int packet_rcv(struct sk_buff *skb, struct net_device *dev,
              struct packet_type *pt, struct net_device *orig_dev)
{

    __skb_queue_tail(&sk->sk_receive_queue, skb);
}

可见 packet_rcv 把收到的 skb 放到了当前 packet socket 的接收队列里了。调用 recvfrom 的时候就可以获取到所抓到的包

过滤包抓包点netfilter(重要)

网络接收不经过netfilter

网络发包经过netfilter

发包 IP层各种 netfilter 规则的过滤

int __ip_local_out(struct sk_buff *skb)
{
 ......
 return nf_hook(NFPROTO_IPV4, NF_INET_LOCAL_OUT, skb, NULL,
         skb_dst(skb)->dev, dst_output);
}

struct sk_buff *dev_hard_start_xmit(struct sk_buff *first, struct net_device *dev,
	                    struct netdev_queue *txq, int *ret)
{
	    while (skb) {
	        rc = xmit_one(skb, dev, txq, next != NULL);
	    }
}

//xmit_one->dev_queue_xmit_nit
void dev_queue_xmit_nit(struct sk_buff *skb, struct net_device *dev)
{
    list_for_each_entry_rcu(ptype, ptype_list, list) {
        if (ptype->ignore_outgoing)
            continue;

        if (pt_prev) {
            deliver_skb(skb2, pt_prev, skb->dev);
            pt_prev = ptype;
            continue;
        }
}
static inline int deliver_skb(struct sk_buff *skb,
                  struct packet_type *pt_prev,
                  struct net_device *orig_dev)
{
    return pt_prev->func(skb, skb->dev, pt_prev, orig_dev);
}

在 dev_queue_xmit_nit 中遍历 ptype_all 中的协议,并依次调用 deliver_skb。这就会执行到 tcpdump 挂在上面的虚拟协议。

总结

1) tcpdump 是通过 socket 系统调用;
2) 注册packet_rcv回调函数到ptype_all队列中;
3) 网络收发包,会在网络设备层遍历 ptype_all 中的协议,并执行其中的回调;
4) 数据包是先经过网络设备层然后才到协议层n,etfilter在tcpdump收包过程中起不到过滤;在发包过程 IP 层进入各种 netfilter 规则的过滤起作用。

应用层实现抓包关键程序

在应用层实现抓包 类型设置为PF_PACKET

//PF_PACKET
int main(int argc, char *argv[])
{

        if( (sock = socket(PF_PACKET, SOCK_RAW, htons(ETH_P_ALL))) < 0 ){
                printf("Create socket error.\n");
                exit(0);
        }

        while(1){
                len = recvfrom(sock, buffer, BUFFER_MAX, 0, NULL, NULL);
                if (len < 46) {
                        printf("Catch packet length error.\n" );
                        close(sock);
                        exit(0);
                }
        }

}

为了维护世界和平_
关注
  • 3
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
TCPDUMP抓包程序
10-07
TCPDUMP抓包程序是一种强大的网络诊断工具,主要用于捕获和分析网络中的数据包。它由C#语言编写,利用了SharpCap库,能够帮助网络管理员、开发人员和安全专家理解网络流量,检测潜在的问题,如性能瓶颈、安全威胁或...
tcpdump抓包工具离线安装包
10-13
Linux系统中,tcpdump通常作为命令行工具使用,通过指定网络接口、过滤条件以及输出格式来控制抓包行为。 在离线安装tcpdump时,首先你需要下载与系统架构相匹配的安装包。这个压缩包可能包含了编译好的二进制...
tcpdump抓包分析过程
weixin_34331102的博客
05-17 358
本次抓包原因:公司统一采用阿里云k8s和slb服务;node开发的kuaizimu在调用saas服务的时候,无法调用到saas的api接口,发现超时问题严重。问到其他团队调用saas服务的同事(公司的zishuo项目组和dupa项目组),均表示能正常访问saas服务,并无出现超时现象。也就是说:saas服务一直能够稳健提供服务,网络也没有出问题。 排查了很久,开发和运维都咬定不是自己的问题;开发说...
Tcpdump实现机制
qq_33451807的博客
11-02 677
Linux作为网络服务器,特别是作为路由器和网关时,数据的采集和分析是不可少的。TcpDumpLinux中强大的网络数据采集分析工具之一。Tcpdump由两部分组成,主要分为应用层交互的tcpdump内核交互的libpcap两部分,tcpdump主要用于实现基于五元素的过滤报文,分析报文类型做对应输出格式转变与将报文存储到相应存储文件的功能,libpcap主要用于获取网络设备,创建套接字使用Netlink通信机制与内核通信获取报文。
tcpdump源码分析
最新发布
Jason_Math的博客
05-22 1255
继续追踪,仍在 extract.h 文件中:get_be_u_2 可见是一个内联函数if (!这个内联函数get_be_u_2调用来检查是否可以从指针p安全地读取 2 个字节。如果检查失败,调用进行错误处理,通常会跳转到某个提前定义的错误处理位置。如果检查成功,调用从指针p提取 2 个字节的数据,并将其从网络字节顺序转换为主机字节顺序。//这个宏调用 ND_TTEST_LEN,传递参数 p 和长度 2,表示要检查从指针 p 开始的 2 个字节。/**//**//*
linux实现 tcpdump
weixin_33716557的博客
11-27 189
网络数据采集分析工具TcpDump的简介   顾名思义,TcpDump可以将网络中传送的数据包的“头”完全截获下来提供分析。它支持针对网络层、协议、主机、网络或端口的过滤,并提供and、or、not等逻辑语句来帮助你去掉无用的信息。tcpdump就是一种免费的网络分析工具,尤其其提供了源代码,公开了接口,因此具备很强的可扩展性,对于网络维护和入侵者都是非...
tcpdump抓包
Qnn_blog的博客
03-27 2117
表达式是一个正则表达式,tcpdump利用它作为过滤报文的条件,如果一个报文满足表达式的条件,则这个报文将会被捕获。如果没有给出任何条件,则网络上所有的信息包将会被截获。在表达式中一般如下几种类型的关键字,一种是关于类型的关键字,主要包括host,net,port, 例如 host 192.168.2.2,指明 192.168.2.2是一台主机,net 192.168.2.0 指明 192.168.2.0是一个网络地址,port 23 指明端口号是23。如果没有指定类型,缺省的类型是host.
tcpdump实战详解
qfzhaohan的博客
11-18 531
tcpdump,它是 Linux 系统中特别有用的网络工具,通常用于故障诊断、网络分析,功能非常的强大。 相对于其它 Linux 工具而言,tcpdump是复杂的。当然我也不推荐你去学习它的全部,学以致用,能够解决工作中的问题才是关键。 本文会从应用场景和基础原理出发,提供丰富的实践案例,让你快速的掌握tcpdump的核心使用方法,足以应对日常工作的需求。 应用场景 在日常工作中遇到的很多网络问题都可以通过 tcpdump 优雅的解决: 1.相信大多数同学都遇到过 SSH 连接服务器缓慢,...
Linux下使用tcpdump抓包实现方法
01-11
很多时候我们的系统部署在Linux系统上面,在一些情况下定位问题就需要查看各个系统之间发送数据报文是否正常,下面我就简单讲解一下如何使用tcpdump抓包 tcpdumpLinux下面的一个开源的抓包工具,和Windows下面的...
Android设备上非root的抓包实现方法(Tcpdump方法)
09-01
总的来说,虽然非root的Android设备限制了直接使用tcpdump,但通过编写本地C代码并结合socket通信,可以实现非root环境下的网络数据包抓包。这种方法需要对Android系统底层有深入理解,并且在开发过程中需要考虑安全...
tcpdump抓包分析
07-10
### TCPdump抓包分析 #### 一、TCPdump命令简介 TCPdump是一款广泛使用的网络数据包捕获工具,主要用于监听网络流量并记录网络数据包。它可以在Linux等类Unix系统中运行,支持多种网络接口卡,并能根据指定的条件...
用户态 tcpdump 如何实现抓到内核网络包的?
RToax
09-11 563
用户态 tcpdump 如何实现抓到内核网络包的?运行在用户态的程序 tcpdump 是如何实现抓到内核态的包的呢?https://mp.weixin.qq.com/s/ZX8Jluh-RgJXcVh3OvycRQ 目录 一、网络包接收过程 找到 tcpdump 抓包点 再找 netfilter 过滤点 二、网络包发送过程 找到 netfilter 过滤点 找到 tcpdump 抓包点 三、TCPDUMP 启动 四、总结 大家好,我是飞哥! 今天聊聊大家工作中经常用到的 tcpdump
网络抓包-抓包工具tcpdump的使用与数据分析
Wwc_code的博客
01-14 1236
网络抓包-抓包工具tcpdump的使用与数据分析
网络协议的初始化dev_add_pack
刘锐群的笔记
01-11 3288
在数据包接收过程的那篇笔记中可以知道,在数据包的处理函数netif_receive_skb中,会先看ptype_all中是否有注册的协议,如果有,则调用相应的处理函数,然后再到ptype_base中,找到合适的协议,将skb发送到相关协议的处理函数.比如ip协议(ip_rcv)或者arp(arp_rcv)等等.此篇笔记讲的是有关ptype_all和ptype_base的相关知识点. pt
linuxtcpdump详解 后篇(自己实现抓包过滤)
lkq19941204的博客
11-28 2480
linuxtcpdump详解 后篇(自己实现抓包过滤)
linuxtcpdump实现原理
RobertBaker的专栏
02-11 2269
linux抓包实现原理   一、tcpdump 对于本机中进程的系统行为调用跟踪,strace是一个很好的工具,而在网络问题的调试中,tcpdump应该说是一个必不可少的工具,和大部分linux下优秀工具一样,它的特点就是简单而强大。 默认情况下,tcpdump不会抓取本机内部通讯的报文。根据网络协议栈的规定,对于报文,即使是目的地是本机,也需要经过本机的网络协
linux c抓包程序,基于Linux C实现的网卡抓包程序
weixin_39754411的博客
05-12 130
/********************************************************* 功能:网络抓包工具* 环境: GCC-4.2.4* 作者:YSQ-NJUST,yushengqiangyu@163.com* 备注:自由软件,主要用于学习、交流、共享。*******************************************************/#...
Tcpdump
weixin_30779691的博客
04-19 42
pcap_create-->pcap_create_interface-->handle->activate_op = pcap_activate_linux;pcap_activate-->status = p->activate_op(p); <--> pcap_activate_linux-->status = activate_new(h...
ubuntu tcpdump抓包
03-14
Ubuntu中的tcpdump是一个强大的网络抓包工具,可以用于捕获和分析网络数据包。它可以帮助我们监视和调试网络流量。下面是使用tcpdump抓包的一般步骤: 1. 安装tcpdump:在Ubuntu上,可以使用以下命令安装tcpdump: ``` sudo apt-get install tcpdump ``` 2. 执行抓包命令:使用以下命令执行tcpdump抓包: ``` sudo tcpdump [options] ``` 这里的`[options]`是可选的,可以根据需要添加不同的选项来过滤和捕获特定的网络数据包。 3. 过滤抓包内容:可以使用一些过滤选项来限制抓包的内容。例如,可以使用以下命令只抓取目标IP地址为192.168.0.1的数据包: ``` sudo tcpdump host 192.168.0.1 ``` 4. 保存抓包结果:默认情况下,tcpdump会将抓包结果输出到终端。如果需要将结果保存到文件中,可以使用以下命令: ``` sudo tcpdump -w output.pcap ``` 这将把抓包结果保存到名为output.pcap的文件中。 5. 分析抓包结果:可以使用其他工具(如Wireshark)来打开保存的pcap文件,并对抓包结果进行详细分析
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

为了维护世界和平_

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值