利用PCAP实现网络数据截获修改(二)

最新推荐文章于 2024-05-07 17:58:59 发布
最新推荐文章于 2024-05-07 17:58:59 发布
阅读量608 收藏 1
点赞数 1
分类专栏: 网络安全 数据修改 文章标签: PCAP 校验和 TCP 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/baidu_19348579/article/details/116742421
版权

上一边我们实现了利用PCAP,将报文从一个网卡复制到另一个网卡。实现了一种截断正常网络传输而不影响原有传输的一种方案。
考虑到网络数据是带有校验的,如果我们修改了tcp的payload部分,那么则需要重新进行校验,所以本篇主要研究了对TCP和UDP部分数据的校验计算。
首先简单介绍一下网上的关于校验和的计算,
TCP和UDP数据基本一样,公式就是伪头部+tcp(或udp)的全部数据,计算和放入一个unsigned int的数字中,然后如果高16位有数据,则将其移入低16位加入,循环操作直到高16位没有数据为止,然后取反作为校验和。

伪头部的结构,共12个字节。

typedef struct _check_subhdr         // udp计算checksum时的 亚头部: 4 byte源ip地址 + 4 byte目的ip地址 + 0x00 + 1 byte协议 + UDP 长度(2byte)
{
    unsigned int  	src_ip; 
    unsigned int  	dst_ip; 
    char     		mbz;           // must be zero
    char     		protocol; 
    unsigned short  len;           // 这里的长度是指  udp packet中  udp头部和数据部分的总长度
} check_subhdr;

校验和的计算函数如下

u_short core_checksum(u_short *buffer,int size)  
{  
    unsigned int cksum=0;  
    while(size>1)  
    {  
    	unsigned short tmp=*buffer++;
        cksum+=tmp;  
        size-=sizeof(u_short); 
		
		//printf("0x%04x+",tmp);
    }  
    if(size)  
    {  
        cksum+=*(u_char *)buffer;  
    }  
	//printf("=cksum:%08x\n",cksum);
    //将32位数转换成16   
    while (cksum>>16) 
	{
		cksum=(cksum>>16)+(cksum & 0xffff); 
	}
	
	//printf("cksum2:%08x\n",cksum);
    return (u_short) (~cksum);  
}

计算TCP报文的TCP部分校验的函数如下

u_short get_tcp_checksum(struct iphdr *ipptr,struct tcphdr *tcpptr,int pkt_len) 
{
	int i=0;
	char cleancnum[2]={0,0};
	//u_short tcp_part_len = pkt_len-sizeof(struct ether_header)-sizeof(struct iphdr);    
	u_short tcp_part_len = ntohs(ipptr->tot_len)-(ipptr->ihl*4);

    check_subhdr tcp_subhdr; 
    tcp_subhdr.protocol = ipptr->protocol; 
    tcp_subhdr.dst_ip = ipptr->daddr; 
    tcp_subhdr.src_ip = ipptr->saddr; 
    tcp_subhdr.mbz = 0x00; 
    tcp_subhdr.len = htons(tcp_part_len); 

    int subhdr_len = sizeof(check_subhdr); 
    int buf_size = tcp_part_len + subhdr_len;         // 亚包头 + udp包头 + 数据部分的总长度
    if (pkt_len < buf_size)
        return 0; 
    u_char* buffer = (u_char*)malloc(buf_size); 
    memset(buffer, 0x00, buf_size); 

    memcpy(buffer, (char*)&tcp_subhdr, subhdr_len); 
    //memcpy(buffer + subhdr_len, (char*)udpptr, udp_part_len); 

	//先拷贝16个字节有效数据,
	memcpy(buffer + subhdr_len, (char*)tcpptr, 16); 
	//拷贝两个00作为校验码
	memcpy(buffer + subhdr_len + 16, (char*)cleancnum, 2); 
	//拷贝剩余部分数据
	memcpy(buffer + subhdr_len + 18, ((char*)tcpptr)+18, tcp_part_len-18); 

	u_short checksum=0;
	checksum = core_checksum((u_short *)buffer,buf_size);
	
    free(buffer);
    return checksum;  
}

这里遇到了一个思考两天才解决的问题
//u_short tcp_part_len = pkt_len-sizeof(struct ether_header)-sizeof(struct iphdr);
u_short tcp_part_len = ntohs(ipptr->tot_len)-(ipptr->ihl*4);
从网上找到的这个tcp部分的长度计算,正常情况下,我们就这么算,除去eth头和IP头,剩下的部分就是所有tcp的字段,猛一看没什么问题,实际用起来,就会发现,偶尔就会有一些报文计算出来的校验和和报文里的不一致,但是源报文的pcap在wireshark中,并不会出现校验错误。这个问题一直困扰了我一天,直到我发现有些报文的IP头中的数据总长度,存在异常,
在这里插入图片描述

如图,IP部分总长度表示40,即IP和后面的TCP加起来一共40个字节,但是显然后面还有6个字节,按照开始的计算方式,TCP长度是26个,并不是20,所以算来算去,总是出错。
最终调整为
u_short tcp_part_len = ntohs(ipptr->tot_len)-(ipptr->ihl*4);
问题得以解决,所以不能看你收到了多少字节,要看IP头部告诉你,应该是多少字节。

这样,本篇到此,实现了数据的TCP和UDP部分校验和的计算,为后面修改报文数据,打下了基础。

胖哥王老师
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
pcap文件提取IPv6的flow数据
临安雨潇
08-19 1903
#参考链接http://www.th7.cn/Program/Python/201403/180630.shtml # _*_ coding:UTF-8 _*_ import win32api import win32con import win32gui import time import webbrowser from ctypes import * import time VK_CODE =
网络数据截获
09-24
总的来说,网络数据截获在Java中实现并不复杂,关键在于理解网络协议和数据包结构,并选择合适的库来实现。通过这个技术,开发者可以深入洞察网络行为,从而提升应用性能,排查网络问题,甚至增强系统安全性。
网络流量pcap包特征提取并保存
weixin_47272625的博客
05-06 3921
新手写博客,写博客主要目的是为了记录自己做项目的一些过程。关于网络流量项目,刚开始做项目一个月左右,所写的博客必然有很多不足的地方,欢迎大家交流和指教。
BigData(三):网络设置NAT,修改hosts文件,配置免密登录!
最新发布
风在江湖
05-07 1269
在之前,输入: ip addr 发现本机并没有Ip ,这个就很崩溃了! 第一步,在win7上面,将你的本地连接设置为共享: 第步,修改文件 输入:/etc/sysconfig/network-scripts 在这个文件夹里面,有很多文件,输入ll 查看,类似 iffcfg-ens 的,我这个是ifcfg-ens32,好像别人的版本,后面的数字是什么0或者1的,反正,进入这个文件里...
Python实现网卡报文获取与内容修改转发
云淡风轻ing的博客
05-11 917
该实例实现ARP反向代理 #coding:utf-8 from scapy.all import * import threading import random proxy_mac = "00:0c:29:93:19:97" #代理MAC地址 net_list = ["vethd5d1611","vethc70d8e3","veth8d0fff2"] ip_list = ["192.168.134.10","192.168.134.20","192.168.134.30"]
pcap包解析
热门推荐
txb0504的博客
04-02 1万+
pacp包解析 在接触激光雷达的时候,不可避免的第一步就是看硬件说明书以及调试厂商发的样例数据。一般情况下,厂商在存储硬件的数据包的时候,都是通过存储pacp包实现的,所以如何读取pacp包,并从中解析出真正有用的数据就变得很重要,接下来我们一步步讲。 1.pacp包结构 一个Pcap文件包括“Pcap报头”,“数据区”两个部分,其中数据区又分成多个数据包,每个包有报头和数据两个部分,总体结构可见...
Wireshark TS | 如何按起始和终止时间拆分pcap文件
7ACE的博客
12-23 2591
Wireshark TS | 如何按起始和终止时间拆分pcap文件
网络数据流逆向分析“潜逃之谜.pcap”文件
09-12
利用 WinHex、Wireshark 等工具,逆向分析“潜逃之谜.pcap”文件,根据 案件描述找到案件调查线索,理解并掌握基于 Wireshark 的网络数据流分析方法。
数据转换/信号处理中的基于PCAP 格式网络数据包分析软件设计
10-20
数据转换和信号处理在现代科技领域,特别是在航空航天的飞行试验中...通过理解和利用PCAP文件格式,结合TCP和UDP协议特性,软件实现了对机载数据的有效分析,对于提升飞行试验的数据处理能力和决策支持具有重要意义。
cappack.rar_pcap_pcap linux_pcap分析_网络数据
09-14
标题 "cappack.rar_pcap_pcap linux_pcap分析_网络数据包" 指向的是一个关于在Linux系统中使用pcap库进行网络数据包捕获和分析的主题。在这个主题中,我们将深入探讨pcap库的核心功能,如何在Linux环境下安装和使用...
PCap官方数据手册
02-20
PCap04官方的手册,在官网找不到的就来这里下载吧。
Python提取pcap文件中原始数据
MacwinWin的博客
11-26 3453
项目中需要根据pcap文件中原始数据进行数据核对,而使用wireshark查看太不方便 所以就希望将文件中所有packet提取出来,汇成一个txt文件,方便查看 import pyshark cap = pyshark.FileCapture('xxxxx.pcap', use_json=True, include_raw=True) with open('raw.txt', 'a') as f: for packet in cap: f.write(str(packet.get_raw_packe
利用WinPcap技术捕获数据
04-03 1548
前言   随着网络入侵的不断发展,网络安全变得越来越重要,于是网络入侵取证系统的研究也变得日益重要。在网络入侵取证系统中,对网络上传送的数据包进行有效的监听即捕获包是目前取证的关键技术,只有进行高效的数据包捕获,网络管理员才能对所捕获的数据进行一系列的分析,从而进行可靠的网络安全管理。 1winpcap简介   WinPcap 是由伯克利分组捕获库派生而来的分组捕获库,它是在Windows 操作平
截获数据
pq04060530的专栏
09-09 517
 该图是在浏览器(IE)中访问www.sina.com.cn所得到的数据截获结果,其中,顶栏的内容是按时间顺序根据不同协议截获到的数据,例如第四行是通过tcp协议截获数据,中间栏对应顶栏选择的某条具体数据包分层后的内容,最底下一栏显示的截获的某条数据进制原始信息。
如何计算UDP/TCP检验和checksum
Tab-明确方向
05-30 5527
一、下面的图是一个UDP的检验和所需要用到的所有信息,包括三个部分: 1.UDP伪首部 2.UDP首部 3.UDP的数据部分(切记不要遗漏该部分,否则就~吐血了~)   首先解释下伪首部的概念,伪首部包含IP首部一些字段。其目的是让UDP两次检查数据是否已经正确到达目的地,只是单纯为了做校验用的。 还有一个概念十分重要,那就是16位UDP总长度,请注意该
代码实现pcap利用组播地址抓取数据
06-06
以下是使用 libpcap实现利用组播地址抓取数据的示例代码: ```c #include <pcap.h> #include <stdio.h> void packet_handler(u_char *param, const struct pcap_pkthdr *header, const u_char *data); int main(int argc, char *argv[]) { char *device = "eth0"; int snaplen = 65535; int promisc = 1; int to_ms = 1000; char errbuf[PCAP_ERRBUF_SIZE]; char *filter_exp = "udp and dst host 224.0.0.1"; // 过滤规则 // 打开网络接口 pcap_t *handle = pcap_open_live(device, snaplen, promisc, to_ms, errbuf); if (handle == NULL) { fprintf(stderr, "pcap_open_live() failed: %s\n", errbuf); return 1; } // 编译过滤规则 struct bpf_program filter; if (pcap_compile(handle, &filter, filter_exp, 0, PCAP_NETMASK_UNKNOWN) == -1) { fprintf(stderr, "pcap_compile() failed: %s\n", pcap_geterr(handle)); pcap_close(handle); return 1; } // 设置过滤规则 if (pcap_setfilter(handle, &filter) == -1) { fprintf(stderr, "pcap_setfilter() failed: %s\n", pcap_geterr(handle)); pcap_close(handle); return 1; } // 进行数据包捕获和处理 pcap_loop(handle, -1, packet_handler, NULL); // 关闭网络接口 pcap_close(handle); return 0; } // 数据包处理函数 void packet_handler(u_char *param, const struct pcap_pkthdr *header, const u_char *data) { // 处理数据包 // ... } ``` 在以上示例中,我们使用 `pcap_open_live()` 函数打开了一个名为 `eth0` 的网络接口,并设置了捕获数据包的最大长度为 65535,开启了混杂模式,设置了超时时间为 1000 毫秒。如果函数执行失败,则使用 `pcap_errbuf` 缓冲区存储错误信息。我们还设置了一个过滤规则 `udp and dst host 224.0.0.1`,该规则表示只捕获目标地址为 `224.0.0.1` 的 UDP 数据包。 在接下来的代码中,我们使用 `pcap_compile()` 函数编译过滤规则,再使用 `pcap_setfilter()` 函数设置过滤规则。最后,我们使用 `pcap_loop()` 函数进行数据包捕获和处理,每当捕获到一个数据包时,就会调用 `packet_handler()` 函数进行处理。在 `packet_handler()` 函数中,我们可以对捕获到的数据包进行处理。最后,我们使用 `pcap_close()` 函数关闭网络接口。 需要注意的是,上述代码中的过滤规则是一个示例,您需要根据实际情况来设置过滤规则。如果您需要捕获其他组播地址的数据包,可以将 `224.0.0.1` 替换为其他组播地址。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

胖哥王老师

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值