WinPcap编程之HTTP协议还原

最新推荐文章于 2023-01-12 18:12:06 发布
最新推荐文章于 2023-01-12 18:12:06 发布
阅读量818 收藏 1
点赞数
分类专栏: winpcap

      今天我们来看看一个小例子,利用前面所学到的WinPcap编程知识来实现一个简单的还原HTTP协议的程序。相信大家对于HTTP协议一定不会陌生,我这里只简单地说一下它的报文格式,即HTTP报文有两种:请求报文和响应报文。为了让大家对于这两种报文有更直观的认识,给大家看两个简单的例子:

下面是一个典型的HTTP请求报文:

GET /somedir/page.html HTTP/1.1
Host:  www.someschool.edu
Connection: close
User-agent: Mozilla/4.0
Accept-language: fr

再看一个HTTP响应报文:

复制代码 
HTTP/1.1 200 OK
Connection: close
Date: Thu, 03 Jul 2003 12:00:15 GMT
Server: Apache/1.3.0 (Unix)
Last-Modified: Sun, 6 May 2007 09:23:24 GMT
Content-Length: 6821
Content-Type: text/html

(data data data data data ...)
复制代码

      我们注意到HTTP请求报文中的第一行是以GET打头的,没错,它实际上是HTTP请求的一种方法,类似的还有POST、HEAD等等。一般熟知的大概就是GET和POST了,像Servlet编程中就有doGet和doPost两种提交HTTP请求的方法。而对于HTTP响应报文而言,第一行开头是协议的版本号,如HTTP/1.1,现在普及的也是HTTP/1.1。利用这些我们可以来判断TCP数据报文里是否保存的HTTP数据。

      本程序的实现思路有很多种,我采用的是一种最笨拙的方式,即按照 判断是否是IP数据包->判断是否是TCP分组->判断是否是HTTP报文 的逻辑,最后将HTTP报文的内容打印出来。程序开始前我们需要先定义一些重要协议的包格式,因为WinPcap并没有为我们定义这些东西。

复制代码 
/*
* define struct of ethernet header , ip address , ip header and tcp header
*/
/* ethernet header */
typedef struct ether_header {
    u_char ether_shost[ETHER_ADDR_LEN]; /* source ethernet address, 8 bytes */
    u_char ether_dhost[ETHER_ADDR_LEN]; /* destination ethernet addresss, 8 bytes */
    u_short ether_type;                 /* ethernet type, 16 bytes */
}ether_header;

/* four bytes ip address */
typedef struct ip_address {
    u_char byte1;
    u_char byte2;
    u_char byte3;
    u_char byte4;
}ip_address;

/* ipv4 header */
typedef struct ip_header {
    u_char ver_ihl;         /* version and ip header length */
    u_char tos;             /* type of service */
    u_short tlen;           /* total length */
    u_short identification; /* identification */
    u_short flags_fo;       // flags and fragment offset
    u_char ttl;             /* time to live */
    u_char proto;           /* protocol */
    u_short crc;            /* header checksum */
    ip_address saddr;       /* source address */
    ip_address daddr;       /* destination address */
    u_int op_pad;           /* option and padding */
}ip_header;

/* tcp header */
typedef struct tcp_header {
    u_short th_sport;         /* source port */
    u_short th_dport;         /* destination port */
    u_int th_seq;             /* sequence number */
    u_int th_ack;             /* acknowledgement number */
    u_short th_len_resv_code; /* datagram length and reserved code */
    u_short th_window;        /* window */
    u_short th_sum;           /* checksum */
    u_short th_urp;           /* urgent pointer */
}tcp_header;
复制代码

      还有一些重要的识别协议的类型,我们需要自己在代码中进行定义。

#define ETHERTYPE_IP 0x0800 /* ip protocol */
#define TCP_PROTOCAL 0x0600 /* tcp protocol */

      接下来再看看刚才所说的程序的逻辑是如何实现的。

      1. 判断是否是IP数据包。我们先回顾一下,在RFC 894中定义了以太网的封装格式,由目的地址(6字节)、源地址(6字节)、类型(2字节)、数据以及CRC(4字节)构成。我们只需要关注头部中类型这个字段,当它为0x0800时,表示数据保存的是IP数据报;当它为0x0806时,表示数据保存的是ARP请求/应答;当为0x8035时,数据保存的是RARP请求/应答。所以通过比较它的类型是否为0x0800,从而可以到达目的。

      2. 判断是否是TCP分组。跟上面类似,可以通过判断IP首部中协议字段是否为0x0600即可。

      3. 判断是否是HTTP报文。根据上面所讲解的HTTP报文格式,我们只需要判断开头是否为"GET"、"POST"、"HTTP/1.1"就可以做到了。具体程序是如何来判断的我们来看看代码吧!

复制代码 
/* capture packet */
    while((res = pcap_next_ex(adhandle, &pheader, &pkt_data)) >= 0) {

        if(res == 0)
            continue; /* read time out*/

        ether_header * eheader = (ether_header*)pkt_data; /* transform packet data to ethernet header */
        if(eheader->ether_type == htons(ETHERTYPE_IP)) { /* ip packet only */
            ip_header * ih = (ip_header*)(pkt_data+14); /* get ip header */

            if(ih->proto == htons(TCP_PROTOCAL)) { /* tcp packet only */
                    int ip_len = ntohs(ih->tlen); /* get ip length, it contains header and body */

                    int find_http = false;
                    char* ip_pkt_data = (char*)ih;
                    int n = 0;
                    char buffer[BUFFER_MAX_LENGTH];
                    int bufsize = 0;

                    for(; n<ip_len; n++)
                    {
                        /* http get or post request */
                        if(!find_http && ((n+3<ip_len && strncmp(ip_pkt_data+n,"GET",strlen("GET")) ==0 )
                       || (n+4<ip_len && strncmp(ip_pkt_data+n,"POST",strlen("POST")) == 0)) )
                                find_http = true;

                        /* http response */
                        if(!find_http && i+8<ip_len && strncmp(ip_pkt_data+i,"HTTP/1.1",strlen("HTTP/1.1"))==0)
                               find_http = true;

                        /* if http is found */
                        if(find_http)
                        {
                            buffer[bufsize] = ip_pkt_data[n]; /* copy http data to buffer */
                            bufsize ++;
                        }
                    }
                    /* print http content */
                    if(find_http) {
                        buffer[bufsize] = '\0';
                        printf("%s\n", buffer);
                        printf("\n**********************************************\n\n");
                    }
            }
        }
    }
复制代码

看一下运行后的截图:



 

 

 

 

 

 

 

 

 

 

 

     

 

      这里需要注意的是,程序本质上还没有完全还原HTTP协议的功能,对于HTTP请求数据和响应数据进行解析,真正的应该可以通过Content-Type分析数据格式,并按照相应的解析方式进行解码,还有对于中文字符的处理等等~~最后将整个程序的源码贴出来,有任何意见或建议的可以随意吐槽,虚心接受。ps: 注释写得不全请见谅~~

pheader.h头文件

复制代码 
#ifndef PHEADER_H_INCLUDED
#define PHEADER_H_INCLUDED
/*
*
*/
#define ETHER_ADDR_LEN 6 /* ethernet address */
#define ETHERTYPE_IP 0x0800 /* ip protocol */
#define TCP_PROTOCAL 0x0600 /* tcp protocol */
#define BUFFER_MAX_LENGTH 65536 /* buffer max length */
#define true 1  /* define true */
#define false 0 /* define false */

/*
* define struct of ethernet header , ip address , ip header and tcp header
*/
/* ethernet header */
typedef struct ether_header {
    u_char ether_shost[ETHER_ADDR_LEN]; /* source ethernet address, 8 bytes */
    u_char ether_dhost[ETHER_ADDR_LEN]; /* destination ethernet addresss, 8 bytes */
    u_short ether_type;                 /* ethernet type, 16 bytes */
}ether_header;

/* four bytes ip address */
typedef struct ip_address {
    u_char byte1;
    u_char byte2;
    u_char byte3;
    u_char byte4;
}ip_address;

/* ipv4 header */
typedef struct ip_header {
    u_char ver_ihl;         /* version and ip header length */
    u_char tos;             /* type of service */
    u_short tlen;           /* total length */
    u_short identification; /* identification */
    u_short flags_fo;       // flags and fragment offset
    u_char ttl;             /* time to live */
    u_char proto;           /* protocol */
    u_short crc;            /* header checksum */
    ip_address saddr;       /* source address */
    ip_address daddr;       /* destination address */
    u_int op_pad;           /* option and padding */
}ip_header;

/* tcp header */
typedef struct tcp_header {
    u_short th_sport;         /* source port */
    u_short th_dport;         /* destination port */
    u_int th_seq;             /* sequence number */
    u_int th_ack;             /* acknowledgement number */
    u_short th_len_resv_code; /* datagram length and reserved code */
    u_short th_window;        /* window */
    u_short th_sum;           /* checksum */
    u_short th_urp;           /* urgent pointer */
}tcp_header;

#endif // PHEADER_H_INCLUDED
复制代码

main.c文件

复制代码 
#include <stdio.h>
#include <stdlib.h>
#define HAVE_REMOTE
#include <pcap.h>
#include "pheader.h"

/*
* function: a simple program to analyze http
* author: blacksword
* date: Wed March 21 2012
*/
int main()
{
    pcap_if_t* alldevs; // list of all devices
    pcap_if_t* d; // device you chose

    pcap_t* adhandle;

    char errbuf[PCAP_ERRBUF_SIZE]; //error buffer
    int i=0;
    int inum;

    struct pcap_pkthdr *pheader; /* packet header */
    const u_char * pkt_data; /* packet data */
    int res;

    /* pcap_findalldevs_ex got something wrong */
    if (pcap_findalldevs_ex(PCAP_SRC_IF_STRING, NULL /* auth is not needed*/, &alldevs, errbuf) == -1)
    {
        fprintf(stderr, "Error in pcap_findalldevs_ex: %s\n", errbuf);
        exit(1);
    }

    /* print the list of all devices */
    for(d = alldevs; d != NULL; d = d->next)
    {
        printf("%d. %s", ++i, d->name); // print device name , which starts with "rpcap://"
        if(d->description)
            printf(" (%s)\n", d->description); // print device description
        else
            printf(" (No description available)\n");
    }

    /* no interface found */
    if (i == 0)
    {
        printf("\nNo interface found! Make sure Winpcap is installed.\n");
        return -1;
    }

    printf("Enter the interface number (1-%d):", i);
    scanf("%d", &inum);

    if(inum < 1 || inum > i)
    {
        printf("\nInterface number out of range.\n");
        pcap_freealldevs(alldevs);
        return -1;
    }

    for(d=alldevs, i=0; i < inum-1; d=d->next, i++); /* jump to the selected interface */

    /* open the selected interface*/
    if((adhandle = pcap_open(d->name, /* the interface name */
                 65536, /* length of packet that has to be retained */
                 PCAP_OPENFLAG_PROMISCUOUS, /* promiscuous mode */
                 1000, /* read time out */
                 NULL, /* auth */
                 errbuf /* error buffer */
                 )) == NULL)
                 {
                     fprintf(stderr, "\nUnable to open the adapter. %s is not supported by Winpcap\n",
                             d->description);
                     return -1;
                 }

    printf("\nListening on %s...\n", d->description);

    pcap_freealldevs(alldevs); // release device list

    /* capture packet */
    while((res = pcap_next_ex(adhandle, &pheader, &pkt_data)) >= 0) {

        if(res == 0)
            continue; /* read time out*/

        ether_header * eheader = (ether_header*)pkt_data; /* transform packet data to ethernet header */
        if(eheader->ether_type == htons(ETHERTYPE_IP)) { /* ip packet only */
            ip_header * ih = (ip_header*)(pkt_data+14); /* get ip header */

            if(ih->proto == htons(TCP_PROTOCAL)) { /* tcp packet only */
                    int ip_len = ntohs(ih->tlen); /* get ip length, it contains header and body */

                    int find_http = false;
                    char* ip_pkt_data = (char*)ih;
                    int n = 0;
                    char buffer[BUFFER_MAX_LENGTH];
                    int bufsize = 0;

                    for(; n<ip_len; n++)
                    {
                        /* http get or post request */
                        if(!find_http && ((n+3<ip_len && strncmp(ip_pkt_data+n,"GET",strlen("GET")) ==0 )
                       || (n+4<ip_len && strncmp(ip_pkt_data+n,"POST",strlen("POST")) == 0)) )
                                find_http = true;

                        /* http response */
                        if(!find_http && n+8<ip_len && strncmp(ip_pkt_data+n,"HTTP/1.1",strlen("HTTP/1.1"))==0)
                               find_http = true;

                        /* if http is found */
                        if(find_http)
                        {
                            buffer[bufsize] = ip_pkt_data[n]; /* copy http data to buffer */
                            bufsize ++;
                        }
                    }
                    /* print http content */
                    if(find_http) {
                        buffer[bufsize] = '\0';
                        printf("%s\n", buffer);
                        printf("\n**********************************************\n\n");
                    }
            }
        }
    }

    return 0;
}
复制代码

 

作者:黑剑 
出处:http://www.cnblogs.com/blacksword/ 
本文版权归作者和博客园共有,欢迎转载,但未经作者同意必须保留此段声明,且在文章页面明显位置给出原文连接,否则保留追究法律责任的权利。

cosmoslife
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
linux环境下tcpdump源代码分析
韩大卫@blog
10-11 5826
Linux 环境下tcpdump 源代码分析 韩大卫@吉林师范大学 tcpdump.c 是tcpdump 工具的main.c, 本文旨对tcpdump的框架有简单了解,只展示linux平台使用的一部分核心代码。 Tcpdump 的使用目的就是打印出指定条件的报文,即使有再多的正则表达式作为过滤条件。所以只要懂得tcpdump -nXXi eth0 的实现原理即可。 进入main之前,先
winpcap抓包并进行协议解析
07-15
这是我本学期的网络编程课程设计,是基于winpcap的抓包程序,用MFC实现。 本程序基于winpcap,可以实现抓包类型的选择,如ARP,IP,TCP,UDP,ICMP。一般网上的抓包程序都是利用原始套接字,而基于原始套接字的抓包程序是无法抓到网络层一下的包的,如ARP包。本程序实现的任意类型的抓包。 资源中含有1.程序源码 2.winpcap安装程序3.课程设计文档4.VC++设置说明。内容非常丰富。 本程序界面清晰实用,一目了然,容易上手。把抓包函数放到线程中,避免的主线程无响应。
利用AF_PACKET 套接字发送一个任意的以太网帧
weixin_38171030的博客
03-04 461
目标 利用AF_PACKET套接字发送一个任意的以太网帧 背景 以太网是一个链路层协议。大多数网络程序员关注网络栈的传输层及以上,所以不需要直接处理以太网帧,但是某些场景下关注传输层以下也是有必要的。如: 1)实现网络协议栈里面没有内置的以太网协议类型2)为测试目的,产生一个畸形或者其它非常规帧 应...
ICMP和重定向攻击
weixin_30279315的博客
08-15 863
目录 ICMP数据报格式 smurf攻击 ICMP重定向攻击 基于libpcap的sniffer raw socket 定义包头 解析数据包 重定向 ICMP数据报格式 htt...
WinPcap还原HTTP
Taylor05的专栏
03-16 7624
WinPcap简介WinPcap是Win32平台上开源库,用于网络分析和数据包捕获。操作系统提供的socket,隐藏了网络底层细节,如协议处理,数据包重组等,使用Socket编程类似于操作文件。但是,有些应用程序需要直接访问网络的原始数据,比如Http分析工具,网络监控工具等等,此时操作系统提供的Socket就无法满足我们的要求了。WinPcap可以直接捕获网络中原始数据,主要功能如下:1.         捕获原始数据,既可以捕获本机数据包,还可以捕获传输给其它机器的数据包;2.         根据
winpcap编程捕获数据包
11-05
WinPcap编程捕获数据包是网络编程领域中的一个重要概念,尤其对于网络监控、数据分析以及安全检测等应用来说,它是核心工具之一。WinPcap是一个开源库,它为Windows操作系统提供了底层网络访问能力,允许程序直接与...
基于Winpcap编程实现抓包实验.doc
12-02
基于Winpcap编程实现对网络数据的捕获,并分析数据类型,对于IP、ICMP、ARP、UDP等,能够自动识别其协议类型并分析帧的构成。 二、实现步骤 1. 了解Winpcap抓包的工作原理,熟悉其运行过程。Winpcap由三个局部组成...
C++实现winpcap编程 三层协议ip,icmp,ARP
11-30
C++实现winpcap编程,ip,icmp,ARP的分析。
基于winpcap网络协议编程
03-30
《基于WinPcap的网络协议编程WinPcap(Windows Packet Capture)是Windows系统下一个开源的网络数据包捕获和网络分析库,它为应用程序提供了底层的、直接的网络访问能力。这个库允许程序员截取网络数据包,过滤...
winpcap编程
05-03
1. 数据包捕获:WinPcap的核心功能之一是数据包捕获。通过调用`pcap_open_live()`函数,可以打开一个网络接口并开始捕获数据包。然后,使用`pcap_loop()`或`pcap_next()`函数可以连续接收和处理捕获到的数据包。 2....
(转)TCP/IP 数据包头格式
weixin_30725315的博客
05-15 870
最近狂补基础,猛看TCP/IP协议。不过,书上的东西太抽象了,没有什么数据实例,看了不 久就忘了。于是,搬来一个sniffer,抓了数据包来看,呵呵,结合书里面得讲解,理解得 比较快。我就来灌点基础知识。    开始吧,先介绍IP协议。    IP协议(Internet Protocol)是网络层协议,用在因特网上,TCP,UDP,ICMP,IGMP数据都是按照IP数据格式发送得...
c语言编程题报文解析,C语言解析HTTP_POST PCAP 格式包(邮件发送)
weixin_39860952的博客
05-19 961
1、C语言实现PCAP文件分析实现步骤:1)用Wireshark软件抓包得到test.pcap文件2)程序:分析pcap文件头->分析pcap_pkt头->分析帧头 ->分析ip头->分析tcp头->分析http信息#include "stdio.h"#include "string.h"#include "stdlib.h"#include "netinet/in....
PCAP 抓包
weixin_30918415的博客
10-31 387
PCAP是一个数据包抓取库, 很多软件都是用它来作为数据包抓取工具的。 WireShark也是用PCAP库来抓取数据包的。PCAP抓取出来的数据包并不是原始的网络字节流,而是对其进行从新组装,形成一种新的数据格式。 一个用PCAP抓取的数据包的文件格式如下: Pcap文件头24B各字段说明:Magic:4B:0x1A 2B 3C 4D:用来标示文件的开始Major:2B,0x0...
tcpdump抓包命令
victorwjw的博客
01-12 4555
tcpdump抓包命令
Linux网络编程常用头文件解释
Poo_Chai的博客
10-13 2230
sys/types.h:数据类型定义 sys/socket.h:提供socket函数及数据结构 netinet/in.h:定义数据结构sockaddr_in arpa/inet.h:提供IP地址转换函数 netdb.h:提供设置及获取域名的函数 sys/ioctl.h:提供对I/O控制的函数 sys/poll.h:提供socket等待测试机制的函数 其他在网络程序中常见的头文件 ...
网络实验-通过wireshark进行HTTP协议分析,并尝试还原图片文件
可可的博客
12-16 2716
在本实验中,我们将通过wireshark进行HTTP协议分析,并尝试还原图片文件。通过实验掌握 网络协议分析理解; Wireshark工具使用。 【环境】 配置说明 根据提供的实验环境,OWASP节点和SeedUbuntu节点之间正常通行时数据包将不会经过Kali节点。攻击节点Kali将通过wireshark抓包监听,从而截获SeedUbuntu和OWASP节点之间的数据包,并可对数据包内容进行分析和还原。 【工具】¶ 实验中的虚拟机kali 【原理】¶ 网络嗅探截获的是在通过封包过程组装的二进制格式原始
mpu6050陀螺仪使用方法开发教程文档.docx
最新发布
07-30
mpu6050陀螺仪使用方法
Winpcap编程:网络数据捕获与协议解析实战
实验的目标包括理解Winpcap的工作原理,掌握其基本功能,以及如何通过编程实现数据包的捕获、解析和协议识别。 首先,实验者需要了解Winpcap的基本架构,它由数据包监听设备驱动程序、低级动态链接库和高级静态链接...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值