一文教你如何用C代码解析一段网络数据包?【含代码】

最新推荐文章于 2021-11-23 12:20:34 发布
最新推荐文章于 2021-11-23 12:20:34 发布
阅读量1.6k 收藏 33
点赞数 8
分类专栏: C语言 原创 网络 文章标签: C语言 网络
一口Linux
本文链接:https://blog.csdn.net/daocaokafei/article/details/119427196
版权
原创 同时被 3 个专栏收录
115 篇文章 103 订阅
订阅专栏
C语言
33 篇文章 16 订阅
订阅专栏
网络
31 篇文章 11 订阅
订阅专栏

本文的目的是通过随机截取的一段网络数据包,然后根据协议类型来解析出这段内存。

学习本文需要掌握的基础知识:

  1. 网络协议
  2. C语言
  3. Linux操作
  4. 抓包工具的使用

其中抓包工具的安装和使用见下文:

一文包你学会网络数据抓包

视频教学链接如下:

教你如何抓取网络中的数据包!黑客必备技能

一、截取一个网络数据包

通过抓包工具,随机抓取一个tcp数据包


科莱抓包工具解析出的数据包信息如下:

数据包的内存信息:

数据信息可以直接拷贝出来:

二、用到的结构体

下面,一口君就手把手教大家如何解析出这些数据包的信息。

我们可以从Linux内核中找到协议头的定义

  • 以太头:
drivers\staging\rtl8188eu\include\if_ether.h	

struct ethhdr {
	unsigned char	h_dest[ETH_ALEN];	/* destination eth addr	*/
	unsigned char	h_source[ETH_ALEN];	/* source ether addr	*/
	unsigned short	h_proto;		/* packet type ID field	*/
};
  • IP头
	include\uapi\linux\ip.h	

struct iphdr {
#if defined(__LITTLE_ENDIAN_BITFIELD)  //小端模式
	__u8	ihl:4,
		version:4;
#elif defined(__BIG_ENDIAN_BITFIELD)    //大端模式
	__u8	version:4,
		ihl:4;
#endif
	__u8	tos;
	__u16	tot_len;
	__u16	id;
	__u16	frag_off;
	__u8	ttl;
	__u8	protocol;
	__u16	check;
	__u32	saddr;
	__u32	daddr;
	/*The options start here. */
};

tcp头

include\uapi\linux\tcp.h

struct tcphdr {
	__be16	source;
	__be16	dest;
	__be32	seq;
	__be32	ack_seq;
#if defined(__LITTLE_ENDIAN_BITFIELD)
	__u16	res1:4,
		doff:4,
		fin:1,
		syn:1,
		rst:1,
		psh:1,
		ack:1,
		urg:1,
		ece:1,
		cwr:1;
#elif defined(__BIG_ENDIAN_BITFIELD)
	__u16	doff:4,
		res1:4,
		cwr:1,
		ece:1,
		urg:1,
		ack:1,
		psh:1,
		rst:1,
		syn:1,
		fin:1;
#else
#error	"Adjust your <asm/byteorder.h> defines"
#endif	
	__be16	window;
	__sum16	check;
	__be16	urg_ptr;
};

因为协议头长度都是按照标准协议来定义的,

所以以太长度是14,
IP头长度是20,
tcp头长度是20,

各个协议头对应的内存空间如下:

三、解析以太头

#define MAC_ARG(p) p[0],p[1],p[2],p[3],p[4],p[5]

	struct ethhdr *ethh;
	unsigned char *p = pkt;
	
	ethh = (struct ethhdr *)p;

	printf("h_dest:%02x:%02x:%02x:%02x:%02x:%02x \n", MAC_ARG(ethh->h_dest));
	printf("h_source:%02x:%02x:%02x:%02x:%02x:%02x \n", MAC_ARG(ethh->h_source));
	printf("h_proto:%04x\n",ntohs(ethh->h_proto));

注意,数据包中的数据是网络字节序,如果要提取数据一定要注意字节序问题
ethh->h_proto 是short类型,占2个字节,所以存储到本地需要使用函数ntohs
其中:
n:network 网络字节序
h:host 主机字节序
s:short 2个字节
l:long 4个字节
ntohl() :4字节网络字节序数据转换成主机字节序
htons() :2字节主机字节序数据转换成网络字节序
ntohs() :2字节网络字节序数据转换成主机字节序
htonl() :4字节主机字节序数据转换成网络字节序

当执行下面这条语句时,

ethh = (struct ethhdr *)p;

结构体指针变量eth的成员对应关系如下:

以太头
最终打印结果如下:

四、解析ip头

解析ip头思路很简单,

就是从pkt头开始偏移过以太头长度(14字节)就可以找到IP头,

解析代码如下:

#define IP_ARG(p)  p[0],p[1],p[2],p[3]

	/*
		解析IP头
	*/
	if(ntohs(ethh->h_proto) == 0x0800)
	{
	
		iph = (struct iphdr *)(p + sizeof(struct ethhdr));

		q = (unsigned char *)&(iph->saddr);
		printf("src ip:%d.%d.%d.%d\n",IP_ARG(q));

		q = (unsigned char *)&(iph->daddr);
		printf("dest ip:%d.%d.%d.%d\n",IP_ARG(q));
	}

Iiph

最终解析结果如下:

可以看到我们正确解析出了IP地址,
结果与抓包工具分析出的数据保持了一致。

其中protocol字段表示了ip协议后面的额协议类型,常见的值如下:

数值描述
0保留字段,用于IPv6(跳跃点到跳跃点选项)
1Internet控制消息 (ICMP)
2Internet组管理 (IGMP)
3网关到网关 (GGP)
41P中的IP(封装)
6传输控制 (TCP)
7CBT
8外部网关协议 (EGP)
9任何私有内部网关(Cisco在它的IGRP实现中使用) (IGP)
10BBNRCC监视
11网络语音协议
12PUP
13ARGUS
14EMCON
15网络诊断工具
16混乱(Chaos)
17用户数据报文 (UDP)
411Pv6
581Pv6的ICMP
591Pv6的无下一个报头
60IPv6的信宿选项
89OSPF IGP
92多播传输协议
94IP内部的IP封装协议
95可移动网络互连控制协议
96旗语通讯安全协议
97IP中的以太封装
98封装报头
100GMTP
101Ipsilon流量管理协议
133~254未分配
255保留

五、解析tcp头

查找tcp头思路很,

就是从pkt头开始偏移过以太头长度(14字节)、和IP头长度(20字节)就可以找到tcp头,

	switch(iph->protocol)
		{
			case 0x1:
				//icmp
				break;
			case 0x6:
				//tcp				
				tcph = (struct tcphdr *)(p + sizeof(struct ethhdr) + sizeof(struct iphdr));
				printf("source:%d dest:%d \n",ntohs(tcph->source),ntohs(tcph->dest);	

				break;
			case 0x11:
				//udp
				
				break;
		}

结构体与内存对应关系

打印结果如下:

六、学会用不同格式打印这块内存

在实际项目中,可能我们解析的并不是标准的TCP/IP协议数据包,

可能是我们自己的定义的协议数据包,

只要掌握了上述方法,

所有的协议分析都能够手到擒来!

有时候我们还需要打印对方发送过来的数据帧内容,

往往我们会以16进制形式将所有数据打印出来,

这样是最有利于我们分析数据内容的。

1. 按字节打印

代码如下:

	for(i=0;i<400;i++)
	{
		printf("%02x ",pkt[i]);
		if(i%20 == 19)
		{
			printf("\n");
		}
	}

2. 按short类型分析一段内存

我们接收数据时,虽然使用一个unsigned char型数组,

但是有时候对方发送过来的数据可能是2个字节的数组,

那我们只需要用short类型的指针,指向内存的头,

然后就可以通过该指针访问到对方发送的数据,

这个时候一定要注意字节序问题,

不同场景可能不一样,所以一定要具体问题具体分析,

本例因为是网络字节序数据转换成主机字节序,

所以需要转换字节序。

//转变short型字节序
void indian_reverse(unsigned short arr[],int num)
{
	int i;
	unsigned short temp;

	for(i=0;i<num;i++)
	{
		temp = 0;

		temp = (arr[i]&0xff00)>>8;
		temp |= (arr[i]&0xff)<<8;
		arr[i] = temp;
	}
}
main()
{
	unsigned short spkt[200];
	
	………………
	memcpy(spkt,pkt,sizeof(pkt));

	indian_reverse(spkt,ARRAY_SIZE(spkt));
	
	for(i=0;i<200;i++)
	{
		printf("%04x ",spkt[i]);
		if(i%10 == 9)
		{
			printf("\n");
		}
	}
	………………
}

结果如下:

完整代码请关注公众号:一口Linux,回复:数据包解析

一口Linux
关注
  • 8
    点赞
  • 33
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
C语言分析数据包程序
weixin_33804990的博客
11-09 2854
#include<pcap.h> #include<stdlib.h> #include<malloc.h> #include<stdio.h> #include<string.h> #include<signal.h> #include<time.h> #include&lt...
C++解析IP数据包程序
06-20
点击exe文件可以直接在命令行窗口下运行,支持手动输入时间,输出IP包的信息
C语言解析IP数据包程序
06-04
点击exe文件可以直接在命令行窗口下运行,支持手动输入时间,输出IP包的信息
c语言解析数据包方式,c-以面向对象的方式解析自定义数据包
weixin_29662245的博客
05-23 390
如果您不想将数据读取绑定到一个完整的构造函数中(出于关注分离的原因,这是可以理解的原因),那么这是非多态继承的一个很好的应用程序:struct Header {static constexpr SIZE=10;Header(std::array);std::int8_t get_command() const {return command;}std::int16_t get_options() ...
数据包分析
yangxiaochun318的专栏
01-22 3008
通过对数据包的分析,我们可以判断通信双方的操作系统、网络信息流量、经过的路由、数据包的大小,以及数据包的内容等等。对于喜欢网络安全的人来说,掌握这 方面的知识是相当重要的。现在的网络通信中,大部分数据都没有加密,我们可以轻易地从数据包中提取账号、密码之类我们关心的数据.大家在看本文时如有困 难,可先读一读计算机网络及C程序设计还有协议分析方面的书。下面我将分TCP/IP族协议结构、程序部分函数
一文概述深度学习中的正则化(Python代码
02-25
在深入探讨这个话题之前,请看一下这张图片:每次谈及过拟合,这张图片就会时不时地被拉出来“鞭尸”。如上图所示,刚开始的时候,模型还不能很好地拟合所有数据点,即...来源:Slideplayer如果你之前构建过神经网络
文教你用51单片机做蓝牙开关
01-19
1.首先是蓝牙APP, 易安卓编写的,说编写其实我只是修改了其中的一些内容,两张界面和代码截图,非常简单,功能也很简单,程序前后修改了两次主要地方,主要原因是测试 的时候发现种程序会出现错误,在单片机哪里会...
用C++实现网络编程---抓取网络数据包的实现方法
06-10
### 使用C++实现网络编程——抓取网络数据包的实现方法 #### 概述 本文主要探讨了如何利用C++语言进行网络编程,并具体讲解了抓取网络数据包的方法。通过对C++网络编程原理的学习与实践,我们可以实现对网络数据包...
文教你怎么测量压敏电阻的好坏-教程与笔记习题
05-18
2. 温度检测:运行设备一段时间后,如果压敏电阻温度过高,可能已失效或即将失效。 3. 电压测量:在工作电压下,如果压敏电阻的电压降异常,可能性能下降或损坏。 总结,正确测量和判断压敏电阻的好坏对于保障电路...
解析IP数据包 小程序(C++实现)
09-05
本次设计的目标是捕获网络中的IP数据包解析数据包的内容,将结果显示在标准输出上,并同时写入日志文件。 实验要求: 1)以命令行形式运行:ipparse logfile , 其中ipparse是程序名,而logfile则代表记录结果的日志文件。 2)在标准输出和日志文件写入捕获的IP包的版本、头长度、服务类型、数据包总长度、数据包标识、分段标志、分段偏移值、生存时间、上层协议类型、头校验和、源IP地址和目的IP地址等内容。
C语音实现数据包的捕获和分析
12-17
本课程设计使用套接字socket来完成捕获并将捕获的内容存入日志文件中,其中显示的内容包括:捕获的IP包的版本、头长度、服务类型、数据包总长度、数据包标识、分段标志、分段偏移值、生存时间、上层协议类型、头校验和、源IP地址和目的IP地址。同时程序要设置停止标志,当程序接收到命令时停止捕获。
java实现DNS数据包发送及响应数据包解析IDEA源代码
09-15
一个向某个制定IP的DNS服务器发送询问数据包的发包工具
C语言 sniffer数据包获取代码
03-22
C语言 sniffer数据包获取代码,用于网络教学开发。
C语言分析pcap文件
04-15
本文档是C语言编写,基于linux下对pcap格式文件的分析,希望能够提供帮助。
解析IP数据包
02-17
计算机网络 C语言 解析IP数据包
经典珍藏小代码数据包解析
我的网络笔记本
03-29 1423
<br />#include <stdio.h><br />#include <stdlib.h><br />#include <unistd.h><br />#include <string.h><br />#include <ctype.h><br />#include <time.h><br />#include <sys/types.h><br />#include <sys/socket.h><br />#include <netinet/in.h><br />#include <netinet/
C语言实现对冗余层发送的数据包进行过滤判断处理
yuhoujiangnan2011的专栏
11-06 1058
绝大多数的安全设备都是按照2oo2结构设计的,两块相同的板卡,当二者的输出相同时,才为真,作为最终的结果。 由于二者发送数据不同步,接收设备经常会接收到双份的重复数据,如何对重复的数据进行过滤判断,现在实现一下接口程序。 #include #include #include #define GM_BOOL       int #define MAX_ListNum   10  
【转载】C语言解析网络数据包(MAC,IP,TCP)
yangqunyangqun的博客
11-23 1587
文教你如何用C代码解析一段网络数据包?【代码】 - 一口Linux - 博客园
linux网络抓包分析,TCP协议基础知识及wireshark抓包分析实战
weixin_34502341的博客
05-06 438
TCP相关知识应swoole长连接开发调研相关TCP知识并记录。数据封包流程如图,如果我需要发送一条数据给用户,实际的大小肯定是大于你发送的大小,在各个数据层都进行了数据的封包,以便你的数据能完整的发给你想要的用户。以太网的数据包的负载是1500字节,IP包头需要20个字节,TCP的包头需要20个字节,实际的数据内容大小则是1460个字节,如图:OSI模型术语应用层:如nginx、swoole等,...
一文简述低代码到底是什么?
最新发布
07-28
代码是一种软件开发方法,旨在通过最小的手动编码,加快应用程序的开发速度和交付速度。它采用可视化的界面和组件库,使开发人员能够使用拖放、配置和少量自定义代码来创建应用程序。低代码平台提供了一种快速构建和部署应用程序的方式,减少了传统软件开发过程中的繁琐和复杂性。通过低代码开发,非专业开发人员也能够参与到应用程序的创建中,加快了业务创新和数字化转型的进程。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

一口Linux

众筹植发

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值