Linux 内核抓包功能实现基础(三) 抓包服务器的实现

已于 2024-03-13 16:09:47 修改
阅读量2.4k 收藏 5
点赞数
分类专栏: Linux 内核 文章标签: Linux Kernel Netfilter WinPcap 抓包
于 2018-07-08 01:02:27 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fuyuande/article/details/80956060
版权

上回博客我们讲到了内核抓包内核端的实现,通过上篇博客的例子我们就能够开始抓包了,整个抓包的拓扑图如下:

当开始抓包后,抓包机器将抓到的报文送到服务器上,假设服务器地址是192.168.199.123:8099,如果在抓包服务器上打开wireshark可以看到送过来的报文,如下图这样子:

可以看到抓包服务器上收到了报文,但是这样子的报文我们是无法直接拿来分析的,因为实际的报文是封装起来的,需要把数据提取出来封装成wireshark能够识别的格式才行,本篇博客就介绍一下抓包服务器的实现原理。

在看实际的代码之前,我们先来看一下抓包服务器开启后的样子,首先监听本地8099端口

其次将送到该端口的数据封装成pcap格式,使用wireshark打开后如下:

这是实际抓到的报文,能够清楚看到报文里面的各项数据。

下面介绍抓包服务器实现的原理。

抓包服务器功能大致如下:

1. 启动后监听报文送来的地址,在本例中是8099

2. 收到数据后将数据保存到文件中并以wireshark可识别的格式保存。

通常使用wireshark抓包保存的文件都已.pcap为后缀名。里面存储报文的实际数据。pcap文件格式如下:

每个pcap文件都有一个pcap首部,占24字节,之后就是pcap报文头和报文数据,报文头存储了抓包的时间戳等信息。

抓包服务器的任务就是新建一个pcap文件,写入pcap文件头后,之后每收到一个数据就写入一个pcap报文头和报文数据。这样等保存文件后就可以直接使用wireshark打开了。

winpcap是windows版本的开源抓包库,里面提供了包括pcap文件创建、保存等一系列接口,可以直接拿来使用,我这里的例子是windows64位的 golang版本的,Linux版本下有libpcap库可供使用。

代码如下:

// main.go
package main

import (
	"fmt"
	"net"

	"os"
	"os/signal"
	"strconv"
	"syscall"
	"time"

	"github.com/google/gopacket"
	"github.com/google/gopacket/layers"
	//"github.com/google/gopacket/pcap"
	"github.com/google/gopacket/pcapgo"
)

type CaptureManager struct {
	F    *os.File       //抓包文件
	W    *pcapgo.Writer //用于写文件
	conn *net.UDPConn   //udp连接
}

func CaptureSaveFile() {
	for {
		//套接字接收缓存
		buffer := make([]byte, 65535)

		//接收数据
		num, _, err := CapMng.conn.ReadFromUDP(buffer)
		if nil != err {
			continue
		} else {
			captureInfo := gopacket.CaptureInfo{
				Timestamp:      time.Now().UTC(),
				CaptureLength:  num,
				Length:         num,
				InterfaceIndex: 0,
			}
			//写入pcap数据包头以及数据
			CapMng.W.WritePacket(captureInfo, buffer[:num])
			CapMng.F.Seek(0, os.SEEK_END)
		}
	}
}

var CapMng *CaptureManager

func main() {
	//全局管理控制块
	CapMng = &CaptureManager{}

	//创建目录
	os.MkdirAll("capture_packet", 0777)

	//创建文件名字
	t := time.Now()
	fil := "capture_packet" + "/" + "capture" + "_" + t.Format("20060102150405") + ".pcap"

	//创建文件
	CapMng.F, _ = os.Create(fil)

	//填充pcap文件头部24字节
	CapMng.W = pcapgo.NewWriter(CapMng.F)
	CapMng.W.WriteFileHeader(1024, layers.LinkTypeEthernet)

	//设置监听地址
	Addr, err := net.ResolveUDPAddr("udp", "0.0.0.0:"+strconv.Itoa(8099))

	if nil != err {
		fmt.Println("resulve udp addr fail")
		return
	} else {
		//创建udp连接
		CapMng.conn, err = net.ListenUDP("udp", Addr)
		if nil != err {
			fmt.Println("create conn fail")
			return
		} else {
			fmt.Println("Capture Start")
			go CaptureSaveFile()
		}
	}

	chSignal := make(chan os.Signal, 5)
	//signal.Notify(chSignal)
	//监听指定信号
	signal.Notify(chSignal, syscall.SIGTERM, syscall.SIGINT, syscall.SIGQUIT,
		syscall.SIGSEGV, syscall.SIGABRT)

	fmt.Println("capture server start")

	//阻塞直至有信号传入
	sig := <-chSignal
	switch sig {
	case syscall.SIGSEGV, syscall.SIGABRT:
	default:
	}
	fmt.Println("*************Server Recive signal %s, program exit", sig.String())
	CapMng.F.Close()
	CapMng.conn.Close()
	fmt.Println("CLOSE")
	time.After(1 * time.Second)
}

代码在github上,下载后可在安装了go环境下的windows上直接运行。

git@github.com:FuYuanDe/capture_demo.git

编译go程序可能有点麻烦,但既然都看到这了,估计这点麻烦也不会难道你

偷笑

 

到目前位置,内核抓包功能基本的框架已经搭起来了,但是和tcpdump相比,还有很多不足之处,比方说能否根据过滤条件抓取报文?其次,送到远端服务器上的时候如果mtu值很小怎么办?要不要分片?还有就是在POST_ROUTING上的hook函数抓到的报文是没有mac地址的!!!啥?没MAC地址! 没错,本机出去的报文在IP层还没有填写MAC地址,这时候抓包的话是无法得到目的mac地址的。有空的话再聊聊这些问题的解决方法。有问题的同志想要交流的话可以加群讨论一下奥

参考资料:

1.

Winpcap的安装使用方法和问题总结

https://blog.csdn.net/yu314092706/article/details/52937189

2. 

golang使用gopacket包进行数据包捕获,注入和分析

https://blog.csdn.net/ptmozhu/article/details/72652310?utm_source=itdadao&utm_medium=referral

3. pcap文件格式分析

https://www.cnblogs.com/2017Crown/p/7162303.html

またね!

大笑

yyyyyyyuande
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
RDMA抓包v2.0.doc
06-17
本文档介绍了 RDMA 抓包技术的实现方法,包括使用 ibdump 和 tcpdump 工具来捕获 RDMA 流量。下面是本文档的详细知识点总结: 一、RDMA 抓包概述 RDMA(Remote Direct Memory Access,远程直接内存访问)是一种高...
网络捕手:精通Linux下的tcpdump抓包艺术
最新发布
07-11
它遵循自由软件和开源开发的原则,任何人都可以自由地使用、修改和分发Linux内核Linux内核是操作系统的核心部分,负责管理系统资源,如任务调度、文件系统、设备驱动程序、内存管理等。 Linux的主要特点包括: 1...
Linux内核抓包-抓取到达网卡的所有报文
qq_31329469的博客
01-03 4266
Linux内核-抓取到达网卡的所有报文 因项目需要,我要实现从设备的指定网卡处接收所有流经该网卡的报文并进行处理。 最开始使用的是 netfilter 勾子,结果发现该方法只能获取到目的MAC地址为本地网卡的网络层报文(包括广播报文)。发往其它MAC地址的报文以及链路层报文(如LLDP、GOOSE等)无法被获取。 之后又尝试使用 dev_add_pack() 的方式进行自定义回调函数的注册,以达到...
Linux内核协议栈以及抓包原理小结
尧fighting的博客
01-13 966
内核网络协议栈的接收、发送数据包的理解以及抓包原理的理解
Linux服务器端网络抓包和分析实战(3)
2401_83947434的博客
04-27 245
有些朋友在使用springboot的RestTemplate访问wthrcdn.etouch.cn网站查询天气的时候,发现响应的数据打印出来为乱码,就是因为没有对gzip的内容做处理导致的,在本文中我们通过抓包发现了此问题的根本原因,而解决此问题的方法请参考。既然内容是gzip压缩过的,在上图的窗口中就无法看到压缩前的真实内容了,为了看到压缩前的真实内容,请参照下面的步骤;2、在工作中,运维人员经常需要跟运营人员打交道,请问运营人员是做什么工作的?7、Tomcat和Resin有什么区别,工作中你怎么选择?
Linux 内核抓包功能实现基础(四) 手动查找邻居缓存填充MAC地址
fuyuande的博客
07-28 1379
之前写了篇关于内核抓包功能实现,包括抓包原理、实现以及抓包服务器实现。基本的功能都已经有了,但是还有些小问题有待解决。今天有空就解决一下。 开发版本基于内核3.4.39。 先介绍一下问题背景,抓包框架是基于netfilter的,通过在Pre-Routing和Post-Routing链上分别挂一个钩子函数来对报文处理。抓包基...
linux抓包操作(tcpdump)
热门推荐
jiu_yue_ya的博客
05-26 1万+
linux 查看网络状况(netstat)linux 查看网络状况(netstat)使用 netstat 命令用来打印网络连接状况、系统所开放端口、路由表等信息。最常用的关于netstat 的命令就是:以及如果你所管理的服务器是一台提供 web 服务(80 端口)的服务器,那么你就可以使用 netstat -an |grep 80 开查看当前连接 web 服务的有哪些 IP 了。
linux 内核抓包功能实现基础(一)设计思路
fuyuande的博客
06-24 2909
linux平台下面已经有了抓包工具tcpdump, 非常经典,使用起来也非常方便。但是因为某些系统架构上或者其它方面的原因,有时候tcpdump并不能满足产品实际需要,公司的产品是电信运营商相关的软硬件集成产品,平常在使用的时候经常需要抓包来分析、定位问题,之前的抓包功能是基于tcpdump的基础上的,但是因为系统架构方面的原因,抓包功能始终无法抓到所有进出报文,每次只能抓到特定一部分报文,此外因...
linux 内核抓包功能实现基础(二) netfilter处理
fuyuande的博客
07-01 3503
上篇博客主要介绍了内核抓包设计思路与效果,并没有给出详细的设计实现,看起来就像一个花架子,华而不实。本篇博客就结合具体的代码介绍一下抓包实现过程。先大致概括一下代码的思路,抓包模块启动后,就去netfilter上面注册两个钩子函数,分别放在PRE_ROUTING链和POSTROUTING链上,抓取进来的报文和出去的报文。当报文进入到netfilter层面处理时,钩子函数对报文做一下简单的匹配判断...
抓包工具类
12-17
抓包工具的应用场景 1. 网络故障排查:通过查看数据包,找出网络延迟、丢包等问题的原因。 2. 安全审计:检测网络中的潜在安全威胁,如未授权访问、恶意攻击等。 3. 应用程序调试:帮助开发者理解应用程序如何与...
网络抓包工具
04-08
、网络抓包工具的功能 1. 数据包捕获:抓取并记录网络上的所有数据包,包括TCP、UDP、IP和其他协议的包。 2. 实时监控:实时展示网络流量,帮助用户了解网络状态。 3. 数据包过滤:通过设置过滤规则,只显示符合...
手机抓包工具android 抓码流
06-20
在Android系统中,进行抓包操作可以让我们看到设备与服务器之间的“码流”,即传输的数据内容。 标题“手机抓包工具android 抓码流”指的是使用Android设备上的网络抓包工具来捕捉和解析网络流量,尤其是针对码流的...
Linux内核抓包分析并转发,Linux操作系统tcpdump抓包分析详解
weixin_30571837的博客
05-05 846
四、输出结果介绍下面我们介绍几种典型的tcpdump命令的输出信息(1) 数据链路层头信息使用命令:#tcpdump --e host ICEICE 是一台装有linux的主机。它的MAC地址是0:90:27:58:AF:1A H219是一台装有Solaris的SUN工作站。它的MAC地址是8:0:20:79:5B:46; 上一条命令的输出结果如下所示:21:50:12.847509 eth0 &...
Linux内核角度分析tcpdump原理(一)
flynetcn的专栏
10-08 4160
一、tcpdump的用途 tcpdump是Linux系统抓包工具,tcpdump基于libpcap库,根据使用者的定义对网络上的数据包进行截获,tcpdump可以将网络中传送的数据包中的"头"完全截获下来提供分析,支持针对网络层、协议、主机、网络或端口的过滤,并提供and、or、not等逻辑语句来帮助去掉无用的信息。通过tcpdump可以分析很多网络行为,比如丢包重传、详细报文、tcp分组等,总之通过tcpdunp可以为各种网络问题进行排查,可以在服务器上将捕获的数据包信息以pcap文件保存下来,..
Linux 内核抓包功能实现基础(五) 常见问题解析
fuyuande的博客
09-15 648
之前在部门产品上开发了内核抓包模块,基于openwrt平台,通过netfilter框架实现相关功能。核心功能就是在netfilter 的PRE_ROUTING 和 POST_ROUTING链上增加两个钩子函数,实现对报文的匹配,复制和发送功能功能已经上线个月,根据反馈结果来看,基本的抓包功能正常,不过也有几个问题需要解决一下,之前陆陆续续写了四篇博客介绍相关功能的开发,在本篇就把产品实际应用中...
Tcpdump抓包内核代码分析
already_skb的专栏
05-08 2044
注册pf_packet协议   .create函数是在PF_PACKET类型socket创建时调用,调用时注册了钩子函数具体看packet_create函数的实现。static const struct net_proto_familypacket_family_ops = {         .family=   PF_PACKET,         .create=  packet_creat...
数据包在内核态的捕获、修改和转发(基于netfilter)
chengfangang的专栏
02-25 4852
http://biancheng.dnbcw.info/linux/263145.html 忙活了好几天,经过多次得死机和重启,终于把截获的数据包转发的功能实现了。同时,也吧sk_buff结构学习了一下。     本程序利用netfilter的钩子函数在PREROUTING处捕获数据包,并且修改数据包首部信息,之后直接转发,从而实现对数据包转发得功能。修改数据包得数据和地址之后,最主要的
"RDMA抓包v2.0实现技巧与步骤
/etc/modprobe.d/) 2.重新加载 mlx4_core 内核模块: sudo /sbin/modprobe -r mlx4_core sudo /sbin/modprobe mlx4_...使用这些工具,用户可以启用抓包功能并分析抓包数据,从而更好地理解和优化 RDMA 网络的性能。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值