linux原始套接字抓取网络数据包

最新推荐文章于 2024-04-29 00:01:48 发布
最新推荐文章于 2024-04-29 00:01:48 发布
阅读量3.4k 收藏 13
点赞数 1
分类专栏: 数据探测 socket 网路安全 文章标签: linux 网络 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/haoyuxuanyuan/article/details/106866857
版权

基于linux的抓包

一、获取数据

    当我们在做网络安全或者数据探测等工作经常会用到抓包、熟悉的工具有tcpdump、wireshark等,这里我们介绍如何使用C程序原始套接字在linux系统上抓取IP链路层数据包。

    首先我们先熟悉一个非常重要的函数socket,我们可以通过linux的man手册找到socket函数描述

#include <sys/socket.h>

     int
     socket(int domain, int type, int protocol);
     DESCRIPTION

     socket() creates an endpoint for communication and returns a descriptor.

     The domain parameter specifies a communications domain within which com-
     munication will take place; this selects the protocol family which should
     be used.  These families are defined in the include file <sys/socket.h>.
     The currently understood formats are

           PF_LOCAL        Host-internal protocols, formerly called PF_UNIX,
           PF_UNIX         Host-internal protocols, deprecated, use PF_LOCAL,
           PF_INET         Internet version 4 protocols,
           PF_ROUTE        Internal Routing protocol,
           PF_KEY          Internal key-management function,
           PF_INET6        Internet version 6 protocols,
           PF_SYSTEM       System domain,
           PF_NDRV         Raw access to network device

     The socket has the indicated type, which specifies the semantics of com-
     munication.  Currently defined types are:

           SOCK_STREAM
           SOCK_DGRAM
           SOCK_RAW

     A SOCK_STREAM type provides sequenced, reliable, two-way connection based
     byte streams.  An out-of-band data transmission mechanism may be sup-
     ported.  A SOCK_DGRAM socket supports datagrams (connectionless, unreli-
     able messages of a fixed (typically small) maximum length).  SOCK_RAW
     sockets provide access to internal network protocols and interfaces.  The
     type SOCK_RAW, which is available only to the super-user.

     The protocol specifies a particular protocol to be used with the socket.
     Normally only a single protocol exists to support a particular socket
     type within a given protocol family.  However, it is possible that many
     protocols may exist, in which case a particular protocol must be speci-
     fied in this manner.  The protocol number to use is particular to the
     communication domain in which communication is to take place; see
     protocols(5).

     Sockets of type SOCK_STREAM are full-duplex byte streams, similar to
     pipes.  A stream socket must be in a connected state before any data may
     be sent or received on it.  A connection to another socket is created
     with a connect(2) or connectx(2) call.  Once connected, data may be
     transferred using read(2) and write(2) calls or some variant of the
     send(2) and recv(2) calls.  When a session has been completed a close(2)
     may be performed.  Out-of-band data may also be transmitted as described
     in send(2) and received as described in recv(2).

     The communications protocols used to implement a SOCK_STREAM insure that
     data is not lost or duplicated.  If a piece of data for which the peer
     protocol has buffer space cannot be successfully transmitted within a
     reasonable length of time, then the connection is considered broken and
     calls will indicate an error with -1 returns and with ETIMEDOUT as the
     specific code in the global variable errno.  The protocols optionally
     keep sockets ``warm'' by forcing transmissions roughly every minute in
     the absence of other activity.  An error is then indicated if no response
     can be elicited on an otherwise idle connection for a extended period
     (e.g. 5 minutes).  A SIGPIPE signal is raised if a process sends on a
     broken stream; this causes naive processes, which do not handle the sig-
     nal, to exit.

     SOCK_DGRAM and SOCK_RAW sockets allow sending of datagrams to correspon-
     dents named in send(2) calls.  Datagrams are generally received with
     recvfrom(2), which returns the next datagram with its return address.

     An fcntl(2) call can be used to specify a process group to receive a
     SIGURG signal when the out-of-band data arrives.  It may also enable non-
     blocking I/O and asynchronous notification of I/O events via SIGIO.

     The operation of sockets is controlled by socket level options.  These
     options are defined in the file <sys/socket.h>.  Setsockopt(2) and
     getsockopt(2) are used to set and get options, respectively.

简单描述一下,socket函数创建一个套接字描述符,如何创建这个描述符由它三个参数决定

参数说明:

  1. domain --指定要选择哪种协议簇来进行通信,如果做过tcp或udp通信,相信对“PF_INET”不陌生把,他表示socket通信在IPV4网络层,如果你想使用IPV6那么可以选择“PF_INET6”,我要说的是我们在这里如果要想获得MAC地址则需要指定通信域在链路层,可以选择“PF_PACKET”

  2. type --指定通信类型,如果我们是TCP通信可选择数据流“SOCK_STREAM”,如果是UDP可选择"SOCK_DGRAM",指的注意的是“SOCK_RAW”它提供一个对内部网络访问的接口,这里我们抓包就要用到它

  3. protocol–通常情况下可以是0,由于我们前面两个参数的选择这里我们选择“ETH_P_IP”

下面是sock的创建部分代码

#include <sys/socket.h>
#include <linux/if_ether.h>
#include <netinet/in.h>
#include <unistd.h>
#include <arpa/inet.h>
int main()
{
    int sock;
    if ((sock = socket(PF_PACKET, SOCK_RAW, htons(ETH_P_IP))) < 0)
    {
        perror(strerror(errno));
        fprintf(stdout, "create socket error\n");
        exit(0);
    }
    
}

从函数描述了解到SOCK_RAW的sockets是可以通过recvfrom来接收数据,我们就是通过他来获取IP数据

bzero(buffer, sizeof(buffer));
n_read = recvfrom(sock, buffer, 2048, 0, NULL, NULL);
if (n_read <0) {
    exit(0);
}

此时我们抓到的buffer中的数据就是链路层数据

二、tcp数据包解析

链路层数据格式
各层数据描述
如图红色框中的部分,是我们抓取到的数据包括:

  • 链路层包头:其中包括“目的地址+源地址+类型”
  • 链路层数据:IP数据包
  • CRC校验

然而我们需要解析的是TCP数据,TCP数据包属于传输层数据,被包含在网络层IP数据包中,所以我们需要从下到上一层一层解析数据

根据对传输层的描述,先定义一个链路层包头的数据格式,方便使用代码解析

//MAC header
typedef struct {
unsigned char DesMacAddr[6];  //6字节目的MAC地址
unsigned char SrcMacAddr[6];   //6字节源MAC地址
short LengthOrType; //两个字节的网络类型
}__attribute__((packed)) MAC_HEADER, *PMAC_HEADER;

IP数据包
在这里插入图片描述

typedef struct {
unsigned char hdr_len: 4;
unsigned char version: 4;
unsigned char tos;
unsigned short total_len;
unsigned short identifier;
unsigned short frag_and_flags;
unsigned char ttl;
unsigned char protocol;
unsigned short checksum;
unsigned int source_ip;
unsigned int dest_ip;
}__attribute__((packed)) IP_HEADER, *PIP_HEADER;

TCP数据包
在这里插入图片描述

//IP header
typedef struct {
unsigned char hdr_len: 4;
unsigned char version: 4;
unsigned char tos;
unsigned short total_len;
unsigned short identifier;
unsigned short frag_and_flags;
unsigned char ttl;
unsigned char protocol;
unsigned short checksum;
unsigned int source_ip;
unsigned int dest_ip;
}__attribute__((packed)) IP_HEADER, *PIP_HEADER;

以下是对各个部分的解析过程代码

/********************mac header*******************/

PMAC_HEADER pmacHeader = (MAC_HEADER *) buffer;
printf("Source Mac:");
for (i = 0; i < 6; ++i) {
    printf("%02x", pmacHeader->SrcMacAddr[i]);
}
printf("  ");
printf("Dest Mac:");
for (i = 0; i < 6; ++i) {
    printf("%02x", pmacHeader->DesMacAddr[i]);
}
printf("\n");
    /********************ip header**********************/
PIP_HEADER pipHeader = (PIP_HEADER) (buffer + MAC_HEADER_SIZE);

int total_len = ntohs(pipHeader->total_len);
ip_header_len = pipHeader->hdr_len * 4;

if (ip_header_len > 20 || ip_header_len > 60)
{
    exit(0);
}

memcpy(&des_addr, &pipHeader->dest_ip, 4);
memcpy(&src_addr, &pipHeader->source_ip, 4);

int proto = pipHeader->protocol;
switch (proto) {
    case IPPROTO_ICMP:
        printf("ICMP\n");
        break;
    case IPPROTO_IGMP:
        printf("IGMP\n");
        break;
    case IPPROTO_IPIP:
        printf("IPIP\n");
        break;
    case IPPROTO_TCP :
        printf("TCP:");
        PTCP_HEADER tcpHeader = (PTCP_HEADER) (buffer + MAC_HEADER_SIZE + ip_header_len);
        tcp_header_len = ((tcpHeader->m_uiHeadOff & 0xf0) >> 4) * 4;
        int data_len = total_len - ip_header_len - tcp_header_len;
        printf("%s.%d-->%s.%d Len:%d\n", inet_ntoa(src_addr), tcpHeader->m_sSourPort, inet_ntoa(des_addr),
               tcpHeader->m_sDestPort, data_len);
        int tcp_data_index = MAC_HEADER_SIZE + ip_header_len + tcp_header_len;
        unsigned char *p = buffer + tcp_data_index;

        if (data_len > 0) {
            printf("Data:");
            for (int k = 0; k < n_read - tcp_data_index; ++k) {
                printf("%02x ", p[k]);
            }
            //printf("\n");
            for (int k = 0; k < n_read - tcp_data_index; ++k) {
                printf("%c", p[k]);
            }
            printf("\n");
        }
        break;
    case IPPROTO_UDP :
        printf("UDP\n");
        break;
    case IPPROTO_RAW :
        printf("RAW\n");
        break;
    default:
        printf("Unkown\n");
}

运行结果:

IP Source Mac:9ca615de20d0  Dest Mac:94c6919aa8f4
TCP:222.131.155.252.56539-->222.131.155.252.5632 Len:0
IP Source Mac:b888e3dc810e  Dest Mac:ffffffffffff
UDP
IP Source Mac:9ca615de20d0  Dest Mac:94c6919aa8f4
TCP:222.131.155.252.56539-->222.131.155.252.5632 Len:52
Data:c7 e4 e1 18 5c b8 44 91 34 bc a2 2d b8 da ae 64 52 8f ab 3d f8 70 db db 65 2c 2d 2c 9a cd 2d 02 54 e5 db d2 5c 54 8c 7d 1d fe 05 1e c7 d8 e4 b9 23 d8 09 fc ���\�D�4��-�ڮdR��=�p��e,-,��-T���\T�}����#�	�

点击获取Github源码

York·Zhang
关注
  • 1
    点赞
  • 13
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
Linux下如何在数据链路层接收原始数据
whowin
01-26 682
大多数的网络编程都是在应用层接收数据和发送数据的,本文介绍在数据链路层的网络编程方法,介绍如何在数据链路层直接接收从物理层发过来的原始数据数据包,文章给出了一个完整的范例程序。
Windows下C语言实现原始socket抓包
Spwpun的博客
11-10 6768
原始Socket抓包 0x01. 源码: #include &amp;lt;stdio.h&amp;gt; #include &amp;lt;winsock2.h&amp;gt; #include &amp;lt;iphlpapi.h&amp;gt; #include &amp;lt;mstcpip.h&amp;gt; #include &amp;lt;windows.h&amp;gt; #pragma comment(lib
Linux网络套接字
JDSZGLLL的博客
04-30 851
想象一下发qq消息的例子, 有了IP地址能够把消息发送到对方的机器上, 但是还需要有一个其他的标识来区分出, 这个数据要给哪个程序进行解析。为使网络程序具有可移植性,使同样的C代码在大端和小端计算机上编译后都能正常运行,可以调用以下库函数做网络 字节序和主机字节序的转换。因此,网络数据流的地址应这样规定:先发出的数据是低地址,后发出的数据是高地址.ip地址(主机全网唯一性)+ 该主机上的端口号,标识该服务器上进程的唯一性。IP地址 + 端口号能够标识网络上的某一台主机的某一个进程;
Linux网络抓包工具tcpdump是如何实现抓包的,在哪个位置抓包的?
最新发布
李姓门徒
04-29 2094
随着G行架构从集中式体系向分布式式体系转型,行内系统服务快速增多,不同的服务短期内需要在集中式体系、分布式体系之间互相调用,调用链复杂,网络通讯相关问题时有发生。系统管理员在排查网络问题时就用到一款网络抓包工具tcpdump,该工具可以将网络中传送的数据包完全截获下来进行分析,能有效的排查复杂环境的网络问题。本文将从原理的角度分析tcpdump在Linux系统的实现。 主要是希望能够分析实现原理,以协助判断tcpdump抓的是网卡的包,还是经过内核处理后的包?对于分析服务器处理网络包过程有很大帮助。
[Linux]-原始套接字
levi的博客
07-22 877
原始套接字指的是在传输层下面使用的套接字,之前使用的流式套接字和数据报套接字是工作在传输层的,并且在接受和发送的时候只能对数据部分进行操作,如果想要自己组建一个报文,那么就需要使用原始套接字。并且原始套接字还可以监听所有经过本机网卡的数据帧或者数据包
linux原始套接字raw获取ip包,linux实现抓包 (使用原始套接字数据连路层协议)...
weixin_29346059的博客
05-05 654
网络作业2 IP分组流量分析程序参考:http://www.cnblogs.com/rollenholt/articles/2585432.htmlhttp://blog.csdn.net/ctthuangcheng/article/details/9746501http://www.cnblogs.com/rollenholt/articles/2585432.htmlhttp://baike....
读取linux下的网络设备的mac地址与发送原始数据
yandaqijian的专栏
03-23 3397
[html] view plaincopy root@dlrc-desktop:/home/dlrc/dlsp-ep9302/work/mystar-v0.4# cat /proc/net/dev      Inter-| Receive | Transmit       face |bytes packets errs drop fifo frame com
使用Linux套接字抓网络包程序
10-18
本主题将深入探讨如何使用Linux原始套接字(raw sockets)来抓取网络数据包,以及`tgsniffer`这个源代码项目。原始套接字允许我们访问网络协议栈的底层,直接处理原始的数据包,而不仅仅是应用层的协议,如TCP或UDP...
Linux网络数据包抓取源码分析和包过滤
09-25
数据包抓取的核心是通过操作系统提供的网络接口,如套接字API,来获取原始的网络数据包。在Linux中,这通常涉及到使用`libpcap`库,这是一个跨平台的捕获和网络分析引擎。`libpcap`提供了一种标准的方式来打开网络...
Visual C++编程实现网络嗅探器
01-06
这与常规的套接字不同,常规套接字处理的是应用层的数据,而原始套接字则允许我们访问网络的更低层次,为网络嗅探提供了可能。 在Windows环境中,Visual C++是常用的C++开发工具,它包含了丰富的库和API,使得网络...
RAW-socket-caught-procedures.rar_Linux/Unix编程_Unix_Linux_
08-11
RAW套接字(RAW sockets)是网络编程中的一个重要概念,特别是在Linux和Unix系统中。它允许程序员访问网络协议栈的底层,直接处理网络协议的数据包,而无需经过操作系统内核的高层协议处理。这个"RAW-socket-caught-...
Linux下基于原始套接字的嗅探器
03-12
网络编程原始套接字经典案例,可以嗅探ARP RARP TCP UDP等基本数据包,网卡混杂模式 捕获数据包
Linux系统高效获取数据包
05-03
实现了基于通用LINUX操作系统无丢包方式获取网络数据包
linux下ip抓包分析
04-02
总之,Linux下的IP数据包抓包和分析涉及网络编程和协议解析,通过C语言和原始套接字,我们可以直接与网络接口交互,获取并分析原始数据包。同时,使用Makefile进行自动化构建,确保项目的可移植性和编译效率。这是一...
Linux内核二层数据包接收流程
六六哥的博客
08-24 8542
本文主要讲解了Linux内核二层数据包接收流程,使用的内核的版本是2.6.32.27 为了方便理解,本文采用整体流程图加伪代码的方式从内核高层面上梳理了二层数据包接收的流程,希望可以对大家有所帮助。阅读本文章假设大家对C语言有了一定的了解 整体流程如下: 数据报文接收流程伪代码分析如下 /*在基于中断收发报文的网卡设备驱动中, * 当有数据报文
Linux原始套接字实现分析
m0_74282605的博客
03-01 1150
图中TCP、UDP和ICMP协议的接收处理函数分别为tcp_v4_rcv()、udp_rcv()和icmp_rcv()。对于IP报文,在协议栈的ip_local_deliver_finish()函数中会匹配是否有注册的网络原始套接字,若匹配上就通过skb_clone()克隆报文并交给相应的原始套接字来处理。对于IP报文,在协议栈的ip_local_deliver_finish()函数中会匹配是否有注册的网络原始套接字,若匹配上就通过skb_clone()克隆报文并交给相应的原始套接字来处理。
Linux网络通信之原始套接字SOCKET_RAW
05-04 2828
1.原始套接字与标准套接字传输区别 a.标准SOCKET APP--->STD_SOCKET--->TCP--->IP--->ETH APP--->STD_SOCKET--->UDP--->IP--->ETH b.原始SOCKET APP--->RAW_SOCKET--->IP--->ETH 2.数据处理区别 a. SOCK_RAW可读写内核没处理的IP数据, SOCK_STREAM只处理TCP数据 SOCK_DGR
linux网络原始套接字,原始套接字(示例代码)
weixin_30284125的博客
05-04 438
标准套接字分为:l 流式套接字(SOCK_STREAM):面向连接的套接字,应用于TCP应用程序。l 数据包套接字(SOCK_DGRAM):无连接的套接字,应用于UDP应用程序。原始套接字:是一种对原始网络报文进行处理的套接字,主要用途有:l 发送自定义的IP数据包l 发送ICMP数据包l 网卡的侦听模式,监听网络上的数据包l 伪装IP地址l 自定位协议的实现原始套接字主要应用于底层...
linux下简单的原始套接字通信
my_zou的博客
12-20 2019
SOCK_RAW
利用Python自带的封装类对原始套接字抓取数据包的不同协议进行解析
05-26
Python自带的socket库可以用于创建和操作原始套接字。我们可以使用这个库来抓取数据包并解析不同协议。 以下是一个简单的例子,如何使用Python自带的socket抓取数据包并解析HTTP协议: ```python import socket # 创建原始套接字 raw_socket = socket.socket(socket.AF_PACKET, socket.SOCK_RAW, socket.ntohs(0x0800)) # 循环接收数据包 while True: packet = raw_socket.recvfrom(65535)[0] # 解析以太网头部 eth_header = packet[0:14] eth = struct.unpack("!6s6s2s", eth_header) dest_mac = binascii.hexlify(eth[0]).decode("utf-8") src_mac = binascii.hexlify(eth[1]).decode("utf-8") # 解析IP头部 ip_header = packet[14:34] ip = struct.unpack("!12s4s4s", ip_header) src_ip = socket.inet_ntoa(ip[1]) dest_ip = socket.inet_ntoa(ip[2]) # 判断是否为HTTP协议 if packet[34:38] == b"HTTP": # 解析HTTP协议 http_data = packet[54:] print(http_data) ``` 在上面的代码中,我们首先创建了一个原始套接字,并使用recvfrom()方法接收数据包。然后,我们解析以太网头部和IP头部,并判断是否为HTTP协议。如果是HTTP协议,我们将HTTP数据包解析并输出。 类似的,我们可以使用相同的方法解析其他协议,如TCP、UDP等。只需根据不同协议的头部格式对数据包进行解析即可。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

York·Zhang

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值