pcap文件解析(三)--拆分SCTP包

最新推荐文章于 2024-06-30 17:22:02 发布
最新推荐文章于 2024-06-30 17:22:02 发布
阅读量2.2k 收藏 4
点赞数 2
文章标签: pcap

这一章,我们将了解SCTP数据包结构,并简要介绍SCTP协议,最后将带有多个chunk的SCTP包拆分问单个SCTP数据包。

SCTP数据包

数据包头

Eth信息

IP头

SCTP头

SCTP Chunk 1

……

SCTP Chunk n

其中数据包头和IP头已经在前面做过介绍了,这里先简单介绍一下Eth信息。

[cpp]  view plain copy
  1. // Ethernet 信息  
  2. typedef struct__Ethernet_Info  
  3. {  
  4.         Byte    DestMac[6];  
  5.         Byte    SrcMac[6];  
  6.         _Int16  iType;  
  7.    
  8. } __EthernetInfo;  



DsetMac 目的主机mac地址

SrcMac   源主机MAC地址

Type 协议类型,IP为0x0800

 

SCTP简介


一个 SCTP 分组含了一个公共的分组头(Common Header)和若干数据块(Chunk),每个数据块中既可以包含控制信息,也可以包含用户数据。除了INIT、INIT ACK和SHUTDOWN COMPLETE 数据块外,其他类型的多个数据块可以捆绑在一个SCTP 分组中,以满足对 MTU 大小的要求。当然,这些数据块也可以不与其他数据块捆绑在一个分组中。如果一个用户消息不能放在一个SCTP 分组中,这个消息可以被分成若干个数据块。

SCTP头

         SCTP 公共分组头中包括了源端口号(Source Port Number)、目的端口号(Destination PortNumber)、验证标签(Verification Tag)和校验码(Checksum)

 1.源端口号(16 bits)

                   源端口号识别 SCTP 发送端点的SCTP 端口号。接收方可以使用源端口号、源IP 地址、目的端口号和目的IP 地址标识该SCTP 分组所属的偶联。

         2.目的端口号(16 bits)

                   目的端口号为目的端点的 SCTP 端口号。接收主机可以使用目的端口号将SCTP 分组解复用到正确的端点或应用中。

         3.验证标签(32 bits)

                   验证标签是偶联建立时,本端端点为这个偶联生成一个随机标识。偶联建立过程中,双方会交换这个TAG,到了数据传递时,发送端必须在公共分组头中带上对端的这个TAG,以备校验。

          4.校验码(32 bits)

                   SCTP 通过对用户数据使用ADLER-32 算法,计算出一个32 位的校验码,带在数据报中,在接收端进行同样的运算,通过检查校验码是否相等来验证用户数据是否遭到破坏。

数据块

         数据块包括了块类型(Chunk Type)、块标志位(Chunk Flags)、块长度(Chunk Length)和块值(Chunk Value )。

          1.块类型(8 bits)

                   块类型定义在块值(Chunk Value)中消息所属的类型。

                  

0DATA(净数据) 传输的用户数据块。
1INIT 用于发起两个端点之间的SCTP 偶联。
2INIT ACK 用来确认SCTP 偶联的发起消息(INIT)。
3SACK 该数据块送至对端,以确认收到DATA 块,并且通知对端DATA 的接收顺序间隙。
4HEARTBEAT 端点发送该数据块至对端,以检测当前偶联中定义的某一目的地址的可达性。
5HEARTBEAT ACK 响应HEARTBEAT 消息。
6ABORT 关闭偶联。
7SHUTDOWN 偶联中的一个端点对其偶联发起一个GRACEFUL关闭。
8SHUTDOWN ACK 响应SHUTDOWN 消息,关闭程序完成时发出。
9ERROR 通知对端,SCTP 偶联发生某种错误。
10COOKIE ECHO 仅用于偶联发起过程,它由偶联的发起者发送至对端以完成发起程序。
11COOKIE ACK COOKIE 证实,相对于COOKIE ECHO
12ECNE 保留,应用于外部环境拥塞发布回声
13CWR 保留,应用于降低拥塞窗口
14SHUTDOWN COMPLETE用于关闭程序完成时对SHUTDOWN ACK 消息进行确认
15-62IETF 保留
63IETF 定义块扩展使用
64-126IETF 保留
127定义块扩展使用
128-190IETF 保留
191定义块扩展使用
192-254IETF 保留
255IETF 定义块扩展使用如果接收端点不能识别块类型时,块类型最高位2bit 用于标识需要进行的各种操作。

                            Bits(最高两位) 含义

                           

00停止处理并丢弃此SCTP 分组,不再处理该SCTP 分组中的其他消息块。
01停止处理并丢弃此SCTP 分组,不再处理该SCTP 分组中的其他消息块,并且在“ERROR”或“INIT ACK”中向发起端点返回不能识别的参数。
10 跳过此数据块并继续执行。
11跳过此数据块并继续执行,并且在“ERROR”或“INIT ACK”中向发起端点返回不能识别的参数。

          2.数据块标志位(8bit)

                   块标志位用法由块类型决定。除非被置为其他值,块标记在传送过程中会被置0 而且接收端点会忽视块标记。

                   定义见:HTTP:\\

          3.块长度(16bit)

                   块长度包括块类型(Chunk Type)、块标记(Chunk Flags)、块长度(Chunk Length)和块值(Chunk Value),长度使用二进制表示。

          4.块值(可变长度)

                   块值的内容在块中传送实际的信息,内容由消息块类型决定。块值的长度为不定长。

SCTP结构体定义

[cpp]  view plain copy
  1. // SCTP头  
  2. typedef struct __Sctp_header  
  3. {  
  4.     _Int16 SrcPort;  
  5.     _Int16 DstPort;  
  6.   
  7.     _Int32 iVerTag;  
  8.     _Int32 iChecksum;  
  9. } __SctpHeader;  
  10.   
  11. // chunk头  
  12. typedef struct __Sctp_chunk_header  
  13. {  
  14.     Byte Type;  
  15.     Byte Flag;  
  16.     _Int16  iLength;  
  17. } __SctpChunkHeader;  
  18.   
  19. // 单个SCTP Chunk  
  20. typedef struct __Sctp_chunk  
  21. {  
  22.     __SctpChunkHeader header;  
  23.     Byte* pData;  
  24. } __SctpChunk;  


拆分SCTP数据块

         下面的代码将逐个解析数据包,当数据包位SCTP包时,对DATA chunk进行拆分。

[cpp]  view plain copy
  1. bool main()  
  2. {  
  3.         __pcap_header header;  
  4.         int iNo = 1;  
  5.          
  6.         // 打开源文件和输出文件  
  7.     if( !OpenPcapFile( "sctp.pcap")|| !OpenOutFile( "export.pcap"))  
  8.     {  
  9.         return false;  
  10.     }  
  11.    
  12.     // 获得文件头  
  13.     GetPcapHeader( &header);  
  14.         //写入文件头  
  15.         WriteFileHeader( &header);  
  16.    
  17.         MoveFirst();  
  18.         while( !IeEof())  
  19.         {  
  20.                __pk_header data;  
  21.                __ip_header ipData;  
  22.                __EthernetInfo ethInfo;  
  23.                Byte* pBuffer;  
  24.                // 获取下一个数据包  
  25.         GetPacketAndMoveNext( &data,&pBuffer);  
  26.                // 获得ETH信息  
  27.                GetEthernetInfo( ðInfo, pBuffer,0);  
  28.                // 获得IP信息  
  29.         GetIpData( &ipData, pBuffer,sizeof(__EthernetInfo));  
  30.    
  31.         // SCTP == 132  
  32.         if( ipData.byteProtocol == 132)  
  33.         {  
  34.                        // 获取SCTP头  
  35.                        int iOffset = sizeof(__EthernetInfo) + ipData.byteHdLength * 4;  
  36.                        int iChunkOffset =iOffset + sizeof( __SctpHeader);  
  37.                        __SctpHeader sctpHeader;  
  38.                        __SctpChunksctpChunkArr[MAX_CHUNK_NUM];  
  39.                        // 当前已保存的chunk数量  
  40.                        int iChunkNum = 0;  
  41.                        // 当前已保存的chunk长度  
  42.                        int iLenght = 0;  
  43.                        // 获得SCTP头  
  44.                        GetSctpHeader(&sctpHeader, pBuffer, iOffset);  
  45.    
  46.                        whiletrue)  
  47.                        {  
  48.                                // 当前读取的chunk  
  49.                                __SctpChunksctpChunk;  
  50.                                // for 循环标志  
  51.                                int i = 0;  
  52.                                GetSctpChunk(&sctpChunk, pBuffer, iChunkOffset);  
  53.                                 
  54.                                if(sctpChunk.header.Type == 0) // DATA块  建立新数据包并写入chunk信息  
  55.                                {  
  56.                                       WritePkHeader(&data, iLenght + sctpChunk.header.iLength + LENGTH_SCTPALLHEADER(ipData));  
  57.                                       WriteEthInfo(ðInfo);  
  58.                                       WriteIpHeader(&ipData, iLenght + sctpChunk.header.iLength + LENGTH_SCTPIPHEADER(ipData));  
  59.                                       WriteSctpHeader(&sctpHeader);  
  60.                                       for( i =0; i < iChunkNum; i++)  
  61.                                       {  
  62.                                               WriteSctpChunk(sctpChunkArr + i);  
  63.                                       }  
  64.                                       WriteSctpChunk(&sctpChunk);  
  65.                                       iChunkNum = iLenght = 0;  
  66.                                }  
  67.                                else  
  68.                                {  
  69.                                       // 当前块位非DATA块  
  70.                                       sctpChunkArr[iChunkNum++] = sctpChunk;  
  71.                                       iLenght +=sctpChunk.header.iLength;  
  72.                                }  
  73.    
  74.                                iChunkOffset +=sctpChunk.header.iLength;  
  75.    
  76.                                if( iChunkOffset>=  
  77.                                       ipData.iTotalLength- ((ipData.byteHdLength & 0x0f) * 4))  
  78.                                {  
  79.                                       if(iChunkNum > 0)  
  80.                                       {  
  81.                                               //存在未写入的chunk数据,全部新建数据包写入  
  82.                                               if(sctpChunk.header.Type != 0)  
  83.                                                      iLenght-= sctpChunk.header.iLength;  
  84.    
  85.                                               WritePkHeader(&data, iLenght + sctpChunk.header.iLength + LENGTH_SCTPALLHEADER(ipData));  
  86.                                               WriteEthInfo(ðInfo);  
  87.                                               WriteIpHeader(&ipData, iLenght + sctpChunk.header.iLength + LENGTH_SCTPIPHEADER(ipData));  
  88.                                               WriteSctpHeader(&sctpHeader);  
  89.                                               for(i = 0; i < iChunkNum; i++)  
  90.                                               {  
  91.                                                      WriteSctpChunk(sctpChunkArr + i);  
  92.                                               }  
  93.                                       }  
  94.                                       break;  
  95.                                }  
  96.    
  97.                        }  
  98.         }  
  99.    
  100.         free( pBuffer);  
  101.         }  
  102.    
  103.      
  104.         CloseOutFile();  
  105.         ClosePcapFile();  
  106.         printf( "Export over");  
  107.         return true;  
  108. }  
nk_wang
关注
Wireshark在windows下如何分割pcap
sidneyyy的博客
10-24 2793
一、打开Wireshark所在的安装路径,并打开命令行窗口。可以看到在对应文件夹下成功分割了pcap。二、在命令行窗口输入分割pcap的命令。
使用jnetpcap捕获数据进行流量检测
weixin_34220963的博客
05-14 539
jnetpcap是用java对libpcap的一个封装,它可以用来监听网卡,捕获数据 CaptureCore.java package nssa.nm.capture; import java.util.ArrayList; import java.util.List; import javax.swing.JOptionPane; import org.jnetpcap...
scapy安装及SCTP分析
zhanglao33的博客
08-26 2486
关于Scapy scapy是一个强大的交互式数据处理程序(使用python编写)。它能够伪造或者解码大量的网络协议数据,能够发送、捕捉、匹配请求和回复等。它可以很容易地处理一些典型操作,比如端口扫描、tracerouting,探测,单元测试,攻击或网络发现(可替代hping,NMAP,arpspoof,ARP-SK,arping,tcpdump,tethereal,POF等)。最重要的他还
pcap常见拆分方法
Wait_Godot的博客
06-30 1061
简单介绍了流量的常见拆分方法,并就按流划分流量的方法举了实例。
Python按连接拆分pcap文件
10-31
Python按连接拆分pcap文件,将文件拆成一个一个的小(按照连接)
java抓后对pcap文件解析示例
09-04
在Java中解析pcap文件,我们可以利用第方库,例如libpcap的Java封装库JNetPcap。然而,上述代码展示了一个简单的自定义解析器,没有依赖外部库。这个解析器从输入流中读取pcap文件,逐个解码数据头并提取数据...
pcap-parser:解析 pcap 文件并可视化网络数据
07-04
我能够解析简单的 pcap 文件并将流信息传递给 R。有一些棘手的数据头(例如 802.1q VLAN 和其他)我还无法解析。 R 接口的工作原理如下: read_pcap_file(filename, print_debug_info) 这将创建在 C 世界...
pcap-ng-parser:Node.js模块,用于解析.pcapng文件和tcpdump输出
05-13
PCAP-NG-Parser是基于流的模块,用于解码,打印和分析网络流量数据。 使用此模块,您可以读取现有的.pcapng文件或将其连接到活动流。 PCAP-NG-Parser目前正在积极开发中。 目前,它仅支持来自输出的以太网协议。 ...
Win10Pcap-v10.2-5002.msi.7z
05-31
1. 首先,确保您已经下载了这个压缩并解压得到"Win10Pcap-v10.2-5002.msi"文件。 2. 双击运行该MSI安装文件,系统会引导你完成安装过程。 3. 在安装过程中,按照提示进行操作,通常括接受许可协议、选择安装路径...
Pcap Sctp数据拆分
01-15
逐个解析数据,当数据SCTP时,对DATA chunk进行拆分
Win10Pcap-v10.2-5002.rar
01-11
提供的文件"Win10Pcap-v10.2-5002.rar"是一个压缩,其中含Win10Pcap的安装程序"Win10Pcap-v10.2-5002.msi"。Win10Pcap是专为Windows 10设计的数据捕获工具,它提供了一种替代Npcap的方式,有助于解决...
Wireshark拆分pcap
Keep Learning
07-30 1050
到Wireshark安装目录下,打开cmd,输入命令 editcap -c 每个拆分pcap的数据量 待拆分文件路径+文件名 目标文件路径+文件名 C:\Program Files\Wireshark>editcap -c 300000 E:\Data\Data.pcap E:\Data\split.pcap 结果: ...
对指定的PCAP分析后,按照IP和PORT进行拆分PCAP
wozijisunfly的专栏
11-11 1370
#cs ____________________________________  Au3 版本: 3.3.6.1  脚本作者: wozijisunfly     Email: wozijisun@sina.com     QQ/TM:  脚本版本: v1.0  脚本功能: 实现读取PCAP后,分析信息,根据信息中的的IP:PORT筛选,拆分数据,并保存为PCAP
Wireshark TS | 如何按起始和终止时间拆分pcap文件
7ACE的博客
12-23 3025
Wireshark TS | 如何按起始和终止时间拆分pcap文件
Qt 拆
透明
03-17 218
test QByteArray str("24EEEFF60ABCD123EO0124EEEFF60ABCD123EO0124EEEFF60ABCD123EO0124EEEFF60ABCD123EO0124EEEFF60"); QByteArray message = str; QList<QByteArray> lstSingle; bool aaa = unPackage(message, lstSingle); 函数 bool unPackage(QByteArray
主程的晋升攻略(4):TCP、消息分和协议设计
Thinkry的Blog专栏
11-17 6665
在《主程的晋升攻略(3):IP、DNS和CDN》中,一次网络请求经过DNS解析知道了目的IP,现在就要发出网络,这里我们说一说TCP的相关话题。 TCP是一种流式协议 讲网络编程的教科书一般都会对TCP的可靠传输,api用法做详细说明,但对于TCP是一种流式协议讲解的不多,但这背后隐藏着很重要的一个知识点。先做个名词定义方便交流,这里的“消息”是指应用层的一个完整的协议。 流式协议的特
Windows下完成SCTP简单抓
qq_51379885的博客
07-10 1286
Windows下完成SCTP简单抓 文章目录Windows下完成SCTP简单抓一、实验主机信息二、所使用的程序、程序安装四、实验过程五、报文分析1.SCTP报文格式2.SCTP四次握手SCTP INIT报文SCTP INIT-ACK 数据报SCTP INIT_ACK 数据报SCTP COOKIE_ECHO数据报SCTP COOKIE_ACK 数据报SCTP SACK数据报SCTP DATA块SCTP HEARTBEAT块SCTP HEARTBEAT_ACK块 一、实验主机信息 二、所使用的程序 s
智慧建造总体策划方案(76页).pptx
最新发布
11-02
智慧建造总体策划方案(76页)
Java解析pcap文件实战教程
"Java编程实现对pcap网络...这个Java示例提供了一个基础的PCAP文件解析框架,可以作为开发网络分析工具或库的起点。通过扩展这个示例,可以添加更多功能,如支持更多网络协议解析、过滤特定类型的数据、统计分析等。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值