抓取以太帧报文程序分析

抓取以太帧程序分析

程序框架

• rawSocket()//创建原始套接字；
• int setPromisc(char *interface,int *sock)//设置interface的混乱模式
• 分析数据

程序细节

创建socket

• 从数据链路层

sock = socket(PF_PACKET,SOCK_RAW,htons(ETH_P_ALL));

• IP层抓取

sock = socket(PF_INET,SOCK_RAW,IPPROTO_TCP);

设置网卡的工作模式
1. 配置 ifr结构体，即Interface request structure。其中包括了 ifr.ifr_name 及ifr.ifr_flag；
2. 使用ioctl控制网卡

extern int ioctl (int __fd, unsigned long int __request, ...);

数据分析
这些都有相对应的结构体，只要移动相对应的指针,这些结构体分别定义在”net/ethernet.h”，”netinet/ip.h”，
“netinet/tcp.h”和”netinet/udp.h”中。

• 接收数据

extern ssize_t recvfrom (int __fd, void *__restrict __buf, size_t __n,
             int __flags, 
             __SOCKADDR_ARG __addr,
             socklen_t *__restrict __addr_len);

通过socket FD读取N个字节到BUF中 .这个函数在

ether=(struct ether_header*)data;

• ip报文
  data = data +
sizeof(struct ether_header);//指针右移
ip = (struct iphdr*)(data);
• tcp/udp
  tcp = (struct tcphdr *)data;
udp = (struct udphdr *)data;

ps:
data = data + (ip->ihl<<2);在移动data到传输层报头之前有点移动两位不懂，这两位跟大小端有关。