原始套接字使用总结 (端口扫描和流量统计实现)

最新推荐文章于 2024-05-14 06:53:39 发布
最新推荐文章于 2024-05-14 06:53:39 发布
阅读量1.2k 收藏 11
点赞数
分类专栏: linux 文章标签: c语言 socket
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41252394/article/details/118661668
版权

1. 网络中的四层

应用层
传输层
网络层
数据链路层

数据链路层:解决点对点的通讯 (mac地址)

网络层:解决主机到主机的通讯 (ip地址)

传输层:解决一台主机的任意的进程和另一台主机的任意进程的通讯 (端口)

应用层:解决应用程序个各种业务问题

1.1 传输层

tcp套接字的使用

int fd = socket(AF_INET,SOCK_STREAM,0);

AF_INET/AF_INET6 ipv4/ipv6

这种套接字可以直接使用tcp协议,发送和接受都是只要tcp的数据区的内容,无需关注tcp报文的内容

udp套接字的使用

int fd = socket(AF_INET,SOCK_DGRAM,0);

AF_INET/AF_INET6 ipv4/ipv6

和tcp套接字一样只需要关注收发的数据

1.2 网络层

网络层的原始套接字使用

int sfd = socket(AF_INET, SOCK_RAW, IPPROTO_xxx);

AF_INET/AF_INET6 ipv4/ipv6
AF_INET和SOCK_RAW组合表示网络层的原始套接字
IPPROTO_xxx 协议

这里的协议表示封装在ip报文中的协议

协议可选定义在 /usr/include/netinet/in.h 头文件中

enum
  {
    IPPROTO_IP = 0,	   /* Dummy protocol for TCP.  */
#define IPPROTO_IP		IPPROTO_IP
    IPPROTO_ICMP = 1,	   /* Internet Control Message Protocol.  */
#define IPPROTO_ICMP		IPPROTO_ICMP
    IPPROTO_IGMP = 2,	   /* Internet Group Management Protocol. */
#define IPPROTO_IGMP		IPPROTO_IGMP
    IPPROTO_IPIP = 4,	   /* IPIP tunnels (older KA9Q tunnels use 94).  */
#define IPPROTO_IPIP		IPPROTO_IPIP
    IPPROTO_TCP = 6,	   /* Transmission Control Protocol.  */
#define IPPROTO_TCP		IPPROTO_TCP
    IPPROTO_EGP = 8,	   /* Exterior Gateway Protocol.  */
#define IPPROTO_EGP		IPPROTO_EGP
    IPPROTO_PUP = 12,	   /* PUP protocol.  */
#define IPPROTO_PUP		IPPROTO_PUP
    IPPROTO_UDP = 17,	   /* User Datagram Protocol.  */
#define IPPROTO_UDP		IPPROTO_UDP
    IPPROTO_IDP = 22,	   /* XNS IDP protocol.  */
#define IPPROTO_IDP		IPPROTO_IDP
    IPPROTO_TP = 29,	   /* SO Transport Protocol Class 4.  */
#define IPPROTO_TP		IPPROTO_TP
    IPPROTO_DCCP = 33,	   /* Datagram Congestion Control Protocol.  */
#define IPPROTO_DCCP		IPPROTO_DCCP
    IPPROTO_IPV6 = 41,     /* IPv6 header.  */
#define IPPROTO_IPV6		IPPROTO_IPV6
    IPPROTO_RSVP = 46,	   /* Reservation Protocol.  */
#define IPPROTO_RSVP		IPPROTO_RSVP
    IPPROTO_GRE = 47,	   /* General Routing Encapsulation.  */
#define IPPROTO_GRE		IPPROTO_GRE
    IPPROTO_ESP = 50,      /* encapsulating security payload.  */
#define IPPROTO_ESP		IPPROTO_ESP
    IPPROTO_AH = 51,       /* authentication header.  */
#define IPPROTO_AH		IPPROTO_AH
    IPPROTO_MTP = 92,	   /* Multicast Transport Protocol.  */
#define IPPROTO_MTP		IPPROTO_MTP
    IPPROTO_BEETPH = 94,   /* IP option pseudo header for BEET.  */
#define IPPROTO_BEETPH		IPPROTO_BEETPH
    IPPROTO_ENCAP = 98,	   /* Encapsulation Header.  */
#define IPPROTO_ENCAP		IPPROTO_ENCAP
    IPPROTO_PIM = 103,	   /* Protocol Independent Multicast.  */
#define IPPROTO_PIM		IPPROTO_PIM
    IPPROTO_COMP = 108,	   /* Compression Header Protocol.  */
#define IPPROTO_COMP		IPPROTO_COMP
    IPPROTO_SCTP = 132,	   /* Stream Control Transmission Protocol.  */
#define IPPROTO_SCTP		IPPROTO_SCTP
    IPPROTO_UDPLITE = 136, /* UDP-Lite protocol.  */
#define IPPROTO_UDPLITE		IPPROTO_UDPLITE
    IPPROTO_MPLS = 137,    /* MPLS in IP.  */
#define IPPROTO_MPLS		IPPROTO_MPLS
    IPPROTO_RAW = 255,	   /* Raw IP packets.  */
#define IPPROTO_RAW		IPPROTO_RAW
    IPPROTO_MAX
  };

比较常用的是IPPROTO_TCP/IPPROTO_UDP/IPPROTO_ICMP,tcp/udp/icmp协议

这些字段填入第三个参数,这个原始套接字就会接受协议的数据,数据是从ip协议开始的。默认的发送数据不需要填充ip协议

如果要自己构造ip协议需要开启IP_HDRINCL选项

int ip_on = 1;
setsockopt(sfd, IPPROTO_IP, IP_HDRINCL, &ip_on, sizeof(int));

这一层中常用的结构体都在 /usr/include/netinet目录下

ip协议结构体,tcp协议结构体

//ip协议结构体
struct ip
{
#if __BYTE_ORDER == __LITTLE_ENDIAN //大小端影响
    unsigned int ip_hl:4;		//ip头的长度  ip_hl *4
    unsigned int ip_v:4;		//版本
#endif
#if __BYTE_ORDER == __BIG_ENDIAN
    unsigned int ip_v:4;		/* version */
    unsigned int ip_hl:4;		/* header length */
#endif
    uint8_t ip_tos;				//tos服务类型
    unsigned short ip_len;		//整个ip包的总长度
    unsigned short ip_id;		//标识 每发送一个数据报,其值就加1
    unsigned short ip_off;		//ip分片相关
#define	IP_RF 0x8000			/* reserved fragment flag */
#define	IP_DF 0x4000			/* dont fragment flag */
#define	IP_MF 0x2000			/* more fragments flag */
#define	IP_OFFMASK 0x1fff		/* mask for fragmenting bits */
    uint8_t ip_ttl;				//生命周期
    uint8_t ip_p;				//协议
    unsigned short ip_sum;		//src校验和
    struct in_addr ip_src, ip_dst;	//源ip和目的ip
};

//tcp协议结构体
struct tcphdr
  {
    __extension__ union
    {
      struct
      {
	uint16_t th_sport;	//源端口号
	uint16_t th_dport;	//目的端口号
	tcp_seq th_seq;		//发送序列化
	tcp_seq th_ack;		//确认序列化
# if __BYTE_ORDER == __LITTLE_ENDIAN
	uint8_t th_x2:4;	//保留
	uint8_t th_off:4;	//tcp数据区的偏移(可以理解为tcp头的大小) 值是th_off * 4
# endif
# if __BYTE_ORDER == __BIG_ENDIAN
	uint8_t th_off:4;	/* data offset */
	uint8_t th_x2:4;	/* (unused) */
# endif
	uint8_t th_flags;   //tcp flasg  syn ack等标识,对应的值赋值推荐下面的结构体定义
# define TH_FIN	0x01
# define TH_SYN	0x02
# define TH_RST	0x04
# define TH_PUSH	0x08
# define TH_ACK	0x10
# define TH_URG	0x20
	uint16_t th_win;	//窗口大小
	uint16_t th_sum;	//crc校验和
	uint16_t th_urp;	//紧急指针
      };
      struct //和上面结构体类似 但是标志位赋值更为方便
      {
	uint16_t source;
	uint16_t dest;
	uint32_t seq;
	uint32_t ack_seq;
# if __BYTE_ORDER == __LITTLE_ENDIAN
	uint16_t res1:4;
	uint16_t doff:4;
	uint16_t fin:1;
	uint16_t syn:1;
	uint16_t rst:1;
	uint16_t psh:1;
	uint16_t ack:1;
	uint16_t urg:1;
	uint16_t res2:2;
# elif __BYTE_ORDER == __BIG_ENDIAN
	uint16_t doff:4;
	uint16_t res1:4;
	uint16_t res2:2;
	uint16_t urg:1;
	uint16_t ack:1;
	uint16_t psh:1;
	uint16_t rst:1;
	uint16_t syn:1;
	uint16_t fin:1;
# else
#  error "Adjust your <bits/endian.h> defines"
# endif
	uint16_t window;
	uint16_t check;
	uint16_t urg_ptr;
      };
    };
};

1.2.1 校验和算法

unsigned short crcsum(unsigned short *addr,int len)
{
    int nleft=len;
    unsigned int sum=0;
    unsigned short *w=addr;
    unsigned short answer=0;

    while (nleft > 1) {
        sum+=*w++;
        nleft-=2;
    }

    if (nleft == 1) {
        *(unsigned char *)(&answer)=*(unsigned char *)w;
        sum+=answer;
    }

    sum=(sum>>16)+(sum&0xffff);
    sum+=(sum>>16);
    answer=~sum;

    return answer;
}

1.2.2 ip封包

ip报文的校验和计算

iphead->ip_sum = htons(crcsum((unsigned short *)iphead,sizeof(struct ip)));

ip数据包的检验和只需要把ip头进行计算

ip封包函数

int ip_packet(struct ip *iphead,char *src_ip,char *dst_ip,uint16_t len)
{
    if (!iphead) return -1;

    iphead->ip_v = 4;                   //版本
    iphead->ip_hl = 5;                  //ip头的长度  ip_hl *4
    iphead->ip_tos = 0;                 //tos服务类型
    iphead->ip_len = htons(len);        //整个ip数据包的总长度
    iphead->ip_id = htons(54050);       //标识 每发送一个数据报,其值就加1 (随机给)
    //3位标志字段地第一位保留。第二位表示"禁止分片"。如果设置了这个位,IP模块将不对数据报进行分片。在这种情况下,如果IP数据报长度超过MTU的话,IP模块将丢弃该数据报并返回一个ICMP差错报文。第三位表示“更多分片”。除了数据报的最后一个分片外,其他分片都要把它置1
    iphead->ip_off = 0;
    iphead->ip_off = htons(iphead->ip_off |= IP_DF);
    iphead->ip_ttl = 64;                //生命周期
    iphead->ip_p = IPPROTO_TCP;         //协议
    iphead->ip_sum = 0;                 //src校验和 等整个数据包填充完成后计算
    inet_aton(src_ip, &iphead->ip_src); //源ip
    inet_aton(dst_ip, &iphead->ip_dst); //目的ip

    iphead->ip_sum = htons(crcsum((unsigned short *)iphead,sizeof(struct ip)));

    return 0;
}

简单的封装一下ip数据包。大部分字段的值可以使用抓包工具去查看

1.2.3 tcp封包

tcp报文的校验和计算

不同于ip校验和,tcp计算校验和需要整个tcp报文加上伪首部

伪首部的定义

struct tcp_checksum
{
    struct in_addr ip_src;		//源地址
    struct in_addr ip_dst;		//目的地址
    uint8_t reserve;            //保留
    uint8_t protocol;           //协议  tcps是6 IPPROTO_TCP
    uint16_t len;               //tcp报文的大小
    uint8_t data[0];			//可以是tcp报文 / udp报文
};

校验函数

#define CTCPHEADLEN 12

int tcp_checksum(struct tcphdr *tcphead,struct in_addr ip_src,struct in_addr ip_dst,int len)
{
    //tcp + 伪首部长度
    struct tcp_checksum *tcs = calloc(1,len + CTCPHEADLEN);

    tcs->ip_src = ip_src;
    tcs->ip_dst = ip_dst;
    tcs->protocol = IPPROTO_TCP;
    tcs->reserve = 0;
    tcs->len = htons(len);
    memcpy(&(tcs->data),tcphead,len);

    tcphead->th_sum = crcsum((unsigned short *)tcs,len + CTCPHEADLEN);

    free(tcs);

    return 0;
}

tcp封包函数

int tcp_packet(struct tcphdr *tcphead,uint16_t sport,uint16_t dport,uint8_t headlen)
{
    if (!tcphead) return -1;

    tcphead->th_sport = htons(sport);     //源端口号
    tcphead->th_dport = htons(dport);     //目的端口号
    tcphead->th_seq = htonl(12345);       //发送序列化
    tcphead->th_ack = 0;                  //确认序列化
    tcphead->th_off = headlen >> 2;       //tcp数据区的偏移  th_off * 4
    tcphead->th_flags = 0;                //清空flags位   这个地方是tcp中比较重要的地方 syn ack等标志位这个函数不做封装
    tcphead->th_win = htons(64240);       //窗口大小
    tcphead->th_sum = 0;                  //crc校验和
    tcphead->th_urp = 0;                  //紧急指针

    return 0;
}

这个函数没有算校验和 和 tcp标志位的封装,函数可用于二次封装

1.2.4 发包

使用sendto函数

//填充地址
struct sockaddr_in dest_addr = {0};
dest_addr.sin_family = AF_INET;
dest_addr.sin_port = htons(DST_PORT);
inet_aton(DST_IP, &dest_addr.sin_addr);

int ret = sendto(sfd,buf,ntohs(iphead->ip_len),0,(struct sockaddr *)&dest_addr,sizeof(struct sockaddr_in));

必须使用sendto函数。因为我踩过坑之前我构造了ip+tcp包去使用send函数去发送,结构报了 “Destination address required” 的错误

不要觉得构造了ip头,应该不需要发送ip。切记切记大坑

1.3 数据链路层

数据链路层的原始套接字使用

int sfd = socket(AF_PACKET, SOCK_DGRAM, htons(ETH_P_xxx));

AF_PACKET  表示使用数据链路层的原始套
SOCK_DGRAM 表示数据是从网络层开始的  SOCK_RAW表示数据是包含mac头的
ETH_P_xxx  协议,可以是ip arp等

第三个参数的取值在 /usr/include/linux/if_ether.h

#define ETH_P_LOOP	0x0060		/* Ethernet Loopback packet	*/
#define ETH_P_PUP	0x0200		/* Xerox PUP packet		*/
#define ETH_P_PUPAT	0x0201		/* Xerox PUP Addr Trans packet	*/
#define ETH_P_TSN	0x22F0		/* TSN (IEEE 1722) packet	*/
#define ETH_P_ERSPAN2	0x22EB		/* ERSPAN version 2 (type III)	*/
#define ETH_P_IP	0x0800		/* Internet Protocol packet	*/
#define ETH_P_X25	0x0805		/* CCITT X.25			*/
#define ETH_P_ARP	0x0806		/* Address Resolution packet	*/
...

比较常用的是

ETH_P_IP 0x800 只接收发往本机mac的ip类型的数据帧
ETH_P_ARP 0x806 只接受发往本机mac的arp类型的数据帧
ETH_P_RARP 0x8035 只接受发往本机mac的rarp类型的数据帧
ETH_P_ALL 0x3 接收发往本机mac的所有类型的数据帧, 接收从本机发出的所有类型的数据帧.

在第三个参数如果只写一种协议,那么发往接受只能是这个协议,并且无法接受发往别的地方的数据包,只能接受

如果是ETH_P_ALL那么是可以接受发往别的地方的数据包,这个可以用于做抓包

1.3.1发包

使用sendto函数

#include <linux/if_packet.h>

//填充这个结构
struct sockaddr_ll {
    unsigned short sll_family; /* Always AF_PACKET */
    unsigned short sll_protocol; /* Physical-layer protocol */
    int sll_ifindex; /* Interface number */
    unsigned short sll_hatype; /* ARP hardware type */
    unsigned char sll_pkttype; /* Packet type */
    unsigned char sll_halen; /* Length of address */
    unsigned char sll_addr[8]; /* Physical-layer address */
};

和sockaddr_in类似。
    
sockaddr_ll addr;
sendto(fd,buf,len,0,(struct sockaddr *)&addr,sizoef(addr));

没发过链路层的包给不了填充的代码。

2.原始套接字案例

2.1 syn tcp包发送

#include <stdio.h>
#include <stdlib.h>
#include <string.h>
#include <time.h>
#include <stdint.h>
#include <arpa/inet.h>
#include <net/ethernet.h>
#include <netinet/in.h>
#include <netinet/tcp.h>
#include <netinet/udp.h>
#include <netinet/ip.h>
#include <sys/socket.h>

#define SET_U_1(N,D) (*((uint8_t *)(N++)) = D)
#define SET_U_2(N,D) do{ \
    (*((uint16_t *)(N)) = htons(D));N+=2;\
}while(0)

int tcp_syn_opt(struct tcphdr *tcphead)
{
    uint8_t *p = (uint8_t *)(tcphead + 1);

    //最大报文段长度(MSS)选项 kind = 2
    SET_U_1(p,TCPOPT_MAXSEG);
    SET_U_1(p,4);
    SET_U_2(p,1460);
    
    //窗口扩大因子选项 kind = 2
    SET_U_1(p,TCPOPT_NOP);
    SET_U_1(p,TCPOPT_WINDOW);
    SET_U_1(p,3);
    SET_U_1(p,8);

    //选择性确认(Selective Acknowledgment,SACK)选项 kind=4
    SET_U_1(p,TCPOPT_NOP);
    SET_U_1(p,TCPOPT_NOP);
    SET_U_1(p,TCPOPT_SACK_PERMITTED);
    SET_U_1(p,2);

    return 0;
}

#define DST_IP "192.168.224.132"
#define DST_PORT 80

int main(int argc,char *argv[])
{
    //接受tcp报文
    int sfd = socket(AF_INET, SOCK_RAW, IPPROTO_TCP);
    if (sfd == -1) {
        perror("create socket err");
        return -1;
    }
	
    //开启自己构造ip包
    int ip_on = 1;
    setsockopt(sfd, IPPROTO_IP, IP_HDRINCL, &ip_on, sizeof(int));

    //缓冲器定义
    char buf[BUFFSIZE] = {0};
    struct ip *iphead = (struct ip *)buf;
    struct tcphdr *tcphead = (struct tcphdr *)(iphead + 1);

    //封装ip包
    ip_packet(iphead,"172.30.201.131",DST_IP,IPPACKSIZE + TCPPACKSIZE + TCPSYNOPTSIZE);
    //封装tcp包
    tcp_packet(tcphead,60334,DST_PORT,32);
    //tcp可选字段 (抓一个syn跟着填充)
    tcp_syn_opt(tcphead);
    
    //tcp数据包的长度
    uint16_t len = ntohs(iphead->ip_len) - sizeof(struct ip);
    tcp_checksum(tcphead,iphead->ip_src,iphead->ip_dst,len);

    //构造地址,发包
    struct sockaddr_in dest_addr = {0};
    dest_addr.sin_family = AF_INET;
    dest_addr.sin_port = htons(DST_PORT);
    inet_aton(DST_IP, &dest_addr.sin_addr);

    int ret = sendto(sfd,buf,ntohs(iphead->ip_len),0,(struct sockaddr *)&dest_addr,sizeof(struct sockaddr_in));
    //int ret = send(sfd,buf,ntohs(iphead->ip_len),0);
    if (ret == -1) {
        perror("send pack error");
        return -1;
    }
    
    char ip_src[IPLEN] = {0};
    char ip_dst[IPLEN] = {0};

    while (1) {
        memset(buf,0,BUFFSIZE);
        recv(sfd,buf,BUFFSIZE,0);

        memcpy(ip_src,inet_ntoa(iphead->ip_src),IPLEN);
        memcpy(ip_dst,inet_ntoa(iphead->ip_dst),IPLEN);
        uint16_t sport = ntohs(tcphead->source);
        uint16_t dport = ntohs(tcphead->dest);
		//过滤输出
        if (sport == DST_PORT) {
            printf("src ip %s port %d - dst ip %s port:%d\n",ip_src,sport,ip_dst,dport);
            printf("ack flag = %d\n",tcphead->ack);
            printf("syn flag = %d\n",tcphead->syn);
            printf("seq num = %u\n",ntohl(tcphead->th_seq));
            printf("ack num = %u\n",ntohl(tcphead->th_ack));
        }
    }

    return 0;
}

  • “172.30.201.131” 是我本地WSL的地址

  • “192.168.224.132” 是虚拟机的地址

  • 重复的代码不再展现

看效果:

1.在"192.168.224.132" 是虚拟机启动一个80tcp服务,打开Wireshark

在这里插入图片描述

2.在windows打开抓包工具(切记选对网卡),在wsl上编译完代码

在这里插入图片描述

3.查看结果

windows

在这里插入图片描述

虚拟机

在这里插入图片描述

可以看到回的包中的ack数字,和我们一开始填充tcp seq刚好是+1的关系。说明我们正确的收到了回应包。

当然先声明代码仅供学习参考。如果你只是想实验syn泛洪攻击可以使用虚拟机试用。

这段代码可以去判断对端主机的端口有没有开,如果你收到对应的ack包那么可以确认对端端口是看。当然要设置一个超时时间。

多端口扫描可以创建多个这样的原始套接字,然后开这些套接字加入到epoll去管理,让每个fd携带超时时间,当epoll超时返回是去判断。这样子去实现端口扫描。当然这个思路仅供参考,由于我也没这个需求所以没有相关代码。

2.2 简单抓包工具

#include <stdio.h>
#include <stdlib.h>
#include <string.h>
#include <time.h>
#include <stdint.h>
#include <arpa/inet.h>
#include <net/ethernet.h>
#include <net/if_packet.h>
#include <netinet/if_ether.h>
#include <netinet/in.h>
#include <netinet/tcp.h>
#include <netinet/udp.h>
#include <netinet/ip.h>
#include <netpacket/packet.h>
#include <sys/socket.h>

#define SRCIP "172.16.253.52"
#define SRCIPLEN 13
#define IPLEN 16

struct port_flow
{
    uint8_t  port_type;
    char     ip[IPLEN];
    uint16_t port;
    uint64_t fsum;
};

#define PORT_TCP 1
#define PORT_UDP 2

struct flow_sum
{
    time_t stime;       //起始统计流量的时间
    time_t tl;          //统计时长
    time_t etime;       //结束时间
    struct port_flow in_flow[10];
    struct port_flow out_flow[10];
};

struct tcp_opt
{
	uint8_t kind;
	uint8_t length;
};

int main(int argc,char *argv[])
{
    char buf[2048] = {0};

    //创建数据链路层的套接字 SOCK_DGRAM 表示内核封装mac层接收的数据是从ip层开始的 SOCK_RAW可以自己处理mac的数据
    int sfd = socket(AF_PACKET, SOCK_DGRAM, htons(ETH_P_ALL));
    if (sfd == -1) {
        perror("create socket err");
        return -1;
    }

    struct ip *iphead = (struct ip *)buf;
    struct tcphdr *tcphead = (struct tcphdr *)(iphead + 1);
	struct tcp_opt *t_op = (struct tcp_opt *)(tcphead + 1);
	//设置超时时间
    struct flow_sum flow = {0};
    flow.stime = time(NULL);
    flow.tl = 10;
    flow.etime = flow.stime + flow.tl;

    char ip_src[IPLEN] = {0};
    char ip_dst[IPLEN] = {0};

    while (1) {
		memset(buf,0,sizeof(buf));
        int n = recv(sfd,buf,sizeof(buf),0); //抓包
        if (n <= 0) {
            perror("recvform error");
            continue;
        }

        memcpy(ip_src,inet_ntoa(iphead->ip_src),IPLEN);
        memcpy(ip_dst,inet_ntoa(iphead->ip_dst),IPLEN);
        uint16_t sport = ntohs(tcphead->source);
        uint16_t dport = ntohs(tcphead->dest);
		//tcp协议过滤
        if (iphead->ip_p == IPPROTO_TCP) {
            //端口过滤
            if ((dport == 80) || (sport == 80)) {
                struct port_flow *pf = &flow.in_flow[0];

                memcpy(pf->ip,ip_src,IPLEN);
                pf->port = ntohs(tcphead->source);
                pf->port_type = PORT_TCP;
                pf->fsum += (ntohs(iphead->ip_len) + sizeof(struct ether_header) + 8 + 4);

                printf("src ip %s port %d - dst ip %s port:%d\n",ip_src,sport,ip_dst,dport);
                printf("ack flag = %d\n",tcphead->ack);
                printf("syn flag = %d\n",tcphead->syn);
                printf("seq num = %u\n",ntohs(tcphead->th_seq));
                printf("ack num = %u\n",ntohs(tcphead->th_ack));

                //printf("ip+tcp+data size %d\n %s\n",(ntohs(iphead->ip_len)),(char *)t_op);
            }
        }

        if (time(NULL) > flow.etime) {
            break;
        }
    }
	//10s内http的流量
    printf("10s http in flow %ld\n",flow.in_flow[0].fsum/10);

    return 0;
}

这段代码起源于我的业务,由于我需要去统计各个端口的出入流量而写的demo。

代码比较简单,创建完原始套接字之后直接去recv即可

让我们对比tcpdump的效果

可以看看这四元组是一样的

yanghuo11
关注
  • 0
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
使用Sniffer截获流经本机网卡的IP数据包
raphyer的专栏
10-07 3561
Win2K下的Sniffer工具源代码 详细信息   Win2K下的Sniffer源代码。[代码性质] VC完整应用程序代码[代码作者] zw[文件大小] 130K [更新日期] 2002-11-26 19:47:00 [下载次数] 6015  http://www.vckbase.com/code/downcode.asp?id=1692IP包监听程序(For 9x)源代码 详细信息
[置顶] 浅谈原始套接字 SOCK_RAW 的内幕及其应用(port scan, packet sniffer, syn flood, icmp flood)
pi9nc的专栏
04-10 1815
[置顶] 浅谈原始套接字 SOCK_RAW 的内幕及其应用(port scan, packet sniffer, syn flood, icmp flood) 分类: linux网络编程2013-10-07 16:30 1023人阅读 评论(0) 收藏 举报 原始套接字SOCK_RAWsyn floodpacket sniffer 一、SOCK_RAW 内
2024年Go最新Zeek学习(四) —— IP协议解析_zeek 协议识别(4),2024年最新Golang开发中遇到最难的问题
最新发布
2401_84904942的博客
05-14 934
(img-Rb4fFda8-1715640795265)](img-Cotxw6vz-1715640795266)](img-3gfZZY9b-1715640795266)]uppper:seq + len 当前负载长度/总长度。len: 当前IP报文 - 头部长度。len: 当前IP报文 - 头部长度。// 对协议和头部长度进行检查。data:当前IP报文的负载。data:当前IP报文的负载。// 获取原始IPV4结构。// 获取原始IPV6结构。// 当前负载长度/总长度。// 对DF进行检查。
原始套接字的方式 截获流经本机网卡的IP数据包
jiangxinyu的专栏
05-14 961
 以原始套接字的方式 截获流经本机网卡的IP数据包内容提要 从事网络安全的技术人员和相当一部分准黑客(指那些使用现成的黑客软件进行攻击而不是根据需要去自己编写代码的人)都一定不会对网络嗅探器(sniffer)感到陌生,网络嗅探器无论是在网络安全还是在黑客攻击方面均扮演了很重要的角色。通过使用网络嗅探器可以把网卡设置于混杂模式,并可实现对网络上传输的数据包的捕获与分析。此分析结果可供网络
python使用原始套接字 解析原始ip头数据
weixin_33788244的博客
06-09 308
使用底层套接字解码底层流量,是这次做的重点工作。   首先来捕获第一个包 # coding:utf-8import socket # 监听的主机IP host = "192.168.1.100" socket_protocol = socket.IPPROTO_ICMP sniffer = socket.socket(socket.AF_INET, socket.SO...
nmap 扫描端口 + iftop 实时监控流量
weixin_30902251的博客
07-13 335
sleep 1|telnet 127.0.0.1 223 nmap 127.0.0.1 -p 223 -PN (对禁ping IP) iftop -P -n -B -B 按字节显示 -N 切换 端口或者服务 右下方显示的时间:过去2秒,10秒,40秒的数据 一般重点关注本地服务端口,这有利于查找对应服务,按D,或者S 切换 参考:http://www.3mu.me/lin...
基于winpcap综合网络数据包扫描程序源代码
05-19
6. **网络编程**:编写这样的程序需要掌握网络协议基础,如TCP/IP协议族,以及网络编程的相关知识,如套接字编程。 7. **网络安全**:此程序可能用于网络安全审计,检测异常流量、识别攻击行为,为网络管理员提供...
计算机网络高级软件编程技术第5章 IP包流量分析程序源代码
05-20
8. **源代码实现**:实际编程时,将涉及C/C++或Python等语言,使用网络编程接口来处理套接字、接收数据包、解析头部信息并进行流量分析。源代码应清晰地组织和注释,便于理解和调试。 9. **性能优化**:考虑到网络...
网络安全-基于Java开发的网络安全Ipv6抓包项目.zip
04-03
2. **JNA(Java Native Access)或JPCAP**:Java中通常不直接支持原始套接字操作,用于抓包。JNA允许Java代码调用操作系统底层API,而JPCAP是一个Java包捕获库,提供了类似于libpcap的接口。 3. **IPv6协议解析**:...
vc++ 应用源码包_1
09-15
SkinMagic 2.21 动态库版本的使用和 Skin++动态库及静态库版本的使用。 VC++精仿QQ2008窗体及分类菜单 VC++卡通风格气泡提示源码 VC++实现任务管理器源码 任务管理器应该大家都很熟悉,论坛里也有好多的任务管理器...
vc++ 应用源码包_2
09-15
SkinMagic 2.21 动态库版本的使用和 Skin++动态库及静态库版本的使用。 VC++精仿QQ2008窗体及分类菜单 VC++卡通风格气泡提示源码 VC++实现任务管理器源码 任务管理器应该大家都很熟悉,论坛里也有好多的任务管理器...
MFC实现局域网流量监控与统计
09-25
本程序实现了 监控 局域网内活动主机 IP 流量 的功能 。
原始套接字抓取所有以太网数据包与分析
SoldierJazz的专栏
08-30 4839
If you have any idea, just send comments to me.1.原始套接字介绍关于socket使用客户机/服务器模型的 SOCK_STREAM 或者 SOCK_DGRAM 用于 TCP 和 UDP 连接的应用更为普遍一些,而如果考虑到从网卡中直接捕获原始报文数据就需要用到原始套接字 SOCK_RAW 类型了。其中原始套接字根据 socket 选项可以工作在网络不同层
linux下端口扫描实现(TCP connect、TCP SYN、TCP FIN、UDP四种方式)4 TCP SYN方式
tuantuanlin的专栏
12-25 4125
1.原理 众所周知,当调用connect()时要经历三次握手的过程SYN-SYN&ACK-ACK,而这种SYN扫描方式又叫半开放式扫描,即客户端只发送SYN帧,端口开放回应SYN&ACK帧,端口关闭回应RST帧,缺点就是不可靠,可能会丢包。 2.实现方式及遇到的问题 前面架构篇有讲过,每个扫描线程(tcpSynScanPort)会建立一个线程池,对每个要扫描的端口都创建一个线程tcpSynS
MFC网速及流量监控程序的实现(一)
wwkaven的专栏
06-18 1万+
网上看到了一个实例,
C/C++基于MFC的网速监控,一招教你实时监控网速!
10-26 2675
话说现在很多软件都喜欢做一些流氓的小动作,譬如在后台偷偷上传数据,不仅影响网速,导致上网很慢,而且还可能泄露用户隐私、丢失帐号或危害重要数据的安全等可能。 因此我们都需要一款简单方便的网络监控工具来查看系统的网络使用情况,找了一圈发现「360网络流量监控工具」正合我意,它是从360安全卫士里分离提取出来的一个独立绿色小工具,可以列出当前电脑所有联网的程序,显示上传/下载速度、统计流量、...
原始套接字 TCP UDP 数据包详解 分析 MAC 数据包 sendto 发送数据 飞鸽欺骗(UDP) 三次握手连接器(TCP)
记录点点滴滴
04-23 2019
粉丝不过W TCP、UDP 开发回顾 数据报式套接字(SOCK_DGRAM) 无连接的 socket,针对无连接的 UDP 服务 与邮件模型来进行对比 流式套接字(SOCK_STREAM) 面向连接的 socket,针对面向连接的 TC...
Linux网络编程——原始套接字实例:MAC 头部报文分析
热门推荐
秋叶原 && Mike || 麦克
03-30 5万+
通过《Linux网络编程——原始套接字编程》得知,我们可以通过原始套接字以及 recvfrom( ) 可以获取链路层的数据包,那我们接收的链路层数据包到底长什么样的呢?MAC 头部(有线局域网)注意:CRC、PAD 在组包时可以忽略链路层数据包的其中一种情况:unsigned char msg[1024] = { //--------------组MAC--------14------ 0xb...
网络编程之-原始套接字
fyang的专栏
12-17 1787
原始套接字可以访问ICMP和ICMP等协议包,可以读写内核不处理的IP数据包。可以创建自定义的IP数据包首部。一句话,使用原始套接字可以编写基于IP协议的通讯程序。     1.创建原始套接字具体格式如下: int sockfd;sockfd = socktet(AF_INET, SOCK_RAW, IPPROTO_ICMP); 第一个参数:协议族 AF_INET 代表TCP/IP协议 第二个参数:SOCKET类型 第三个参数:协议类型 注意:@如果指定协议为0时,原始套接
利用原始套接字实现TCPSYSFlooding:四川大学信息安全实践
"四川大学计算机学院、软件学院的一份信息安全实践第十一次作业,涉及使用原始套接字实现TCPSYNFlooding程序的实验报告。实验环境为Red Hat Enterprise Linux虚拟机,通过学习和理解IP及TCP头部结构体,利用网络层...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值