利用原始套接字的抓包原理

最新推荐文章于 2023-12-04 19:51:37 发布
最新推荐文章于 2023-12-04 19:51:37 发布
阅读量3.7k 收藏 25
点赞数 16
文章标签: 网络 udp tcp/ip
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43698578/article/details/127572360
版权

利用原始套接字的抓包原理:

抓包层

发送接收ip数据包 【接收除了以太网帧头部后面的ip层数据】
socket(AF_INET, SOCK_RAW, IPPROTO_TCP|IPPROTO_UDP|IPPROTO_ICMP)
发送接收以太网数据帧数据包 【接收包括以太网帧头部的所有 以太网帧层的所有数据】
socket(PF_PACKET, SOCK_RAW, htons(ETH_P_IP|ETH_P_ARP|ETH_P_ALL))
参数说明:
1)AF_INET和PF_PACKET的区别
使用AF_INET可以接收协议类型为(tcp udp icmp等)发往本机的ip数据包,而使用PF_PACKET可以监听网卡上的所有数据帧。
注:创建原始套接字需要启动管理员权限否则,socket会创建失败

ip与端口的假象【混杂模式下端口号,IP可能都是假象】【原始套接字bind IP的目的是bind网卡】
然后需要为原始套接字 bind ip和端口号;这里端口号可以使用ADDR_ANY随机指定一个;因为对于原始套接字来说 端口号只是一个假象,原始套接字可以接收所有其绑定ip对应的网卡适配器上面流经的数据;
所以ip也是一种假象,重要的是为原始套接字绑定一个网卡适配器也就是所谓的网口;如果一台主机上有多个网口需要抓包,则需要创建多个套接字bind所有这些的网口;然后在这些套接字上监听抓取数据

然后设置混杂模式 SIO_RCVALL

网卡对数据帧进行硬过滤(根据网卡的模式不同采取不同的操作,如果设置了混杂模式,则不做任何过滤直接交给下一层,否则非本机mac或者广播mac的会被直接丢弃)

   DWORD dwBufferLen[10] = { 0 };
   DWORD dwBufferInLen = 1;
   DWORD dwBytesReturned = 0;
   // 设置该SOCKET为接收所有流经绑定的IP的网卡的所有数据,包括接收和发送的数据包
   iRet = WSAIoctl(sock, SIO_RCVALL, &dwBufferInLen, sizeof(dwBufferInLen),//设置混杂模式
          &dwBufferLen, sizeof(dwBufferLen), &dwBytesReturned, NULL, NULL);
   if (iRet != 0) {
          printf("WSAIoctl failed with error %d\n", WSAGetLastError());
   }

最后 可以调用iRet = recvfrom(sock, strBuffer, sizeof(strBuffer), 0, (sockaddr*)&addrFrom, &fromlen); 函数进行数据包抓取了

原始套接字抓取包的大小的决定因素

以socket(AF_INET, SOCK_RAW, IPPROTO_TCP|IPPROTO_UDP|IPPROTO_ICMP) 进行ip包的数据抓取举例

对于ip包层来说,他不管包是TCP发的还是UDP发的,这都是上层协议;包都是ip包
原始套接字上即可以抓取由TCP发送过来的数据也可以抓取由UDP发送来的数据,对于ip包来说他是不管这个包是什么包的;因为那是他的上层协议去做的事情;那么在抓包的过程中接受的包的大小由什么决定了呢

ip包层抓取的数据包大小就是对端用TCP或者UDPsend发送的长度 + 40或者28【即加上IP报头和TCP或者UDP报头的长度】;【另外要说一点是虽然以太网帧协议的数据域大小上线是1500字节;如果发生端send发送的数据超过这个上线,在发送端就会对这个包进行分片;但是这一切对ip包层抓取的包来说是无感的;即在IP包层已经重组了以太网帧的1500数据域,即ip包层可以突破1500的抓包】

IP包层抓包对于这二种协议的接收都不应该低于数据域+40/28【以发送端send为标准】。否则IP包层接收recvform会返回错误;
ip包的接收缓冲区大小不能低于其接收的数据包大小;而其数据包大小=40/28 +数据域大小;这个数据域大小就是发送端用tcp或者udp进行数据发送时候的send的大小【注意是以发送端为标准】
所以对于ip包来说其处理接收缓冲区的方式有点类似于UDP包层的处理;但是仅仅是类似,ip包层不用管上层的协议对应的究竟是什么包;接收的大小也可以突破以太网帧的数据域大小;这就是协议栈分离效果的体现

从这点我们也可以来理解上层UDP/tcp的接收行为;【在udp层udp接受缓冲区必须不小于发生端包长度,TCP层可以流式接收】

对于udp来说很好理解,udp发送端发送的数据包大小就是其udp接收端接收的数据包大小;也是抓包时 ip数据包的大小的数据域组成;=>抓包接收的大小是ip包=28+udp包
但是对于tcp来说在传输层面上,tcp是流式协议,接收方的tcp 可以一个一个字节接收;可以一次性接收都可以;但是这跟ip包的接收recvform得到的大小无关;=>其ip抓包的大小是=40+tcp发送端发送的大小
所以用普通流式套接字你是可以一个一个的接收;但是原始套接字抓包,必须要提供的接收缓冲区不小于 20 + 20/8 +数据域大小 【数据域大小可能是0】

示例代码:
#include <iostream>
#include <time.h>
#include "protocol.h"
#pragma comment(lib,"WS2_32.lib")
#define _WINSOCK_DEPRECATED_NO_WARNINGS
using namespace std;
WsaInit Init;
// 使用原始套接字抓取网卡数据包
int capturenetpackage()
{
       // 此处必须以管理员运行VS,否则返回10013
       SOCKET sock = socket(AF_INET, SOCK_RAW, IPPROTO_IP); //处理 ip
       if (sock == SOCKET_ERROR) {
              printf("socket failed with error %d\n", WSAGetLastError());
              exit(-1);
       }
       char strHostName[255];
       int iRet = gethostname(strHostName, sizeof(strHostName));
       if (iRet != 0) {
              printf("gethostname failed with error %d\n", WSAGetLastError());
              exit(-1);
       }
       // 根据主机名取得主机地址
       hostent* pHostent = gethostbyname(strHostName);
//     getaddrinfo()
       sockaddr_in addrSelf;
       addrSelf.sin_family = AF_INET;
       addrSelf.sin_port = htons(ADDR_ANY);//端口是假象
       memcpy(&addrSelf.sin_addr.S_un.S_addr, pHostent->h_addr_list[0],  pHostent->h_length);
       char szip[32]{};
       for (int i = 0; pHostent->h_addr_list[i] != 0; ++i)
       {
              addrSelf.sin_addr.s_addr = *(u_long*)pHostent->h_addr_list[i];
              inet_ntop(AF_INET, &addrSelf.sin_addr, szip, 32);
              //printf("\tIPv4 Address %d: %s\n", i, szip);
       }
       printf("self local ip addr is %s\n", szip);
       iRet = bind(sock, (PSOCKADDR)&addrSelf, sizeof(addrSelf));//bind网口 //ip也是假象 关键在于网口
       if (iRet != 0) {
              printf("bind failed with error %d\n", WSAGetLastError());
              exit(-1);
       }
       DWORD dwBufferLen[10] = { 0 };
       DWORD dwBufferInLen = 1;
       DWORD dwBytesReturned = 0;
       // 设置该SOCKET为接收所有流经绑定的IP的网卡的所有数据,包括接收和发送的数据包
       iRet = WSAIoctl(sock, SIO_RCVALL, &dwBufferInLen, sizeof(dwBufferInLen),
              &dwBufferLen, sizeof(dwBufferLen), &dwBytesReturned, NULL, NULL);
       if (iRet != 0) {
              printf("WSAIoctl failed with error %d\n", WSAGetLastError());
              
       }
       //14+20 +20   14+20+8
       sockaddr_in addrFrom;
       int fromlen = sizeof(addrFrom);
       time_t temp;
       char strFromIP[16]{};
       char strCurTime[32]{};
       char strBuffer[35]{};
       char strData[4096]  {  };
       IPHeader ipData;
       TCPHeader tcpData;
       UDPHeader udpData;
       NetData netData;
       while (true)
       {
              memset(strBuffer, 0, sizeof(strBuffer));
              iRet = recvfrom(sock, strBuffer, sizeof(strBuffer), 0,  (sockaddr*)&addrFrom, &fromlen);
              if (iRet <= 0) {
                     printf("recv failed with error %d\n", WSAGetLastError());
                     continue;
              }
              char szTemp[32]{};
              inet_ntop(AF_INET, &addrFrom.sin_addr, szTemp, 32);
              strcpy(strFromIP, szTemp);
              
              //            if(strcmp(strFromIP, "192.168.0.104") == 0
              //                   || strcmp(strFromIP, "192.168.0.1") == 0
              //                   || strcmp(strFromIP, "192.168.0.103") == 0){
              //                   continue;
              //            }
              /*if (strcmp(strFromIP, "192.168.37.1") != 0) { //设置一种逻辑过滤
                     continue;
              }*/
              // 处理IP包头数据
              memcpy(&ipData, strBuffer, sizeof(ipData));
              BYTE Protocol = 0;
              sockaddr_in addrSrc, addrDst;
              char strSrcIP[16] = { 0 }, strDstIP[16] = { 0 };
              addrSrc.sin_addr.S_un.S_addr = ipData.SrcAddr;
              addrDst.sin_addr.S_un.S_addr = ipData.DstAddr;
              inet_ntop(AF_INET, &addrSrc.sin_addr, szTemp, 32);
              strcpy(strSrcIP, inet_ntoa(addrSrc.sin_addr));
              inet_ntop(AF_INET, &addrDst.sin_addr, szTemp, 32);
              strcpy(strDstIP, inet_ntoa(addrDst.sin_addr));
              /*if (strcmp(strSrcIP, "192.168.0.104") != 0 || strcmp(strDstIP,  "192.168.0.104") != 0) { //设置一种逻辑过滤
                     continue;
              }*/
              int iSrcPort = 0;
              int iDstPort = 0;
              // UDP协议
              if (ipData.Protocol == IPPROTO_UDP)
              {
                     /*if (iRet != 1052) {
                           continue;
                     }*/
                     memcpy(&udpData, strBuffer + sizeof(ipData),  sizeof(udpData));
                      iSrcPort = ntohs(udpData.SrcPort);
                      iDstPort = ntohs(udpData.DstPort);
                     memcpy(&netData, strBuffer + sizeof(ipData) +  sizeof(udpData), sizeof(netData));
              }
              // TCP协议
              else if (ipData.Protocol == IPPROTO_TCP)
              {
                     /*if (iRet != 1064) {
                           continue;
                     }*/
                     memcpy(&tcpData, strBuffer + sizeof(ipData),  sizeof(tcpData));
                      iSrcPort = ntohs(tcpData.SrcPort);
                      iDstPort = ntohs(tcpData.DstPort);
                     memcpy(&netData, strBuffer + sizeof(ipData) +  sizeof(tcpData), sizeof(netData));
              }
              else {}
              time(&temp);
              strftime(strCurTime, sizeof(strCurTime), "%Y-%m-%d %H:%M:%S",  localtime(&temp));
              
              if (ipData.Protocol == IPPROTO_TCP)
                     printf("TCP Catch!\n");
              else if (ipData.Protocol == IPPROTO_UDP)
                     printf("UDP Catch!\n");
              printf("pack catch Time:%s PackLength:%d\n", strCurTime, iRet);
              printf("strSrcIP:%s iSrcPort:%d\n", strSrcIP, iSrcPort);
              printf("strDstIP:%s iDstPort:%d\n", strDstIP, iDstPort);
       }
       return 0;
}
int main()
{
       capturenetpackage();
       return 0;

参考链接:https://blog.csdn.net/Toobad321/article/details/77869543
https://blog.csdn.net/caoshangpa/article/details/51530685

小小bugbug
关注
原始套接字学习总结
bcbobo21cn的专栏
05-06 1万+
raw socket(原始套接字)工作原理与规则 原始套接字是一个特殊的套接字类型,它的创建方式跟TCP/UDP创建方法几乎是 一摸一样,例如,通过        int sockfd;        sockfd = socktet(AF_INET, SOCK_RAW, IPPROTO_ICMP); 这两句程序你就可以创建一个原始套接字.然而这种类型套接字的功能却与TC
java原始套接字,raw socket介绍(示例代码)
weixin_31304599的博客
03-15 1251
原文: http://bbs.chinaunix.net/forum.php?mod=viewthread&tid=876233test1.原始套接字(raw socket)1.1 原始套接字工作原理与规则原始套接字是一个特殊的套接字类型,它的创建方式跟TCP/UDP创建方法几乎是一摸一样,例如,通过int sockfd;sockfd = socktet(AF_INET, SOCK_RAW...
原始套接字抓以太网数据包(面向链路层)
开源&&分享
04-15 394
原始套接字抓包
利用原始套接字抓取数据
星愿心愿的专栏
05-10 5064
<br />项目需求,需要从链路层抓包,分析实现网络登录认证功能,现在网上找到两个不错的抓包程序,参考此文章,顺利完成任务,现将此文章收藏与此,便参考,同时感谢文章版主,谢谢!<br /> <br />一:抓包分析:http://blog.csdn.net/aaa6695798/archive/2009/03/20/4008322.aspx<br /> <br />二:原始套接字抓包分析<br /> <br />原始套接字的创建<br />方法1: socket(PF_INET,SOCK_RAW,IPPRO
windows原始套接字抓包
06-22
windows原始套接字,利用RAW Socket实现网络数据包抓包分析,读取网络数据
基于原始套接字(raw socket)的网络抓包工具
热门推荐
cloudary的专栏
08-30 1万+
基于raw socket的网络抓包工具 1. 原始套接字(raw socket)简介 原始套接字可以接收本机网卡上的数据帧或者数据包利用raw socket可以编写基于IP协议的程序。一般的TCP/UDP类型的套接字只能够访问传输层以及传输层以上的数据,而原始套接字却可以访问传输层一下的数据,所以使用raw socket既可以实现应用层的数据操作,也可以实现链路层的数据操作。 1.1 基本
使用Sniffer截获流经本机网卡的IP数据包
raphyer的专栏
10-07 3580
Win2K下的Sniffer工具源代码 详细信息   Win2K下的Sniffer源代码。[代码性质] VC完整应用程序代码[代码作者] zw[文件大小] 130K [更新日期] 2002-11-26 19:47:00 [下载次数] 6015  http://www.vckbase.com/code/downcode.asp?id=1692IP包监听程序(For 9x)源代码 详细信息
Windows下利用原始套接字实现的一个抓包程序Demo
kyt511的专栏
05-24 9902
早就学过了套接字编程,但是原始套接字还没用过。最近听了网络安全老师的课,心血来潮,写了个抓包程序Demo,把代码分享给大家,感兴趣的可以看看。引用一句网络安全老师的话:“你们要本着技术的心态去实践,哎,一部分人,写着写着就成黑客了”。 #define _CRT_SECURE_NO_WARNINGS #include #include #include #include #inc
SocketTool抓包.zip
04-04
3. **端口与套接字(Socket)**:Socket是应用层与TCP/IP协议族通信的接口。每个Socket由IP地址和端口号唯一标识,SocketTool能够显示通信中涉及的所有Socket连接。 4. **抓包原理**:SocketTool通过监听网络接口,...
利用python socket实现五元组抓包实验数据
03-16
在Python中,这通常通过`socket.socket()`函数完成,我们可以指定协议族(如AF_INET代表IPv4)和套接字类型(如SOCK_STREAM代表TCP)。 ```python import socket s = socket.socket(socket.AF_INET, socket.SOCK_...
Linux 利用原始套接字抓包程序
12-15
linux下利用原始套接字抓取网络数据。用GCC编译,运行时要指定网口,以管理员身份运行Ubuntu下: gcc -o sniffer sniffer.c sudo ./sniffer eth0
linux下使用原始套接字抓包并发现网络网元,构造数据包,实现过滤规则与数据包统计
03-11
linux下使用原始套接字抓包并发现网络网元,构造数据包,实现过滤规则与数据包统计
基于winsock原始套接字IP数据包捕获与解析
01-22
本文使用windows sockets 的原始套接字实现IP数据包捕获与解析,有详细的设计过程,并附有源代码,源代码中有注释。
原始套接字编程源码
09-13
原始套接字编程源码 SOCKET编程 AnalyzeETH_WinPcap
win2k下用winsock原始套接字抓包
06-28
MICROSOFT FOUNDATION CLASS LIBRARY : WS232LIB AppWizard has created this WS232LIB application for you. This application not only demonstrates the basics of using the Microsoft Foundation classes but is also a starting point for writing your application. This file contains a summary of what you will find in each of the files that make up your WS232LIB application. WS232LIB.dsp This file (the project file) contains information at the project level and is used to build a single project or subproject. Other users can share the project (.dsp) file, but they should export the makefiles locally. WS232LIB.h This is the main header file for the application. It includes other project specific headers (including Resource.h) and declares the CWS232LIBApp application class. WS232LIB.cpp This is the main application source file that contains the application class CWS232LIBApp. WS232LIB.rc This is a listing of all of the Microsoft Windows resources that the program uses. It includes the icons, bitmaps, and cursors that are stored in the RES subdirectory. This file can be directly edited in Microsoft Visual C++. WS232LIB.clw This file contains information used by ClassWizard to edit existing classes or add new classes. ClassWizard also uses this file to store information needed to create and edit message maps and dialog data maps and to create prototype member functions. resWS232LIB.ico This is an icon file, which is used as the application s icon. This icon is included by the main resource file WS232LIB.rc. resWS232LIB.rc2 This file contains resources that are not edited by Microsoft Visual C++. You should place all resources not editable by the resource editor in this file. AppWizard creates one dialog class: WS232LIBDlg.h, WS232LIBDlg.cpp - the dialog These files contain your CWS232LIBDlg class. This class defines the behavior of your application s main dialog. The dialog s template is in WS232LIB.rc, which can be edited in Microsoft Visual C++. Other standard files: StdAfx.h, StdAfx.cpp These files are used to build a precompiled header (PCH) file named WS232LIB.pch and a precompiled types file named StdAfx.obj. Resource.h This is the standard header file, which defines new resource IDs. Microsoft Visual C++ reads and updates this file. Other notes: AppWizard uses "TODO:" to indicate parts of the source code you should add to or customize. If your application uses MFC in a shared DLL, and your application is in a language other than the operating system s current language, you will need to copy the corresponding localized resources MFC42XXX.DLL from the Microsoft Visual C++ CD-ROM onto the system or system32 directory, and rename it to be MFCLOC.DLL. ("XXX" stands for the language abbreviation. For example, MFC42DEU.DLL contains resources translated to German.) If you don t do this, some of the UI elements of your application will remain in the language of the operating system.
mfc实现抓包程序
10-01
8. **释放资源**:当不再需要抓包时,调用`closesocket`关闭套接字,然后使用`WSACleanup`结束Winsock环境。 9. **异常处理**:在开发过程中,应考虑到可能出现的各种异常情况,如网络中断、内存不足等,并提供适当...
C/C++ 原生套接字抓取FTP数据包
最新发布
CSDN
12-04 1万+
网络通信在今天的信息时代中扮演着至关重要的角色,而对网络数据包进行捕获与分析则是网络管理、网络安全等领域中不可或缺的一项技术。本文将深入介绍基于原始套接字网络数据包捕获与分析工具,通过实时监控网络流量,实现抓取流量包内的FTP通信数据,并深入了解数据传输的细节,捕捉潜在的网络问题以及进行安全性分析。
原始套接字
qq_25298641的博客
09-08 249
欢迎使用Markdown编辑器写博客 本Markdown编辑器使用StackEdit修改而来,用它写博客,将会带来全新的体验哦: Markdown和扩展Markdown简洁的语法 代码块高亮 图片链接和图片上传 LaTex数学公式 UML序列图和流程图 离线写博客 导入导出Markdown文件 丰富的快捷键 快捷键 加粗 Ctrl + B 斜体 Ctrl + I...
Windows下通过使用RAW原始套接字进行抓包
gjtboa的专栏
01-06 3915
// 注意:原始套接字只在系统管理员权限下起作用,其它情况下socket创建失败,所以开发时首先以管理员权限启动VS SOCKET nAnniSock = socket(AF_INET, SOCK_RAW, IPPROTO_IP);  // 指定为原始套接字(IP层抓取) // 设置IP_HDRINCL选项,以便自己构造(解析)IP头部 BOOL bRaw = TRUE;
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值