基于LIBPCAP的HTTP协议还原与模式匹配

最新推荐文章于 2024-04-21 18:51:05 发布
最新推荐文章于 2024-04-21 18:51:05 发布
阅读量4.2k 收藏 6
点赞数
文章标签: struct header tcp null callback structure 
#include <pcap.h>
#include <regex.h>
/*
*    基于Libpcap的HTTP协议还原与模式匹配
*                雨虹阳
* 执行 gcc -o test test.c -lpcap
* 模式串为 PATTERN 宏的内容
* 匹配输出 ("match at offset %d, length %d\n", match.rm_so, match.rm_eo)
*/
#include <sys/types.h>
#include <stdio.h>
#include <stdlib.h>
#include <errno.h>
#include <sys/socket.h>
#include <netinet/in.h>
#include <arpa/inet.h>
#include <netinet/if_ether.h>
#include <net/ethernet.h>
#include <netinet/ether.h>
#include <netinet/ip.h>

#define PATTERN "www.hit.edu.cn"

/* tcpdump header (ether.h) defines ETHER_HDRLEN) */
#ifndef ETHER_HDRLEN
#define ETHER_HDRLEN 14
#endif

/* tcpdump header (tcp.h) defines tcp_seq */
#ifndef tcp_seq
typedef u_int32_t tcp_seq;
#endif

u_int16_t handle_ethernet
        (u_char *args,const struct pcap_pkthdr* pkthdr,const u_char*
        packet);
u_char* handle_IP
        (u_char *args,const struct pcap_pkthdr* pkthdr,const u_char*
        packet);
u_char* handle_TCP(const u_char* tcpdata, u_int16_t tcplen);
void print_Byte(const u_char* begin, u_int16_t len);

/*
* Structure of an internet header, naked of options.
*
* Stolen from tcpdump source (thanks tcpdump people)
*
* We declare ip_len and ip_off to be short, rather than u_short
* pragmatically since otherwise unsigned comparisons can result
* against negative integers quite easily, and fail in subtle ways.
*/
struct my_ip {
    u_int8_t    ip_vhl;        /* header length, version */
#define IP_V(ip)    (((ip)->ip_vhl & 0xf0) >> 4)
#define IP_HL(ip)    ((ip)->ip_vhl & 0x0f)
    u_int8_t    ip_tos;        /* type of service */
    u_int16_t    ip_len;        /* total length */
    u_int16_t    ip_id;        /* identification */
    u_int16_t    ip_off;        /* fragment offset field */
#define    IP_DF 0x4000            /* dont fragment flag */
#define    IP_MF 0x2000            /* more fragments flag */
#define    IP_OFFMASK 0x1fff        /* mask for fragmenting bits */
    u_int8_t    ip_ttl;        /* time to live */
    u_int8_t    ip_p;        /* protocol */
    u_int16_t    ip_sum;        /* checksum */
    struct    in_addr ip_src,ip_dst;    /* source and dest address */
};

struct tcphdr {
    u_int16_t    th_sport;        /* source port */
    u_int16_t    th_dport;        /* destination port */
    tcp_seq        th_seq;            /* sequence number */
    tcp_seq        th_ack;            /* acknowledgement number */
    u_int8_t    th_offx2;        /* data offset, rsvd */
#define TH_OFF(th)    (((th)->th_offx2 & 0xf0) >> 4)
    u_int8_t    th_flags;
#define    TH_FIN    0x01
#define    TH_SYN    0x02
#define    TH_RST    0x04
#define    TH_PUSH    0x08
#define    TH_ACK    0x10
#define    TH_URG    0x20
#define TH_ECNECHO    0x40    /* ECN Echo */
#define TH_CWR        0x80    /* ECN Cwnd Reduced */
    u_int16_t    th_win;            /* window */
    u_int16_t    th_sum;            /* checksum */
    u_int16_t    th_urp;            /* urgent pointer */
};

/* looking at ethernet headers */
void my_callback(u_char *args,const struct pcap_pkthdr* pkthdr,const u_char*
        packet)
{
    u_int16_t type = handle_ethernet(args,pkthdr,packet);

    if(type == ETHERTYPE_IP)
    {/* handle IP packet */
        handle_IP(args,pkthdr,packet);
    }else if(type == ETHERTYPE_ARP)
    {/* handle arp packet */
    }
    else if(type == ETHERTYPE_REVARP)
    {/* handle reverse arp packet */
    }
}

u_char* handle_IP
        (u_char *args,const struct pcap_pkthdr* pkthdr,const u_char*
        packet)
{
    const struct my_ip* ip;
    u_int length = pkthdr->len;
    u_int hlen,off,version;
    int i;

    int len;

    int protocol;
    /* jump pass the ethernet header */
    ip = (struct my_ip*)(packet + sizeof(struct ether_header));
    length -= sizeof(struct ether_header);

    /* check to see we have a packet of valid length */
    if (length < sizeof(struct my_ip))
    {
        printf("truncated ip %d",length);
        return NULL;
    }

    len     = ntohs(ip->ip_len);
    hlen    = IP_HL(ip); /* header length */
    version = IP_V(ip);/* ip version */
    protocol = ip->ip_p;

    /* check version */
    if(version != 4)
    {
      fprintf(stdout,"Unknown version %d\n",version);
      return NULL;
    }

    /* check header length */
    if(hlen < 5 )
    {
        fprintf(stdout,"bad-hlen %d \n",hlen);
    }

    /* see if we have as much packet as we should */
    if(length < len)
        printf("\ntruncated IP - %d bytes missing\n",len - length);

    /* Check to see if we have the first fragment */
    off = ntohs(ip->ip_off);
    if((off & 0x1fff) == 0 )/* aka no 1's in first 13 bits */
    {/* print SOURCE DESTINATION hlen version len offset */
        fprintf(stdout,"IP: ");
        fprintf(stdout,"%s ",
                inet_ntoa(ip->ip_src));
        fprintf(stdout,"%s %d %d %d %d %d\n",
                inet_ntoa(ip->ip_dst),
                hlen,version,len,off,protocol);
    }

    /* handle upper TCP protocol */
    if(protocol == 6)
        handle_TCP((u_char*)ip + hlen * 4, len - hlen * 4);
    return NULL;
}

u_char* handle_TCP(const u_char* tcpdata, u_int16_t tcplen)
{
    regex_t reg;
    regmatch_t match = {0, 0};
    u_char* appdata;
    const struct tcphdr* tcp;
   
    regcomp(®, PATTERN, 0);

    tcp = (struct tcphdr*)tcpdata;
    appdata = tcpdata + TH_OFF(tcp) * 4;

    if(regexec(®, appdata, 1, &match, 0) == 0)
        printf("match at offset %d, length %d\n", match.rm_so, match.rm_eo);

    fprintf(stdout, "Sport: %d, Dport: %d, Seq: %d, Ack: %d (len: %d)\t",
            ntohs(tcp->th_sport), ntohs(tcp->th_dport),
            ntohl(tcp->th_seq), ntohl(tcp->th_ack), tcplen-TH_OFF(tcp)*4);

    /* Check Tcp Data */

    if(TH_OFF(tcp)*4 < tcplen)
        print_Byte(appdata, tcplen-TH_OFF(tcp) * 4);
    printf("\n");

    regfree(®);
    return NULL;
}

void print_Byte(const u_char* begin, u_int16_t len)
{
    int i;
    u_char* pointer = begin;
    for(i=0; i<len; i++, pointer++)
        printf("%c", *pointer);
}
/* analyse upper protocol
*/

/* handle ethernet packets, much of this code gleaned from
* print-ether.c from tcpdump source
*/
u_int16_t handle_ethernet
        (u_char *args,const struct pcap_pkthdr* pkthdr,const u_char*
        packet)
{
    u_int caplen = pkthdr->caplen;
    u_int length = pkthdr->len;
    struct ether_header *eptr; /* net/ethernet.h */
    u_short ether_type;

    if (caplen < ETHER_HDRLEN)
    {
        fprintf(stdout,"Packet length less than ethernet header length\n");
        return -1;
    }

    /* lets start with the ether header... */
    eptr = (struct ether_header *) packet;
    ether_type = ntohs(eptr->ether_type);

    /* Lets print SOURCE DEST TYPE LENGTH */
    fprintf(stdout,"ETH: ");
    fprintf(stdout,"%s "
            ,ether_ntoa((struct ether_addr*)eptr->ether_shost));
    fprintf(stdout,"%s "
            ,ether_ntoa((struct ether_addr*)eptr->ether_dhost));

    /* check to see if we have an ip packet */
    if (ether_type == ETHERTYPE_IP)
    {
        fprintf(stdout,"(IP)");
    }else if (ether_type == ETHERTYPE_ARP)
    {
        fprintf(stdout,"(ARP)");
    }else if (eptr->ether_type == ETHERTYPE_REVARP)
    {
        fprintf(stdout,"(RARP)");
    }else {
        fprintf(stdout,"(?)");
    }
    fprintf(stdout," %d\n",length);

    return ether_type;
}


int main(int argc,char **argv)
{
    char *dev;
    char errbuf[PCAP_ERRBUF_SIZE];
    pcap_t* descr;
    struct bpf_program fp;      /* hold compiled program     */
    bpf_u_int32 maskp;          /* subnet mask               */
    bpf_u_int32 netp;           /* ip                        */
    u_char* args = NULL;

    /* Options must be passed in as a string because I am lazy */
    if(argc < 2){
        fprintf(stdout,"Usage: %s numpackets \"options\"\n",argv[0]);
        return 0;
    }

    /* grab a device to peak into... */
    dev = pcap_lookupdev(errbuf);
    if(dev == NULL)
    { printf("%s\n",errbuf); exit(1); }

    /* ask pcap for the network address and mask of the device */
    pcap_lookupnet(dev,&netp,&maskp,errbuf);

    /* open device for reading. NOTE: defaulting to
     * promiscuous mode*/
    descr = pcap_open_live(dev,BUFSIZ,0,-1,errbuf);
    if(descr == NULL)
    { printf("pcap_open_live(): %s\n",errbuf); exit(1); }


    if(argc > 2)
    {
        /* Lets try and compile the program.. non-optimized */
        if(pcap_compile(descr,&fp,argv[2],0,netp) == -1)
        { fprintf(stderr,"Error calling pcap_compile\n"); exit(1); }

        /* set the compiled program as the filter */
        if(pcap_setfilter(descr,&fp) == -1)
        { fprintf(stderr,"Error setting filter\n"); exit(1); }
    }

    /* ... and loop */
    pcap_loop(descr,atoi(argv[1]),my_callback,args);

    fprintf(stdout,"\nfinished\n");
    return 0;
}


book2016
关注
  • 0
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
利用libpcap分析以太网协议例程
max18的专栏
09-11 1401
本代码编写环境:Fedora 17 gcc 编译命令 #gcc get_ethernet.c -o get_ethernet -lpcap   1 #include   2 #define BUFSIZE 1024   3 struct ether_header   4 {   5         u_int8_t ether_dhost[6];   6         u_int
使用libpcap抓取所有的http包
stSahana的博客
03-08 2674
/* Simple Raw Sniffer */ /* Author: Luis Martin Garcia. luis.martingarcia [.at.] gmail [d0t] com */ /* To compile: gcc httpsniffer.c -o httpsniffer...
应用层HTTP数据包的截获与还原技术的实现
anhuidelinger的专栏
11-26 1万+
摘要:在因特网日益发展壮大的今天,万维网在其上的通信量已经超过90%,万维网信息的安全问题已经越来越被人们所重视,而作为万维网应用层核心协议http协议是基础。当网络发生异常时,对网络上传输的数据进行监视和分析,是网管人员解决网络故障的一种常用方法。 本文介绍应用层HTTP数据包的截获与还原技术的实现,并简要介绍其中所涉及的数据包截获、数据包分析、应用数据重组以及数据包解码等关键技术。该系统可
使用libpcap获取http报文
anyifu6885的博客
08-15 641
在上一篇博客中简单对libpcap库基本函数及基本工作流程做了些简单说明, 今天我们先了解一下pcap_loop()及pcap_dispatch()函数的功能及作用: (1)pcap_loop()循环进行数据包的抓取: 函数原型如下: 1 typedef void (*pcap_handler)(u_char *user, const struct pcap_...
基于Libpcap的数据包捕获机制的实现
05-14
基于Libpcap的数据包捕获机制的实现,是一项在网络安全领域极为关键的技术。Libpcap,作为一款开源的网络数据包捕获库,被广泛应用于网络监控、数据分析、故障排查以及安全审计等领域。其核心功能在于能够从网络接口...
嗅探工具 --- wireshark、tcpdump、dsniff、ettercap、bettercap、netsniff-ng
墨鱼菜鸡
07-11 4937
最好的 MitM 中间人攻击开源框架清单:https://github.com/Chan9390/Awesome-MitM 哔哩哔哩:https://search.bilibili.com/all?keyword=wireshark 1、WireShark WireShark 是一个开源免费的高性能网络协议分析软件,它的前身就是非常著名的网络分析软...
基于Snort的入侵检测系统
starshift的专栏
08-29 7167
      基于Snort的入侵检测系统   用Snort,Apache,MySQL,PHP及ACID构建高级IDS第一章 入侵检测系统及Snort介绍在当今的企业应用环境中,安全是所有网络面临的大问题。黑客和入侵者已成功的入侵了一些大公司的网络及网站。目前已经存在一些保护网络架构及通信安全的方法,例如防火墙、虚拟专用网(VPN)、数据加密等。入侵检
SNORT原理简介和优化和GNORT初探_SNORT原理简介和优化和GNORT初探_
09-29
3. **规则解析与匹配**:SNORT使用基于文本的规则语言,这些规则定义了应如何响应特定的网络行为。规则包含元数据(如协议、方向、端口等)和签名(用于匹配恶意模式)。SNORT使用高效的算法将规则转化为内存中的...
【编程笔记】libpcap应用之打印HTTP请求
最新发布
xiongcha的博客
04-21 674
基于libpcap库实现对HTTP协议的请求头信息的解析,简单获取请求URL、UA等信息
基于libpcap的HTTP密码嗅探程序
若水斋
08-03 3107
本文介绍了基于libpcap的HTTP密码嗅探程序,能够自动地嗅探出HTTP流量中的密码,并附有完整的密码嗅探器源代码。
libpcap抓完整的http分包;http分包的拼包机制,
dvb_dvb的 readme
01-05 3835
http分包的拼包机制
基于libpcap实现抓包程序
成长之路
04-28 1万+
紧接着上一篇,成功通过tcpdump和wireshark抓包后,试试自己写一个抓包器。这里我们使用libpcap库开发。 原创文章欢迎转载,请保留出处。 若有任何疑问建议,欢迎回复。 邮箱:Maxwell_nc@163.com
libpcap详解
kking_edc的博客
07-20 7505
libpcap(packet capture library),即数据包捕获函数库,是Unix/Linux平台下的网络数据包捕获函数库。它是一个独立于系统的用户层的包捕获API接口,为底层网络监测提供了一个可移植的框架。 一、工作原理 libpcap主要由两部分组成:网络分接头(network tap)和数据过滤器(packet filter)。网络分接头从网络设备驱动程序中收集数据进行拷贝,过滤器决定是否接收该数据包。libpcap利用BSD packet filter(BPF)算法对网卡接收到的链路层数
libpcap使用
热门推荐
htttw的专栏
04-28 13万+
libpcap使用 libpcap是一个网络数据包捕获函数库,功能非常强大,Linux下著名的tcpdump就是以它为基础的。今天我们利用它来完成一个我们自己的网络嗅探器(sniffer) 首先先介绍一下本次实验的环境: Ubuntu 11.04,IP:192.168.1.1,广播地址:192.168.1.255,子网掩码:255.255.255.0 可以使用下
libpcap原理及使用
虾米的博客
12-07 2万+
2.9 libpcap 本文最初整理在我的github上SDN-Learning-notes libpcap(Packet Capture Library)即数据包捕获函数库,是Unix/Linux平台下的网络数据包捕获函数库。它是一个独立于系统的用户层包捕获的API接口,为底层网络监测提供了一个可移植的框架。著名的软件TCPDUMP就是在libpcap的的基础上开发而成的libpcap可以实现
HTTP数据包处理与libpcap深度解析
过滤条件可以基于网络类型、协议类型、源/目标地址或域名,甚至数据包的具体内容,例如HTTP的GET请求。 在HTTP数据包的分析中,使用Libpcap可以实现对HTTP GET和POST请求的捕获,这对于监控网络流量、调试应用程序...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值