linux实现抓包 (使用原始套接字数据连路层协议)
网络作业2 IP分组流量分析程序
参考:
http://www.cnblogs.com/rollenholt/articles/2585432.html
http://blog.csdn.net/ctthuangcheng/article/details/9746501
http://www.cnblogs.com/rollenholt/articles/2585432.html
http://baike.baidu.com/link?url=PipBWz6NFljSSDX_q-AeKVO1shLJijhn4xU4iaOPAN9aaDkaQZvL3n10XCnur0rURR3-4Q6TA6HDw-N8DYR-Xq
http://wenku.baidu.com/link?url=gomqzjumyFcoIPceA9jZXdkazLIIbGR_xxF5cu11EZVqvTRVnqiH3sl30kUgoW5nZjZEB1TdTXFZm6UZRPfIce5W7fk1m6TD1N2pTii8Ycq
开发一个IP分组流量分析程序,实现以下功能:捕获并分析通过本地网卡的IP分组,输入捕获IP分组的时间限制,输出每个IP分组头部的主要字段(包括版本、总长度、协议、源地址与目的地址等),协议字段需要区分出具体类型(例如TCP、UDP、ICMP、IGMP、IPv6等)。
实现方案:
1.原始套接字抓包
2.linux信号机制计时。
1.原始套接字抓包
2.linux信号机制计时。
1.原始套接字抓包
常用的套接字有流式套接字(SOCK_STREAM,对应于TCP)和数据报套接字(SOCK_DGRAM,对应于UDP),这两种套接字接收到的仅仅是应用层的数据,用户一般见不到MAC层、IP层和传输层(TCP/UDP)的帧头。而这里需要用到的原始套接字,是可以看到原始的网络报文的。如下图所示MAC帧地址,获得的包为从目的MAC地址到CRC之前(不包括CRC)
以如下方式使用原始套接字
(sock = socket(PF_PACKET, SOCK_RAW, htons(ETH_P_ALL)) < 0 )//使用原始套接字,ETH_P_ALL可以获取所有经过本机的数据包,当然前提是网卡为混杂模式。
上面还提到,网卡要设置成混杂模式。根据百度百科:混杂模式(Promiscuous Mode)是指一台机器能够接收所有经过它的数据流,而不论其目的地址是否是他。是相对于通常模式(又称“非混杂模式”)而言的。
通过以下设置:
strncpy(ethreq.ifr_name, "wlan0", IFNAMSIZ);//指定需要经过的网卡。
if( ioctl(sock, SIOCGIFFLAGS, ðreq) == -1 )//获得该网卡的接口信息。
{
perror("ioctl:");
close(sock);
exit(1);
}
ethreq.ifr_flags |= IFF_PROMISC;//设置成混杂模式。
if( ioctl(sock, SIOCSIFFLAGS, ðreq) == -1)//将网卡的接口信息写回。
{
perror("ioctl:");
close(sock);
exit(1);
}先指定要配置的网卡名称,在通过ifreq.ifr_flags 设置混杂模式。这里涉及到如下一个数据结构,
struct ifreq
{
# define IFHWADDRLEN 6
# define IFNAMSIZ IF_NAMESIZE
union
{
char ifrn_name[IFNAMSIZ]; /* Interface name, e.g. "en0". */
} ifr_ifrn;
union
{
struct sockaddr ifru_addr;
struct sockaddr ifru_dstaddr;
struct sockaddr ifru_broadaddr;
struct sockaddr ifru_netmask;
struct sockaddr ifru_hwaddr;
short int ifru_flags;
int ifru_ivalue;
int ifru_mtu;
struct ifmap ifru_map;
char ifru_slave[IFNAMSIZ]; /* Just fits the size */
char ifru_newname[IFNAMSIZ];
__caddr_t ifru_data;
} ifr_ifru;
};
# define ifr_name ifr_ifrn.ifrn_name /* interface name*/ 在这里就是网卡eth0或eth1
# define ifr_hwaddr ifr_ifru.ifru_hwaddr /* MAC address */ mac地址
# define ifr_addr ifr_ifru.ifru_addr /* address */ source地址
# define ifr_dstaddr ifr_ifru.ifru_dstaddr /* other end of p-p lnk */ 目的ip地址
# define ifr_broadaddr ifr_ifru.ifru_broadaddr /* broadcast address */ 广播地址
# define ifr_netmask ifr_ifru.ifru_netmask /* interface net mask */ 子网掩码
# define ifr_flags ifr_ifru.ifru_flags /* flags */ 模式标志 设置混杂模式
# define ifr_metric ifr_ifru.ifru_ivalue /* metric */
# define ifr_mtu ifr_ifru.ifru_mtu /* mtu */
# define ifr_map ifr_ifru.ifru_map /* device map */
# define ifr_slave ifr_ifru.ifru_slave /* slave device */
# define ifr_data ifr_ifru.ifru_data /* for use by interface */
# define ifr_ifindex ifr_ifru.ifru_ivalue /* interface index */
# define ifr_bandwidth ifr_ifru.ifru_ivalue /* link bandwidth */
# define ifr_qlen ifr_ifru.ifru_ivalue /* queue length */
# define ifr_newname ifr_ifru.ifru_newname /* New name */
# define _IOT_ifreq _IOT(_IOTS(char),IFNAMSIZ,_IOTS(char),16,0,0)
# define _IOT_ifreq_short _IOT(_IOTS(char),IFNAMSIZ,_IOTS(short),1,0,0)
# define _IOT_ifreq_int _IOT(_IOTS(char),IFNAMSIZ,_IOTS(int),1,0,0)
最后使用recvfrom接收信息。
recvfrom(sock, buffer, MAXLINE, 0, NULL, NULL);//接收通过网卡的信息。2.linux信号机制定时。
linux信号机制就不多说了,这里利用信号机制和系统调用alarm弄了一个定时器。
完整代码:
#include "mysock.h"
#include "analysis.h"
unsigned int sec = 3;
void alarm_h()
{
sec = 0;
// printf("*************alarm*****************\n");
}
int main()
{
int sock;
unsigned char buffer[MAXLINE];//接收缓冲区,以太网环境中ip数据包长度规定为46-1500,加上mac层的14(mac帧最后的4字节crc不包括在内),为64-1518,不过貌似再长了可以分片自己重组。
int n = 0;
struct ifreq ethreq;
if( (sock = socket(PF_PACKET, SOCK_RAW, htons(ETH_P_ALL))) < 0 )//使用原始套接字,ETH_P_ALL可以获取所有经过本机的数据包,当然前提是网卡为混杂模式。
{
perror("socket:");
exit(1);
}
strncpy(ethreq.ifr_name, "wlan0", IFNAMSIZ);//指定需要经过的网卡。
if( ioctl(sock, SIOCGIFFLAGS, ðreq) == -1 )//获得该网卡的接口信息。
{
perror("ioctl:");
close(sock);
exit(1);
}
ethreq.ifr_flags |= IFF_PROMISC;//设置成混杂模式。
if( ioctl(sock, SIOCSIFFLAGS, ðreq) == -1)//将网卡的接口信息写回。
{
perror("ioctl:");
close(sock);
exit(1);
}
struct sigaction newact, oldact;//使用SIGALRM信号计时。
newact.sa_handler = alarm_h;//信号处理函数
sigemptyset(&newact.sa_mask);//清空屏蔽字
newact.sa_flags = 0;
while(1)
{
sigaction(SIGALRM, &newact, &oldact);//改变该信号的默认行为,旧的存在oldact中,使用之后别忘了还回来。
printf("input seconds:\t");
scanf("%d", &sec);//请用户输入信息。
alarm(sec);//开始计时。sec若为0关闭计时。
while(sec > 0)//计时时间到的时候,SIFALRM信号的处理函数会将sec置零。
{
printf("-----\n");
n = recvfrom(sock, buffer, MAXLINE, 0, NULL, NULL);//接收通过网卡的信息。
if(n < 0)
{
perror("recvform:");
continue;
}
printf("recv %d bytes!\n", n);
int i;
for(i = 0 ; i < n ; i++)
{
printf("%02x\t", buffer[i]);//打印信息
if( (i+1)%12 == 0)
printf("\n");
}
printf("\n");
analysis_mac(buffer);//解析数据包。这里只能解析IP数据报。
}
alarm(0);//停止计时器。
sigaction(SIGALRM, &oldact, NULL);//改成默认行为。
}
return 0;
}