通常情况下程序员接所接触到的套接字(Socket)为两类:
从用户的角度来看,SOCK_STREAM、SOCK_DGRAM 这两类套接字似乎的确涵盖了TCP/IP 应用的全部,因为基于TCP/IP 的应用,从协议栈的层次上讲,在传输层的确只可能建立于TCP 或 UDP协议之上,而SOCK_STREAM、SOCK_DGRAM 又分别对应于TCP和UDP,所以几乎所有的应用都可以用这两类套接字实现。
但是,当我们面对如下问题时,SOCK_STREAM、SOCK_DGRAM 将显得这样无助:
1. 怎样发送一个自定义的IP 包?
2. 怎样发送一个ICMP 协议包?
3. 怎样分析所有经过网络的包,而不管这样包是否是发给自己的?
4. 怎样伪装本地的IP 地址?
因为SOCK_STREAM(TCP)、SOCK_DGRAM (UDP)发送的数据报文经过网络协议栈需要进行封装处理:包括加UDP头(TCP头),加IP头等信息,最终发出去的报文并不是我们想要的IP报文/ICMP报文等,这里就需要采用一种方法来越过协议栈的自动封装处理,直接让我们指定 报文的信息(当然也包括IP等头部信息)。
至于分析网络数据包,原始套接字是个很好的选择,他不仅可以获取到IP层的数据包,还可以获取到数据链路层的报文,而这部分信息可能是我们最需要的头部信息:源MAC、目的MAC、源IP、目的IP、源端口、目的端口等信息,如果我们需要统计经过网卡的数据包,则完全可以通过原始套接字在应用层很方便的获取到,另外一个好处就是应用层可以使用库函数、文件IO等进行操作,非常便利;当然这部分信息本来是在驱动等获取的,具体的获取方法是通过hook(钩子函数)来获取相应的报文,可以进行头部信息操作,也可以统计网卡的收发数据量,但是如果想记录并存储具体的报文内容信息,如报文发送源IP,目的IP等信息,那么在钩子函数里进行这种耗时的操作就很不明智了,而且驱动里进行IO操作不向应用层那么方便,因此并不推荐在驱动力进行耗时的操作。在网关设备中统计网卡的信息应该经常用到该套接字。
这使得我们必须面对另外一个深刻的主题——原始套接字(SOCK_RAW)。
原始套接字广泛应用于高级网络编程,也是一种广泛的黑客手段。著名的网络sniffer(一种基于被动侦听原理的网络分析方式)、拒绝服务攻击(DOS)、IP 欺骗等都可以通过原始套接字实现。 原始套接字(SOCK_RAW)可以用来自行组装数据包,可以接收本机网卡上所有的数据帧(数据包),对于监听网络流量和分析网络数据很有作用。 原始套接字是基于IP 数据包的编程(SOCK_PACKET 是基于数据链路层的编程)。另外,必须在管理员权限下才能使用原始套接字。 原始套接字(SOCK_RAW)与标准套接字(SOCK_STREAM、SOCK_DGRAM)的区别在于原始套接字直接置“根”于操作系统网络核心(Network Core),而 SOCK_STREAM、SOCK_DGRAM 则“悬浮”于 TCP 和 UDP 协议的外围。
流式套接字只能收发 TCP 协议的数据,数据报套接字只能收发 UDP 协议的数据,原始套接字可以收发内核没有处理的数据包。
原始套接字编程和之前的UDP 编程差不多,无非就是创建一个套接字后,通过这个套接字接收数据或者发送数据。区别在于,原始套接字可以自行组装数据包(伪装本地 IP,本地 MAC),可以接收本机网卡上所有的数据帧(数据包)。另外,必须在管理员权限下才能使用原始套接字。
原始套接字的创建:
int socket ( int family, int type, int protocol );
参数:
family : 协议族 这里写 PF_PACKET
type : 套接字类,这里写 SOCK_RAW
protocol: 协议类别,指定可以接收或发送的数据包类型,不能写 “0”,取值如下,注意,传参时需要用 htons() 进行字节序转换。
ETH_P_IP :IPV4数据包
ETH_P_ARP:ARP数据包
ETH_P_ALL:任何协议类型的数据包
返回值:
成功( >0 ):套接字,这里为链路层的套接字
失败( <0 ):出错
获取链路层的数据包函数:
实例如下:
#include
#include
#include
#include
int main(int argc,charchar *argv[])
{
unsigned char buf[1024] = {0};
int sock_raw_fd = socket(PF_PACKET, SOCK_RAW, htons(ETH_P_ALL));
//获取链路层的数据包
int len = recvfrom(sock_raw_fd, buf, sizeof(buf), 0, NULL, NULL);
printf("len = %d\n", len);
return 0;
}
默认的情况下,我们接收数据,目的MAC是本地地址,才会接收。有时候我们想接收所有经过网卡的所有数据流,而不论其目的MAC是否是它,这时候我们需要设置网卡为混杂模式。
网卡的混杂模式一般在网络管理员分析网络数据作为网络故障诊断手段时用到,同时这个模式也被网络黑客利用来作为网络数据窃听的入口。在 Linux 操作系统中设置网卡混杂模式时需要管理员权限。在 Windows 操作系统和 Linux 操作系统中都有使用混杂模式的抓包工具,比如著名的开源软件 Wireshark。
通过命令给 Linux 网卡设置混杂模式(需要管理员权限)
设置混杂模式:ifconfig eth0 promisc
取消混杂模式:ifconfig eth0 -promisc
核心代码如下:
struct ifreq ethreq; //网络接口地址
strncpy(ethreq.ifr_name, "eth0", IFNAMSIZ); //指定网卡名称
if(-1 == ioctl(sock_raw_fd, SIOCGIFINDEX, ðreq)) //获取网络接口
{
perror("ioctl");
close(sock_raw_fd);
exit(-1);
}
ethreq.ifr_flags |= IFF_PROMISC;
if(-1 == ioctl(sock_raw_fd, SIOCSIFINDEX, ðreq)) //网卡设置混杂模式
{
perror("ioctl");
close(sock_raw_fd);
exit(-1);
}
ssize_t sendto( int sockfd,const void *buf,
size_t nbytes,int flags,
const struct sockaddr *to,socklen_t addrlen );
参数:
sockfd: 原始套接字
buf: 发送数据缓冲区
nbytes: 发送数据缓冲区的大小
flags: 一般为 0
to: 本机网络接口,指发送的数据应该从本机的哪个网卡出去,而不是以前的目的地址
addrlen:to 所指向内容的长度
返回值:
成功:发送数据的字符数
失败: -1
发送完整代码如下:
struct sockaddr_ll sll; //原始套接字地址结构
struct ifreq ethreq; //网络接口地址
strncpy(ethreq.ifr_name, "eth0", IFNAMSIZ); //指定网卡名称
if(-1 == ioctl(sock_raw_fd, SIOCGIFINDEX, ðreq)) //获取网络接口
{
perror("ioctl");
close(sock_raw_fd);
exit(-1);
}
/*将网络接口赋值给原始套接字地址结构*/
bzero(&sll, sizeof(sll));
sll.sll_ifindex = ethreq.ifr_ifindex;
// 发送数据
// send_msg, msg_len 这里还没有定义,模拟一下
int len = sendto(sock_raw_fd, send_msg, msg_len, 0 , (struct sockaddr *)&sll, sizeof(sll));
if(len == -1)
{
perror("sendto");
}
这里头文件情况如下:
#include // struct ifreq
#include // ioctl、SIOCGIFADDR
#include // socket
#include // ETH_P_ALL
#include // struct sockaddr_ll
由上得知,我们可以通过原始套接字以及 recvfrom( ) 可以获取链路层的数据包,那我们接收的链路层数据包到底长什么样的呢?
链路层封包格式
MAC 头部(有线局域网)
注意:CRC、PAD 在组包时可以忽略
链路层数据包的其中一种情况:
unsigned char msg[1024] = {
//--------------组MAC--------14------
0xb8, 0x88, 0xe3, 0xe1, 0x10, 0xe6, // dst_mac: b8:88:e3:e1:10:e6
0xc8, 0x9c, 0xdc, 0xb7, 0x0f, 0x19, // src_mac: c8:9c:dc:b7:0f:19
0x08, 0x00, // 类型:0x0800 IP协议
// …… ……
// …… ……
};
接收的链路层数据包,并对其进行简单分析:
#include
#include
#include
#include
#include
#include
#include
int main(int argc,charchar *argv[])
{
int i = 0;
unsigned char buf[1024] = "";
int sock_raw_fd = socket(PF_PACKET, SOCK_RAW, htons(ETH_P_ALL));
while(1)
{
unsigned char src_mac[18] = "";
unsigned char dst_mac[18] = "";
//获取链路层的数据帧
recvfrom(sock_raw_fd, buf, sizeof(buf),0,NULL,NULL);
//从buf里提取目的mac、源mac
sprintf(dst_mac,"%02x:%02x:%02x:%02x:%02x:%02x", buf[0], buf[1], buf[2], buf[3], buf[4], buf[5]);
sprintf(src_mac,"%02x:%02x:%02x:%02x:%02x:%02x", buf[6], buf[7], buf[8], buf[9], buf[10], buf[11]);
//判断是否为IP数据包
if(buf[12]==0x08 && buf[13]==0x00)
{
printf("______________IP数据报_______________\n");
printf("MAC:%s >> %s\n",src_mac,dst_mac);
}//判断是否为ARP数据包
else if(buf[12]==0x08 && buf[13]==0x06)
{
printf("______________ARP数据报_______________\n");
printf("MAC:%s >> %s\n",src_mac,dst_mac);
}//判断是否为RARP数据包
else if(buf[12]==0x80 && buf[13]==0x35)
{
printf("______________RARP数据报_______________\n");
printf("MAC:%s>>%s\n",src_mac,dst_mac);
}
}
return 0;
}
记得以管理者权限运行程序: