网络安全项目实战(三)--报文检测

6. TCP/IP协议栈及以太网帧

  • 目标
    • 了解TCP/IP协议栈的组织结构
    • 掌握以太网帧的数据格式定义
    • 能应用编码实现以太网帧的解析方法

6.1. TCP/IP 协议栈

TCP/IP网络协议栈分为应用层(Application)、传输层(Transport)、网络层(Network)和链路层(Link)四层。如下图所示(该图出自[TCPIP])。

网络安全项目实战(三)--报文检测_第1张图片

两台计算机通过TCP/IP协议通讯的过程如下所示(该图出自[TCPIP])。 

网络安全项目实战(三)--报文检测_第2张图片

传输层及其以下的机制由内核提供,应用层由用户进程提供(后面将介绍如何使用socket API编写应用程序),应用程序对通讯数据的含义进行解释,而传输层及其以下处理通讯的细节,将数据从一台计算机通过一定的路径发送到另一台计算机。应用层数据通过协议栈发到网络上时,每层协议都要加上一个数据首部(header),称为封装(Encapsulation),如下图所示(该图出自[TCPIP])。 

网络安全项目实战(三)--报文检测_第3张图片

不同的协议层对数据包有不同的称谓,在传输层叫做段(segment),在网络层叫做数据报(datagram),在链路层叫做帧(frame)。数据封装成帧后发到传输介质上,到达目的主机后每层协议再剥掉相应的首部,最后将应用层数据交给应用程序处理。我们在pcap文件中,所得到的package data数据就是一个以太网帧, 因此对“package data”的解析就是解析一个以太网帧

 

6.2. 以太网(RFC 894)帧格式

以太网的帧格式如下所示(该图出自[TCPIP]):

网络安全项目实战(三)--报文检测_第4张图片

  • 源地址是指网卡的硬件地址(也叫MAC地址),长度是48位,是在网卡出厂时固化的。用ifconfig命令看一下,“HWaddr 00:15:F2:14:9E:3F”部分就是硬件地址。
  • 目的地址, 意义同源地址
  • 协议字段有三种值,分别对应IP、ARP、RARP。帧末尾是CRC校验码。

    以太网帧中的数据长度规定最小46字节,最大1500字节。

    ARP和RARP数据包的长度不够46字节,要在后面补填充位。

    最大值1500称为以太网的最大传输单元(MTU),不同的网络类型有不同的MTU,如果一个数据包从以太网路由到拨号链路上,数据包长度大于拨号链路的MTU了,则需要对数据包进行分片(fragmentation)。

    ifconfig命令的输出中也有“MTU:1500”。

    注意,MTU这个概念指数据帧中有效载荷的最大长度,不包括帧首部的长度。

 

6.3. 以太网栈头部

 // /usr/include/linux/if_ether.h 

struct ethhdr {
    unsigned char    h_dest[ETH_ALEN];    /* 目标mac地址    */
    unsigned char    h_source[ETH_ALEN];    /* 源mac地址    */
    __be16        h_proto;        /* 以太网类型    */
} __attribute__((packed));

6.4. 以太网帧解析代码

一下为以太网帧的核心解析代码


    MAC_FRM_HDR *mac_hdr; //define a Ethernet frame header  
    IP_HDR *ip_hdr;       //define a IP header  
    char *tmp1, *tmp2;  
    int AND_LOGIC = 0xFF;  

    mac_hdr = buf;  //buf is what we got from the socket program  
    ip_hdr = buf + sizeof(MAC_FRM_HDR);  
    //udp_hdr = buf + sizeof(MAC_FRM_HDR) + sizeof(IP_HDR); //if we want to analyses the UDP/TCP  

    tmp1 = mac_hdr->src_addr;  
    tmp2 = mac_hdr->dest_addr;  
    /* print the MAC addresses of source and receiving host */  
    printf("MAC: %.2X:%.2X:%.2X:%.2X:%.2X:%.2X==>" "%.2X:%.2X:%.2X:%.2X:%.2X:%.2X",  
                tmp1[0]&AND_LOGIC, tmp1[1]&AND_LOGIC, tmp1[2]&AND_LOGIC,tmp1[3]&AND_LOGIC,  
                tmp1[4]&AND_LOGIC, tmp1[5]&AND_LOGIC,  
                tmp2[0]&AND_LOGIC, tmp2[1]&AND_LOGIC, tmp2[2]&AND_LOGIC,tmp2[3]&AND_LOGIC,  
                tmp2[4]&AND_LOGIC, tmp2[5]&AND_LOGIC);  

    tmp1 = (char*)&ip_hdr->ip_src;  
    tmp2 = (char*)&ip_hdr->ip_dest;  
    /* print the IP addresses of source and receiving host */  
    printf("IP: %d.%d.%d.%d => %d.%d.%d.%d",  
                 tmp1[0]&AND_LOGIC, tmp1[1]&AND_LOGIC, tmp1[2]&AND_LOGIC,tmp1[3]&AND_LOGIC,  
                 tmp2[0]&AND_LOGIC, tmp2[1]&AND_LOGIC, tmp2[2]&AND_LOGIC,tmp2[3]&AND_LOGIC);  
    /* print the IP protocol which was used by the socket communication */  
    switch(ip_hdr->ip_protocol) {  
             case IPPROTO_ICMP: LOGI("ICMP"); break;  
             case IPPROTO_IGMP: LOGI("IGMP"); break;  
             case IPPROTO_IPIP: LOGI("IPIP"); break;  
             case IPPROTO_TCP:  
         case IPPROTO_UDP:  
                                LOGI("Protocol: %s", ip_hdr->ip_protocol == IPPROTO_TCP ? "TCP" : "UDP");  
                                LOGI("Source port: %u, destination port: %u", udp_hdr->s_port, udp_hdr->d_port);  
                                break;  
             case IPPROTO_RAW: LOGI("RAW"); break;  
             default: printf("Unknown, please query in inclued/linux/in.h\n"); break;  
    }  

7. IP 报文

  • 目标
    • 了解IP报文的组织结构
    • 掌握IP报文的分析方法。

7.1. IP数据报格式

IP数据报的格式如下(这里只讨论IPv4)(该图出自[TCPIP]):

网络安全项目实战(三)--报文检测_第5张图片

 

  • 版本:IP报文版本号 IPV4:4,IPV6:6

  • 首部长度:IP header 长度,是4字节的整数倍, 没有选项,则一般为5(5x32bit=20B)

  • 8位服务类型:一般没有使用,详细参考RFC
  • 总长度:header+数据 总长度
  • 16位标识:IP 报文的唯一id,分片报文的id 相同,便于进行重组。
  • 3位标志:标明是否分片。是一个3位的控制字段,包含:
    • 保留位:1位
    • 不分段位:1位,取值:0(允许数据报分段)、1(数据报不能分段)
    • 更多段位:1位,取值:0(数据包后面没有包,该包为最后的包)、1(数据包后面有更多的包)
Bit 0: reserved, must be zero
Bit 1: (DF) 0 = May Fragment,  1 = Don't Fragment.
Bit 2: (MF) 0 = Last Fragment, 1 = More Fragments.

          0   1   2
        +---+---+---+
        |   | D | M |
        | 0 | F | F |
        +---+---+---+
  • 13位片偏移:参考下图。如果是第一片取值为0,第二片取值175,以此类推。

网络安全项目实战(三)--报文检测_第6张图片

  • TTL:生存时间,即路由器的跳数,每经过一个路由器,该TTL 减一,因此路由器需要重新计算IP报文的校验和。
  • 8位协议:ICMP:1,TCP:6,UDP:17,其他的自行百度
  • 首部校验和:IP header校验和,接收端收到报文进行计算如果校验和错误,直接丢弃。
  • 源IP地址:无须解释
  • 目的IP地址:无须解释
  • 选项:这个一般也没有使用。详细参考RFC
  • 数据:上层的报文,如TCP 报文、UDP报文等。

7.2. IP报文头部

IP头部,总长度20字节


 // /usr/include/linux/ip.h
struct iphdr {
 #if defined(__LITTLE_ENDIAN_BITFIELD)
    __u8    ihl:4,     //首部长度
        version:4;    //版本 
 #elif defined (__BIG_ENDIAN_BITFIELD)
    __u8    version:4,    //版本
          ihl:4;          //首部长度
 #else
 #error    "Please fix "
 #endif
    __u8    tos;      //服务类型
    __be16    tot_len;    //总长度
    __be16    id;         //标志
    __be16    frag_off;   //分片偏移
    __u8    ttl;         //生存时间
    __u8    protocol;     //协议
    __sum16    check;         //检验和
    __be32    saddr;      //源IP地址
    __be32    daddr;      //目的IP地址
    /*The options start here. */
};

关于协议类型定义

 // /usr/include/linux/netinet/in.h

/* Standard well-defined IP protocols.  */
enum
  {
    IPPROTO_IP = 0,       /* Dummy protocol for TCP.  */
#define IPPROTO_IP        IPPROTO_IP
    IPPROTO_ICMP = 1,       /* Internet Control Message Protocol.  */
#define IPPROTO_ICMP        IPPROTO_ICMP
    IPPROTO_IGMP = 2,       /* Internet Group Management Protocol. */
#define IPPROTO_IGMP        IPPROTO_IGMP
    IPPROTO_IPIP = 4,       /* IPIP tunnels (older KA9Q tunnels use 94).  */
#define IPPROTO_IPIP        IPPROTO_IPIP
    IPPROTO_TCP = 6,       /* Transmission Control Protocol.  */
#define IPPROTO_TCP        IPPROTO_TCP
    IPPROTO_EGP = 8,       /* Exterior Gateway Protocol.  */
#define IPPROTO_EGP        IPPROTO_EGP
    IPPROTO_PUP = 12,       /* PUP protocol.  */
#define IPPROTO_PUP        IPPROTO_PUP
    IPPROTO_UDP = 17,       /* User Datagram Protocol.  */
.....

 

你可能感兴趣的:(安全/网络攻防项目,web安全,安全)