通过分析网络数据包来理解DCOM协议(一)
【翻译说明】最近,想看看DCOM的通讯能否在Linux平台上实现(其实是想实现OPC Client),就找了两篇文章,读了一下,发现还是翻译出来,供大家参考吧。
本文是其中一篇,原文题目《Understanding the DCOM Wire Protocol by Analyzing Network Data Packets》,作者:Guy Eddon 、HenryEddon,发表于1998年3月的MicrosoftSystems Journal原文较长,分两次登出。
我们从底层来讨论COM,通过分析网络上公开传输的数据包,你能了解COM的远程工作机制,这有助于你开发出更好的组件。【本文假设读者熟悉COM。】
大多数关于COM的文章都是从编程架构来描述的,它们告诉你为完成某个功能,而如何调用COM。在COM应用工作时,通过分析网络中物理传输的数据包,你能了解COM的远程工作机制,这有助于更好的理解COM编程模型,因而设计和开发更好的组件。
COM是构建交互组件的标准,DCOM是允许COM组件通过网络交互的一个高层次网络协议。我们认为DCOM是一个高层次网络协议,是因为它建立在几个已存在的协议基础之上。例如,假设一台计算机有以太网卡,并使用UDP协议,从最底层的以太网帧到最高层的DCOM,整个协议如图1所示,中间加着IP,UDP和RPC。图1只是许多可能配置中的一种,在RPC之下,可以有多种替代的协议。在服务器与客户机上,DCOM自动选择它下面的最好的协议。
图1 协议层次
以OSI七层网络模型来看看DCOM协议栈。如图2所示,OSI七层网络模型与本文的例子协议栈并列画出,注意图中是在Window平台下,其它平台实现的层次可能不同。
图2 OSI七层“蛋糕”
对协议栈中每层协议,数据在传输时,都包含一个数据头,而后是实际的数据,紧临的更上层协议将把它视为数据的一部分。例如,IP层包含一个数据头和数据体,IP数据体实际上包含UDP层数据头和该层的数据体,因此,通过网络传输的数据都包含协议栈中的每层协议的数据头和数据体(如图3)。
从图3中可以看出,DCOM不是一个独立于RPC之上的协议,它使用了RPC的结构体,与RPC共用了数据头和数据体,因此,为了表明在网络层次上DCOM与RPC的密切关系,DCOM协议经常被成为对象RPC或ORPC。ORPC高度综合了OSF DEC RPC协议的功能,例如,RPC中的身份认证,授权,信息完整性,加密等特性,在ORPC都有体现。
图3 协议栈
ORPC在两个方面扩展了标准的RPC:怎样调用远程对象的方法和如何表达、传输和维护对象的引用。
Spying on the Network Protocol 监视网络协议
对COM编程者来说,网络协议的每一层几乎都被隐藏,最有效的方法是在DCOM客户端和组件之间监视网络传输,这时,需要一类叫网络嗅探器的特殊的软件(或硬件),有许多第三方的软件能够监视网络通讯,有一个叫“网络监视器(Network Monitor)”,如图4所示,它是微软Windows NT和SMS产品中的一个工具,SMS中所带的是全功能的,Windows NT中所带的只支持有限的协议并且只能查看服务器端的通讯。
图4 网络监视器
在“网络监视器”的Capture菜单中,选择Start,打开它的捕捉功能,接着运行DCOM测试程序,产生网络通讯,然后返回“网络监视器”,在Capture菜单中选择Stop and View,停止捕捉功能,并显示已经捕捉到的数据包。“网络监视器”是一个能理解许多网络协议的相当聪明的程序,它不仅仅能显示原始的数据包,而且能以一种智能和描述的方式显示捕捉的数据。与DCOM有关的协议中,“网络监视器”能识别和理解以太网、IP、UDP和RPC协议,在Display菜单中选择Filter,可以仅显示特定协议的数据包。
目前,“网络监视器”不支持DCOM协议,所以你只能以RPC的眼光看DCOM,这不会成为一个永远的问题,因为“网络监视器”提供了一个文档化的公开的接口,可以创建理解特定协议的DLL,开发能理解DCOM协议的DLL,留给读者作为练习。
为了分析DCOM协议,我们运行“网络监视器”来捕捉一个叫InsideDCOM的COM类产生的包,客户端运行在一台叫Thing1计算机上,它激活运行在Thing2计算机上的InsideDCOM,调用CoInitialize后, 客户端调用CoCreateInstanceEx实例化远方的类,代码如下:
CoInitialize(NULL);
COSERVERINFOServerInfo = { 0, L"Thing2", 0, 0 };
MULTI_QI qi = {&IID_IUnknown, NULL, 0 };
CoCreateInstanceEx(CLSID_InsideDCOM, NULL,
CLSCTX_REMOTE_SERVER,
&ServerInfo, 1, &qi);
调用CoCreateInstanceEx产生的网络通讯如图5所示。客户端车程序运行在Thing1上,它的IP为199.34.58.3,远程组件运行在Thing2上,它的IP为199.34.58.4。
图5 IUnknown请求包
图5中,可以很容易地看到数据包中的各层协议。在RPC数据头,你能看到接口IID是B8 4A 9F 4D 1C 7D CF 11 86 1E 00 20 AF6E 7C 57。与在“封送GUID解释”一节中一致,实际的IID为4D9F4AB8-7D1C-11CF-861E-0020AF6E7C57, 即IRemoteActivation接口。
远程激活(Activation)
IRemoteActivation是一个由Service Control Manager (SCM)暴露出来的RPC接口(不是COM接口),不要被SCM迷惑,它管理WindonwsNT服务,运行在每台计算机上,进程名称为RPCSS.EXE。IRemoteActivation只有一个方法RemoteActivation,它被设计用来激活远程计算机上的COM对象。这是一个非常强大的功能,但在纯RPC中没有提供,纯RPC中,服务器必须在客户端连接到来之间启动。Windows95和98缺少必要的安全机制支持远程启动服务器进程,但是这些平台上也能用IRemoteActivation接口和远程激活。IRemoteActivation接口的IDL定义如下所示。
[ // no objecthere. Not a COM interface!
uuid(4d9f4ab8-7d1c-11cf-861e-0020af6e7c57),
pointer_default(unique)
]
interface IRemoteActivation
{
const unsignedlong MODE_GET_CLASS_OBJECT = 0xffffffff;
HRESULTRemoteActivation(
[in] handle_t hRpc,
[in]ORPCTHIS *ORPCthis,
[out]ORPCTHAT *ORPCthat,
[in] constGUID *Clsid,
[in, string,unique] WCHAR *pwszObjectName,
[in, unique]MInterfacePointer *pObjectStorage,
[in]DWORD ClientImpLevel,
[in]DWORD Mode,
[in]DWORD Interfaces,
[in, unique,size_is(Interfaces)] IID *pIIDs,
[in] unsignedshort cRequestedProtseqs,
[in,size_is(cRequestedProtseqs)]
unsignedshort RequestedProtseqs[],
[out]OXID *pOxid,
[out]DUALSTRINGARRAY **ppdsaOxidBindings,
[out]IPID *pipidRemUnknown,
[out]DWORD *pAuthnHint,
[out]COMVERSION *pServerVersion,
[out]HRESULT *phr,
[out,size_is(Interfaces)]
MInterfacePointer **ppInterfaceData,
[out,size_is(Interfaces)] HRESULT *pResults
);
}
通过IRemoteActivation接口,一台机器上的SCM与另一台机器上的SCM联络,要求它激活一个对象,即客户机上的SCM调用服务器上SCM的IRemoteActivation::RemoteActivation,要求它激活以CLSID(方法第四个参数)为标识的对象。RemoteActivation返回一个激活对象的封送接口指针和两个特殊的值:接口指针标识(IPID)和对象对外联络标识(OXID)。IPID标识了一个进程中一个对象的一个特定的实例。OXID是一个RPC字符串,绑定了与IPID标识的接口进行连接所必要的信息。我们将在后面详细讨论它们。
每种支持的网络协议,都有一个周知的SCM端口,每个端口都标识了一个基于网络协议的虚拟通讯通道。例如,当使用TCP或UDP时,这个端口是1066,当使用命名管道时,管道名称为\\pipe\mypipe,常用协议下SCM所使用的端口如图7所示。
| Protocol String |
Description |
Endpoint |
| Ncadg_ip_udp |
Connectionless over UDP |
135 |
| Ncacn_ip_tcp |
Connection-oriented over TCP |
135 |
| Ncacn_nb_tcp |
Connection-oriented using NetBIOS over TCP |
135 |
| Ncacn_http |
Connection-oriented over HTTP |
80 |
图7 SCM 终端口
封送形式的GUID解释
通过网络传输的GUID应该根据IDL的定义进行解释。
typedef struct _GUID
{ DWORD Data1;
WORD Data2;
WORD Data3;
BYTE Data4[8];
} GUID;
由于GUID以低字节序被封送,所以再造GUID有两个步骤。第一步,重新分组在被捕捉的数据包中发现的GUID,使它看起来象一个标准的GUID,例如,一个数据包中,你定位到GUID:78 56 34 12 34 12 34 12 12 34 12 34 5678 9A BC,在第一步中,这个GUID被按标准的形式分组,如图8所示,这样就好看多了,是不是?现在低字节序的串要被整理为实际的GUID。GUID的前3部分(图8中的data1,data2,data3)需要按字节一个一个反转。GUID的最后一部分(data4)不需要修改,因为它是按简单的字符数组存储的。反转了GUID前3个部分后,经过第二步的处理,完整的GUID就是:12345678-1234-1234-1234-123456789ABC。
图8 标准形式的GUID
调用远程对象
对远程对象的方法调用,就是一个标准的DCE RPC调用:一个标准的请求协议数据单元(PDU)通过网络被发送,要求执行一个特定的方法。一个PDU是双方机器通讯的基本单位。请求PDU包含了要执行方法的所有输入参数([in]参数),但方法执行完后,应答客户端的PDU包含了所有输出参数([out]参数)。这看起很浅显,但实际上还是令人惊奇。一个远程的COM方法调用需要两个数据包:一个是客户端发给服务器端包含[in]参数的数据包,另一个是服务器端发给客户端包含[out]参数的数据包。19种定义的PDU类型如图9所示,注意其中某些类型是特定于面向有连接或无连接协议的。
| PDU Type |
Protocol |
Type Value |
| Request |
CO/CL |
0 |
| Ping |
CL |
1 |
| Response |
CO/CL |
2 |
| Fault |
CO/CL |
3 |
| Working |
CL |
4 |
| Nocall |
CL |
5 |
| Reject |
CL |
6 |
| Ack |
CL |
7 |
| Cl_cancel |
CL |
8 |
| Fack |
CL |
9 |
| Cancel_ack |
CL |
10 |
| Bind |
CO |
11 |
| Bind_ack |
CO |
12 |
| Bind_nak |
CO |
13 |
| Alter_context |
CO |
14 |
| Alter_context_resp |
CO |
15 |
| Shutdown |
CO |
17 |
| Co_cancel |
CO |
18 |
| Orphaned |
CO |
19 |
图9 PDU类型
有连接的协议,如TCP,在客户端和服务器端维护一个连接,保证信息送到的顺序与发送的顺序相同,无连接的协议,如UDP,不在客户端和服务器端维护连接,不能保证客户端的信息实际送达服务器端,而且,即使送达,信息包也可能与发送时的顺序不同。缺省情况下,DCOM在Windows NT之间采用无连接的UDP,但这并不能说DCOM不可靠,采用无连接协议时,RPC利用自身的机制保证信息包顺序和到达感知。
一个RPC PDU包括3个部分,其中只需要第一部分:
· 一个PDU头,其中包含协议控制信息。
· 一个PDU体,其中包含数据。例如请求或应答PDU分别包含了操作的输入和输出参数。这个信息以Network DataRepresentation (NDR)形式存储。
· 一个身份认证检查体,其中包含了认证协议的特定数据。例如,认证协议可以包含一个加密的校验和来保证数据包的完整性。
无连接协议的PDU头部的IDL结构定义如图10所示。包类型字段(ptype)标识了PDU的类型,它的值通常是图9中定义的19个之一。ORPC用类标识符字段(objec)保存IPID。接口标识符字段(if_id)必须是COM接口的IID。这似乎有点冗余,因为object字段的IPID已经标识了这个接口,但是,把IID放在if_id字段可以使DCOM在标准的OSF DCE RPC实现上也能成功工作。在Windows平台,RPC实现已被优化,方法调用可以仅依赖于IPID的内容,而忽略IID。最后,接口版本字段(if_vers)必须是0.0,这是因为COM接口在发布之后可能永远不会修改,COM接口不支持版本化,如果修改,应定义一个新接口。所有这些字段都可以在图5中的RPC头中找到。
typedef struct
{
unsigned small rpc_vers = 4; // RPC protocolmajor version
unsigned small ptype; // packet type
unsigned small flags1; // packet flags
unsigned small flags2; // packet flags
byte drep[3]; // data representationformat label
unsigned small serial_hi; // high byte ofserial number
GUID object; // object identifier(Contains the IPID)
GUID if_id; // interface identifier (IID)
GUID act_id; // activity identifier
unsigned long server_boot; // server boottime
unsigned long if_vers; // interfaceversion
unsigned long seqnum; // sequence number
unsigned short opnum; // operation number
unsigned short ihint; // interface hint
unsigned short ahint; // activity hint
unsigned short len; // length of packeybody
unsigned short fragnum; // fragment number
unsigned small auth_proto; //authentication protocol id
unsigned small serial_lo; // low byte ofserial number
} dc_rpc_cl_pkt_hdr_t;
这样那样
所有通过网络的COM方法调用,PDU请求中包含的第一个参数比较特别,它在所有参数之前,叫ORPCTHIS。如果下面所示的COM方法:HRESULT Sum(int x, int y, [out, retval] int* result)
被调用,实际PDU请求的参数为: Sum(ORPCTHISorpcthis, int x, int y)。
ORPCTHIS结构的定义如下:
// Implicit ‘this'pointer which is the first [in]
// parameter onevery ORPC call.
typedef structtagORPCTHIS {
COMVERSIONversion; // COM version number (5.2)
unsigned longflags; // ORPCF flags for presence of
// other data
unsigned longreserved1; // set to zero
CID cid; // causality id of caller
ORPC_EXTENT_ARRAY* extensions; // [unique] extensions
} ORPCTHIS;
ORPCTHIS结构第一个参数指定了这个方法调用所采用的DCOM协议版本号,Windows95 1.0版和WindowsNT4.0补丁3之前,COM版本是5.1;WindowsNT 4.0补丁3,COM版本是5.2;Windows95 1.1中的DCOM和WindowsNT 4.0补丁3之后,COM的版本是5.3。由于每次远程调用都包含有ORPCTHIS结构体,所以DCOM的版本也就传递到服务器上。在服务器上,客户端的DCOM版本与服务器端的进行比较,如果二者的主版本号不匹配,错误RPC_E_VERSION_MISMATCH会传给客户端,但允许服务器上的次版本号高于客户端,这时,服务器必须将DCOM协议的应用限制到客户端版本的允许的范围。
因果ID(causality identifier ,CID)是一个GUID,它将那些多次相关的调用联系起来。例如,如果机器A上的客户端A调用机器B上的组件B,而组件B在返回给A之前,调用机器C上的组件C,这些调用被称为有因果关系。产生一个新调用(不是处理一个进来的调用)时,根据DCOM协议,就会产生一个新CID。如果是后续调用,同一个CID会被传播,即组件B会代表客户端A使用同样的CID,即使组件B采用连接点或其他机制回调客户端A也采用同样的CID。ORPCTHIS的扩展域字段允许COM调用附加额外的数据。
目前,只有定义了两个扩展:一个是用于错误信息(IErrorInfo),另一个用于ORPC调试。对ORPCTHIS的定制扩展,可以采用一个叫通道钩(channel hooking)的没有被文档收录的技术。关于通道钩的更多的信息,请参阅January1998 installment of Don Box'sActiveX®/COM column。
在每个COM方法的应答PDU中,有一个特别的外传参数(ORPCTHAT),它被插在所有外传参数之前,因此,如果一个如下的COM方法: HRESULT Sum(int x, int y, [out, retval] int* result),它的应答PDU将是 HRESULT Sum(ORPCTHAT orpcthat, intresult)。
ORPCTHAT结构的定义如下:
// Implicit ‘that'pointer which is the first [out]
// parameter onevery ORPC call.
typedef structtagORPCTHAT {
unsignedlong flags; // ORPCF flags for presence
// of other data
ORPC_EXTENT_ARRAY *extensions; // [unique] extensions
} ORPCTHAT;
喵!
在DCOM网络协议中,方法参数的传送按照OSF DEC RPC所规定的网络数据描述(Network Data Representation ,NDR)格式。NDR精确地规定了所有能被IDL理解的原生数据类型是如何被封装到数据包的,DCOM对NDR的仅有扩展是对封送接口指针的支持。在接口定义中,iid是一个IDL的关键字,它可以被认为是一个新的能被封送的原生数据类型:接口指针。使用“接口指针”这个词有点问题,因为它使人在精神上想起指向vtable结构(该结构包含若干指向方法的指针)的指针,但是一旦它被封送到数据包中,情况更本不是那样,它仅是一个获取某个对象的符号表示,因而它仅仅是一个对象参考而已。被封送的接口指针的格式由MInterfacePointer结构决定:
// Wirerepresentation of a marshaled interface
// pointer, alwaysthe little-endian form of an OBJREF
typedef structtagMInterfacePointer {
ULONG ulCntData; // size of data
byte abData[]; // [size_is(ulCntData)]
// data
}MInterfacePointer, *PMInterfacePointer;
跟在ulCntData之后的byte数组包含了实际的对象引用,它是一个叫OBJREF的结构(定义见图11)。OBJREF是一个用来表示对象引用的数据结构,根据采用的封送类型,OBJREF有三种形式:标准、指针或自定(standard, handler, custom)。
// Although thisstructure is conformant, it is always
// marshaled inlittle-endian byte-order.
typedef structtagOBJREF {
unsignedlong signature; // Always MEOW
unsignedlong flags; // OBJREF flags
GUID iid; // interface identifier
union { // [switch_is(flags), switch_type(unsignedlong)]
struct{ // [case(OBJREF_STANDARD)]
STDOBJREF std; // standard objref
DUALSTRINGARRAY saResAddr; // resolver address
}u_standard;
struct{ // [case(OBJREF_HANDLER)]
STDOBJREF std; // standard objref
CLSID clsid; // Clsid of handler code
DUALSTRINGARRAY saResAddr; // resolver address
} u_handler;
struct{ // [case(OBJREF_CUSTOM)]
CLSID clsid; // Clsid of unmarshaling code
unsignedlong cbExtension; // size of extension data
unsigned long size; // size of data thatfollows
byte *pData; // extension + class specific data
// [size_is(size),ref]
} u_custom;
} u_objref;
} OBJREF;
图11 OBJREF 结构
OBJREF的起始字段是一个无符号long,它是一个签名字段,内容是0x574F454D(十六进制),有意思的是,如果你按照低字节序重新组织一下(4D 45 4F 57),并转换成相应的ASCII码,结果是MEOW。有人推测这是Microsoft Extended Object Wirerepresentation的首字母缩写,但没人敢肯定。对MEOW结构最好的事情是,被网络监视器捕捉到大量的数据包中,我们可以很容易地找到一个对象的引用:就是找到MEOW。要注意的是,不管NDR其他部分的格式如何,一个封送的接口指针的网络格式总是小字节序的。虽然对象的引用可以有多种存储格式,不太可能,也不太希望传送一个表示字节序的标志(因而会增加数据包大小),因此COM的对象引用都是以小字节序传输。
OBJREF结构中,跟在MEOW签名字段后的是标志(flags)字段,它表示了对象引用的形式,可以被设置成OBJREF_STANDARD (1), OBJREF_HANDLER (2), or OBJREF_CUSTOM (4)。OBJREF结构最后的字段是IID,它表示了被封送的接口标识。图12是被捕捉到的,对图5请求PDU的应答数据包。图5中,调用CoCreateInstance方法请求一个对象的IUnknown接口,图12中,你能看到应答的PDU,它包含了封送的IUnknown接口指针(由“MEOW”标识)。
图12 IUnknown 应答包
The Standard Object Reference标准对象引用
上面OBJREF结构中标志(flags)字段(OBJREF_STANDARD,值为1)表示采用标准的封送方式。基于该值,OBJREF结构剩余的字段包含一个STDOBJREF字段和一个DUALSTRINGARRAY字段。STDOBJREF机构如下:
typedef structtagSTDOBJREF {
unsignedlong flags; // SORF_ flags
unsignedlong cPublicRefs; // count of references
// passed
OXID oxid; // oxid of server with thisoid
OID oid; // oid of object with this ipid
IPID ipid; // ipid of Interface
} STDOBJREF;
STDOBJREF结构的第一个字段是关于对象引用的标识(flags)字段,尽管这个标识字段的大部分值都被系统保留使用,但SORF_NOPING (0x1000)这个值可以用来表明对象不需要被ping(DCOM协议采用ping方式实现复杂的垃圾回收机制,以后将涉及)。STDOBJREF结构的第二个参数cPublicRefs规定了要传输的IPID的引用次数,设置对一个接口的引用次数,避免了客户端在每次调用远程方法时都需要调用IUnknown::AddRef。
STDOBJREF结构的第三个参数规定了拥有对象的服务器的OXID。一个IPID标识了一个进程中的一个特定对象的一个特定接口,但仅仅一个IPID不能包含一次方法调用的足够信息。DCOM和RPC都采用字符串规定远程方法调用的绑定信息。RPC绑定字符串包含了诸如调用采用的网络协议,组件运行的服务器地址等信息。当DCOM准备连接一个特定的OXID时,安全绑定字符串被用来判断哪些参数要传递给RPC基础架构。OXID是一个无符号的混合变量(64位),代表了这个连接信息。调用远程方法之前,客户端将一个OXID转换成一个RPC能理解的绑定字符串。这个转换将在下面讲述。
STDOBJREF结构的第四个参数是实现封送接口对象的对象标识(OID)。OID是64位值,会被用作ping机制的一部分。STDOBJREF结构的最后字段是封送接口的真正的标识(IPID)。
(未完)