编程随记 ---- 拼包程序(二)
找来了Richard Stevens的经典著作《TCP/IP祥解 卷1:协议》仔细的
翻阅TCP和IP协议部分。从而发现截获到的数据包前面包含若干头:
wpcap Header + Ethernet Header + IP Header + TCP Header + Data
前面已经分析了wpcap的头部。由于只需要分析TCP数据包,所以以太网包
头部只需解析一下类型字段,看是不是后面封装的IP包(类型字段是不是
0800)。然后分析一下IP头,找到源和目的IP地址。再查看8位协议字段,
看IP包封装的是否是TCP包,当协议字段的值为6时,为TCP包。再相应解析
tcp头,解析出源和目的IP的端口号,并需要保存seq,ack,flag,已备后
面分析三次握手协议和断开连接时作准备。
上述过程很简单,看了具体的协议内容就可以实现。但是接下来分析
TCP连接过程时则相应比较麻烦些。TCP建立连接过程必须满足三次握手协
议:
1、源端发送一个SYN:seq1的TCP包;
2、目的端收到上面的包后,返回一个SYN:seq2:ack2的TCP包,其中ack2
值为seq1+1;
3、源端收到目的端的TCP包后,再发送一个ack1的TCP包,其中ack1的
值为seq2+1。
这样,经过三个TCP包才能正常建立一个TCP连接。而且这个连接是双向的,
所以需要对每个方向分别保存数据。显然可以使用srcIP + desIP + srcPort
+ desPort来唯一标示一个半连接。用socket来简记。
而对于每个socket必须标记该状态,记录达到那个步骤。
因此,当发现一个SYN的TCP包时,需要查看以前有没有该socket,有则
看该socket的状态,从而来判断上述协议。
同样,断开连接也需要两个阶段:
1、源端发送一个FIN:seq1的TCP包;
2、目的端发送一个ack2的TCP包,其中ack2=seq1+1;
注意,这个阶段只是断开一个方向的连接。如果另外一个方向需要断开连接
同样需要上述阶段。
这样,一个拼包程序的整体框架就有了。下面需要解决的只是细节和性
能问题。
附:(一些头定义)
/* Ethernet header */
typedef struct sniff_ethernet {
u_char ether_dhost[ETHER_ADDR_LEN]; /* Destination host address */
u_char ether_shost[ETHER_ADDR_LEN]; /* Source host address */
u_short ether_type; /* IP? ARP? RARP? etc */
} tEthernetHead;
/* IPv4 header */
typedef struct ip_header{
u_char ver:4,
ihl:4; // Version (4 bits) + Internet header length (4 bits)
u_char tos; // Type of service
u_short tlen; // Total length
u_short identification; // Identification
u_short flags_fo; // Flags (3 bits) + Fragment offset (13 bits)
u_char ttl; // Time to live
u_char proto; // Protocol
u_short crc; // Header checksum
u_char saddr[4]; // Source address
u_char daddr[4]; // Destination address
u_int op_pad; // Option + Padding
}ip_header;
typedef struct udp_header{
u_short sport; // Source port
u_short dport; // Destination port
u_short len; // Datagram length
u_short crc; // Checksum
}udp_header;
typedef struct tcphdr {
u_short th_sport; /* source port */
u_short th_dport; /* destination port */
u_int th_seq; /* sequence number */
u_int th_ack; /* acknowledgement number */
u_char th_off:4, /* data offset */
th_x2:4; /* (unused) */
u_char th_flags;
#define TH_FIN 0x01
#define TH_SYN 0x02
#define TH_RST 0x04
#define TH_PUSH 0x08
#define TH_ACK 0x10
#define TH_URG 0x20
u_short th_win; /* window */
u_short th_sum; /* checksum */
u_short th_urp; /* urgent pointer */
}tcp_header;
