原始套接字-1

原始套接字-1

2010-05-20 00:13:16|  分类: 计算机与 Interne |字号 订阅

大多数程序员所接触到的套接字(Socket)为两类:

  (1)流式套接字(SOCK_STREAM):一种面向连接的Socket,针对于面向连接的TCP服务应用;

  (2)数据报式套接字(SOCK_DGRAM):一种无连接的Socket,对应于无连接的UDP服务应用。

  从用户的角度来看,SOCK_STREAM、SOCK_DGRAM这两类套接字似乎的确涵盖了TCP/IP应用的全部,因为基于TCP/IP的应用,从协议栈的层次上讲,在传输层的确只可能建立于TCP或UDP协议之上(图1),而SOCK_STREAM、SOCK_DGRAM又分别对应于TCP和 UDP,所以几乎所有的应用都可以用这两类套接字实现。



图1 TCP/IP协议栈

  但是,当我们面对如下问题时,SOCK_STREAM、SOCK_DGRAM将显得这样无助:

  (1) 怎样发送一个自定义的IP包?

  (2) 怎样发送一个ICMP协议包?

  (3) 怎样使本机进入杂糅模式,从而能够进行网络sniffer?

  (4) 怎样分析所有经过网络的包,而不管这样包是否是发给自己的?

  (5) 怎样伪装本地的IP地址?

  这使得我们必须面对另外一个深刻的主题――原始套接字(Raw Socket)。Raw Socket广泛应用于高级网络编程,也是一种广泛的黑客手段。著名的网络sniffer、拒绝服务攻击(DOS)、IP欺骗等都可以以Raw Socket实现。

  Raw Socket与标准套接字(SOCK_STREAM、SOCK_DGRAM)的区别在于前者直接置"根"于操作系统网络核心(Network Core),而SOCK_STREAM、SOCK_DGRAM则"悬浮"于TCP和UDP协议的外围,如图2所示:



图2 Raw Socket与标准Socket

  当我们使用Raw Socket的时候,可以完全自定义IP包,一切形式的包都可以"制造"出来。因此,本文事先必须对TCP/IP所涉及IP包结构进行必要的交待。

  目前,IPv4的报头结构为:

版本号(4) 包头长(4) 服务类型(8)
数据包长度(16)

标识(16)
偏移量(16)

生存时间(8)
传输协议(8)
校验和(16)

源地址(32) 		 

目的地址(32) 		 

选项(8)
.........
填充

  对其进行数据结构封装:

typedef struct _iphdr //定义IP报头 

 unsigned char h_lenver; //4位首部长度+4位IP版本号 
 unsigned char tos; //8位服务类型TOS 
 unsigned short total_len; //16位总长度(字节) 
 unsigned short ident; //16位标识 
 unsigned short frag_and_flags; //3位标志位 
 unsigned char ttl; //8位生存时间 TTL 
 unsigned char proto; //8位协议 (TCP, UDP 或其他) 
 unsigned short checksum; //16位IP首部校验和 
 unsigned int sourceIP; //32位源IP地址 
 unsigned int destIP; //32位目的IP地址 
} IP_HEADER;

  或者将上述定义中的第一字节按位拆分:

typedef struct _iphdr //定义IP报头 

 unsigned char h_len : 4; //4位首部长度
 unsigned char ver : 4; //4位IP版本号 
 unsigned char tos; 
 unsigned short total_len; 
 unsigned short ident; 
 unsigned short frag_and_flags; 
 unsigned char ttl; 
 unsigned char proto; 
 unsigned short checksum; 
 unsigned int sourceIP; 
 unsigned int destIP; 
} IP_HEADER;

  更加严格地讲,上述定义中h_len、ver字段的内存存放顺序还与具体CPU的Endian有关,因此,更加严格的IP_HEADER可定义为:

typedef struct _iphdr //定义IP报头 

 #if defined(__LITTLE_ENDIAN_BITFIELD)
  unsigned char h_len : 4; //4位首部长度
  unsigned char ver : 4; //4位IP版本号 
 #elif defined (__BIG_ENDIAN_BITFIELD)
  unsigned char ver : 4; //4位IP版本号 
  unsigned char h_len : 4; //4位首部长度
 #endif
 unsigned char tos; 
 unsigned short total_len; 
 unsigned short ident; 
 unsigned short frag_and_flags; 
 unsigned char ttl; 
 unsigned char proto; 
 unsigned short checksum; 
 unsigned int sourceIP; 
 unsigned int destIP; 
} IP_HEADER;

  TCP报头结构为:


源端口(16)
目的端口(16)

序列号(32)

确认号(32)

TCP偏移量(4)
保留(6)
标志(6)
窗口(16)

校验和(16)
紧急(16)

选项(0或32)

数据(可变)

  对应数据结构:

typedef struct psd_hdr //定义TCP伪报头 

 unsigned long saddr; //源地址 
 unsigned long daddr; //目的地址 
 char mbz; 
 char ptcl; //协议类型 
 unsigned short tcpl; //TCP长度 
}PSD_HEADER; 
typedef struct _tcphdr //定义TCP报头 

 unsigned short th_sport; //16位源端口 
 unsigned short th_dport; //16位目的端口 
 unsigned int th_seq; //32位序列号 
 unsigned int th_ack; //32位确认号 
 unsigned char th_lenres; //4位首部长度/4位保留字 
 unsigned char th_flag; //6位标志位 
 unsigned short th_win; //16位窗口大小 
 unsigned short th_sum; //16位校验和 
 unsigned short th_urp; //16位紧急数据偏移量 
} TCP_HEADER;

  同样地,TCP头的定义也可以将位域拆分:

typedef struct _tcphdr
{
 unsigned short th_sport; 
 unsigned short th_dport; 
 unsigned int th_seq; 
 unsigned int th_ack; 
 /*little-endian*/
 unsigned short tcp_res1: 4, tcp_hlen: 4, tcp_fin: 1, tcp_syn: 1, tcp_rst: 1, tcp_psh: 1, tcp_ack: 1, tcp_urg: 1, tcp_res2: 2;
 unsigned short th_win; 
 unsigned short th_sum; 
 unsigned short th_urp; 
} TCP_HEADER;

  UDP报头为:


源端口(16)
目的端口(16)

报文长(16)
校验和(16)

  对应的数据结构为:

typedef struct _udphdr //定义UDP报头 
{
 unsigned short uh_sport;//16位源端口
 unsigned short uh_dport;//16位目的端口
 unsigned short uh_len;//16位长度
 unsigned short uh_sum;//16位校验和
} UDP_HEADER;

  ICMP协议是网络层中一个非常重要的协议,其全称为Internet Control Message Protocol(因特网控制报文协议),ICMP协议弥补了IP的缺限,它使用IP协议进行信息传递,向数据包中的源端节点提供发生在网络层的错误信息反馈。ICMP报头为:


类型(8)
代码(8)
校验和(16)
消息内容

  常用的回送与或回送响应ICMP消息对应数据结构为:

typedef struct _icmphdr //定义ICMP报头(回送与或回送响应)

 unsigned char i_type;//8位类型
 unsigned char i_code; //8位代码 
 unsigned short i_cksum; //16位校验和 
 unsigned short i_id; //识别号(一般用进程号作为识别号) 
 unsigned short i_seq; //报文序列号 
 unsigned int timestamp;//时间戳 
} ICMP_HEADER;

  常用的ICMP报文包括ECHO-REQUEST(响应请求消息)、ECHO-REPLY(响应应答消息)、Destination Unreachable(目标不可到达消息)、Time Exceeded(超时消息)、Parameter Problems(参数错误消息)、Source Quenchs(源抑制消息)、Redirects(重定向消息)、Timestamps(时间戳消息)、Timestamp Replies(时间戳响应消息)、Address Masks(地址掩码请求消息)、Address Mask Replies(地址掩码响应消息)等,是Internet上十分重要的消息。后面章节中所涉及到的ping命令、ICMP拒绝服务攻击、路由欺骗都与 ICMP协议息息相关。

  另外,本系列文章中的部分源代码参考了一些优秀程序员的开源项目,由于篇幅的关系我们不能一一列举,在此一并表示感谢。

  So, let‘s go.

来源: <http://okme0410.blog.163.com/blog/static/175039288201042001316642/>

时间: 2024-08-09 10:32:21

原始套接字-1的相关文章

python使用原始套接字 解析原始ip头数据

使用底层套接字解码底层流量,是这次做的重点工作. 首先来捕获第一个包 # coding:utf-8import socket # 监听的主机IP host = "192.168.1.100" socket_protocol = socket.IPPROTO_ICMP sniffer = socket.socket(socket.AF_INET, socket.SOCK_RAW, socket_protocol) sniffer.bind((host, 0)) sniffer.setso

linux原始套接字(3)-构造IP_TCP发送与接收

一.概述                                                    tcp报文封装在ip报文中,创建tcp的原始套接字如下: 1 sockfd = socket(PF_INET, SOCK_RAW, IPPROTO_TCP); 此时只能构造tcp报文,如果想进一步构造ip首部,那么就要开启sockfd的IP_HDRINCL选项: 1 int on = 1; 2 setsockopt(sockfd, IPPROTO_IP, IP_HDRINCL, &on

linux原始套接字(2)-icmp请求与接收

一.概述                                                    上一篇arp请求使用的是链路层的原始套接字.icmp封装在ip数据报里面,所以icmp请求可以直接使用网络层的原始套接字,即socket()第一个参数是PF_INET.如下: 1 sockfd = socket(PF_INET, SOCK_RAW, IPPROTO_ICMP); icmp报文不同的类型有不同的格式,我们以icmp回显请求和会显应答报文格式(即ping程序使用的报文类型)

linux原始套接字(1)-arp请求与接收

一.概述                                                   以太网的arp数据包结构: arp结构op操作参数:1为请求,2为应答. 常用的数据结构如下: 1.物理地址结构位于netpacket/packet.h 1 struct sockaddr_ll 2 { 3 unsigned short int sll_family; 4 unsigned short int sll_protocol; 5 int sll_ifindex; 6 unsi

004.原始套接字,拼接UDP数据包,通信

大致流程: 建立一个client端,一个server端,自己构建IP头和UDP头,写入数据(hello,world!)后通过原始套接字(SOCK_RAW)将包发出去. server端收到数据后,打印UDP数据并发送确认消息(yes),client收到yes后将其打印. 其中: client端IP:192.168.11.104 端口:8600 server端IP:192.168.11.105 端口:8686 注意事项: 1.运行原始套接字socket需要有root权限. 2.注意主机字节序和网络字

关于linux 原始套接字编程

关于linux 网络编程最权威的书是<<unix网络编程>>,但是看这本书时有些内容你可能理解的不是很深刻,或者说只知其然而不知其所以然,那么如果你想搞懂的话那么我建议你可以看看网络协议栈的实现. 函数原型是 int socket(int domain, int type, int protocol); 其中domain 中AF_INET , AF_UNIT 较为常用,分别创建inet 域套接字和unix域套接字,unix套接字与文件相关.平时80%用的套接字都是AF_INET.这

原始套接字(SOCK_RAW)

本文转载:http://www.cnblogs.com/duzouzhe/archive/2009/06/19/1506699.html,在此感谢 原始套接字(SOCK_RAW). 应用原始套接字,我们可以编写出由TCP和UDP套接字不能够实现的功能. 注意原始套接字只能够由有 root权限的人创建. 10.1 原始套接字的创建 int sockfd(AF_INET,SOCK_RAW,protocol) 可以创建一个原始套接字.根据协议的类型不同我们可以创建不同类型的原始套接字 比如:IPPRO

原始套接字SOCK_RAW

原始套接字SOCK_RAW 实际上,我们常用的网络编程都是在应用层的报文的收发操作,也就是大多数程序员接触到的流式套接字(SOCK_STREAM)和数据包式套接字(SOCK_DGRAM).而这些数据包都是由系统提供的协议栈实现,用户只需要填充应用层报文即可,由系统完成底层报文头的填充并发送.然而在某些情况下需要执行更底层的操作,比如修改报文头.避开系统协议栈等.这个时候就需要使用其他的方式来实现. 一 原始套接字 原始套接字(SOCK_RAW)是一种不同于SOCK_STREAM.SOCK_DGR

ICMP拒绝服务攻击(原始套接字系列四)

拒绝服务攻击(DoS)企图通过使被攻击的计算机资源消耗殆尽从而不能再提供服务,拒绝服务攻击是最容易实施的攻击行为.中美黑客大战中的中国黑客一般对美进行的就是拒绝服务攻击,其技术手段大多不够高明. ICMP实现拒绝服务攻击的途径有二:一者"单刀直入",一者"借刀杀人".具体过程分析如下:   ICMPFLOOD攻击 大量的 ICMP消息发送给目标系统,使得它不能够对合法的服务请求做出响应.中美黑客大战中的多数中国黑客采用的正是此项技术.ICMP FLOOD攻击实际上是

原始套接字基础(原始套接字系列二)

在进入Raw Socket多种强大的应用之前,我们先讲解怎样建立一个Raw Socket及怎样用建立的Raw Socket发送和接收IP包. 建立Raw Socket 在Windows平台上,为了使用Raw Socket,需先初始化WINSOCK: // 启动 WinsockWSAData wsaData;if (WSAStartup(MAKEWORD(2, 1), &wsaData) != 0){ cerr << "Failed to find Winsock 2.1 or