| |
| 学习Linux下的网络监听技术 保卫您电脑二 |
|
http://www.secu.com.cn 中国安防产品网 时间:2006-9-25 8:19:00  |
监听的协议分析
我们的研究从监听程序的编写开始,用Linux C语言设计实现。
以太网上数据帧的监听剖析
以太网上的数据帧主要涉及Tcp/ip协议,针对以下几个协议的分析:IP,ARP,RARP,IPX,其中重点在于ip和 arp协议,这两个协议是多数网络协议的基础,因此把他们研究彻底,就对大多数的协议的原理和特性比较清楚了。 由于各种协议的数据帧个不相同,所以涉及很多的数据帧头格式分析,接下来将一一描述。
在linux 下监听网络,应先设置网卡状态,使其处于杂混模式以便监听网络上的所有数据帧。然后选择用Linux socket 来截取数据帧,通过设置socket() 函数参数值,可以使socket截取未处理的网络数据帧,关键是函数的参数设置,下面就是有关的程序部分:
if ( ( fd=socket (af_inet, sock_packet,htons(0x0003)))<0)
{perror (“can get sock_packet socket
”);
exit(0);
}
AF_INET=2 表示 internet ip protocol
SOCK_PACKET=10 表示 截取数据帧的层次在物理层,既不作处理。
Htons(0x0003)表示 截取的数据帧的类型为不确定,既接受所有的包。
总的设定就是网卡上截取所有的数据帧。这样就可以截取底层数据帧,因为返回的将是一个指向数据的指针,为了分析方便,我设置了一个基本的数据帧头结构。
Struct etherpacket
{struct ethhdr eth;
struct iphdr ip;
struct tcphdr tcp;
char buff[8192];
} ep;
将返回的指针赋值给指向数据帧头结构的指针,然后对其进行分析。以下是有关协议的报头:ethhdr 这是以太网数据帧的mac报头:
--------------------------------------------------------
|48bit 目的物理地址 | 48bit 源物理地址 | 16bit 协议地址|
--------------------------------------------------------
相应的数据结构如下
struct ethhdr
{
unsigned char h_dest[ETH_ALEN];
unsigned char h_source[ETH_ALEN];
unsigned short h_proto;
}
其中h_dest[6]是48位的目标地址的网卡物理地址,h_source [6] 是48位的源地址的物理网卡地址。H_proto是16位的以太网协议,其中主要有0x0800 ip,0x8035.X25,0x8137 ipx,0x8863-0x8864 pppoe(这是Linux的 ppp),0x0600 ether _loop_back ,0x0200-0x0201 pup等。Iphdr 这是ip协议的报头:
由此可以定义其结构如下:
struct iphdr{#elif defined (_LITTLE_ENDIAN_BITFIELD) _u8 version :4,#elif defined (_BIG_ENDIAN_BITFIELD) _u8 version:4,ihl:4;
#else #error "Please fix"#endif_u8 tos;_16 tot_len;
_u16 id;_u16 frag_off;_u8 ttl;_u8 protocol;_u16 check;
_u32 saddr;_u32 daddr;};
这是Linux 的ip协议报头,针对版本的不同它可以有不同的定义,我们国内一般用BIG的定义,其中version 是ip的版本,protocol是ip的协议分类主要有0x06 tcp.0x11 udp,0x01 icmp,0x02 igmp等,saddr是32位的源ip地址,daddr是32位的目标ip地址。
|
|
| 【评论】【大 中 小】【打印】【关闭】 |
| |
|
|
|
 |
资讯搜索 |
|
|
|
|
|
|
