网络安全项目实战(三)--报文检测
6. TCP/IP协议栈及以太网帧
- 目标
- 了解TCP/IP协议栈的组织结构
- 掌握以太网帧的数据格式定义
- 能应用编码实现以太网帧的解析方法
6.1. TCP/IP 协议栈
TCP/IP网络协议栈分为应用层(Application)、传输层(Transport)、网络层(Network)和链路层(Link)四层。如下图所示(该图出自[TCPIP])。
两台计算机通过TCP/IP协议通讯的过程如下所示(该图出自[TCPIP])。?
传输层及其以下的机制由内核提供,应用层由用户进程提供(后面将介绍如何使用socket API编写应用程序),应用程序对通讯数据的含义进行解释,而传输层及其以下处理通讯的细节,将数据从一台计算机通过一定的路径发送到另一台计算机。应用层数据通过协议栈发到网络上时,每层协议都要加上一个数据首部(header),称为封装(Encapsulation),如下图所示(该图出自[TCPIP])。?
不同的协议层对数据包有不同的称谓,在传输层叫做段(segment),在网络层叫做数据报(datagram),在链路层叫做帧(frame)。数据封装成帧后发到传输介质上,到达目的主机后每层协议再剥掉相应的首部,最后将应用层数据交给应用程序处理。我们在pcap文件中,所得到的package data数据就是一个以太网帧, 因此对“package data”的解析就是解析一个以太网帧
?
6.2. 以太网(RFC 894)帧格式
以太网的帧格式如下所示(该图出自[TCPIP]):
- 源地址是指网卡的硬件地址(也叫MAC地址),长度是48位,是在网卡出厂时固化的。用ifconfig命令看一下,“HWaddr 00:15:F2:14:9E:3F”部分就是硬件地址。
- 目的地址, 意义同源地址
-
协议字段有三种值,分别对应IP、ARP、RARP。帧末尾是CRC校验码。
以太网帧中的数据长度规定最小46字节,最大1500字节。
ARP和RARP数据包的长度不够46字节,要在后面补填充位。
最大值1500称为以太网的最大传输单元(MTU),不同的网络类型有不同的MTU,如果一个数据包从以太网路由到拨号链路上,数据包长度大于拨号链路的MTU了,则需要对数据包进行分片(fragmentation)。
ifconfig命令的输出中也有“MTU:1500”。
注意,MTU这个概念指数据帧中有效载荷的最大长度,不包括帧首部的长度。
?
6.3. 以太网栈头部
// /usr/include/linux/if_ether.h
struct ethhdr {
unsigned char h_dest[ETH_ALEN]; /* 目标mac地址 */
unsigned char h_source[ETH_ALEN]; /* 源mac地址 */
__be16 h_proto; /* 以太网类型 */
} __attribute__((packed));
6.4. 以太网帧解析代码
一下为以太网帧的核心解析代码
MAC_FRM_HDR *mac_hdr; //define a Ethernet frame header
IP_HDR *ip_hdr; //define a IP header
char *tmp1, *tmp2;
int AND_LOGIC = 0xFF;
mac_hdr = buf; //buf is what we got from the socket program
ip_hdr = buf + sizeof(MAC_FRM_HDR);
//udp_hdr = buf + sizeof(MAC_FRM_HDR) + sizeof(IP_HDR); //if we want to analyses the UDP/TCP
tmp1 = mac_hdr->src_addr;
tmp2 = mac_hdr->dest_addr;
/* print the MAC addresses of source and receiving host */
printf("MAC: %.2X:%.2X:%.2X:%.2X:%.2X:%.2X==>" "%.2X:%.2X:%.2X:%.2X:%.2X:%.2X",
tmp1[0]&AND_LOGIC, tmp1[1]&AND_LOGIC, tmp1[2]&AND_LOGIC,tmp1[3]&AND_LOGIC,
tmp1[4]&AND_LOGIC, tmp1[5]&AND_LOGIC,
tmp2[0]&AND_LOGIC, tmp2[1]&AND_LOGIC, tmp2[2]&AND_LOGIC,tmp2[3]&AND_LOGIC,
tmp2[4]&AND_LOGIC, tmp2[5]&AND_LOGIC);
tmp1 = (char*)&ip_hdr->ip_src;
tmp2 = (char*)&ip_hdr->ip_dest;
/* print the IP addresses of source and receiving host */
printf("IP: %d.%d.%d.%d => %d.%d.%d.%d",
tmp1[0]&AND_LOGIC, tmp1[1]&AND_LOGIC, tmp1[2]&AND_LOGIC,tmp1[3]&AND_LOGIC,
tmp2[0]&AND_LOGIC, tmp2[1]&AND_LOGIC, tmp2[2]&AND_LOGIC,tmp2[3]&AND_LOGIC);
/* print the IP protocol which was used by the socket communication */
switch(ip_hdr->ip_protocol) {
case IPPROTO_ICMP: LOGI("ICMP"); break;
case IPPROTO_IGMP: LOGI("IGMP"); break;
case IPPROTO_IPIP: LOGI("IPIP"); break;
case IPPROTO_TCP:
case IPPROTO_UDP:
LOGI("Protocol: %s", ip_hdr->ip_protocol == IPPROTO_TCP ? "TCP" : "UDP");
LOGI("Source port: %u, destination port: %u", udp_hdr->s_port, udp_hdr->d_port);
break;
case IPPROTO_RAW: LOGI("RAW"); break;
default: printf("Unknown, please query in inclued/linux/in.h\n"); break;
}
7. IP 报文
- 目标
- 了解IP报文的组织结构
- 掌握IP报文的分析方法。
7.1. IP数据报格式
IP数据报的格式如下(这里只讨论IPv4)(该图出自[TCPIP]):
?
-
版本:IP报文版本号 IPV4:4,IPV6:6
-
首部长度:IP header 长度,是4字节的整数倍, 没有选项,则一般为5(5x32bit=20B)
- 8位服务类型:一般没有使用,详细参考RFC
- 总长度:header+数据 总长度
- 16位标识:IP 报文的唯一id,分片报文的id 相同,便于进行重组。
- 3位标志:标明是否分片。是一个3位的控制字段,包含:
- 保留位:1位
- 不分段位:1位,取值:0(允许数据报分段)、1(数据报不能分段)
- 更多段位:1位,取值:0(数据包后面没有包,该包为最后的包)、1(数据包后面有更多的包)
Bit 0: reserved, must be zero
Bit 1: (DF) 0 = May Fragment, 1 = Don't Fragment.
Bit 2: (MF) 0 = Last Fragment, 1 = More Fragments.
0 1 2
+---+---+---+
| | D | M |
| 0 | F | F |
+---+---+---+
- 13位片偏移:参考下图。如果是第一片取值为0,第二片取值175,以此类推。
- TTL:生存时间,即路由器的跳数,每经过一个路由器,该TTL 减一,因此路由器需要重新计算IP报文的校验和。
- 8位协议:ICMP:1,TCP:6,UDP:17,其他的自行百度
- 首部校验和:IP header校验和,接收端收到报文进行计算如果校验和错误,直接丢弃。
- 源IP地址:无须解释
- 目的IP地址:无须解释
- 选项:这个一般也没有使用。详细参考RFC
- 数据:上层的报文,如TCP 报文、UDP报文等。
7.2. IP报文头部
IP头部,总长度20字节
// /usr/include/linux/ip.h
struct iphdr {
#if defined(__LITTLE_ENDIAN_BITFIELD)
__u8 ihl:4, //首部长度
version:4; //版本
#elif defined (__BIG_ENDIAN_BITFIELD)
__u8 version:4, //版本
ihl:4; //首部长度
#else
#error "Please fix <asm/byteorder.h>"
#endif
__u8 tos; //服务类型
__be16 tot_len; //总长度
__be16 id; //标志
__be16 frag_off; //分片偏移
__u8 ttl; //生存时间
__u8 protocol; //协议
__sum16 check; //检验和
__be32 saddr; //源IP地址
__be32 daddr; //目的IP地址
/*The options start here. */
};
关于协议类型定义
// /usr/include/linux/netinet/in.h
/* Standard well-defined IP protocols. */
enum
{
IPPROTO_IP = 0, /* Dummy protocol for TCP. */
#define IPPROTO_IP IPPROTO_IP
IPPROTO_ICMP = 1, /* Internet Control Message Protocol. */
#define IPPROTO_ICMP IPPROTO_ICMP
IPPROTO_IGMP = 2, /* Internet Group Management Protocol. */
#define IPPROTO_IGMP IPPROTO_IGMP
IPPROTO_IPIP = 4, /* IPIP tunnels (older KA9Q tunnels use 94). */
#define IPPROTO_IPIP IPPROTO_IPIP
IPPROTO_TCP = 6, /* Transmission Control Protocol. */
#define IPPROTO_TCP IPPROTO_TCP
IPPROTO_EGP = 8, /* Exterior Gateway Protocol. */
#define IPPROTO_EGP IPPROTO_EGP
IPPROTO_PUP = 12, /* PUP protocol. */
#define IPPROTO_PUP IPPROTO_PUP
IPPROTO_UDP = 17, /* User Datagram Protocol. */
.....
?
本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。 如若内容造成侵权/违法违规/事实不符,请联系我的编程经验分享网邮箱:veading@qq.com进行投诉反馈,一经查实,立即删除!