安全研究:Linux下的网络监听技术 (2)

来源：linuxdby.com 作者：Webmaster 时间：2007-04-12 点击： [收藏] [投稿]

以太网上数据帧的监听剖析
　　以太网上的数据帧主要涉及Tcp/ip协议，针对以下几个协议的分析：IP,ARP,RARP,IPX,其中重点在于ip和 arp协议，这两个协议是多数网络协议的基础，因此把他们研究彻底，就对大多数的协议的原理和特性比较清楚了。由于各种协议的数据帧个不相同，所以涉及很多的数据帧头格式分析，接下来把一一描述。
　　在linux 下监听网络，应先设置网卡状态，使其处于杂混模式以便监听网络上的所有数据帧。然后选择用Linux socket 来截取数据帧，通过设置socket() 函数参数值，可以使socket截取未处理的网络数据帧，关键是函数的参数设置，下面就是有关的程序部分：

　　if ( ( fd=socket (AF_INET, SOCK_PACKET,htons(0x0003)))<0)
　　{perror (“can get SOCK_PACKET socket
　　”);
　　exit(0);
　　}

　　AF_INET=2 表示 internet ip protocol
　　SOCK_PACKET=10 表示截取数据帧的层次在物理层，既不作处理。
　　Htons(0x0003)表示截取的数据帧的类型为不确定，既接受所有的包。
　　总的设定就是网卡上截取所有的数据帧。这样就可以截取底层数据帧，因为返回的把是一个指向数据的指针，为了分析方便，我设置了一个基本的数据帧头结构。
　　Struct etherpacket
　　{struct ethhdr eth;
　　struct iphdr ip;
　　struct tcphdr tcp;
　　char buff[8192];
　　} ep;

　　把返回的指针赋值给指向数据帧头结构的指针，然后对其进行分析。以下是有关协议的报头：ethhdr 这是以太网数据帧的mac报头：
　　--------------------------------------------------------
　　|48bit 目的物理地址 | 48bit 源物理地址 | 16bit 协议地址|
　　--------------------------------------------------------
　　
　　相应的数据结构如下
　　struct ethhdr
　　{
　　unsigned char h_dest[ETH_ALEN];
　　unsigned char h_source[ETH_ALEN];
　　unsigned short h_proto;
　　}
　　
　　其中h_dest[6]是48位的目标地址的网卡物理地址，h_source [6] 是48位的源地址的物理网卡地址。H_proto是16位的以太网协议，其中主要有0x0800 ip，0x8035.X25,0x8137 ipx,0x8863-0x8864 pppoe(这是Linux的 ppp),0x0600 ether _loop_back ,0x0200-0x0201 pup等。Iphdr 这是ip协议的报头:
　　由此可以定义其结构如下：
　　struct iphdr
　　{
　　#elif defined (_LITTLE_ENDIAN_BITFIELD)
　　_u8 version :4,
　　#elif defined (_BIG_ENDIAN_BITFIELD)
　　_u8 version:4,
　　ihl:4;
　　#else
　　#error "Please fix"
　　#endif
　　_u8 tos;
　　_16 tot_len;
　　_u16 id;
　　_u16 frag_off;
　　_u8 ttl;
　　_u8 protocol;
　　_u16 check;
　　_u32 saddr;
　　_u32 daddr;
　　};
　　
　　这是Linux 的ip协议报头，针对版本的不同它可以有不同的定义，我们国内一般用BIG的定义，其中version 是ip的版本，protocol是ip的协议分类主要有0x06 tcp.0x11 udp,0x01 icmp,0x02 igmp等，saddr是32位的源ip地址，daddr是32位的目标ip地址。
相应的数据结构：
　　struct arphdr
　　{
　　unsigned short int ar_hrd;
　　unsigned short int ar_pro;
　　unsigned char ar_hln;
　　unsigned char ar_pln;
　　unsigned short int ar_op;
　　#if 0
　　unsigned char _ar_sha[ETH_ALEN];
　　unsigned char _ar_sip[4];
　　unsigned char _ar_tha[ETH_ALEN];
　　unsigned char _ar_tip[4];
　　#end if
　　};

　　这是linux 的arp 协议报头，其中ar_hrd 是硬件地址的格式，ar_pro协议地址的格式，ar_hln是硬件地址的长度，ar_pln时协议地址的长度，ar_op是arp协议的分类0x001是arp echo 0x0002 是 arp reply.接下来的分别是源地址的物理地址，源ip地址，目标地址的物理地址，目标ip地址。
　　Tcphdr ip协议的tcp协议报头
　　以下是相应数据结构：
　　struct tcphdr
　　{
　　u_int16_t source;
　　u_int16_t dest;
　　u_int32_t seq;

如果您对本文有任何疑问或者建议，请到讨论区发表您的意见: >> 论坛入口 <<

上一篇：安全研究:Linux下的网络监听技术 (3) 下一篇：安全研究:Linux下的网络监听技术 (1)

【文章评论】【收藏本文】【推荐好友】【打印本文】【我要投稿】【论坛讨论】

更多相关文章

·强大的文件管理器 Total Commander 7.04

·系统备份工具一键GHOST v2008.08.08

·下一代以互联网为中心的系统Midori曝光

·Windows下如何关闭所有驱动盘的自动播放

·Linux应用：Linux系统下光驱软开关与限速

·有关加强Linux操作系统安全的配置说明

·微软Internet Explorer 8 Beta2功能预览

·红帽Linux发布09财年第一季度财政报告

·修改Linux操作系统下22端口两种方法介绍

·Windows XP下实现删除文件需要密码功能