18,356
社区成员
发帖
与我相关
我的任务
分享如何捕获网卡数据?
请教下各位大牛,看不少资料都是说如何分析TCP/IP报头的,但就是没说最关心的用户数据怎么获取?
我目前的理解是:recv到数据后后,前把前20字节的IP头分析出来,然后第二步分析21~40的是TCP或者UDP的报头。
不知道这样理解对不对,而且第二步得到的源和目的的端口号总是好几万那么大的数,感觉不对。
剩下最关心就是真正的数据部分 只看到TCP表头里有个成员 .th_urp 是数据偏移 但总感觉不对劲 不知道怎么回事
求懂的大神给讲讲~
我目前的理解是:recv到数据后后,前把前20字节的IP头分析出来,然后第二步分析21~40的是TCP或者UDP的报头。
不知道这样理解对不对,而且第二步得到的源和目的的端口号总是好几万那么大的数,感觉不对。
剩下最关心就是真正的数据部分 只看到TCP表头里有个成员 .th_urp 是数据偏移 但总感觉不对劲 不知道怎么回事
求懂的大神给讲讲~
...全文
请发表友善的回复…
发表回复
hzy694358 2014-10-08
- 打赏
- 举报
那就是说TCP或者UDP的数据部分也是网络顺序??
[/quote]
htons htonl 就是short 和 long型需要网络字节序转换
青化某 2014-10-08
- 打赏
- 举报
那就是说TCP或者UDP的数据部分也是网络顺序??
Yofoo 2014-10-08
- 打赏
- 举报
就是捕获不到1234的消息
注意网卡数据是倒序的, 用 htons , 其他一些数据也一样
青化某 2014-10-08
- 打赏
- 举报
防火墙也关了。。
就是接受不到啊啊 啊。。
求各位神牛帮忙!
z2665 2014-10-05
- 打赏
- 举报
为何不试试使用神奇的wincap呢。路过打酱油
青化某 2014-09-30
- 打赏
- 举报
#include <winsock2.h>
#include <windows.h>
#include <Mstcpip.h>
#pragma comment(lib,"Ws2_32.lib")
#include <iostream>
using namespace std;
//IP首部
typedef struct tIPPackHead
{
enum PROTOCOL_TYPE{
PROTOCOL_TCP = 6,
PROTOCOL_UDP = 17,
PROTOCOL_ICMP = 1,
PROTOCOL_IGMP = 2
};
inline unsigned HeadLen() const
{
//首部长度单位为4bytes。因此乘4
return (ver_hlen & 0x0F) << 2;
}
inline unsigned PackLen() const
{
return wPacketLen;
}
BYTE ver_hlen; //IP协议版本和IP首部长度。高4位为版本,低4位为首部的长度(单位为4bytes)
BYTE byTOS; //服务类型
WORD wPacketLen; //IP包总长度。包括首部,单位为byte。[Big endian]
WORD wSequence; //序号,一般每个IP包的序号递增。[Big endian]
WORD wMarkFragPoi;
BYTE byTTL; //生存时间
BYTE byProtocolType; //协议类型,见PROTOCOL_TYPE定义
WORD wHeadCheckSum; //IP首部校验和[Big endian]
DWORD dwIPSrc; //源地址
DWORD dwIPDes; //目的地址
} IP_PK_HEAD;
typedef struct _TCP_HEADER //定义TCP首部
{
USHORT th_sport; //16位源端口
USHORT th_dport; //16位目的端口
UINT th_seq; //32位序列号
UINT th_ack; //32位确认号
UCHAR th_lenres; //4位首部长度/6位保留字
UCHAR th_flag; //6位标志位
USHORT th_win; //16位窗口大小
USHORT th_sum; //16位校验和
USHORT th_urp; //16位紧急数据偏移量
} TCP_HEADER;
//////////////////////////////////////////////////////////////////////////
int DecodeIP(char *buf, int len)
{
int n = len;
if( n >= sizeof(IP_PK_HEAD) )
{
cout<<"sizeof(IP_PK_HEAD): "<<sizeof(IP_PK_HEAD)<<" Buffer Length is :"<<n<<endl;
IP_PK_HEAD iphead;
TCP_HEADER tcphead;
memcpy( &iphead, buf, sizeof(iphead) );
memcpy( &tcphead,&buf[sizeof(iphead)],sizeof(tcphead));
int n = ntohs(tcphead.th_urp);
cout<<"数据偏移量:"<<n<<endl;
//cout<<"内容"<<&buf[40]<<endl;
//cout<<"内容"<<&buf[28]<<endl;
//以下三个为Big Endian字节顺序,转换成主机字节顺序
iphead.wPacketLen = ntohs( iphead.wPacketLen );
iphead.wSequence = ntohs( iphead.wSequence );
iphead.wHeadCheckSum = ntohs( iphead.wHeadCheckSum );
in_addr src,dst;
src.S_un.S_addr = iphead.dwIPSrc;
dst.S_un.S_addr = iphead.dwIPDes;
char strsrc[20],strdst[20];
strcpy(strsrc, inet_ntoa(src) );
strcpy( strdst , inet_ntoa(dst));
tcphead.th_sport = ntohs(tcphead.th_sport);
tcphead.th_dport = ntohs(tcphead.th_dport);
if(tcphead.th_sport == 1234 || tcphead.th_dport == 1234)
printf("#########################################################\n");
printf("IP报头信息: \nver=%d,hlen=%d,protool=%d,packet length=%d,Sequence=%d\nsrc=%s port:%u\ndst=%s port:%u\n\n\n",
iphead.ver_hlen >> 4,
(iphead.ver_hlen & 0x0F) << 2,
iphead.byProtocolType,
iphead.wPacketLen,
iphead.wSequence,
strsrc,
tcphead.th_sport,
strdst,
tcphead.th_dport);
}
return 0;
}
void AutoWSACleanup()
{
::WSACleanup();
}
int main(int argc, char* argv[])
{
//初始化winsock库,使用2.2版本
u_short wVersionRequested = 0x0202;
WSADATA wsaData;
if( SOCKET_ERROR == WSAStartup( wVersionRequested, &wsaData ) )
{
cout << WSAGetLastError();
return 0;
}
atexit( AutoWSACleanup );
//创建SOCKET
SOCKET h = socket( AF_INET, SOCK_RAW, IPPROTO_IP);
if( h == INVALID_SOCKET )
{
cout << WSAGetLastError();
return 0;
}
//获取本机地址
char FAR name[128];
if( -1 == gethostname(name, sizeof(name)) )
{
closesocket( h );
cout << WSAGetLastError();
return 0;
}
struct hostent FAR * pHostent;
pHostent = gethostbyname(name);
//绑定本地地址到SOCKET句柄
sockaddr_in addr;
addr.sin_family = AF_INET;
addr.sin_addr = *(in_addr*)pHostent->h_addr; //IP
//addr.sin_addr.s_addr = inet_addr("192.168.211.143");
addr.sin_port = 0; //端口,IP层端口可随意填
if( SOCKET_ERROR == bind( h,(sockaddr *)&addr,sizeof(addr) ) )
{
closesocket( h );
cout << WSAGetLastError();
return 0;
}
//设置该SOCKET为接收所有流经绑定的IP的网卡的所有数据,包括接收和发送的数据包
//该函数在mstcpip.h里面,详见MSDN帮助
u_long sioarg = 1;
DWORD wt=0;
if( SOCKET_ERROR == WSAIoctl( h, SIO_RCVALL , &sioarg,sizeof(sioarg),NULL,0,&wt,NULL,NULL ) )
{
closesocket( h );
cout << WSAGetLastError();
return 0;
}
//我们只需要接收数据,因此设置为阻塞IO,使用最简单的IO模型
u_long bioarg = 0;//0
if( SOCKET_ERROR == ioctlsocket( h, FIONBIO , &bioarg ) )//FIONBIO
{
closesocket( h );
cout << WSAGetLastError();
return 0;
}
//开始接收数据
//因为前面已经设置为阻塞IO,recv在接收到数据前不会返回。
//当返回<=0时表示接收失败,退出循环
//可以在另一个线程执行此循环,主线程closesocket可以使recv失败而结束循环
char buf[102400];
int len = 0;
do
{
len = recv( h, buf, sizeof(buf),0);
if( len > 0 )
{
DecodeIP( buf, len );
}
}while( len > 0 );
closesocket( h );
return 0;
}
求大神看看代码,为何我用一个UDP客户端绑定1234端口send数据,这个程序捕获很多,就是捕获不到1234的消息,求大神解答!
青化某 2014-09-30
- 打赏
- 举报
设了啊 还是没有
另外我的UDP发送端的端口是1234.。但我的抓包工具中总没有端口为1234的信息~
青化某 2014-09-30
- 打赏
- 举报
是这个吧:
WSAIoctl( h, SIO_RCVALL , &sioarg,sizeof(sioarg),NULL,0,&wt,NULL,NULL )
shenyi0106 2014-09-30
- 打赏
- 举报
网卡设置成混杂模式
青化某 2014-09-30
- 打赏
- 举报
我同时写了个UDP的发送端程序,是广播形式,每次都send成功的。发送一个字符串。
但这个程序貌似也捕获不到~ ~ 不应该呀
shenyi0106 2014-09-30
- 打赏
- 举报
乱码也正常,你确认你收到的都是ASCII吗的数据吗?
不是ASCII吗的,当然是乱码
青化某 2014-09-30
- 打赏
- 举报
对呀对呀~可我无论是28还是40都是乱码。。。百思不得其解。。
shenyi0106 2014-09-30
- 打赏
- 举报
TCP是40,UDP是28呀!!
青化某 2014-09-30
- 打赏
- 举报
我将recv到的buffer数据,从buff[40]开始输出都是乱码 这也需要转主机字节序么
shenyi0106 2014-09-30
- 打赏
- 举报
去掉所有的头,剩下的就是数据,这还用问???
青化某 2014-09-30
- 打赏
- 举报
能具体点说么[/quote]
请自行“度娘”[/quote]
我就是raw socekt实现的,我是说怎么分析接收到的这个包。。。我是XP系统。。[/quote]
TCP头是20个字节,UDP头是8个字节
另外,你收到的协议是网络字节序的,需要转换成主机字节序。
比如端口,你从udphdr->src_prt里面得到的端口是网络字节序的,需要用ntohs()转成主机字节序[/quote]
多谢大神 解决了端口问题,那最关心的数据是怎么获得的呢?
shenyi0106 2014-09-30
- 打赏
- 举报
能具体点说么[/quote]
请自行“度娘”[/quote]
我就是raw socekt实现的,我是说怎么分析接收到的这个包。。。我是XP系统。。[/quote]
TCP头是20个字节,UDP头是8个字节
另外,你收到的协议是网络字节序的,需要转换成主机字节序。
比如端口,你从udphdr->src_prt里面得到的端口是网络字节序的,需要用ntohs()转成主机字节序
青化某 2014-09-30
- 打赏
- 举报
能具体点说么[/quote]
请自行“度娘”[/quote]
我就是raw socekt实现的,我是说怎么分析接收到的这个包。。。我是XP系统。。
shenyi0106 2014-09-30
- 打赏
- 举报
能具体点说么[/quote]
请自行“度娘”
青化某 2014-09-30
- 打赏
- 举报
能具体点说么
加载更多回复(1)
