18,356
社区成员
发帖
与我相关
我的任务
分享网络抓包数据内容分析
请教行家高手提供 网络抓包数据内容分析程序或相关知识,我看大多数讨论集中在协议分析,可我需要的是把数据包中的原文本数据(如一封电子邮件的原文)还原为文本并显示出来,请大家提供相关知识并讨论心得
...全文
请发表友善的回复…
发表回复
zzxenjoy 2004-11-25
- 打赏
- 举报
mark
yiurchao 2004-11-22
- 打赏
- 举报
不错不错,搜一费钱
Wenxy1 2004-11-08
- 打赏
- 举报
good
ghost8367 2004-11-08
- 打赏
- 举报
mark
boycott2 2004-11-08
- 打赏
- 举报
CSDN确实是一个计算机人员(不仅是程序员和项目开发人员)的好去处,资源丰富不说,还有许多热心和聪明的支持者们,在这里我感觉到帮助和集思广义的力量,谢谢大家,希望大家更多真诚地讨论和关注一切问题,也许可以包括计算机之外的问题:) ,再次谢谢各位GGDDJJMM
konista 2004-11-08
- 打赏
- 举报
编译没有 mstcpip.h 请问 怎么弄:)
装.net,*^_^*
装.net,*^_^*
vicky_jam 2004-11-07
- 打赏
- 举报
我用的是vc6.0
编译没有 mstcpip.h 请问 怎么弄:)
呵呵~~
编译没有 mstcpip.h 请问 怎么弄:)
呵呵~~
九重霄 2004-11-07
- 打赏
- 举报
关注
Jaslip 2004-11-07
- 打赏
- 举报
up
konista 2004-11-06
- 打赏
- 举报
//命令行参数处理
bool GetCmdLine(int argc, char ** argv)
{
if (argc<2) return CMD_PARAM_HELP;
for(int i=1;i<argc;i++)
{
if(argv[i][0]!='/') return CMD_PARAM_HELP;
else switch (argv[i][1])
{
case 't':
case 'T': ParamTcp=true; break;
case 'u':
case 'U': ParamUdp=true; break;
case 'i':
case 'I': ParamIcmp=true; break;
case 'p':
case 'P': ParamDecode=true; break;
case 'f':
case 'F':
{
strFromIpFilter=(char*)malloc(16*sizeof(char));
memset(strFromIpFilter,0,16*sizeof(char));
strcpy(strFromIpFilter,argv[i]+3);
break;
}
case 'd':
case 'D':
{
strDestIpFilter=(char*)malloc(16*sizeof(char));
memset(strDestIpFilter,0,16*sizeof(char));
strcpy(strDestIpFilter,argv[i]+3);
break;
}
case 's':
case 'S':
{
strSensitive=(char*)malloc(255*sizeof(char));
memset(strSensitive,0,255*sizeof(char));
strcpy(strSensitive,argv[i]+3);
break;
}
case 'o':
case 'O':
{
iPortFilter=atoi(argv[i]+3);
break;
}
}
}
printf("\nWill Sniffer");
if(ParamTcp) printf(" TCP");
if(ParamUdp) printf(" UDP");
if(ParamIcmp) printf(" ICMP");
if(strFromIpFilter) printf(" FromIp:%s",strFromIpFilter);
if(strDestIpFilter) printf(" DestIp:%s",strDestIpFilter);
if(ParamDecode) printf(" DECODE ON");
if(strSensitive) printf(" Sensitive String:'%s'",strSensitive);
printf("\n\tCTRL+C to quit\nStart:\n");
return (!CMD_PARAM_HELP);
}
//使用说明
void usage(void)
{
printf("IPSpy\n");
printf("USAGE:\n");
printf("\t/t Output TCP Packets\n");
printf("\t/u Output UDP Packets\n");
printf("\t/i Output ICMP Packets\n");
printf("\t/p Decode Packets (default OFF)\n");
printf("\t/f: fromIP Output Packets FromIp=fromIP (default ALL)\n");
printf("\t/d: destIP Output Packets DestIp=destIP (default ALL)\n");
printf("\t/s: string Output Packets Include sensitive String(TCP only)\n");
printf("\t/o: port Output Packets from or to the port(ICMP is TYPE)\n");
printf("Example:\n");
printf("\tGUNiffer.exe /d>GUNiffer.log\n");
printf("\tGUNiffer.exe /t /u /f:192.168.15.231\n");
printf("\tGUNiffer.exe /t /p /s:PASS\n");
}
//SOCK错误处理程序
void CheckSockError(int iErrorCode, char *pErrorMsg)
{
if(iErrorCode==SOCKET_ERROR)
{
printf("%s Error:%d\n", pErrorMsg, GetLastError());
closesocket(SockRaw);
exit(0);
}
}
bool GetCmdLine(int argc, char ** argv)
{
if (argc<2) return CMD_PARAM_HELP;
for(int i=1;i<argc;i++)
{
if(argv[i][0]!='/') return CMD_PARAM_HELP;
else switch (argv[i][1])
{
case 't':
case 'T': ParamTcp=true; break;
case 'u':
case 'U': ParamUdp=true; break;
case 'i':
case 'I': ParamIcmp=true; break;
case 'p':
case 'P': ParamDecode=true; break;
case 'f':
case 'F':
{
strFromIpFilter=(char*)malloc(16*sizeof(char));
memset(strFromIpFilter,0,16*sizeof(char));
strcpy(strFromIpFilter,argv[i]+3);
break;
}
case 'd':
case 'D':
{
strDestIpFilter=(char*)malloc(16*sizeof(char));
memset(strDestIpFilter,0,16*sizeof(char));
strcpy(strDestIpFilter,argv[i]+3);
break;
}
case 's':
case 'S':
{
strSensitive=(char*)malloc(255*sizeof(char));
memset(strSensitive,0,255*sizeof(char));
strcpy(strSensitive,argv[i]+3);
break;
}
case 'o':
case 'O':
{
iPortFilter=atoi(argv[i]+3);
break;
}
}
}
printf("\nWill Sniffer");
if(ParamTcp) printf(" TCP");
if(ParamUdp) printf(" UDP");
if(ParamIcmp) printf(" ICMP");
if(strFromIpFilter) printf(" FromIp:%s",strFromIpFilter);
if(strDestIpFilter) printf(" DestIp:%s",strDestIpFilter);
if(ParamDecode) printf(" DECODE ON");
if(strSensitive) printf(" Sensitive String:'%s'",strSensitive);
printf("\n\tCTRL+C to quit\nStart:\n");
return (!CMD_PARAM_HELP);
}
//使用说明
void usage(void)
{
printf("IPSpy\n");
printf("USAGE:\n");
printf("\t/t Output TCP Packets\n");
printf("\t/u Output UDP Packets\n");
printf("\t/i Output ICMP Packets\n");
printf("\t/p Decode Packets (default OFF)\n");
printf("\t/f: fromIP Output Packets FromIp=fromIP (default ALL)\n");
printf("\t/d: destIP Output Packets DestIp=destIP (default ALL)\n");
printf("\t/s: string Output Packets Include sensitive String(TCP only)\n");
printf("\t/o: port Output Packets from or to the port(ICMP is TYPE)\n");
printf("Example:\n");
printf("\tGUNiffer.exe /d>GUNiffer.log\n");
printf("\tGUNiffer.exe /t /u /f:192.168.15.231\n");
printf("\tGUNiffer.exe /t /p /s:PASS\n");
}
//SOCK错误处理程序
void CheckSockError(int iErrorCode, char *pErrorMsg)
{
if(iErrorCode==SOCKET_ERROR)
{
printf("%s Error:%d\n", pErrorMsg, GetLastError());
closesocket(SockRaw);
exit(0);
}
}
konista 2004-11-06
- 打赏
- 举报
//TCP解包程序
int DecodeTcpPack(char * TcpBuf, int iBufSize)
{
TCP_HEADER * pTcpHeader;
int i;
int iSourcePort,iDestPort;
DWORD dwWriten = 0;
char chInfo[100];
memset(chInfo, 0, 100);
pTcpHeader = (TCP_HEADER * )TcpBuf;
//计算TCP首部长度
int TcpHeaderLen = pTcpHeader->th_lenres>>4;
TcpHeaderLen *= sizeof(unsigned long);
char * TcpData=TcpBuf+TcpHeaderLen;
//如果过滤敏感字符串则判断是否包含
if (strSensitive)
if ((strstr(TcpData, strSensitive))==NULL) return true;
//对端口进行过滤
iSourcePort = ntohs(pTcpHeader->th_sport);
iDestPort = ntohs(pTcpHeader->th_dport);
if ((iPortFilter) && (iSourcePort!=iPortFilter) && (iDestPort!=iPortFilter))
return true;
//输出
printf("%s ", szProtocol);
printf("%15s:%5d ->%15s:%5d ", szSourceIP, iSourcePort, szDestIP, iDestPort);
printf("TTL=%3d ", iTTL);
sprintf(chInfo, "\r\n%s %15s:%5d ->%15s:%5d TTL=%3d ", szProtocol, szSourceIP, iSourcePort, szDestIP, iDestPort, iTTL);
//判断TCP标志位
unsigned char FlagMask = 1;
for( i=0; i<6; i++ )
{
if((pTcpHeader->th_flag) & FlagMask)
{
printf("%c",TcpFlag[i]);
strncat(chInfo, &TcpFlag[i], 1);
}
else
{
printf("-");
strcat(chInfo, "-");
}
FlagMask=FlagMask<<1;
}
printf(" bytes=%4d", iBufSize);
char temp[12];
sprintf(temp, " bytes=%4d", iBufSize);
strcat(chInfo, temp);
::WriteFile(hFile, chInfo, strlen(chInfo), &dwWriten, NULL);
::WriteFile(hParse, chInfo, strlen(chInfo), &dwWriten, NULL);
printf("\n");
//对于长度大于40字节的包进行数据分析(IP_HEADER+TCP_HEADER=40)
if ((ParamDecode) && (iBufSize>40))
{
//分析TCP数据段
if ((!strSensitive) || (strstr(TcpData,strSensitive)))
{
printf(" [DATA]\n");
::WriteFile(hFile, "\r\n[DATA]\r\n", sizeof("\r\n[DATA]\r\n"), &dwWriten, NULL);
::WriteFile(hParse, "\r\n[DATA]\r\n", sizeof("\r\n[DATA]\r\n"), &dwWriten, NULL);
printf("%s",TcpData);
::WriteFile(hFile, TcpData, strlen(TcpData), &dwWriten, NULL);
::WriteFile(hParse, TcpData, strlen(TcpData), &dwWriten, NULL);
printf("\n [DATA END]\n\n\n");
::WriteFile(hFile, "\r\n[DATA END]\r\n\r\n", sizeof("\r\n[DATA END]\r\n\r\n"), &dwWriten, NULL);
::WriteFile(hParse, "[DATA END]\r\n", sizeof("[DATA END]\r\n"), &dwWriten, NULL);
}
}
return true;
}
//UDP解包程序
int DecodeUdpPack(char * UdpBuf, int iBufSize)
{
DWORD dwWriten = 0;
char chInfo[100];
memset(chInfo, 0, 100);
UDP_HEADER *pUdpHeader;
pUdpHeader = (UDP_HEADER * )UdpBuf;
int iSourcePort = ntohs(pUdpHeader->uh_sport);
int iDestPort = ntohs(pUdpHeader->uh_dport);
//对端口进行过滤
if(iPortFilter)
if ((iSourcePort!=iPortFilter) && (iDestPort!=iPortFilter))
return true;
sprintf(chInfo, "\r\n%s %15s:%5d ->%15s:%5d TTL=%3d Len=%4d bytes=%4d", szProtocol, szSourceIP, iSourcePort, szDestIP, iDestPort, iTTL, ntohs(pUdpHeader->uh_len), iBufSize);
printf("\n");
printf("%s ", szProtocol);
printf("%15s:%5d ->%15s:%5d ", szSourceIP, iSourcePort, szDestIP, iDestPort);
printf("TTL=%3d ", iTTL);
printf("Len=%4d ", ntohs(pUdpHeader->uh_len));
printf("bytes=%4d", iBufSize);
::WriteFile(hFile, chInfo, strlen(szProtocol) + sizeof("\r\n : ->: TTL= Len= bytes=") + 51, &dwWriten, NULL);
::WriteFile(hParse, chInfo, strlen(szProtocol) + sizeof("\r\n : ->: TTL= Len= bytes=") + 51, &dwWriten, NULL);
//对于长度大于28字节的包进行数据分析(IP_HEADER+UDP_HEADER>28)
if ((ParamDecode) && (iBufSize>28))
{
printf("\n[DATA]\n");
::WriteFile(hFile, "\r\n[DATA]\r\n", sizeof("\r\n[DATA]\r\n"), &dwWriten, NULL);
::WriteFile(hParse, "\r\n[DATA]", sizeof("\r\n[DATA]"), &dwWriten, NULL);
//UDP首部长度为8
char * UdpData=UdpBuf+8;
//分析UDP数据段
for(unsigned int i=0;i<(iBufSize-sizeof(UDP_HEADER));i++)
{
char chData[15];
char chPata[1];
if ( (UdpData[i]>33) && (UdpData[i]<122) )
{
printf("\n%2c [%08x]", UdpData[i], UdpData[i]);
sprintf(chData, "\r\n%2c [%08x]", UdpData[i], UdpData[i]);
}
else
{
printf("\n [%08x]", abs(UdpData[i]));
sprintf(chData, "\r\n [%08x]", UdpData[i]);
}
sprintf(chPata, "%c", UdpData[i]);
::WriteFile(hFile, chData, 15, &dwWriten, NULL);
::WriteFile(hParse, chPata, 1, &dwWriten, NULL);
}
printf("\n[DATA END]\n\n");
::WriteFile(hFile, "\r\n[DATA END]\r\n\r\n", sizeof("\r\n[DATA END]\r\n\r\n"), &dwWriten, NULL);
::WriteFile(hParse, "[DATA END]\r\n", sizeof("[DATA END]\r\n"), &dwWriten, NULL);
}
return true;
}
//ICMP解包程序
int DecodeIcmpPack(char * IcmpBuf, int iBufSize)
{
ICMP_HEADER * pIcmpHeader;
pIcmpHeader = (ICMP_HEADER * )IcmpBuf;
int iIcmpType = pIcmpHeader->i_type;
int iIcmpCode = pIcmpHeader->i_code;
//对类型进行过滤
if ((iPortFilter) && (iIcmpType!=iPortFilter)) return true;
printf("%s ", szProtocol);
//printf("%15s Type%d ->%15s Code%d ", szSourceIP, iIcmpType, szDestIP, iIcmpCode);
printf("%15s ->%15s ", szSourceIP, szDestIP);
printf("TTL=%3d ", iTTL);
printf("Type%2d,%d ",iIcmpType,iIcmpCode);
printf("bytes=%4d", iBufSize);
printf("\n");
//对于包含数据段的包进行数据分析
if ((ParamDecode) && (iBufSize>28))
{
char * IcmpData=IcmpBuf+4;
//分析ICMP数据段
printf(" [DATA]");
for(unsigned int i=0;i<(iBufSize-sizeof(ICMP_HEADER));i++)
{
if (!(i%8)) printf("\n");
if ( (IcmpData[i]>33) && (IcmpData[i]<122) )
printf("%3c [%3x]", IcmpData[i], IcmpData[i]);
else printf(" [%3x]", abs(IcmpData[i]));
}
printf("\n [DATA END]\n\n\n");
}
return true;
}
int DecodeTcpPack(char * TcpBuf, int iBufSize)
{
TCP_HEADER * pTcpHeader;
int i;
int iSourcePort,iDestPort;
DWORD dwWriten = 0;
char chInfo[100];
memset(chInfo, 0, 100);
pTcpHeader = (TCP_HEADER * )TcpBuf;
//计算TCP首部长度
int TcpHeaderLen = pTcpHeader->th_lenres>>4;
TcpHeaderLen *= sizeof(unsigned long);
char * TcpData=TcpBuf+TcpHeaderLen;
//如果过滤敏感字符串则判断是否包含
if (strSensitive)
if ((strstr(TcpData, strSensitive))==NULL) return true;
//对端口进行过滤
iSourcePort = ntohs(pTcpHeader->th_sport);
iDestPort = ntohs(pTcpHeader->th_dport);
if ((iPortFilter) && (iSourcePort!=iPortFilter) && (iDestPort!=iPortFilter))
return true;
//输出
printf("%s ", szProtocol);
printf("%15s:%5d ->%15s:%5d ", szSourceIP, iSourcePort, szDestIP, iDestPort);
printf("TTL=%3d ", iTTL);
sprintf(chInfo, "\r\n%s %15s:%5d ->%15s:%5d TTL=%3d ", szProtocol, szSourceIP, iSourcePort, szDestIP, iDestPort, iTTL);
//判断TCP标志位
unsigned char FlagMask = 1;
for( i=0; i<6; i++ )
{
if((pTcpHeader->th_flag) & FlagMask)
{
printf("%c",TcpFlag[i]);
strncat(chInfo, &TcpFlag[i], 1);
}
else
{
printf("-");
strcat(chInfo, "-");
}
FlagMask=FlagMask<<1;
}
printf(" bytes=%4d", iBufSize);
char temp[12];
sprintf(temp, " bytes=%4d", iBufSize);
strcat(chInfo, temp);
::WriteFile(hFile, chInfo, strlen(chInfo), &dwWriten, NULL);
::WriteFile(hParse, chInfo, strlen(chInfo), &dwWriten, NULL);
printf("\n");
//对于长度大于40字节的包进行数据分析(IP_HEADER+TCP_HEADER=40)
if ((ParamDecode) && (iBufSize>40))
{
//分析TCP数据段
if ((!strSensitive) || (strstr(TcpData,strSensitive)))
{
printf(" [DATA]\n");
::WriteFile(hFile, "\r\n[DATA]\r\n", sizeof("\r\n[DATA]\r\n"), &dwWriten, NULL);
::WriteFile(hParse, "\r\n[DATA]\r\n", sizeof("\r\n[DATA]\r\n"), &dwWriten, NULL);
printf("%s",TcpData);
::WriteFile(hFile, TcpData, strlen(TcpData), &dwWriten, NULL);
::WriteFile(hParse, TcpData, strlen(TcpData), &dwWriten, NULL);
printf("\n [DATA END]\n\n\n");
::WriteFile(hFile, "\r\n[DATA END]\r\n\r\n", sizeof("\r\n[DATA END]\r\n\r\n"), &dwWriten, NULL);
::WriteFile(hParse, "[DATA END]\r\n", sizeof("[DATA END]\r\n"), &dwWriten, NULL);
}
}
return true;
}
//UDP解包程序
int DecodeUdpPack(char * UdpBuf, int iBufSize)
{
DWORD dwWriten = 0;
char chInfo[100];
memset(chInfo, 0, 100);
UDP_HEADER *pUdpHeader;
pUdpHeader = (UDP_HEADER * )UdpBuf;
int iSourcePort = ntohs(pUdpHeader->uh_sport);
int iDestPort = ntohs(pUdpHeader->uh_dport);
//对端口进行过滤
if(iPortFilter)
if ((iSourcePort!=iPortFilter) && (iDestPort!=iPortFilter))
return true;
sprintf(chInfo, "\r\n%s %15s:%5d ->%15s:%5d TTL=%3d Len=%4d bytes=%4d", szProtocol, szSourceIP, iSourcePort, szDestIP, iDestPort, iTTL, ntohs(pUdpHeader->uh_len), iBufSize);
printf("\n");
printf("%s ", szProtocol);
printf("%15s:%5d ->%15s:%5d ", szSourceIP, iSourcePort, szDestIP, iDestPort);
printf("TTL=%3d ", iTTL);
printf("Len=%4d ", ntohs(pUdpHeader->uh_len));
printf("bytes=%4d", iBufSize);
::WriteFile(hFile, chInfo, strlen(szProtocol) + sizeof("\r\n : ->: TTL= Len= bytes=") + 51, &dwWriten, NULL);
::WriteFile(hParse, chInfo, strlen(szProtocol) + sizeof("\r\n : ->: TTL= Len= bytes=") + 51, &dwWriten, NULL);
//对于长度大于28字节的包进行数据分析(IP_HEADER+UDP_HEADER>28)
if ((ParamDecode) && (iBufSize>28))
{
printf("\n[DATA]\n");
::WriteFile(hFile, "\r\n[DATA]\r\n", sizeof("\r\n[DATA]\r\n"), &dwWriten, NULL);
::WriteFile(hParse, "\r\n[DATA]", sizeof("\r\n[DATA]"), &dwWriten, NULL);
//UDP首部长度为8
char * UdpData=UdpBuf+8;
//分析UDP数据段
for(unsigned int i=0;i<(iBufSize-sizeof(UDP_HEADER));i++)
{
char chData[15];
char chPata[1];
if ( (UdpData[i]>33) && (UdpData[i]<122) )
{
printf("\n%2c [%08x]", UdpData[i], UdpData[i]);
sprintf(chData, "\r\n%2c [%08x]", UdpData[i], UdpData[i]);
}
else
{
printf("\n [%08x]", abs(UdpData[i]));
sprintf(chData, "\r\n [%08x]", UdpData[i]);
}
sprintf(chPata, "%c", UdpData[i]);
::WriteFile(hFile, chData, 15, &dwWriten, NULL);
::WriteFile(hParse, chPata, 1, &dwWriten, NULL);
}
printf("\n[DATA END]\n\n");
::WriteFile(hFile, "\r\n[DATA END]\r\n\r\n", sizeof("\r\n[DATA END]\r\n\r\n"), &dwWriten, NULL);
::WriteFile(hParse, "[DATA END]\r\n", sizeof("[DATA END]\r\n"), &dwWriten, NULL);
}
return true;
}
//ICMP解包程序
int DecodeIcmpPack(char * IcmpBuf, int iBufSize)
{
ICMP_HEADER * pIcmpHeader;
pIcmpHeader = (ICMP_HEADER * )IcmpBuf;
int iIcmpType = pIcmpHeader->i_type;
int iIcmpCode = pIcmpHeader->i_code;
//对类型进行过滤
if ((iPortFilter) && (iIcmpType!=iPortFilter)) return true;
printf("%s ", szProtocol);
//printf("%15s Type%d ->%15s Code%d ", szSourceIP, iIcmpType, szDestIP, iIcmpCode);
printf("%15s ->%15s ", szSourceIP, szDestIP);
printf("TTL=%3d ", iTTL);
printf("Type%2d,%d ",iIcmpType,iIcmpCode);
printf("bytes=%4d", iBufSize);
printf("\n");
//对于包含数据段的包进行数据分析
if ((ParamDecode) && (iBufSize>28))
{
char * IcmpData=IcmpBuf+4;
//分析ICMP数据段
printf(" [DATA]");
for(unsigned int i=0;i<(iBufSize-sizeof(ICMP_HEADER));i++)
{
if (!(i%8)) printf("\n");
if ( (IcmpData[i]>33) && (IcmpData[i]<122) )
printf("%3c [%3x]", IcmpData[i], IcmpData[i]);
else printf(" [%3x]", abs(IcmpData[i]));
}
printf("\n [DATA END]\n\n\n");
}
return true;
}
konista 2004-11-06
- 打赏
- 举报
声明,程序不是我的,是CSDN上找的,忘了是谁的了,我稍微盖了一下,加上了文件记录,已经测试过了,还行,嘿嘿
/*
网络数据包侦听基本原理:*/
#include <math.h>
#include <stdio.h>
#include <string.h>
#include <Winsock2.h>
#include <mstcpip.h>
#define STATUS_FAILED 0xFFFF //定义异常出错代码
#define MAX_PACK_LEN 65535 //接收的最大IP报文
#define MAX_ADDR_LEN 16 //点分十进制地址的最大长度
#define MAX_PROTO_TEXT_LEN 16 //子协议名称(如"TCP")最大长度
#define MAX_PROTO_NUM 12 //子协议数量
#define MAX_HOSTNAME_LAN 255 //最大主机名长度
#define CMD_PARAM_HELP true
HANDLE hFile = NULL;
HANDLE hParse = NULL;
typedef struct _iphdr
{
unsigned char h_lenver; //4位首部长度+4位IP版本号
unsigned char tos; //8位服务类型TOS
unsigned short total_len; //16位总长度(字节)
unsigned short ident; //16位标识
unsigned short frag_and_flags; //3位标志位
unsigned char ttl; //8位生存时间 TTL
unsigned char proto; //8位协议 (TCP, UDP 或其他)
unsigned short checksum; //16位IP首部校验和
unsigned int sourceIP; //32位源IP地址
unsigned int destIP; //32位目的IP地址
}IP_HEADER;
typedef struct _tcphdr //定义TCP首部
{
USHORT th_sport; //16位源端口
USHORT th_dport; //16位目的端口
unsigned int th_seq; //32位序列号
unsigned int th_ack; //32位确认号
unsigned char th_lenres; //4位首部长度/6位保留字
unsigned char th_flag; //6位标志位
USHORT th_win; //16位窗口大小
USHORT th_sum; //16位校验和
USHORT th_urp; //16位紧急数据偏移量
}TCP_HEADER;
typedef struct _udphdr //定义UDP首部
{
unsigned short uh_sport; //16位源端口
unsigned short uh_dport; //16位目的端口
unsigned short uh_len; //16位长度
unsigned short uh_sum; //16位校验和
} UDP_HEADER;
typedef struct _icmphdr //定义ICMP首部
{
BYTE i_type; //8位类型
BYTE i_code; //8位代码
USHORT i_cksum; //16位校验和
USHORT i_id; //识别号(一般用进程号作为识别号)
USHORT i_seq; //报文序列号
ULONG timestamp; //时间戳
}ICMP_HEADER;
typedef struct _protomap //定义子协议映射表
{
int ProtoNum;
char ProtoText[MAX_PROTO_TEXT_LEN];
}PROTOMAP;
PROTOMAP ProtoMap[MAX_PROTO_NUM]={ //为子协议映射表赋值
{ IPPROTO_IP , "IP " },
{ IPPROTO_ICMP , "ICMP" },
{ IPPROTO_IGMP , "IGMP" },
{ IPPROTO_GGP , "GGP " },
{ IPPROTO_TCP , "TCP " },
{ IPPROTO_PUP , "PUP " },
{ IPPROTO_UDP , "UDP " },
{ IPPROTO_IDP , "IDP " },
{ IPPROTO_ND , "NP " },
{ IPPROTO_RAW , "RAW " },
{ IPPROTO_MAX , "MAX " },
{ NULL , "" } };
SOCKET SockRaw;
char TcpFlag[6]={'F','S','R','P','A','U'}; //定义TCP标志位
bool ParamTcp =false; // -t关注TCP 报文
bool ParamUdp =false; // -u关注UDP 报文
bool ParamIcmp =false; // -i关注ICMP报文
bool ParamDecode=false; // -d对协议进行解码
char *strFromIpFilter=NULL; // 源IP地址过滤
char *strDestIpFilter=NULL; // 目的地址过滤
char *strSensitive=NULL; // 敏感字符串
int iPortFilter=0; // 端口过滤
int iProtocol, iTTL;
char szProtocol[MAX_PROTO_TEXT_LEN];
char szSourceIP[MAX_ADDR_LEN], szDestIP[MAX_ADDR_LEN];
int DecodeIpPack(char *, int); //IP解包函数
int DecodeTcpPack(char *, int); //TCP解包函数
int DecodeUdpPack(char *, int); //UDP解包函数
int DecodeIcmpPack(char *, int); //ICMP解包函数
void CheckSockError(int, char*); //出错处理函数
char * CheckProtocol(int); //协议检查
void usage(void); //使用说明
bool GetCmdLine(int, char **); //命令行参数处理
void main(int argc, char ** argv)
{
hFile = ::CreateFile("NetReport.txt", FILE_ALL_ACCESS, FILE_SHARE_READ, NULL, CREATE_ALWAYS, FILE_ATTRIBUTE_NORMAL, NULL);
hParse = ::CreateFile("NR.txt", FILE_ALL_ACCESS, FILE_SHARE_READ, NULL, CREATE_ALWAYS, FILE_ATTRIBUTE_NORMAL, NULL);
int iErrorCode;
char RecvBuf[MAX_PACK_LEN] = {0};
usage();
if(GetCmdLine(argc, argv)==CMD_PARAM_HELP) exit(0);
//初始化SOCKET
WSADATA wsaData;
iErrorCode = WSAStartup(MAKEWORD(2,1),&wsaData);
CheckSockError(iErrorCode, "WSAStartup");
SockRaw = socket(AF_INET , SOCK_RAW , IPPROTO_IP);
CheckSockError(SockRaw, "socket");
//获取本机IP地址
char FAR name[MAX_HOSTNAME_LAN];
iErrorCode = gethostname(name, MAX_HOSTNAME_LAN);
CheckSockError(iErrorCode, "gethostname");
struct hostent FAR * pHostent;
pHostent = (struct hostent * )malloc(sizeof(struct hostent));
pHostent = gethostbyname(name);
SOCKADDR_IN sa;
sa.sin_family = AF_INET;
sa.sin_port = htons(6000);
memcpy(&sa.sin_addr.S_un.S_addr, pHostent->h_addr_list[0], pHostent->h_length);
free(pHostent);
iErrorCode = bind(SockRaw, (PSOCKADDR)&sa, sizeof(sa));
CheckSockError(iErrorCode, "bind");
//设置SOCK_RAW为SIO_RCVALL,以便接收所有的IP包
DWORD dwBufferLen[10] ;
DWORD dwBufferInLen = 1 ;
DWORD dwBytesReturned = 0 ;
iErrorCode=WSAIoctl(SockRaw, SIO_RCVALL,&dwBufferInLen, sizeof(dwBufferInLen),
&dwBufferLen, sizeof(dwBufferLen),&dwBytesReturned , NULL , NULL );
CheckSockError(iErrorCode, "Ioctl");
//侦听IP报文
while(1)
{
memset(RecvBuf, 0, sizeof(RecvBuf));
iErrorCode = recv(SockRaw, RecvBuf, sizeof(RecvBuf), 0);
CheckSockError(iErrorCode, "recv");
iErrorCode = DecodeIpPack(RecvBuf, iErrorCode);
CheckSockError(iErrorCode, "Decode");
}
::CloseHandle(hFile);
::CloseHandle(hParse);
}
//IP解包程序
int DecodeIpPack(char *buf, int iBufSize)
{
IP_HEADER *pIpheader;
SOCKADDR_IN saSource, saDest;
pIpheader = (IP_HEADER *)buf;
//协议甄别
iProtocol = pIpheader->proto;
strncpy(szProtocol, CheckProtocol(iProtocol), MAX_PROTO_TEXT_LEN);
if((iProtocol==IPPROTO_TCP) && (!ParamTcp)) return true;
if((iProtocol==IPPROTO_UDP) && (!ParamUdp)) return true;
if((iProtocol==IPPROTO_ICMP) && (!ParamIcmp)) return true;
//源地址
saSource.sin_addr.s_addr = pIpheader->sourceIP;
strncpy(szSourceIP, inet_ntoa(saSource.sin_addr), MAX_ADDR_LEN);
if (strFromIpFilter)
if (strcmp(strFromIpFilter,szSourceIP)) return true;
//目的地址
saDest.sin_addr.s_addr = pIpheader->destIP;
strncpy(szDestIP, inet_ntoa(saDest.sin_addr), MAX_ADDR_LEN);
if (strDestIpFilter)
if (strcmp(strDestIpFilter,szDestIP)) return true;
iTTL = pIpheader->ttl;
//计算IP首部的长度
int iIphLen = sizeof(unsigned long) * (pIpheader->h_lenver & 0xf);
//根据协议类型分别调用相应的函数
switch(iProtocol)
{
case IPPROTO_TCP :DecodeTcpPack(buf+iIphLen, iBufSize);break;
case IPPROTO_UDP :DecodeUdpPack(buf+iIphLen, iBufSize);break;
case IPPROTO_ICMP :DecodeIcmpPack(buf+iIphLen, iBufSize);break;
default :break;
}
//printf("\n");
return true;
}
//协议识别程序
char * CheckProtocol(int iProtocol)
{
for(int i=0; i<MAX_PROTO_NUM; i++)
if(ProtoMap[i].ProtoNum==iProtocol)
return ProtoMap[i].ProtoText;
return "";
}
/*
网络数据包侦听基本原理:*/
#include <math.h>
#include <stdio.h>
#include <string.h>
#include <Winsock2.h>
#include <mstcpip.h>
#define STATUS_FAILED 0xFFFF //定义异常出错代码
#define MAX_PACK_LEN 65535 //接收的最大IP报文
#define MAX_ADDR_LEN 16 //点分十进制地址的最大长度
#define MAX_PROTO_TEXT_LEN 16 //子协议名称(如"TCP")最大长度
#define MAX_PROTO_NUM 12 //子协议数量
#define MAX_HOSTNAME_LAN 255 //最大主机名长度
#define CMD_PARAM_HELP true
HANDLE hFile = NULL;
HANDLE hParse = NULL;
typedef struct _iphdr
{
unsigned char h_lenver; //4位首部长度+4位IP版本号
unsigned char tos; //8位服务类型TOS
unsigned short total_len; //16位总长度(字节)
unsigned short ident; //16位标识
unsigned short frag_and_flags; //3位标志位
unsigned char ttl; //8位生存时间 TTL
unsigned char proto; //8位协议 (TCP, UDP 或其他)
unsigned short checksum; //16位IP首部校验和
unsigned int sourceIP; //32位源IP地址
unsigned int destIP; //32位目的IP地址
}IP_HEADER;
typedef struct _tcphdr //定义TCP首部
{
USHORT th_sport; //16位源端口
USHORT th_dport; //16位目的端口
unsigned int th_seq; //32位序列号
unsigned int th_ack; //32位确认号
unsigned char th_lenres; //4位首部长度/6位保留字
unsigned char th_flag; //6位标志位
USHORT th_win; //16位窗口大小
USHORT th_sum; //16位校验和
USHORT th_urp; //16位紧急数据偏移量
}TCP_HEADER;
typedef struct _udphdr //定义UDP首部
{
unsigned short uh_sport; //16位源端口
unsigned short uh_dport; //16位目的端口
unsigned short uh_len; //16位长度
unsigned short uh_sum; //16位校验和
} UDP_HEADER;
typedef struct _icmphdr //定义ICMP首部
{
BYTE i_type; //8位类型
BYTE i_code; //8位代码
USHORT i_cksum; //16位校验和
USHORT i_id; //识别号(一般用进程号作为识别号)
USHORT i_seq; //报文序列号
ULONG timestamp; //时间戳
}ICMP_HEADER;
typedef struct _protomap //定义子协议映射表
{
int ProtoNum;
char ProtoText[MAX_PROTO_TEXT_LEN];
}PROTOMAP;
PROTOMAP ProtoMap[MAX_PROTO_NUM]={ //为子协议映射表赋值
{ IPPROTO_IP , "IP " },
{ IPPROTO_ICMP , "ICMP" },
{ IPPROTO_IGMP , "IGMP" },
{ IPPROTO_GGP , "GGP " },
{ IPPROTO_TCP , "TCP " },
{ IPPROTO_PUP , "PUP " },
{ IPPROTO_UDP , "UDP " },
{ IPPROTO_IDP , "IDP " },
{ IPPROTO_ND , "NP " },
{ IPPROTO_RAW , "RAW " },
{ IPPROTO_MAX , "MAX " },
{ NULL , "" } };
SOCKET SockRaw;
char TcpFlag[6]={'F','S','R','P','A','U'}; //定义TCP标志位
bool ParamTcp =false; // -t关注TCP 报文
bool ParamUdp =false; // -u关注UDP 报文
bool ParamIcmp =false; // -i关注ICMP报文
bool ParamDecode=false; // -d对协议进行解码
char *strFromIpFilter=NULL; // 源IP地址过滤
char *strDestIpFilter=NULL; // 目的地址过滤
char *strSensitive=NULL; // 敏感字符串
int iPortFilter=0; // 端口过滤
int iProtocol, iTTL;
char szProtocol[MAX_PROTO_TEXT_LEN];
char szSourceIP[MAX_ADDR_LEN], szDestIP[MAX_ADDR_LEN];
int DecodeIpPack(char *, int); //IP解包函数
int DecodeTcpPack(char *, int); //TCP解包函数
int DecodeUdpPack(char *, int); //UDP解包函数
int DecodeIcmpPack(char *, int); //ICMP解包函数
void CheckSockError(int, char*); //出错处理函数
char * CheckProtocol(int); //协议检查
void usage(void); //使用说明
bool GetCmdLine(int, char **); //命令行参数处理
void main(int argc, char ** argv)
{
hFile = ::CreateFile("NetReport.txt", FILE_ALL_ACCESS, FILE_SHARE_READ, NULL, CREATE_ALWAYS, FILE_ATTRIBUTE_NORMAL, NULL);
hParse = ::CreateFile("NR.txt", FILE_ALL_ACCESS, FILE_SHARE_READ, NULL, CREATE_ALWAYS, FILE_ATTRIBUTE_NORMAL, NULL);
int iErrorCode;
char RecvBuf[MAX_PACK_LEN] = {0};
usage();
if(GetCmdLine(argc, argv)==CMD_PARAM_HELP) exit(0);
//初始化SOCKET
WSADATA wsaData;
iErrorCode = WSAStartup(MAKEWORD(2,1),&wsaData);
CheckSockError(iErrorCode, "WSAStartup");
SockRaw = socket(AF_INET , SOCK_RAW , IPPROTO_IP);
CheckSockError(SockRaw, "socket");
//获取本机IP地址
char FAR name[MAX_HOSTNAME_LAN];
iErrorCode = gethostname(name, MAX_HOSTNAME_LAN);
CheckSockError(iErrorCode, "gethostname");
struct hostent FAR * pHostent;
pHostent = (struct hostent * )malloc(sizeof(struct hostent));
pHostent = gethostbyname(name);
SOCKADDR_IN sa;
sa.sin_family = AF_INET;
sa.sin_port = htons(6000);
memcpy(&sa.sin_addr.S_un.S_addr, pHostent->h_addr_list[0], pHostent->h_length);
free(pHostent);
iErrorCode = bind(SockRaw, (PSOCKADDR)&sa, sizeof(sa));
CheckSockError(iErrorCode, "bind");
//设置SOCK_RAW为SIO_RCVALL,以便接收所有的IP包
DWORD dwBufferLen[10] ;
DWORD dwBufferInLen = 1 ;
DWORD dwBytesReturned = 0 ;
iErrorCode=WSAIoctl(SockRaw, SIO_RCVALL,&dwBufferInLen, sizeof(dwBufferInLen),
&dwBufferLen, sizeof(dwBufferLen),&dwBytesReturned , NULL , NULL );
CheckSockError(iErrorCode, "Ioctl");
//侦听IP报文
while(1)
{
memset(RecvBuf, 0, sizeof(RecvBuf));
iErrorCode = recv(SockRaw, RecvBuf, sizeof(RecvBuf), 0);
CheckSockError(iErrorCode, "recv");
iErrorCode = DecodeIpPack(RecvBuf, iErrorCode);
CheckSockError(iErrorCode, "Decode");
}
::CloseHandle(hFile);
::CloseHandle(hParse);
}
//IP解包程序
int DecodeIpPack(char *buf, int iBufSize)
{
IP_HEADER *pIpheader;
SOCKADDR_IN saSource, saDest;
pIpheader = (IP_HEADER *)buf;
//协议甄别
iProtocol = pIpheader->proto;
strncpy(szProtocol, CheckProtocol(iProtocol), MAX_PROTO_TEXT_LEN);
if((iProtocol==IPPROTO_TCP) && (!ParamTcp)) return true;
if((iProtocol==IPPROTO_UDP) && (!ParamUdp)) return true;
if((iProtocol==IPPROTO_ICMP) && (!ParamIcmp)) return true;
//源地址
saSource.sin_addr.s_addr = pIpheader->sourceIP;
strncpy(szSourceIP, inet_ntoa(saSource.sin_addr), MAX_ADDR_LEN);
if (strFromIpFilter)
if (strcmp(strFromIpFilter,szSourceIP)) return true;
//目的地址
saDest.sin_addr.s_addr = pIpheader->destIP;
strncpy(szDestIP, inet_ntoa(saDest.sin_addr), MAX_ADDR_LEN);
if (strDestIpFilter)
if (strcmp(strDestIpFilter,szDestIP)) return true;
iTTL = pIpheader->ttl;
//计算IP首部的长度
int iIphLen = sizeof(unsigned long) * (pIpheader->h_lenver & 0xf);
//根据协议类型分别调用相应的函数
switch(iProtocol)
{
case IPPROTO_TCP :DecodeTcpPack(buf+iIphLen, iBufSize);break;
case IPPROTO_UDP :DecodeUdpPack(buf+iIphLen, iBufSize);break;
case IPPROTO_ICMP :DecodeIcmpPack(buf+iIphLen, iBufSize);break;
default :break;
}
//printf("\n");
return true;
}
//协议识别程序
char * CheckProtocol(int iProtocol)
{
for(int i=0; i<MAX_PROTO_NUM; i++)
if(ProtoMap[i].ProtoNum==iProtocol)
return ProtoMap[i].ProtoText;
return "";
}
boycott2 2004-11-06
- 打赏
- 举报
非常谢谢changlele(梦幻水晶) 的贴子,能不能用QQ或是其他方法联系啊,我希望能和你继续探讨,我的email :boycott2@163.com QQ 172133004 泡泡账号:boycott2
电话 13585523106 (上海)
各位csdn的GGMM们也加我吧,大家相互帮助学习啊,希望能在网上或现实中多多交流!
电话 13585523106 (上海)
各位csdn的GGMM们也加我吧,大家相互帮助学习啊,希望能在网上或现实中多多交流!
月吻长河 2004-11-06
- 打赏
- 举报
去掉IP头,数据部分一般是加密的。
主要就是解密的工作。
主要就是解密的工作。
loucai 2004-11-06
- 打赏
- 举报
学习
sharkhuang 2004-11-05
- 打赏
- 举报
Winpcap可以自己添加自定义协议。
changlele 2004-11-04
- 打赏
- 举报
我有这样的程序,是用Winpcap抓包的,至于抓包的方法有很多,有自己写驱动的,有用WinDDK的,方法不同程序就不同。协议分析因为协议都是一样。所以大致都一样,关键是获得数据包。这继得考虑性能又得考虑需要保存什么端口的数据包,
changlele 2004-11-04
- 打赏
- 举报
关于邮件的分析可以参照以下的文章
MIME 编码方式简介
Subject: =?gb2312?B?xOO6w6Oh?=
这里是邮件的主题,可是因为编码了,我们看不出是什么内容,其原来的文本是:“你好!”我们先看看 MIME 编码的两种方法。
对邮件进行编码最初的原因是因为 Internet 上的很多网关不能正确传输8 bit 内码的字符,比如汉字等。编码的原理就是把 8 bit 的内容转换成 7 bit 的形式以能正确传输,在接收方收到之后,再将其还原成 8 bit 的内容。
MIME 是“多用途网际邮件扩充协议”的缩写,在 MIME 协议之前,邮件的编码曾经有过 UUENCODE 等编码方式 ,但是由于 MIME 协议算法简单,并且易于扩展,现在已经成为邮件编码方式的主流,不仅是用来传输 8 bit 的字符,也可以用来传送二进制的文件 ,如邮件附件中的图像、音频等信息,而且扩展了很多基于MIME 的应用。从编码方式来说,MIME 定义了两种编码方法Base64与QP(Quote-Printable) :
Base 64 是一种通用的方法,其原理很简单,就是把三个Byte的数据用 4 个Byte表示,这样,这四个Byte 中,实际用到的都只有前面6 bit,这样就不存在只能传输 7bit 的字符的问题了。Base 64的缩写一般是“B”,像这封信中的Subject 就是用的 Base64 编码。
另一种方法是QP(Quote-Printable) 方法,通常缩写为“Q”方法,其原理是把一个 8 bit 的字符用两个16进制数值表示,然后在前面加“=”。所以我们看到经过QP编码后的文件通常是这个样子:=B3=C2=BF=A1=C7=E5=A3=AC=C4=FA=BA=C3=A3=A1。
在 PHP 里,系统有两个函数可以很方便地实现解码:base64_decode()与quoted_printable_decode(),前者可用于base64 编码的解码,后者是用于 QP 编码方法的解码。
现在我们再来看看Subject: =?gb2312?B?xOO6w6Oh?= 这一主题的内容,这不是一段完整的编码,只有部分是编码了的,这个部分用 =? ?= 两个标记括起来,=? 后面说明的是这段文字的字符集是 GB2312 ,然后一个 ? 后面的一个 B 表示的是用的 Base64 编码。通过这段分析,我们来看一下这个 MIME 解码的函数:(该函数由 PHPX.COM 站长 Sadly 提供,本人将其放入一个类中,并做了少量的修改,在此致谢)
function decode_mime($string) {
$pos = strpos($string, '=?');
if (!is_int($pos)) {
return $string;
}
$preceding = substr($string, 0, $pos); // save any preceding text
$search = substr($string, $pos+2); /* the mime header spec says this is the longest a single encoded word can be */
$d1 = strpos($search, '?');
if (!is_int($d1)) {
return $string;
}
$charset = substr($string, $pos+2, $d1); //取出字符集的定义部分
$search = substr($search, $d1+1); //字符集定义以后的部分=>$search;
$d2 = strpos($search, '?');
if (!is_int($d2)) {
return $string;
}
$encoding = substr($search, 0, $d2); ////两个? 之间的部分编码方式 :q 或 b
$search = substr($search, $d2+1);
$end = strpos($search, '?='); //$d2+1 与 $end 之间是编码了 的内容:=> $endcoded_text;
if (!is_int($end)) {
return $string;
}
$encoded_text = substr($search, 0, $end);
$rest = substr($string, (strlen($preceding . $charset . $encoding . $encoded_text)+6)); //+6 是前面去掉的 =????= 六个字符
switch ($encoding) {
case 'Q':
case 'q':
//$encoded_text = str_replace('_', '%20', $encoded_text);
//$encoded_text = str_replace('=', '%', $encoded_text);
//$decoded = urldecode($encoded_text);
$decoded=quoted_printable_decode($encoded_text);
if (strtolower($charset) == 'windows-1251') {
$decoded = convert_cyr_string($decoded, 'w', 'k');
}
break;
case 'B':
case 'b':
$decoded = base64_decode($encoded_text);
if (strtolower($charset) == 'windows-1251') {
$decoded = convert_cyr_string($decoded, 'w', 'k');
}
break;
default:
$decoded = '=?' . $charset . '?' . $encoding . '?' . $encoded_text . '?=';
break;
}
return $preceding . $decoded . $this->decode_mime($rest);
}
这个函数用了递归的方法来实现一段包含有如上的 Subject 段的字符的解码。程序中已经加上了注释。相信有点PHP 编程基础的人都能够看得明白。该函数也是调用的base64_decode()与quoted_printable_decode()两个系统函数实现的解码,但是需要对邮件源文件进行大量的字符串的分析。不过,PHP 的字符串操作可以算是所有语言里最为方便自由的。函数的最后return $preceding . $decoded . $this->decode_mime($rest); 实现递归解码,因为这个函数实际上是放在后面要介绍的一个 MIME解码的类中的,所以用了 $this->decode_mime($rest)这种形式的调用方法。
下面我们来看正文。这里关系到 MIME 的一些头信息,我们先做一个简单的介绍(如果读者有兴趣了解更多的内容,请参考 MIME 的官方文档)。
MIME-Version: 1.0
表示使用的 MIME 的版本号,一般是1.0;
Content-Type: 定义了正文的类型,我们实际上是通过这个标识来知道正文内是什么类型的文件,比如:text/plain 表示的是无格式的文本正文,text/html 表示的 Html 文档,image/gif 表示的是 gif 格式的图片等等。在本文中特别要说明一下的是邮件中常用到的复合类型。multipart 类型表示正文是由多个部分组成的,后面的子类型说明的是这些部分之间的关系,邮件中用到的三个类型有,multipart/alternative:表示正文由两个部分组成,可以选择其中的任意一个。主要作用是在征文同时有 text 格式和 html 格式时,可以在两个正文中选择一个来显示,支持 html 格式的邮件客户端软件一般会显示其 HTML 正文,而不支持的则会显示其 Text 正文;multipart/mixed :表示文档的多个部分是混合的,指正文与附件的关系。如果邮件的 MIME 类型是multipart/mixed,即表示邮件带有附件;multipart/related :表示文档的多个部分是相关的,一般用来描述 Html 正文与其相关的图片。
这些复合类型又是可以嵌套使用的,比如说一个带有附件的邮件,同时有 html 与 text 两种格式的正文,则邮件的结构是:
Content-Type: multipart/mixed
部分一:
Content Type : multipart/alternative:
Text 正文;
Html 格式的正文
部分二:
附件
邮件结束符;
由于复合类型由多个部分组成,因此,需要一个分隔符来分隔这多个部分,这就是上面的邮件源文件中的boundary="----=_NextPart_000_0007_01C03166.5B1E9510"所描述的,对于每一个Contect type :multipart/* 的内容,都会有这么一个说明,表示多个部分之间的分隔,这个分隔符是正文中不可能出现的一串古字符的组合,在文档中,以 "--" 加上这个boundary 来表示一个部分的开始,在文档的结束,以"--"加boundary再在最后加上 "--" 来表示文档的结束。由于复合类型是可以嵌套使用的,因此,邮件中可能会多个 boundary 。
还有一个最重要的 MIME 头标签:
Content-Transfer-Encoding: base64 它表示了这个部分文档的编码方式,也就是我们上面所介绍的Base64或QP(Quote-Printable)。我们只有识别了这个说明,才能用正确的解码方式实现对其解码
MIME 编码方式简介
Subject: =?gb2312?B?xOO6w6Oh?=
这里是邮件的主题,可是因为编码了,我们看不出是什么内容,其原来的文本是:“你好!”我们先看看 MIME 编码的两种方法。
对邮件进行编码最初的原因是因为 Internet 上的很多网关不能正确传输8 bit 内码的字符,比如汉字等。编码的原理就是把 8 bit 的内容转换成 7 bit 的形式以能正确传输,在接收方收到之后,再将其还原成 8 bit 的内容。
MIME 是“多用途网际邮件扩充协议”的缩写,在 MIME 协议之前,邮件的编码曾经有过 UUENCODE 等编码方式 ,但是由于 MIME 协议算法简单,并且易于扩展,现在已经成为邮件编码方式的主流,不仅是用来传输 8 bit 的字符,也可以用来传送二进制的文件 ,如邮件附件中的图像、音频等信息,而且扩展了很多基于MIME 的应用。从编码方式来说,MIME 定义了两种编码方法Base64与QP(Quote-Printable) :
Base 64 是一种通用的方法,其原理很简单,就是把三个Byte的数据用 4 个Byte表示,这样,这四个Byte 中,实际用到的都只有前面6 bit,这样就不存在只能传输 7bit 的字符的问题了。Base 64的缩写一般是“B”,像这封信中的Subject 就是用的 Base64 编码。
另一种方法是QP(Quote-Printable) 方法,通常缩写为“Q”方法,其原理是把一个 8 bit 的字符用两个16进制数值表示,然后在前面加“=”。所以我们看到经过QP编码后的文件通常是这个样子:=B3=C2=BF=A1=C7=E5=A3=AC=C4=FA=BA=C3=A3=A1。
在 PHP 里,系统有两个函数可以很方便地实现解码:base64_decode()与quoted_printable_decode(),前者可用于base64 编码的解码,后者是用于 QP 编码方法的解码。
现在我们再来看看Subject: =?gb2312?B?xOO6w6Oh?= 这一主题的内容,这不是一段完整的编码,只有部分是编码了的,这个部分用 =? ?= 两个标记括起来,=? 后面说明的是这段文字的字符集是 GB2312 ,然后一个 ? 后面的一个 B 表示的是用的 Base64 编码。通过这段分析,我们来看一下这个 MIME 解码的函数:(该函数由 PHPX.COM 站长 Sadly 提供,本人将其放入一个类中,并做了少量的修改,在此致谢)
function decode_mime($string) {
$pos = strpos($string, '=?');
if (!is_int($pos)) {
return $string;
}
$preceding = substr($string, 0, $pos); // save any preceding text
$search = substr($string, $pos+2); /* the mime header spec says this is the longest a single encoded word can be */
$d1 = strpos($search, '?');
if (!is_int($d1)) {
return $string;
}
$charset = substr($string, $pos+2, $d1); //取出字符集的定义部分
$search = substr($search, $d1+1); //字符集定义以后的部分=>$search;
$d2 = strpos($search, '?');
if (!is_int($d2)) {
return $string;
}
$encoding = substr($search, 0, $d2); ////两个? 之间的部分编码方式 :q 或 b
$search = substr($search, $d2+1);
$end = strpos($search, '?='); //$d2+1 与 $end 之间是编码了 的内容:=> $endcoded_text;
if (!is_int($end)) {
return $string;
}
$encoded_text = substr($search, 0, $end);
$rest = substr($string, (strlen($preceding . $charset . $encoding . $encoded_text)+6)); //+6 是前面去掉的 =????= 六个字符
switch ($encoding) {
case 'Q':
case 'q':
//$encoded_text = str_replace('_', '%20', $encoded_text);
//$encoded_text = str_replace('=', '%', $encoded_text);
//$decoded = urldecode($encoded_text);
$decoded=quoted_printable_decode($encoded_text);
if (strtolower($charset) == 'windows-1251') {
$decoded = convert_cyr_string($decoded, 'w', 'k');
}
break;
case 'B':
case 'b':
$decoded = base64_decode($encoded_text);
if (strtolower($charset) == 'windows-1251') {
$decoded = convert_cyr_string($decoded, 'w', 'k');
}
break;
default:
$decoded = '=?' . $charset . '?' . $encoding . '?' . $encoded_text . '?=';
break;
}
return $preceding . $decoded . $this->decode_mime($rest);
}
这个函数用了递归的方法来实现一段包含有如上的 Subject 段的字符的解码。程序中已经加上了注释。相信有点PHP 编程基础的人都能够看得明白。该函数也是调用的base64_decode()与quoted_printable_decode()两个系统函数实现的解码,但是需要对邮件源文件进行大量的字符串的分析。不过,PHP 的字符串操作可以算是所有语言里最为方便自由的。函数的最后return $preceding . $decoded . $this->decode_mime($rest); 实现递归解码,因为这个函数实际上是放在后面要介绍的一个 MIME解码的类中的,所以用了 $this->decode_mime($rest)这种形式的调用方法。
下面我们来看正文。这里关系到 MIME 的一些头信息,我们先做一个简单的介绍(如果读者有兴趣了解更多的内容,请参考 MIME 的官方文档)。
MIME-Version: 1.0
表示使用的 MIME 的版本号,一般是1.0;
Content-Type: 定义了正文的类型,我们实际上是通过这个标识来知道正文内是什么类型的文件,比如:text/plain 表示的是无格式的文本正文,text/html 表示的 Html 文档,image/gif 表示的是 gif 格式的图片等等。在本文中特别要说明一下的是邮件中常用到的复合类型。multipart 类型表示正文是由多个部分组成的,后面的子类型说明的是这些部分之间的关系,邮件中用到的三个类型有,multipart/alternative:表示正文由两个部分组成,可以选择其中的任意一个。主要作用是在征文同时有 text 格式和 html 格式时,可以在两个正文中选择一个来显示,支持 html 格式的邮件客户端软件一般会显示其 HTML 正文,而不支持的则会显示其 Text 正文;multipart/mixed :表示文档的多个部分是混合的,指正文与附件的关系。如果邮件的 MIME 类型是multipart/mixed,即表示邮件带有附件;multipart/related :表示文档的多个部分是相关的,一般用来描述 Html 正文与其相关的图片。
这些复合类型又是可以嵌套使用的,比如说一个带有附件的邮件,同时有 html 与 text 两种格式的正文,则邮件的结构是:
Content-Type: multipart/mixed
部分一:
Content Type : multipart/alternative:
Text 正文;
Html 格式的正文
部分二:
附件
邮件结束符;
由于复合类型由多个部分组成,因此,需要一个分隔符来分隔这多个部分,这就是上面的邮件源文件中的boundary="----=_NextPart_000_0007_01C03166.5B1E9510"所描述的,对于每一个Contect type :multipart/* 的内容,都会有这么一个说明,表示多个部分之间的分隔,这个分隔符是正文中不可能出现的一串古字符的组合,在文档中,以 "--" 加上这个boundary 来表示一个部分的开始,在文档的结束,以"--"加boundary再在最后加上 "--" 来表示文档的结束。由于复合类型是可以嵌套使用的,因此,邮件中可能会多个 boundary 。
还有一个最重要的 MIME 头标签:
Content-Transfer-Encoding: base64 它表示了这个部分文档的编码方式,也就是我们上面所介绍的Base64或QP(Quote-Printable)。我们只有识别了这个说明,才能用正确的解码方式实现对其解码
boycott2 2004-11-04
- 打赏
- 举报
这个程序有这么难吗,大家都没有实际的示范,而只是泛泛而谈!
pclili 2004-10-29
- 打赏
- 举报
只是显示出邮件的内容应该不难,它用的众所诸知的base64编码,要分析其它的程序的数据,就得解密哦^_^,一个字,烦。我头都晕了
加载更多回复(15)
