網(wǎng)絡(luò)數(shù)據(jù)包生成技術(shù)

-.z網(wǎng)絡(luò)數(shù)據(jù)包生成技術(shù)摘要：數(shù)據(jù)包是tcp/ip通信傳輸中的數(shù)據(jù)單位，了解數(shù)據(jù)包的生成原理，可以幫助我們更好的理解網(wǎng)絡(luò)中的數(shù)據(jù)傳送和更有效的分析一些網(wǎng)絡(luò)問(wèn)題。數(shù)據(jù)包的構(gòu)成主要以tcp/ip模型中的各個(gè)協(xié)議為根底，包括tcp協(xié)議、udp協(xié)議、ip協(xié)議和icmp協(xié)議等。在windows下，原始套接字、winpcap、和libnet是生成和發(fā)送數(shù)據(jù)包常用的3種方法。本文主要討論了在各個(gè)協(xié)議下數(shù)據(jù)包的構(gòu)造以及上述3種方法生成數(shù)據(jù)包的根本原理。

關(guān)鍵詞：rawsocket；winpca；libnet；tcp/ip協(xié)議族；數(shù)據(jù)包

一、數(shù)據(jù)包構(gòu)造分析

〔一〕ip數(shù)據(jù)包

1、ip協(xié)議

〔1〕是點(diǎn)對(duì)點(diǎn)協(xié)議，雖然ip數(shù)據(jù)報(bào)攜帶源ip和目的ip地址，但進(jìn)展數(shù)據(jù)傳輸時(shí)的對(duì)等實(shí)體一定相鄰設(shè)備〔同一網(wǎng)絡(luò)中〕的對(duì)等實(shí)體。

〔2〕ip協(xié)議不保證傳輸?shù)目煽啃?，不?duì)數(shù)據(jù)進(jìn)展過(guò)失校驗(yàn)和跟蹤，可靠性有ip的上層tcp協(xié)議加以保證。

〔3〕ip協(xié)議提供無(wú)連接數(shù)據(jù)報(bào)效勞，各個(gè)數(shù)據(jù)報(bào)獨(dú)立傳輸，可能沿著不同路徑到達(dá)目的地，也可能不按序到達(dá)目的地。

正因?yàn)閕p協(xié)議采用盡力傳輸?shù)乃枷?，所以ip協(xié)議的效率非常高，實(shí)現(xiàn)也簡(jiǎn)單。ip層向下要面對(duì)各種不同的物理網(wǎng)絡(luò)，向上卻提供一個(gè)同一的數(shù)據(jù)傳輸效勞。通過(guò)ip數(shù)據(jù)報(bào)實(shí)現(xiàn)了物理數(shù)據(jù)幀的同一，ip層到達(dá)了向上屏蔽底層差異的目的。ip協(xié)議位于網(wǎng)絡(luò)層，是因特網(wǎng)的核心協(xié)議，除了arp和rarp報(bào)文外，幾乎所有的數(shù)據(jù)都要經(jīng)過(guò)ip協(xié)議進(jìn)展發(fā)送。由于ip協(xié)議在網(wǎng)絡(luò)層中具有重要地位，人們又將tcp/ip協(xié)議的網(wǎng)絡(luò)層稱(chēng)為ip層。

2、ip數(shù)據(jù)包構(gòu)造

〔1〕版本(ver)：4位，表示數(shù)據(jù)報(bào)的ip協(xié)議版本，當(dāng)前的ip協(xié)議版本號(hào)為4，即ipv4;下一代網(wǎng)絡(luò)協(xié)議ipv6，版本號(hào)為6。

〔2〕首部長(zhǎng)度〔hlen〕：4位，表示以字長(zhǎng)〔4字節(jié)〕為單位的數(shù)據(jù)報(bào)首部長(zhǎng)度。

〔3〕效勞類(lèi)型〔servicetype〕：8位，規(guī)定本數(shù)據(jù)報(bào)的處理方式。前三位是優(yōu)先級(jí)，0-7，0表示最低，7最高〔最重要〕，但目前的ipv4沒(méi)有使用優(yōu)先級(jí)。后4位是tos，表示本數(shù)據(jù)報(bào)在傳輸過(guò)程中所希望得到的效勞，d--最小延遲〔minimizedelay〕；t--最大吞吐率〔ma*imizethroughout〕；r--最高可靠性〔ma*imizereliability〕；c--最低本錢(qián)〔minimizecost〕。

數(shù)據(jù)報(bào)總長(zhǎng)度：總長(zhǎng)度定義了ip數(shù)據(jù)報(bào)的總長(zhǎng)度。這是一個(gè)2個(gè)字節(jié)的字段，可以定義長(zhǎng)達(dá)65536個(gè)字節(jié)。

〔4〕標(biāo)識(shí)〔identification〕：16位每個(gè)ip數(shù)據(jù)報(bào)都有一個(gè)本地唯一的標(biāo)識(shí)符，它由信源機(jī)賦予ip數(shù)據(jù)報(bào)。每次自動(dòng)加1。

〔5〕標(biāo)志〔flags〕：3位，表示該ip數(shù)據(jù)報(bào)是否允許分片以及是否最后一片。

〔6〕片偏移〔fragmentationoffset〕：表示本片數(shù)據(jù)在他所屬原始數(shù)據(jù)報(bào)數(shù)據(jù)區(qū)的偏移量。

〔7〕生存時(shí)間〔timetolive,ttl〕：8位，生存期字段定義了數(shù)據(jù)報(bào)在被丟棄錢(qián)可以傳輸?shù)奶鴶?shù)，防止數(shù)據(jù)報(bào)在路由器之間反復(fù)的傳輸。

〔8〕協(xié)議(ipprotocol)：8位，指明被ip數(shù)據(jù)報(bào)封裝的協(xié)議:icmp=1,igmp=2,tcp=6,egp=8,udp=17,ospf=89。

〔二〕tcp數(shù)據(jù)包

1、tcp協(xié)議

tcp是一種面向連接的、可靠的傳輸層協(xié)議；tcp協(xié)議建立在不可靠的網(wǎng)絡(luò)層ip協(xié)議之上，ip不能提供任何可靠性機(jī)制，tcp的可靠性完全由自己實(shí)現(xiàn)，它在網(wǎng)絡(luò)層ip效勞的根底上，向應(yīng)用層提供面向連接、可靠的流傳輸。

2、tcp數(shù)據(jù)包構(gòu)造

〔1〕源端口地址：源端口地址定義了源計(jì)算機(jī)上的應(yīng)用程序。

〔2〕目的端口地址：源端口地址定義了目的計(jì)算機(jī)上的應(yīng)用程序。

〔3〕序列號(hào)：來(lái)自應(yīng)用程序的數(shù)據(jù)流可以分為兩個(gè)或者更多的tcp段。序列號(hào)字段顯示了數(shù)據(jù)在原始數(shù)據(jù)流中的位置。

〔4〕確認(rèn)號(hào)：32位確實(shí)認(rèn)號(hào)用來(lái)確認(rèn)接收來(lái)自其他通信設(shè)備的數(shù)據(jù)。這個(gè)序號(hào)只有在控制字段中設(shè)置了ack為以后才有效，它定義了下一個(gè)期望收到的字節(jié)序列號(hào)。

〔5〕保存：6位的字段預(yù)留給將來(lái)使用。

〔6〕控制位：6位的控制字段中的每位都有獨(dú)特的功能。它即可定義段的用途，也可以用作其他字段的有效性檢查。當(dāng)urg位被設(shè)置時(shí)，它驗(yàn)證緊急指針的有效性。這個(gè)位和緊急指針一起指明了段中的數(shù)據(jù)是緊急的。當(dāng)ack位被設(shè)置時(shí)，它驗(yàn)證確認(rèn)號(hào)字段的有效性。psh為用來(lái)通知發(fā)送方需要更高的吞吐量。rst位用于在序列號(hào)出現(xiàn)混亂時(shí)重置連接。syn位在以下三種類(lèi)型的段中用于序列號(hào)同步：連接請(qǐng)求、

連接確認(rèn)〔ack未被設(shè)置〕以及驗(yàn)證確認(rèn)〔ack未被設(shè)置〕。fin位在三種類(lèi)型的段中用于連接終止：終止請(qǐng)求、終止驗(yàn)證〔ack未被設(shè)置〕以及終止驗(yàn)證確實(shí)認(rèn)〔ack未被設(shè)置〕。

〔7〕窗口大?。捍翱谑且粋€(gè)16位的字段，它定義了滑動(dòng)窗口的大小。

〔8〕校驗(yàn)和：校驗(yàn)和是一個(gè)16位的字段，用在過(guò)失檢驗(yàn)中。

〔9〕緊急指針：這是報(bào)文頭中的最后一個(gè)字段。只有在控制字段中的urg位被設(shè)置后才能有效。在這種情況下，發(fā)送方通知接收方段中的數(shù)據(jù)是緊急數(shù)據(jù)，這個(gè)指針定義了緊急數(shù)據(jù)的結(jié)尾和普通數(shù)據(jù)的開(kāi)場(chǎng)。

選項(xiàng)和填充：tcp報(bào)文頭中的其余局部定義了可選字段。它們用來(lái)給接收方傳送附加的信息，或者用來(lái)對(duì)齊數(shù)據(jù)。

〔三〕udp數(shù)據(jù)包

1、udp協(xié)議特點(diǎn)

〔1〕udp是一個(gè)無(wú)連接協(xié)議，傳輸數(shù)據(jù)之前源端和終端不建立連接當(dāng)它想傳送時(shí)就簡(jiǎn)單地去抓取來(lái)自應(yīng)用程序的數(shù)據(jù)，并盡可能快地把它扔到網(wǎng)絡(luò)上。在發(fā)送端，udp傳送數(shù)據(jù)的速度僅僅是受應(yīng)用程序生成數(shù)據(jù)的速度、計(jì)算機(jī)的能力和傳輸帶寬的限制；在接收端，udp把每個(gè)消息段放在隊(duì)列中，應(yīng)用程序每次從隊(duì)列中讀一個(gè)消息段。

〔2〕由于傳輸數(shù)據(jù)不建立連接，因此也就不需要維護(hù)連接狀態(tài)，包括收發(fā)狀態(tài)等，因此一臺(tái)效勞機(jī)可同時(shí)向多個(gè)客戶(hù)機(jī)傳輸一樣的消息。

〔3〕udp信息包的標(biāo)題很短，只有8個(gè)字節(jié)，相對(duì)于tcp的20個(gè)字節(jié)信息包的額外開(kāi)銷(xiāo)很小。

〔4〕吞吐量不受擁擠控制算法的調(diào)節(jié)，只受應(yīng)用軟件生成數(shù)據(jù)的速率、傳輸帶寬、源端和終端主機(jī)性能的限制。

〔5〕udp使用盡最大努力交付，即不保證可靠交付，因此主機(jī)不需要維持復(fù)雜的狀態(tài)表〔這里面有許多參數(shù)〕。

〔6〕udp是面向報(bào)文的。發(fā)送方的udp對(duì)應(yīng)用程序交下來(lái)的報(bào)文，在添加首部后就向下交付給ip層。既不拆分，也不合并，而是保存這些報(bào)文的邊界，因此，應(yīng)用程序需要選擇適宜的報(bào)文大小。

2、udp數(shù)據(jù)包構(gòu)造

〔1〕源端口地址：源端口地址是創(chuàng)立報(bào)文的應(yīng)用程序的地址。

〔2〕目的端口地址：目的端口地址是接收?qǐng)?bào)文的應(yīng)用程序的地址。

〔3〕總長(zhǎng)度：總長(zhǎng)度定義了用戶(hù)數(shù)據(jù)報(bào)的總長(zhǎng)度，以字節(jié)為單位。

〔4〕校驗(yàn)和：校驗(yàn)和是用在過(guò)失檢測(cè)中的16位字段。

二、基于原始套接字、winpcap、libnet生成數(shù)據(jù)包原理

〔一〕原始套接字工作原理及規(guī)則

1、使用原始套接字時(shí)應(yīng)該注意的問(wèn)題

〔1〕對(duì)于udp/tcp產(chǎn)生的ip數(shù)據(jù)包，核不將它傳遞給任何原始套接字,而只是將這些數(shù)據(jù)交給對(duì)應(yīng)的udp/tcp數(shù)據(jù)處理句柄(所以,如果你想要通過(guò)原始套接字來(lái)tcp/udp或者其它類(lèi)型的數(shù)據(jù)，調(diào)用socket函數(shù)創(chuàng)立原始套接字第三個(gè)參數(shù)應(yīng)該指定為htons(eth_p_ip),也就是通過(guò)直接數(shù)據(jù)鏈路層來(lái)實(shí)現(xiàn)。

〔2〕對(duì)于icmp和egp等使用ip數(shù)據(jù)包承載數(shù)據(jù)但又在傳輸層之下的協(xié)議類(lèi)型的ip數(shù)據(jù)包，核不管是否已經(jīng)有注冊(cè)了的句柄來(lái)處理這些數(shù)據(jù),都會(huì)將這些ip數(shù)據(jù)包復(fù)制一份傳遞給協(xié)議類(lèi)型匹配的原始套接字。

〔3〕對(duì)于不能識(shí)別協(xié)議類(lèi)型的數(shù)據(jù)包，核進(jìn)展必要的校驗(yàn),然后會(huì)查看是否有類(lèi)型匹配的原始套接字負(fù)責(zé)處理這些數(shù)據(jù)，如果有的話(huà),就會(huì)將這些ip數(shù)據(jù)包復(fù)制一份傳遞給匹配的原始套接字，否則，核將會(huì)丟棄這個(gè)ip數(shù)據(jù)包，并返回一個(gè)icmp主機(jī)不可達(dá)的消息給源主機(jī)。

2、編程選項(xiàng)

〔1〕bind函數(shù)：調(diào)用bind函數(shù)后，發(fā)送數(shù)據(jù)包的源ip地址將是bind函數(shù)指定的地址。如是不調(diào)用bind，則核將以發(fā)送接口的主ip地址填充ip頭。如果使用setsockopt設(shè)置了ip_hdrincl(headerincluding)選項(xiàng),就必須手工填充每個(gè)要發(fā)送的數(shù)據(jù)包的源ip地址，否則，核將自動(dòng)創(chuàng)立ip首部。

〔2〕connetc函數(shù)：調(diào)用connect函數(shù)后，就可以使用write和send函數(shù)來(lái)發(fā)送數(shù)據(jù)包，而且核將會(huì)用這個(gè)綁定的地址填充ip數(shù)據(jù)包的目的ip地址，否則的話(huà)，則應(yīng)使用sendto或sendmsg函數(shù)來(lái)發(fā)送數(shù)據(jù)包，并且要在函數(shù)參數(shù)中指定對(duì)方的ip地址。

綜合以上種種功能和特點(diǎn)，我們可以使用原始套接字來(lái)實(shí)現(xiàn)很多功能,比方最根本的數(shù)據(jù)包分析,主機(jī)嗅探等。其實(shí)也可以使用原始套接字作一個(gè)自定義的傳輸層協(xié)議。

〔二〕基于winpcap的原理

winpcap是win32平臺(tái)下的數(shù)據(jù)包捕獲和網(wǎng)絡(luò)分析構(gòu)架。它包含了一個(gè)核心級(jí)的包過(guò)濾器，低級(jí)的動(dòng)態(tài)庫(kù)(packet.dl1)和一個(gè)高級(jí)并且系統(tǒng)獨(dú)立的庫(kù)(wpcap.dl1)。

由于捕獲系統(tǒng)要繞過(guò)系統(tǒng)的協(xié)議棧直接網(wǎng)絡(luò)數(shù)據(jù)，這就需要在操作系統(tǒng)核中，有一局部直接與網(wǎng)卡驅(qū)動(dòng)交互。這一局部是系統(tǒng)相關(guān)的，在winpcap的解決方案中是通過(guò)一個(gè)設(shè)備驅(qū)動(dòng)——npf(netgrouppacketfilter)來(lái)實(shí)現(xiàn)的。npf驅(qū)動(dòng)提供了例如包捕獲和發(fā)送的根本功能，也提供了更高級(jí)的可編程過(guò)濾系統(tǒng)和監(jiān)視系統(tǒng)。捕獲系統(tǒng)實(shí)現(xiàn)了用戶(hù)級(jí)應(yīng)用程序與核間的接口：packet.dll和wpcap.dll。

利用winpcap的庫(kù)函數(shù)可以將指定數(shù)據(jù)緩沖區(qū)中的數(shù)據(jù)發(fā)送出去。其中發(fā)送函數(shù)為“intpcap_sendpacket(pcap_t*p，u_char*buf，intsize)〞，此函數(shù)用來(lái)發(fā)送一個(gè)原始數(shù)據(jù)包，即從鏈路層的數(shù)據(jù)開(kāi)場(chǎng)發(fā)送。這也就意味著在流程的第一步構(gòu)造發(fā)送緩沖區(qū)數(shù)據(jù)時(shí)，需要自頂向下構(gòu)造應(yīng)用層數(shù)據(jù)、傳輸層數(shù)據(jù)、網(wǎng)絡(luò)層數(shù)據(jù)和鏈路層數(shù)據(jù)。從這里表現(xiàn)出winpcap比socketapi函數(shù)對(duì)數(shù)據(jù)包具有更深層次的控制能力，后者只能控制數(shù)據(jù)封裝到網(wǎng)絡(luò)層。winpcap比socketapi的功能強(qiáng)大得多。函數(shù)參數(shù)中的p是控制翻開(kāi)網(wǎng)卡的句柄，buf指向準(zhǔn)備發(fā)送的數(shù)據(jù)幀，size表示發(fā)送的數(shù)據(jù)長(zhǎng)度。

〔三〕基于libnet的原理

libnet生成數(shù)據(jù)包的方法很具有模塊化，一個(gè)協(xié)議類(lèi)型就是一個(gè)協(xié)議塊，要構(gòu)造一個(gè)完整的網(wǎng)絡(luò)數(shù)據(jù)包，只需要給出此數(shù)據(jù)包的各個(gè)協(xié)議塊，然后libnet把他們組合在一起發(fā)送出去。

1、存初始化：libnet_init(intinjection_type,char*device,char*err_buf)

injection_type表示構(gòu)造的類(lèi)型；

device表示網(wǎng)絡(luò)接口；

err_buf表示存放出錯(cuò)的信息。

2、釋放存：libn