网络安全参考 | UNIX参考 | GPS参考 | 无线参考 | 在线手册 | OSBUG.ORG | SUNNY-NETWORK.COM
网站地图 RSS订阅
高级搜索 收藏本站
Home | 业界动态 | 防火墙 | IDS/IPS | VPN | PKI | Honeypot | Hacker/Intruder | 黑客技术 | 破解技术 | 加密技术 | 病毒防护 | 木马 | 反垃圾邮件 | 反流氓软件 | 漏洞 | 无线安全 | UNIX | Windows | 安全编程 | 安全软件 | TPM/TCG | 数据恢复 | 企业信息安全 | 个人信息安全
 当前位置: Home > 安全编程 > 网络编程 > 文章  
原始套接字透析之实现包分析
文章来源: 天极开发 文章作者: 宋宝华 发布时间: 2006-11-16   字体: [ ]
 

  紧接上节,DecodeIpPack()函数完成包的解析:

//IP包解析
int DecodeIpPack(char *buf, int iBufSize)
{
 IP_HEADER *pIpheader;
 int iProtocol, iTTL;
 char szProtocol[MAX_PROTO_TEXT_LEN];
 char szSourceIP[MAX_ADDR_LEN], szDestIP[MAX_ADDR_LEN];
 SOCKADDR_IN saSource, saDest;
 pIpheader = (IP_HEADER*)buf;
 //Check Proto
 iProtocol = pIpheader->proto;
 strncpy(szProtocol, CheckProtocol(iProtocol), MAX_PROTO_TEXT_LEN);
 if ((iProtocol == IPPROTO_TCP) && (!ParamTcp))
  return true;
 if ((iProtocol == IPPROTO_UDP) && (!ParamUdp))
  return true;
 if ((iProtocol == IPPROTO_ICMP) && (!ParamIcmp))
  return true;
 //Check Source IP
 saSource.sin_addr.s_addr = pIpheader->sourceIP;
 strncpy(szSourceIP, inet_ntoa(saSource.sin_addr), MAX_ADDR_LEN);
 if (strFromIpFilter)
 if (strcmp(strFromIpFilter, szSourceIP))
  return true;
 //Check Dest IP
 saDest.sin_addr.s_addr = pIpheader->destIP;
 strncpy(szDestIP, inet_ntoa(saDest.sin_addr), MAX_ADDR_LEN);
 if (strDestIpFilter)
  if (strcmp(strDestIpFilter, szDestIP))
   return true;
  iTTL = pIpheader->ttl;
  //Output
  printf("%s ", szProtocol);
  printf("%s->%s ", szSourceIP, szDestIP);
  printf("bytes=%d TTL=%d ", iBufSize, iTTL);
  //Calculate IP Header Length
  int iIphLen = sizeof(unsigned long)*(pIpheader->h_lenver &0xf);
  //Decode Sub Protocol:TCP, UDP, ICMP, etc
 switch (iProtocol)
 {
  case IPPROTO_TCP:
   DecodeTcpPack(buf + iIphLen);
   break;
  case IPPROTO_UDP:
   DecodeUdpPack(buf + iIphLen);
   break;
  case IPPROTO_ICMP:
   DecodeIcmpPack(buf + iIphLen);
   break;
  default:
   break;
 }
 return true;
}

  上述程序解析IP包类型后又分别调用DecodeTcpPack()、DecodeUdpPack()、DecodeIcmpPack()解析相应的TCP报文、UDP报文和ICMP报文。

//TCP报文解析
int DecodeTcpPack(char *TcpBuf)
{
 TCP_HEADER *pTcpHeader;
 int i;
 pTcpHeader = (TCP_HEADER*)TcpBuf;
 printf("Port:%d->%d ", ntohs(pTcpHeader->th_sport), ntohs(pTcpHeader->th_dport));
 unsigned char FlagMask = 1;
 for (i = 0; i < 6; i++)
 {
  if ((pTcpHeader->th_flag) &FlagMask)
   printf("%c", TcpFlag[i]);
  else
   printf("-");
  FlagMask = FlagMask << 1;
 }
 printf("\n");
 return true;
}
//UDP报文解析
int DecodeUdpPack(char *UdpBuf)
{
 UDP_HEADER *pUdpHeader;
 pUdpHeader = (UDP_HEADER*)UdpBuf;
 printf("Port:%d->%d ", ntohs(pUdpHeader->uh_sport), ntohs(pUdpHeader->uh_dport));
 printf("Len=%d\n", ntohs(pUdpHeader->uh_len));
 return true;
}

//ICMP报文解析
int DecodeIcmpPack(char *IcmpBuf)
{
 ICMP_HEADER *pIcmpHeader;
 pIcmpHeader = (ICMP_HEADER*)IcmpBuf;
 printf("Type:%d,%d ", pIcmpHeader->i_type, pIcmpHeader->i_code);
 printf("ID=%d SEQ=%d\n", pIcmpHeader->i_id, pIcmpHeader->i_seq);
 return true;
}

  上述程序分析了具体的TCP、UDP和ICMP报头,解析出源地址、目标地址、源端口、目标端口、ICMP控制信息类型和代码等。当然,我们也可以进一步分析报文的数据域,或进行应用层解析,从而可获知任何信息(如果信息未采用任何加密手段),包括:

  1. 局域网上的其他用户在访问什么网站;
  2. 局域网上的其他用户在QQ、MSN上发送和接收什么内容;
  3. 局域网上的用户网络游戏的游戏信息;
  4. 没有加密的银行卡账户、密码等。

  (参考链接: http://dev.yesky.com/216/2669716.shtml)

 
推荐文章
·洪水攻击原理及代码实现全攻略(
·原始套接字透析之综合实例:网络
·原始套接字透析之实现IP地址欺骗
·原始套接字透析之ARP欺骗
·原始套接字透析之实现sniffer
·原始套接字透析之实现路由欺骗
·原始套接字透析之ICMP拒绝服务攻
·原始套接字透析之实现Ping
·原始套接字透析之Raw Socket基础
·黑客之旅 -- 原始套接字透析之前
 
 
↑返回顶部   打印本页   关闭窗口↓  

Google
 
Web oldhand.org unixreference.net meshmea.org
热点文章
·原始套接字透析之Raw So
·原始套接字透析之ARP欺
·洪水攻击原理及代码实现
·原始套接字透析之综合实
·原始套接字透析之实现Pi
·黑客之旅 -- 原始套接字
·原始套接字透析之实现路
·原始套接字透析之ICMP拒
相关分类
相关文章
·原始套接字透析之ARP欺
·原始套接字透析之实现sn
·原始套接字透析之实现IP
·原始套接字透析之实现路
·原始套接字透析之ICMP拒
·原始套接字透析之综合实
·洪水攻击原理及代码实现
·原始套接字透析之实现Pi
更多...
 
 
Copyright(c) 2001-2008 OLDHAND ORGANIZATION, All Rights reserved.
Power by DedeCms 织梦内容管理系统
$Id: article_article.html,v 1.3 2007/02/10 12:00:37 yjs Exp $