Принять IP пакет

@Leardjiny · Регистрация: 22.09.2013

Author24 — интернет-сервис помощи студентам

Добрый день.

Хочу сделать аналог сниффера (типа wireshark) и принимать полный IP пакет, а не только данные.

Подскажите, пожалуйста, можно ли это сделать на уровне сокетов?
Либо какими-то стандартными способами, без установки дополнительных библиотек.

В интернете нашел примеры с библиотекой pcap.h, но как я понял это не стандартная, и чтобы с ней работать - нужно ее отдельно скачать и поставить.

@Undisputed · 21.08.2017, 12:23

Leardjiny,
На уровне сокетов думаю можно, посмотрите в сторону SOCK_RAW,
https://habrahabr.ru/post/164901/

@Leardjiny · 21.08.2017, 12:57 **[ТС]**

Undisputed, Спасибо. Вроде похоже как раз на то, что нужно - попробую сделать.

Я правильно понимаю, что если я таким образом перехвачу данные, а потом запишу их в файл, то потом смогу их проиграть к примеру в wireshark, и получу то же самое, что если бы записывал им?

И второй вопрос, можно потом как-то сделать, чтобы данные можно было с другого сокета обычным способом уже перехватить? Или таким образом уже не выйдет? (Задачи сделать таким образом нет, поэтому способ в любом случае подойдет, но просто чтобы на будущее знать)

@Undisputed · 21.08.2017, 13:27

Leardjiny,
Whireshark-ом не пользовался, но если там есть возможность импортирования данных и вы будете соблюдать подходящий для этой операции формат, то полагаю проблем быть не должно...

Не встречал программ с двойной прослушкой в пределах одного процесса. Это может как работать, так и не работать по самым разным причинам, поэтому затрудняюсь что либо ответить по этому поводу...

@Leardjiny · 21.08.2017, 13:31 **[ТС]**

Undisputed, Хорошо, значит на эту тему надо почитать.

А фильтры, по портам или IP там настроить я так понимаю не выйдет в таком формате?
Придется уже после ловли пакета лезть в заголовок и смотреть данные источника?

@GbaLog- · 21.08.2017, 13:53

http://www.binarytides.com/pac... e-c-linux/
http://www.binarytides.com/pac... g-winsock/

Сообщение от Leardjiny

Я правильно понимаю, что если я таким образом перехвачу данные, а потом запишу их в файл, то потом смогу их проиграть к примеру в wireshark, и получу то же самое, что если бы записывал им?

только если в правильном формате запишите.
https://wiki.wireshark.org/Dev... FileFormat

@Leardjiny · 21.08.2017, 13:56 **[ТС]**

GbaLog-, Спасибо. Для UDP я так понимаю надо IPPROTO_UDP поставить и все?
Либо IPPROTO_IP как в первом варианте?

@Undisputed · 21.08.2017, 14:01

Leardjiny,
Я думаю порты и айпи надо фильтровать после принятия пакета, других способов не знаю...

@Leardjiny · 21.08.2017, 14:05 **[ТС]**

Undisputed, Я тоже так думаю, на уровне сокетов не могу настроек найти. А libpcap не хочу ставить

@GbaLog- · 21.08.2017, 14:09

Сообщение от Leardjiny

Для UDP я так понимаю надо IPPROTO_UDP поставить и все?
Либо IPPROTO_IP как в первом варианте?

да.

Сообщение от Leardjiny

на уровне сокетов не могу настроек найти.

как вы себе это представляете?

@Leardjiny · 21.08.2017, 14:13 **[ТС]**

GbaLog-, ну для pcap есть функции фильтрации.

Либо как для обычных данных указать порт, затем bind сделать или что-то подобное.

Но это не вариант - т.к. даже если можно, то привяжет к одному порту, а не к нескольким.

@GbaLog- · 21.08.2017, 15:42

Сообщение от Leardjiny

ну для pcap есть функции фильтрации.

libpcap сама реализует их, их нет из коробки.

@Leardjiny · 21.08.2017, 15:47 **[ТС]**

GbaLog-, понятно. Тогда сделаю фильтрацию вручную, если понадобится. Для начала так попробую сделать

@Leardjiny · 29.08.2017, 12:16 **[ТС]**

GbaLog-, Сделал таким образом:
Поставил IPPROTO_UDP (пробовал IPPROTO_RAW, но при чтении выдавало ошибку).

Открытие порта:

C++

OpenPort()
{
    ClosePort();
    m_sock = -1;
    m_connection_state = false;
 
    double current_time = GetTickCount();
    if ( (current_time - m_last_connect_try) < m_read_timeout )
    {
        usleep(10000);  //мкс
        return false;
    }
 
 
 
    if ((m_sock = socket(AF_INET, SOCK_RAW , IPPROTO_UDP)) < 0) {
        return false;
    }
 
    timeval timeout = {0, 0};
    timeout.tv_usec = 0;
    timeout.tv_sec = (int)((double)m_read_timeout/1000);
 
    if (setsockopt(m_sock, SOL_SOCKET, SO_RCVTIMEO, (char*)&timeout, sizeof(timeout)) < 0);{
 
    }
 
    int buffsize = MAX_UDP_BUFFER;
    if ( setsockopt(m_sock, SOL_SOCKET, SO_RCVBUF, reinterpret_cast<const char*>(&buffsize), sizeof(buffsize)) < 0 )
    {
    }  
 
    m_connection_state = true;
    return true;
}

Чтение кадра:

C++

struct sockaddr_in echoclient;
    char buffer[MAX_UDP_BUFFER];
    unsigned int echolen, clientlen;
    clientlen = sizeof(echoclient);
    int nNumberOfBytesReaded = -1;
    if (m_connection_state == true )
    {
        nNumberOfBytesReaded = recvfrom(m_sock, buffer, MAX_UDP_BUFFER, 0,
                                (struct sockaddr *) &echoclient, &clientlen);
    }

Все читает, но записав в файл - вижу некоторые проблемы.
Wireshark отказывается читать. Когда сравниваю то, что видно в wireshark и в моем файле, то вижу что не хватает 14 байт, которые выглядят так: "ff ff ff ff ff ff 0a 0b 0c 0d 0e 0f 08 00"

Подскажите, что я делаю не так? И как их правильно считывать?

@GbaLog- · 29.08.2017, 13:51

Сообщение от Leardjiny

то вижу что не хватает 14 байт

глобальный заголовок в файл пишете?

Сообщение от Leardjiny

(m_sock = socket(AF_INET, SOCK_RAW , IPPROTO_UDP))

может всё-таки (m_sock = socket(AF_INET, SOCK_RAW, IPPROTO_IP))?

@Leardjiny · 29.08.2017, 15:22 **[ТС]**

GbaLog-, я все что возвращает recvfrom - пишу в файл. Ничего с этим не делая и не добавляя.

По поводу IPPROTO_IP - я пробовал делать так. В контексте той же функции , что выше привел. Менял только эту строку.
В этом случае у меня почему-то не открывался порт (либо создание совета, либо установка опций не проходят)

Добавлено через 1 час 0 минут
GbaLog-,

Сообщение от GbaLog-

может всё-таки (m_sock = socket(AF_INET, SOCK_RAW, IPPROTO_IP))?

Попробовал сделать так:
(m_sock = socket(AF_INET, SOCK_RAW , IPPROTO_IP))
не хочет создавать сокет

и так:
(m_sock = socket(AF_INET, SOCK_RAW , IPPROTO_RAW))
сокет открывает, но не работает recvfrom

@GbaLog- · 29.08.2017, 16:17

Сообщение от Leardjiny

я все что возвращает recvfrom - пишу в файл. Ничего с этим не делая и не добавляя.

в .pcap-файле должен быть заголовок.
чтобы Wireshark понял, что это pcap-файл, а не текстовый.
я вам ссылку скидывал, вы читали?
https://wiki.wireshark.org/Dev... bal_Header

Сообщение от Leardjiny

Ничего с этим не делая и не добавляя.

так нельзя, к каждому пакету должен писаться хедер в таком формате:
https://wiki.wireshark.org/Dev... .29_Header

Сообщение от Leardjiny

не хочет создавать сокет

errno(Linux)/WSAGetLastError(Windows) что говорят?

@Leardjiny · 29.08.2017, 16:37 **[ТС]**

GbaLog-, а, я понял о чем Вы. Да, заголовок pcap файла я добавлю, он же не из сети берется вроде.
У меня само содержимое неполное.

Я наткнулся в интернете, что IPPROTO_RAW используется только для отправки, потому recvfrom не работает. Возможно конечно это не так.
Источник вот: https://www.experts-exchange.c... ckets.html

Там же наткнулся, на следующую инициализацию сокета:

C++

1	m_sock = socket(PF_PACKET, SOCK_RAW, htons(ETH_P_ALL))

Это для приема всего что идет. Я у себя сделал так:

C++

1	m_sock = socket(PF_PACKET, SOCK_RAW, htons(ETH_P_IP))

Вроде бы сейчас содержимое совпадает с тем что я вижу в Wireshark.

Теперь осталось разобраться с форматом pcap заголовков и добавить их перед данными.

@Leardjiny 2 / 2 / 0 Регистрация: 22.09.2013 Сообщений: 219
	21.08.2017, 14:13 [ТС]	11
	GbaLog-, ну для pcap есть функции фильтрации. Либо как для обычных данных указать порт, затем bind сделать или что-то подобное. Но это не вариант - т.к. даже если можно, то привяжет к одному порту, а не к нескольким. 0

@Leardjiny 2 / 2 / 0 Регистрация: 22.09.2013 Сообщений: 219
		1
	Принять IP пакет 21.08.2017, 11:58. Показов 2956. Ответов 17 Метки нет (Все метки) Добрый день. Хочу сделать аналог сниффера (типа wireshark) и принимать полный IP пакет, а не только данные. Подскажите, пожалуйста, можно ли это сделать на уровне сокетов? Либо какими-то стандартными способами, без установки дополнительных библиотек. В интернете нашел примеры с библиотекой pcap.h, но как я понял это не стандартная, и чтобы с ней работать - нужно ее отдельно скачать и поставить. 0

@Undisputed 900 / 477 / 93 Регистрация: 10.06.2014 Сообщений: 2,698
	21.08.2017, 12:23	2
	Leardjiny, На уровне сокетов думаю можно, посмотрите в сторону SOCK_RAW, https://habrahabr.ru/post/164901/ 0

@Leardjiny 2 / 2 / 0 Регистрация: 22.09.2013 Сообщений: 219
	21.08.2017, 12:57 [ТС]	3
	Undisputed, Спасибо. Вроде похоже как раз на то, что нужно - попробую сделать. Я правильно понимаю, что если я таким образом перехвачу данные, а потом запишу их в файл, то потом смогу их проиграть к примеру в wireshark, и получу то же самое, что если бы записывал им? И второй вопрос, можно потом как-то сделать, чтобы данные можно было с другого сокета обычным способом уже перехватить? Или таким образом уже не выйдет? (Задачи сделать таким образом нет, поэтому способ в любом случае подойдет, но просто чтобы на будущее знать) 0

@Undisputed 900 / 477 / 93 Регистрация: 10.06.2014 Сообщений: 2,698
	21.08.2017, 13:27	4
	Leardjiny, Whireshark-ом не пользовался, но если там есть возможность импортирования данных и вы будете соблюдать подходящий для этой операции формат, то полагаю проблем быть не должно... Не встречал программ с двойной прослушкой в пределах одного процесса. Это может как работать, так и не работать по самым разным причинам, поэтому затрудняюсь что либо ответить по этому поводу... 0

@Leardjiny 2 / 2 / 0 Регистрация: 22.09.2013 Сообщений: 219
	21.08.2017, 13:31 [ТС]	5
	Undisputed, Хорошо, значит на эту тему надо почитать. А фильтры, по портам или IP там настроить я так понимаю не выйдет в таком формате? Придется уже после ловли пакета лезть в заголовок и смотреть данные источника? 0

@GbaLog- Любитель чаепитий 3743 / 1799 / 566 Регистрация: 24.08.2014 Сообщений: 6,016 Записей в блоге: 1
	21.08.2017, 13:53	6
	http://www.binarytides.com/pac... e-c-linux/ http://www.binarytides.com/pac... g-winsock/ Сообщение от Leardjiny Я правильно понимаю, что если я таким образом перехвачу данные, а потом запишу их в файл, то потом смогу их проиграть к примеру в wireshark, и получу то же самое, что если бы записывал им? только если в правильном формате запишите. https://wiki.wireshark.org/Dev... FileFormat 0

@Leardjiny 2 / 2 / 0 Регистрация: 22.09.2013 Сообщений: 219
	21.08.2017, 13:56 [ТС]	7
	GbaLog-, Спасибо. Для UDP я так понимаю надо IPPROTO_UDP поставить и все? Либо IPPROTO_IP как в первом варианте? 0

@Undisputed 900 / 477 / 93 Регистрация: 10.06.2014 Сообщений: 2,698
	21.08.2017, 14:01	8
	Leardjiny, Я думаю порты и айпи надо фильтровать после принятия пакета, других способов не знаю... 0

@Leardjiny 2 / 2 / 0 Регистрация: 22.09.2013 Сообщений: 219
	21.08.2017, 14:05 [ТС]	9
	Undisputed, Я тоже так думаю, на уровне сокетов не могу настроек найти. А libpcap не хочу ставить 0

@GbaLog- Любитель чаепитий 3743 / 1799 / 566 Регистрация: 24.08.2014 Сообщений: 6,016 Записей в блоге: 1
	21.08.2017, 14:09	10
	Сообщение от Leardjiny Для UDP я так понимаю надо IPPROTO_UDP поставить и все? Либо IPPROTO_IP как в первом варианте? да. Сообщение от Leardjiny на уровне сокетов не могу настроек найти. как вы себе это представляете? 0

	29.08.2017, 16:37

@GbaLog- Любитель чаепитий 3743 / 1799 / 566 Регистрация: 24.08.2014 Сообщений: 6,016 Записей в блоге: 1
	21.08.2017, 15:42	12
	Сообщение от Leardjiny ну для pcap есть функции фильтрации. libpcap сама реализует их, их нет из коробки. 0

@Leardjiny 2 / 2 / 0 Регистрация: 22.09.2013 Сообщений: 219
	21.08.2017, 15:47 [ТС]	13
	GbaLog-, понятно. Тогда сделаю фильтрацию вручную, если понадобится. Для начала так попробую сделать 0

@GbaLog- Любитель чаепитий 3743 / 1799 / 566 Регистрация: 24.08.2014 Сообщений: 6,016 Записей в блоге: 1
	29.08.2017, 13:51	15
	Сообщение от Leardjiny то вижу что не хватает 14 байт глобальный заголовок в файл пишете? Сообщение от Leardjiny `(m_sock = socket(AF_INET, SOCK_RAW , IPPROTO_UDP))` может всё-таки `(m_sock = socket(AF_INET, SOCK_RAW, IPPROTO_IP))`? 0

@Leardjiny 2 / 2 / 0 Регистрация: 22.09.2013 Сообщений: 219
	29.08.2017, 15:22 [ТС]	16
	GbaLog-, я все что возвращает recvfrom - пишу в файл. Ничего с этим не делая и не добавляя. По поводу IPPROTO_IP - я пробовал делать так. В контексте той же функции , что выше привел. Менял только эту строку. В этом случае у меня почему-то не открывался порт (либо создание совета, либо установка опций не проходят) Добавлено через 1 час 0 минут GbaLog-, Сообщение от GbaLog- может всё-таки (m_sock = socket(AF_INET, SOCK_RAW, IPPROTO_IP))? Попробовал сделать так: (m_sock = socket(AF_INET, SOCK_RAW , IPPROTO_IP)) не хочет создавать сокет и так: (m_sock = socket(AF_INET, SOCK_RAW , IPPROTO_RAW)) сокет открывает, но не работает recvfrom 0

@GbaLog- Любитель чаепитий 3743 / 1799 / 566 Регистрация: 24.08.2014 Сообщений: 6,016 Записей в блоге: 1
	29.08.2017, 16:17	17
	Сообщение от Leardjiny я все что возвращает recvfrom - пишу в файл. Ничего с этим не делая и не добавляя. в `.pcap`-файле должен быть заголовок. чтобы Wireshark понял, что это `pcap`-файл, а не текстовый. я вам ссылку скидывал, вы читали? https://wiki.wireshark.org/Dev... bal_Header Сообщение от Leardjiny Ничего с этим не делая и не добавляя. так нельзя, к каждому пакету должен писаться хедер в таком формате: https://wiki.wireshark.org/Dev... .29_Header Сообщение от Leardjiny не хочет создавать сокет `errno`(Linux)/`WSAGetLastError`(Windows) что говорят? 0