本文的目的是通过随机截取的一段网络数据包,然后根据协议类型来解析出这段内存。

学习本文需要掌握的基础知识:

  1. 网络协议
  2. C语言
  3. Linux操作
  4. 抓包工具的使用

其中抓包工具的安装和使用见下文:

一文包你学会网络数据抓包

视频教学链接如下:

教你如何抓取网络中的数据包!黑客必备技能

一、截取一个网络数据包

通过抓包工具,随机抓取一个tcp数据包



科莱抓包工具解析出的数据包信息如下:



数据包的内存信息:



数据信息可以直接拷贝出来:

二、用到的结构体

下面,一口君就手把手教大家如何解析出这些数据包的信息。

我们可以从Linux内核中找到协议头的定义

  • 以太头:
drivers\staging\rtl8188eu\include\if_ether.h


struct ethhdr {

	unsigned char	h_dest[ETH_ALEN];	/* destination eth addr	*/

	unsigned char	h_source[ETH_ALEN];	/* source ether addr	*/

	unsigned short	h_proto;		/* packet type ID field	*/

};
  • IP头
	include\uapi\linux\ip.h


struct iphdr {

#if defined(__LITTLE_ENDIAN_BITFIELD)  //小端模式

	__u8	ihl:4,

		version:4;

#elif defined(__BIG_ENDIAN_BITFIELD)    //大端模式

	__u8	version:4,

		ihl:4;

#endif

	__u8	tos;

	__u16	tot_len;

	__u16	id;

	__u16	frag_off;

	__u8	ttl;

	__u8	protocol;

	__u16	check;

	__u32	saddr;

	__u32	daddr;

	/*The options start here. */

};

tcp头

include\uapi\linux\tcp.h


struct tcphdr {

	__be16	source;

	__be16	dest;

	__be32	seq;

	__be32	ack_seq;

#if defined(__LITTLE_ENDIAN_BITFIELD)

	__u16	res1:4,

		doff:4,

		fin:1,

		syn:1,

		rst:1,

		psh:1,

		ack:1,

		urg:1,

		ece:1,

		cwr:1;

#elif defined(__BIG_ENDIAN_BITFIELD)

	__u16	doff:4,

		res1:4,

		cwr:1,

		ece:1,

		urg:1,

		ack:1,

		psh:1,

		rst:1,

		syn:1,

		fin:1;

#else

#error	"Adjust your <asm/byteorder.h> defines"

#endif

	__be16	window;

	__sum16	check;

	__be16	urg_ptr;

};

因为协议头长度都是按照标准协议来定义的,

所以以太长度是14,

IP头长度是20,

tcp头长度是20,

各个协议头对应的内存空间如下:

三、解析以太头

#define MAC_ARG(p) p[0],p[1],p[2],p[3],p[4],p[5]


	struct ethhdr *ethh;

	unsigned char *p = pkt;

	ethh = (struct ethhdr *)p;

	printf("h_dest:%02x:%02x:%02x:%02x:%02x:%02x \n", MAC_ARG(ethh->h_dest));

	printf("h_source:%02x:%02x:%02x:%02x:%02x:%02x \n", MAC_ARG(ethh->h_source));

	printf("h_proto:%04x\n",ntohs(ethh->h_proto));

注意,数据包中的数据是网络字节序,如果要提取数据一定要注意字节序问题

ethh->h_proto 是short类型,占2个字节,所以存储到本地需要使用函数ntohs

其中:

n:network 网络字节序

h:host 主机字节序

s:short 2个字节

l:long 4个字节

ntohl() :4字节网络字节序数据转换成主机字节序

htons() :2字节主机字节序数据转换成网络字节序

ntohs() :2字节网络字节序数据转换成主机字节序

htonl() :4字节主机字节序数据转换成网络字节序

当执行下面这条语句时,

ethh = (struct ethhdr *)p;

结构体指针变量eth的成员对应关系如下:



最终打印结果如下:

四、解析ip头

解析ip头思路很简单,

就是从pkt头开始偏移过以太头长度(14字节)就可以找到IP头,

解析代码如下:

#define IP_ARG(p)  p[0],p[1],p[2],p[3]


	/*

		解析IP头

	*/

	if(ntohs(ethh->h_proto) == 0x0800)

	{

		iph = (struct iphdr *)(p + sizeof(struct ethhdr));

		q = (unsigned char *)&(iph->saddr);

		printf("src ip:%d.%d.%d.%d\n",IP_ARG(q));

		q = (unsigned char *)&(iph->daddr);

		printf("dest ip:%d.%d.%d.%d\n",IP_ARG(q));

	}

最终解析结果如下:

可以看到我们正确解析出了IP地址,

结果与抓包工具分析出的数据保持了一致。

其中protocol字段表示了ip协议后面的额协议类型,常见的值如下:

数值 描述
0 保留字段,用于IPv6(跳跃点到跳跃点选项)
1 Internet控制消息 (ICMP)
2 Internet组管理 (IGMP)
3 网关到网关 (GGP)
4 1P中的IP(封装)
6 传输控制 (TCP)
7 CBT
8 外部网关协议 (EGP)
9 任何私有内部网关(Cisco在它的IGRP实现中使用) (IGP)
10 BBNRCC监视
11 网络语音协议
12 PUP
13 ARGUS
14 EMCON
15 网络诊断工具
16 混乱(Chaos)
17 用户数据报文 (UDP)
41 1Pv6
58 1Pv6的ICMP
59 1Pv6的无下一个报头
60 IPv6的信宿选项
89 OSPF IGP
92 多播传输协议
94 IP内部的IP封装协议
95 可移动网络互连控制协议
96 旗语通讯安全协议
97 IP中的以太封装
98 封装报头
100 GMTP
101 Ipsilon流量管理协议
133~254 未分配
255 保留

五、解析tcp头

查找tcp头思路很,

就是从pkt头开始偏移过以太头长度(14字节)、和IP头长度(20字节)就可以找到tcp头,

	switch(iph->protocol)

		{

			case 0x1:

				//icmp

				break;

			case 0x6:

				//tcp

				tcph = (struct tcphdr *)(p + sizeof(struct ethhdr) + sizeof(struct iphdr));

				printf("source:%d dest:%d \n",ntohs(tcph->source),ntohs(tcph->dest);	

				break;

			case 0x11:

				//udp

				break;

		}

结构体与内存对应关系

打印结果如下:

六、学会用不同格式打印这块内存

在实际项目中,可能我们解析的并不是标准的TCP/IP协议数据包,

可能是我们自己的定义的协议数据包,

只要掌握了上述方法,

所有的协议分析都能够手到擒来!

有时候我们还需要打印对方发送过来的数据帧内容,

往往我们会以16进制形式将所有数据打印出来,

这样是最有利于我们分析数据内容的。

1. 按字节打印

代码如下:

	for(i=0;i<400;i++)

	{

		printf("%02x ",pkt[i]);

		if(i%20 == 19)

		{

			printf("\n");

		}

	}

2. 按short类型分析一段内存

我们接收数据时,虽然使用一个unsigned char型数组,

但是有时候对方发送过来的数据可能是2个字节的数组,

那我们只需要用short类型的指针,指向内存的头,

然后就可以通过该指针访问到对方发送的数据,

这个时候一定要注意字节序问题,

不同场景可能不一样,所以一定要具体问题具体分析,

本例因为是网络字节序数据转换成主机字节序,

所以需要转换字节序。

//转变short型字节序

void indian_reverse(unsigned short arr[],int num)

{

	int i;

	unsigned short temp;

	for(i=0;i<num;i++)

	{

		temp = 0;

		temp = (arr[i]&0xff00)>>8;

		temp |= (arr[i]&0xff)<<8;

		arr[i] = temp;

	}

}

main()

{

	unsigned short spkt[200];

	………………

	memcpy(spkt,pkt,sizeof(pkt));

	indian_reverse(spkt,ARRAY_SIZE(spkt));

	for(i=0;i<200;i++)

	{

		printf("%04x ",spkt[i]);

		if(i%10 == 9)

		{

			printf("\n");

		}

	}

	………………

}

结果如下:



完整代码请关注公众号:一口Linux,回复:数据包解析

一文教你如何用C代码解析一段网络数据包?【含代码】的更多相关文章

  1. 一个C++版的网络数据包解析策略

    C++版的网络数据包解析策略(升级版) 一.数据包格式形如下图 二.代码 int ReceiveFromRemoteEndPoint() { int nPackageDataLength = ; ch ...

  2. Python 1行代码实现文本分类(实战笔记),含代码详细说明及运行结果

    Python 1行代码实现文本分类(实战笔记),含代码详细说明及运行结果 一.详细说明及代码 tc.py =============================================== ...

  3. C++版的网络数据包解析策略(升级版)

    初版:http://www.cnblogs.com/wjshan0808/p/6580638.html 说明:在实现了对应的接口后该策略可以适合绝大多数的网络数据包结构 首先,是三个接口 IProdu ...

  4. lwip:网络数据包读取和解析过程

    1. 程序的某处(poll or interrupt)在有数据可读时调用ethernetif_input,该函数依次调用以下函数: 1.1 low_level_input(),将网络数据读入内存: 1 ...

  5. MINA 网络黏包处理代码

    本文完整代码,可以浏览: https://github.com/hjj2017/xgame-code_server/blob/master/game_server/src/com/game/gameS ...

  6. lua中是 ffi 解析 【是如何处理数据包的/pkt是如何传进去的】 fsfsfs

    lua中的ffi是如何解析的呢? 拿bcc中对proto的解析说起: metatype是有大学问的: ffi.metatype(ffi.typeof('struct ip_t'), { __index ...

  7. IP报文解析及基于IP 数据包的洪水攻击

    版本(4bit) 报头长度(4bit) 优先级和服务类型(8bit) 总长度(16bit) 标识(16bit) 标志(3bit) 分段偏移(13bit) 存活期(8bit) 协议(8bit) 报头校验 ...

  8. Beam Search快速理解及代码解析

    目录 Beam Search快速理解及代码解析(上) Beam Search 贪心搜索 Beam Search Beam Search代码解析 准备初始输入 序列扩展 准备输出 总结 Beam Sea ...

  9. IM通信协议逆向分析、Wireshark自定义数据包格式解析插件编程学习

    相关学习资料 http://hi.baidu.com/hucyuansheng/item/bf2bfddefd1ee70ad68ed04d http://en.wikipedia.org/wiki/I ...

  10. 承载于以太网帧之上的数据包的解析——ARP、IPv4、IPv6

    承接上一博文而来,继续解析网络数据包,对于承载在以太网上的三种协议进行了解析,主要是分为依据RFC定义的标准先解析头部数据,然后得到有效载荷,即为协议包括的实体数据,更上层进行进一步处理. 一.ARP ...

随机推荐

  1. injectionIII iOS代码注入工具(下)

    injectionIII iOS代码注入工具(下) 本文将解决如何使用injectionIII对主页热重载,如果对injectionIII不了解的同学请回到上篇查看 Vaccine 简单地说Vacci ...

  2. 03-vi和vim编辑器的使用

    背景 vim是一个类似于vi的著名的功能强大.高度可定制的文本编辑器. vim在vi的基础上改进和增加了很多特性. 如今vi已经是最受IT届欢迎的编辑器之一. 不止在Linux中,主流IDE都支持vi ...

  3. Redis八股文(大厂面试真题)

    号:tutou123com​我是小宋编码,Java程序员 ,只熬夜但不秃头. 关注我,带你轻松过面试.提升简历亮点如果你觉得对你有帮助,欢迎关注[1] 内容目录 1.说说redis,了解redis源码 ...

  4. 关于tomcat中servlet的url-pattern匹配规则

    首先需要明确几点容易混淆的规则: servlet容器中的匹配规则既不是简单的通配,也不是正则表达式,而是特定的规则.所以不要用通配符或者正则表达式的匹配规则来看待servlet的url-pattern ...

  5. Java获取客户端请求信息

    客户端工具类 /** * 客户端工具类 * * @author hviger */ public class ServletUtils { /** * 获取String参数 */ public sta ...

  6. vue中的插槽详解

    插槽(slot)插槽在vue中是一种很常见的写法,让父组件可以向子组件指定位置插入html结构,也是一种组件间通信的方式 一共有三种分类:默认插槽.具名插槽.作用域插槽,下面一一根据案例改造说明 1 ...

  7. R语言将多景遥感影像拼接在一起的方法

      本文介绍基于R语言中的raster包,遍历文件夹,读取文件夹下的大量栅格遥感影像,并逐一对每一景栅格图像加以拼接.融合,使得全部栅格遥感影像拼接为完整的一景图像的方法.   其中,本文是用R语言来 ...

  8. ComfyUI进阶:Comfyroll插件 (一)

    ComfyUI进阶:Comfyroll插件 (一) 前言: 学习ComfyUI是一场持久战,而Comfyroll Studio 是一款功能强大的自定义节点集合,专为 ComfyUI 用户打造,旨在提供 ...

  9. leetcode简单(数组、字符串):[219, 268, 349, 414, 485, 541, 557, 821, 925, 977]

    目录 219. 存在重复元素 268. 丢失的数字 349. 两个数组的交集 414. 第三大的数 485. 最大连续 1 的个数 541. 反转字符串 II 557. 反转字符串中的单词 III 8 ...

  10. Profinet转Modbus模块减轻通讯编程工作量实现Modbus通讯

    巴图自动化PN转Modbus模块(BT-MDPN10)能够实现Profinet协议与Modbus协议之间的转换,使得Profinet协议设备与Modbus协议设备进行连接并能够相互通信. 通过使用巴图 ...