1. 介绍

接上次的博客,按照约定的划分,还有一层链路层socket。这一层就可以自定义链路层的协议头部(header)了,下面是目前主流的Ethernet 2(以太网)标准的头部:



相比IP和TCP的头部,以太网的头部要简单些,仅有目标MAC地址,源MAC地址,数据协议类型(比如常见的IP和ARP协议)。

但多了尾部的FCS(帧校验序列),用的是CRC校验法。如果校验错误,直接丢弃掉,不会送到上层的协议栈中,链路层只保证数据帧的正确性(丢掉错误的)。具体数据报的完整性由上层控制,比如TCP重传。

链路层最大长度是1518字节,除去18字节的头部和尾部,只剩1500字节,也就是MTU(最大传输单元)的由来,并约定最小传输长度64字节。

2. 服务端

ifonfig 查看本机的网络设备(网卡):

eth0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500

        inet 172.17.0.2  netmask 255.255.0.0  broadcast 172.17.255.255

        ether 02:42:ac:11:00:02  txqueuelen 0  (Ethernet)

通过Go提供的net拿到网络接口设备的详细信息,eth0是上面的网络设备名字:

ifi, err := net.InterfaceByName("eth0")

util.CheckError(err)

然后使用原始套接字绑定到该网络设备上:

fd, err := syscall.Socket(syscall.AF_PACKET, syscall.SOCK_RAW, int(wire.Htons(0x800)))

AF_PACKET是Linux 2.2加入的功能,可以在网络设备上接收发送数据包。其第二个参数 SOCK_RAW 表示带有链路层的头部,还有个可选值 SOCK_DGRAM 会移除掉头部。第三个则对应头部中协议类型(ehter type),比如只接收 IP 协议的数据,也可以接收所有的。可在Linux中if_ether文件查看相应的值。比如:

#define ETH_P_IP	0x0800		/* Internet Protocol packet

#define ETH_P_IPV6	0x86DD		/* IPv6 over bluebook		*/

#define ETH_P_SNAP	0x0005		/* Internal only		*/

Htons函数是把网络字节序转成当前机器字节序。这里已经拿到链路层socket的连接句柄,下一步就可以监听该句柄的数据:

for {

    buf := make([]byte, 1514)

    n, _, _ := syscall.Recvfrom(fd, buf, 0)

    header := wire.ParseHeader(buf[0:14])

    fmt.Println(header)

}

这时候所有到这机器上的IP协议流量都能监听到,不管UDP,TCP,ICMP等上层协议。启动程序,尝试在另外台机器ping下,得到:

root@4b56d41e5168:/ethernet# go run main.go

[2018-07-16T00:32:32.215Z] INFO 02:42:ac:11:00:02

DestinationAddress: 02:42:ac:11:00:02 SourceAddress: 02:42:ac:11:00:03 EtherType: ipv4

另外台机器:

root@3348477f42e8:/# ping 172.17.0.2

PING 172.17.0.2 (172.17.0.2) 56(84) bytes of data.

64 bytes from 172.17.0.2: icmp_seq=1 ttl=64 time=0.202 ms

3. 协议头部

上面例子代码中,定义了1514的字节slice来接收一次以太网的数据,然后取出前14个字节来解析头部。协议尾部的4字节不需要处理,在发送数据的时候由网络设备并添加,接收的时候由设备校验并去除。在以前的有些计算机中,是需要自己添加或移除尾部的,后面可介绍下该校验算法。 ParseHeader解析头部也很简单,前6个字节是目标Mac地址,中间6字节是源Mac地址,后2字节是协议类型:

func ParseHeader(buf []byte) *Header {

	header := new(Header)

	var hd net.HardwareAddr

	hd = buf[0:6]

	header.DestinationAddress = hd

	hd = buf[6:12]

	header.SourceAddress = hd

	header.EtherType = binary.BigEndian.Uint16(buf[12:14])

	return header

}

ping使用的是ICMP协议,和TCP/UDP同级,所以根据接收到的数据继续解IP协议头部,ICMP协议头部。包含关系如图:

Go官方有相应的库可以解析:

ip4header, _ := ipv4.ParseHeader(buf[14:34])

fmt.Println("ipv4 header: ", ip4header)

icmpPayload := buf[34:]

msg, _ := icmp.ParseMessage(1, icmpPayload)

fmt.Println("icmp: ", msg)

IP头部20字节,ICMP头部8个字节,输出如下:

root@4b56d41e5168://ethernet# go run main.go

[2018-07-16T00:36:03.033Z] INFO 02:42:ac:11:00:02

DestinationAddress: 02:42:ac:11:00:02 SourceAddress: 02:42:ac:11:00:03 EtherType: ipv4

ipv4 header:  ver=4 hdrlen=20 tos=0x0 totallen=84 id=0x97ab flags=0x2 fragoff=0x0 ttl=64 proto=1 cksum=0x4ad6 src=172.17.0.3 dst=172.17.0.2

icmp:  &{echo 0 12964 0xc4200807e0}

4. 客户端

上面代码是服务端解析以太网协议头部,也可以自定义发送时头部:

建立socket句柄:

var ohter = net.HardwareAddr{0x02, 0x42, 0xac, 0x11, 0x00, 0x02}

var etherType uint16 = 52428

fd, err := syscall.Socket(syscall.AF_PACKET, syscall.SOCK_RAW, int(wire.Htons(etherType)))

构建以太网头部,然后发送监听的机器上:

for {

		payload := []byte("msg")

		minPayload := len(payload)

		if minPayload < 46 {

			minPayload = 46

		}

		b := make([]byte, 14+minPayload)

		header := &wire.Header{

			DestinationAddress: broadcast,

			SourceAddress:      ifi.HardwareAddr,

			EtherType:          etherType,

		}

		copy(b[0:14], header.Marshal())

		copy(b[14:14+len(payload)], payload)

		var baddr [8]byte

		copy(baddr[:], broadcast)

		to := &syscall.SockaddrLinklayer{

			Ifindex:  ifi.Index,

			Halen:    6,

			Addr:     baddr,

			Protocol: wire.Htons(etherType),

		}

		err = syscall.Sendto(fd, b, 0, to)

		util.CheckError(err)

		time.Sleep(time.Second)

	}

}

监听端输出:

root@4b56d41e5168:/ethernet# go run main.go

[2018-07-16T15:25:46.745Z] INFO 02:42:ac:11:00:02

DestinationAddress: 02:42:ac:11:00:02 SourceAddress: 02:42:ac:11:00:03 EtherType: unknow52428

DestinationAddress: 02:42:ac:11:00:02 SourceAddress: 02:42:ac:11:00:03 EtherType: unknow52428

5. 总结

基于此就可以抓取数据链路层的流量,然后对流量进行深入分析等。还有一种方式是基于packet_mmap的共享内存抓包方式,性能更好些。文中例子代码在examples,参考:

https://github.com/spotify/linux/blob/master/include/linux/if_ether.h

http://man7.org/linux/man-pages/man7/packet.7.html

Go中链路层套接字的实践的更多相关文章

  1. TCP/IP中链路层的附加数据(Trailer数据)和作用

    1.TCP/IP中链路层的附加数据是什么 在用wireshark打开报文时,链路层显示的Trailer数据就是附加数据,如图 2.如何产生 1.例如以太网自动对小于64字节大小的报文进行填充(未实验) ...

  2. Python中利用原始套接字进行网络编程的示例

    Python中利用原始套接字进行网络编程的示例 在实验中需要自己构造单独的HTTP数据报文,而使用SOCK_STREAM进行发送数据包,需要进行完整的TCP交互. 因此想使用原始套接字进行编程,直接构 ...

  3. JMeter中的HTTPS套接字错误

    Apache JMeter对启用SSL的应用程序执行性能和/或负载测试时,SSL套接字错误可能是经常遇到的麻烦,严重阻碍了您的测试工作.本文重点介绍如何通过相应地配置和调优JMeter来克服这些与连接 ...

  4. TCP ------ TCP创建服务器中出现的套接字

    在服务器端,socket()返回的套接字用于监听(listen)和接受(accept)客户端的连接请求.这个套接字不能用于与客户端之间发送和接收数据. accept()接受一个客户端的连接请求,并返回 ...

  5. Linux原始套接字实现分析---转

    http://blog.chinaunix.net/uid-27074062-id-3388166.html 本文从IPV4协议栈原始套接字的分类入手,详细介绍了链路层和网络层原始套接字的特点及其内核 ...

  6. UNP——原始套接字

    1.原始套接字的用处 使用原始套接字可以构造或读取网际层及其以上报文. 具体来说,可以构造 ICMP, IGMP 协议报文,通过开启 IP_HDRINCL 套接字选项,进而自定义 IPv4首部. 2. ...

  7. (转载)Linux 套接字编程中的 5 个隐患

    在 4.2 BSD UNIX® 操作系统中首次引入,Sockets API 现在是任何操作系统的标准特性.事实上,很难找到一种不支持 Sockets API 的现代语言.该 API 相当简单,但新的开 ...

  8. Linux 套接字编程中的 5 个隐患

    http://www.ibm.com/developerworks/cn/linux/l-sockpit/ 在 4.2 BSD UNIX® 操作系统中首次引入,Sockets API 现在是任何操作系 ...

  9. Linux 套接字编程中要注意的细节

    隐患 1.忽略返回状态 第一个隐患很明显,但它是开发新手最容易犯的一个错误.如果您忽略函数的返回状态,当它们失败或部分成功的时候,您也许会迷失.反过来,这可能传播错误,使定位问题的源头变得困难. 捕获 ...

随机推荐

  1. Mybatis通过注解方式实现批量插入数据库 及 常见的坑

    原文地址:http://f0rb.iteye.com/blog/1207384 MyBatis中通过xml文件配置数据库批量操作的文章很多,比如这篇http://www.cnblogs.com/xcc ...

  2. navicat for mysql 破解方法

    https://www.cnblogs.com/da19951208/p/6403607.html  破解教程

  3. screen,client,page三种确定鼠标坐标的区别和原生JS事件写法,区别于Jquery的$.on(x,y);和$.click()

    screenX clientX pageX的区别 screenX:鼠标位置相对于用户屏幕水平偏移量,而screenY也就是垂直方向的,此时的参照点也就是原点是屏幕的左上角. clientX:跟scre ...

  4. remove方法

    1.jQuery的remove()方法 http://www.365mini.com/page/jquery-remove.htm ①返回值是jquery对象本身 所以可以做删除再添加的操作 // 移 ...

  5. 通过MSSQL分析器跟踪研究EM内部行为并解决identify列问题

    今天有人问到MSSQL表里的IDENTITY字段,如何让它在复制原来数据到该表时,原来数据的IDENTITY字段不变,而新插入数据时,新插入的数据的IDENTITY依然增长,查了些资料,做了个实验,最 ...

  6. CSS float:right 在IE浏览器下换行

    在换行的html标签内加如下样式 style="right: 0px; position: absolute;"

  7. Java7里try-with-resources分析

    这个所谓的try-with-resources,是个语法糖.实际上就是自动调用资源的close()函数.和Python里的with语句差不多. 例如: [java] view plain copy   ...

  8. 禁用后退键 BackSpace

    <script language="JavaScript">document.onkeydown = check;function check(e) {    var  ...

  9. java基础常见面试题,这是一篇超长的随笔!!!

    1. Java基础部分....................................................... 4 1.一个".java"源文件中是否可以包括 ...

  10. Airtest 快速上手教程

    一.Airtest 简介: AirtestIDE 是一个跨平台的UI自动化测试编辑器,适用于游戏和App. 自动化脚本录制.一键回放.报告查看,轻而易举实现自动化测试流程 支持基于图像识别的 Airt ...