Go 使用原始套接字捕获网卡流量

Go 捕获网卡流量使用最多的库为 github.com/google/gopacket,需要依赖 libpcap 导致必须开启 CGO 才能够进行编译。

为了减少对环境的依赖可以使用原始套接字捕获网卡流量,然后使用 gopacket 的协议解析功能,这样就省去了解析这部分的工作量,正确性也可以得到保证,同时 CGO 也可以关闭。

cilium 里有一个原始套接字打开的测试用例:

// Both openRawSock and htons are available in

// https://github.com/cilium/ebpf/blob/master/example_sock_elf_test.go.

// MIT license.

func OpenRawSocket(index int) (int, error) {

	sock, err := syscall.Socket(syscall.AF_PACKET, syscall.SOCK_RAW|syscall.SOCK_NONBLOCK|syscall.SOCK_CLOEXEC, int(htons(syscall.ETH_P_ALL)))

	if err != nil {

		return 0, err

	}

	sll := syscall.SockaddrLinklayer{Ifindex: index, Protocol: htons(syscall.ETH_P_ALL)}

	if err := syscall.Bind(sock, &sll); err != nil {

		syscall.Close(sock)

		return 0, err

	}

	return sock, nil

}

// htons converts the unsigned short integer hostshort from host byte order to network byte order.

func htons(i uint16) uint16 {

	b := make([]byte, 2)

	binary.BigEndian.PutUint16(b, i)

	return *(*uint16)(unsafe.Pointer(&b[0]))

}

但是这个示例有一个问题,只能拿到本机流量。

捕获经过网桥的非本机流量

通过 tcpdump 是可以抓到经过网桥的转发流量的,我们使用 stracetcpdump 进行跟踪分析

root@localhost:~# strace -f tcpdump -i b_2_0 arp -nne

...

socket(AF_PACKET, SOCK_RAW, htons(0 /* ETH_P_??? */)) = 4

ioctl(4, SIOCGIFINDEX, {ifr_name="lo", ifr_ifindex=1}) = 0

ioctl(4, SIOCGIFHWADDR, {ifr_name="b_2_0", ifr_hwaddr={sa_family=ARPHRD_ETHER, sa_data=4e:59:d6:32:f6:42}}) = 0

newfstatat(AT_FDCWD, "/sys/class/net/b_2_0/wireless", 0x7ffdf063bc50, 0) = -1 ENOENT (No such file or directory)

openat(AT_FDCWD, "/sys/class/net/b_2_0/dsa/tagging", O_RDONLY) = -1 ENOENT (No such file or directory)

ioctl(4, SIOCGIFINDEX, {ifr_name="b_2_0", ifr_ifindex=6053}) = 0

bind(4, {sa_family=AF_PACKET, sll_protocol=htons(0 /* ETH_P_??? */), sll_ifindex=if_nametoindex("b_2_0"), sll_hatype=ARPHRD_NETROM, sll_pkttype=PACKET_HOST, sll_halen=0}, 20) = 0

getsockopt(4, SOL_SOCKET, SO_ERROR, [0], [4]) = 0

setsockopt(4, SOL_PACKET, PACKET_ADD_MEMBERSHIP, {mr_ifindex=if_nametoindex("b_2_0"), mr_type=PACKET_MR_PROMISC, mr_alen=0, mr_address=4e:59:d6:32:f6:42}, 16) = 0

getsockopt(4, SOL_SOCKET, SO_BPF_EXTENSIONS, [64], [4]) = 0

mmap(NULL, 266240, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_ANONYMOUS, -1, 0) = 0x7fec47cbe000

看到有一个 setsockopt(PACKET_MR_PROMISC) 设置,看起来是开启的混杂模式,查看资料看到这是一个针对套接字级别的混杂模式。

由于之前看过 suricata 的代码,看看它是怎么做的,直接在 suricata 的仓库里面搜索 PACKET_MR_PROMISC 关键字,出现代码

memset(&sock_params, 0, sizeof(sock_params));

sock_params.mr_type = PACKET_MR_PROMISC;

sock_params.mr_ifindex = bind_address.sll_ifindex;

r = setsockopt(ptv->socket, SOL_PACKET, PACKET_ADD_MEMBERSHIP,(void *)&sock_params, sizeof(sock_params));

if (r < 0) {

    SCLogError("%s: failed to set promisc mode: %s", devname, strerror(errno));

    goto socket_err;

}

套接字设置混杂模式的 Go 实现如下

// Set socket level PROMISC mode

err = unix.SetsockoptPacketMreq(sock, syscall.SOL_PACKET, syscall.PACKET_ADD_MEMBERSHIP, &unix.PacketMreq{Type: unix.PACKET_MR_PROMISC, Ifindex: int32(index)})

if err != nil {

	syscall.Close(sock)

	return 0, err

}

捕获 VLAN 流量

目前只能拿到普通的以太网流量,如果还需要拿到 VLAN Id 的话,需要设置 PACKET_AUXDATA,参考 man packet

PACKET_AUXDATA (since Linux 2.6.21)

    If this binary option is enabled, the packet socket passes

    a metadata structure along with each packet in the

    recvmsg(2) control field.  The structure can be read with

    cmsg(3).  It is defined as

       struct tpacket_auxdata {

           __u32 tp_status;

           __u32 tp_len;      /* packet length */

           __u32 tp_snaplen;  /* captured length */

           __u16 tp_mac;

           __u16 tp_net;

           __u16 tp_vlan_tci;

           __u16 tp_vlan_tpid; /* Since Linux 3.14; earlier, these

                                  were unused padding bytes */

       };

Go 的实现如下

// Enable PACKET_AUXDATA option for VLAN

if err := syscall.SetsockoptInt(sock, syscall.SOL_PACKET, unix.PACKET_AUXDATA, 1); err != nil {

	syscall.Close(sock)

	return 0, err

}

完整的 OpenRawSocket 实现

完整的实现如下

func OpenRawSocket(index int) (int, error) {

	sock, err := syscall.Socket(syscall.AF_PACKET, syscall.SOCK_RAW|syscall.SOCK_NONBLOCK|syscall.SOCK_CLOEXEC, int(htons(syscall.ETH_P_ALL)))

	if err != nil {

		return 0, err

	}

	// Enable PACKET_AUXDATA option for VLAN

	if err := syscall.SetsockoptInt(sock, syscall.SOL_PACKET, unix.PACKET_AUXDATA, 1); err != nil {

		syscall.Close(sock)

		return 0, err

	}

	// Set socket level PROMISC mode

	err = unix.SetsockoptPacketMreq(sock, syscall.SOL_PACKET, syscall.PACKET_ADD_MEMBERSHIP, &unix.PacketMreq{Type: unix.PACKET_MR_PROMISC, Ifindex: int32(index)})

	if err != nil {

		syscall.Close(sock)

		return 0, err

	}

	sll := syscall.SockaddrLinklayer{Ifindex: index, Protocol: htons(syscall.ETH_P_ALL)}

	if err := syscall.Bind(sock, &sll); err != nil {

		syscall.Close(sock)

		return 0, err

	}

	return sock, nil

}

从 fd 中读取数据

这里使用 select(2) 简单地对 fd 进行监听,使用 recvmsg(2) 来读取数据,包括 VLAN tag。

实现如下

package pcap

import (

	"context"

	"syscall"

)

func FD_SET(fd int, p *syscall.FdSet) {	p.Bits[fd/64] |= 1 << (uint(fd) % 64) }

func FD_CLR(fd int, p *syscall.FdSet) {	p.Bits[fd/64] &^= 1 << (uint(fd) % 64) }

func FD_ISSET(fd int, p *syscall.FdSet) bool {	return p.Bits[fd/64]&(1<<(uint(fd)%64)) != 0 }

func FD_ZERO(p *syscall.FdSet) {

	for i := range p.Bits {

		p.Bits[i] = 0

	}

}

type RecvmsgHandler func(buf []byte, n int, oob []byte, oobn int, err error) error

func RecvmsgLoop(ctx context.Context, sockfd int, fn RecvmsgHandler) error {

	buf := make([]byte, 1024*64)

	oob := make([]byte, syscall.CmsgSpace(1024))

	readfds := syscall.FdSet{}

	for {

		select {

		case <-ctx.Done():

			return ctx.Err()

		default:

		}

		FD_ZERO(&readfds)

		FD_SET(sockfd, &readfds)

		tv := syscall.Timeval{Sec: 0, Usec: 100000} // 100ms

		nfds, err := syscall.Select(sockfd+1, &readfds, nil, nil, &tv)

		if err != nil {

			continue

		}

		if nfds > 0 && FD_ISSET(sockfd, &readfds) {

			n, oobn, _, _, err := syscall.Recvmsg(sockfd, buf, oob, 0)

			err = fn(buf, n, oob, oobn, err)

			if err != nil {

				return err

			}

		}

	}

}

VLAN 数据的解析逻辑如下

func decodeVlanIdByAuxData(oob []byte) (uint16, error) {

	msgs, err := syscall.ParseSocketControlMessage(oob)

	if err != nil {

		return 0, err

	}

	for _, m := range msgs {

		if m.Header.Level == syscall.SOL_PACKET && m.Header.Type == 8 && len(m.Data) >= 20 {

			auxdata := unix.TpacketAuxdata{

				Status:   binary.LittleEndian.Uint32(m.Data[0:4]),

				Vlan_tci: binary.LittleEndian.Uint16(m.Data[16:18]),

			}

			if auxdata.Status&unix.TP_STATUS_VLAN_VALID != 0 {

				return auxdata.Vlan_tci, nil

			}

		}

	}

	return 0, nil

}

总结

以上代码都在实际的场景中使用,只是稍微修改了一点细节以及使用 epoll(2) 来监听,结合 sync.Pool 和精简了解析逻辑,性能尚可能够满足要求。

参考

Go 使用原始套接字捕获网卡流量的更多相关文章

  1. 《Python黑帽子:黑客与渗透测试编程之道》 网络:原始套接字和流量嗅探

    Windows和Linux上的包嗅探: #!/usr/bin/python import socket import os #监听的主机 host = "10.10.10.160" ...

  2. Linux Socket 原始套接字编程

    对于linux网络编程来说,可以简单的分为标准套接字编程和原始套接字编程,标准套接字主要就是应用层数据的传输,原始套接字则是可以获得不止是应用层的其他层不同协议的数据.与标准套接字相区别的主要是要开发 ...

  3. linux原始套接字(1)-arp请求与接收

    一.概述                                                   以太网的arp数据包结构: arp结构op操作参数:1为请求,2为应答. 常用的数据结构如 ...

  4. UNIX网络编程——原始套接字的魔力【续】

    如何从链路层直接发送数据帧 上一篇里面提到的是从链路层"收发"数据,该篇是从链路层发送数据帧. 上一节我们主要研究了如何从链路层直接接收数据帧,可以通过bind函数来将原始套接字绑 ...

  5. UNIX网络编程——原始套接字的魔力【下】

    可以接收链路层MAC帧的原始套接字 前面我们介绍过了通过原始套接字socket(AF_INET, SOCK_RAW, protocol)我们可以直接实现自行构造整个IP报文,然后对其收发.提醒一点,在 ...

  6. Go中原始套接字的深度实践

    1. 介绍 2. 传输层socket 2.1 ICMP 2.2 TCP 2.3 传输层协议 3. 网络层socket 3.1 使用Go库 3.2 系统调用 3.3 网络层协议 4. 总结 4.1 参考 ...

  7. python使用原始套接字 解析原始ip头数据

    使用底层套接字解码底层流量,是这次做的重点工作. 首先来捕获第一个包 # coding:utf-8import socket # 监听的主机IP host = "192.168.1.100& ...

  8. raw_socket(原始套接字)以及普通socket使用终极总结

      一.传输层socket(四层socket,普通socket) 可参考本人以下博客: Windows Socket编程之UDP实现大文件的传输:http://blog.csdn.net/luchen ...

  9. 浅谈原始套接字 SOCK_RAW 的内幕及其应用(port scan, packet sniffer, syn flood, icmp flood)

    一.SOCK_RAW 内幕 首先在讲SOCK_RAW 之前,先来看创建socket 的函数: int socket(int domain, int type, int protocol); domai ...

  10. Linux原始套接字实现分析---转

    http://blog.chinaunix.net/uid-27074062-id-3388166.html 本文从IPV4协议栈原始套接字的分类入手,详细介绍了链路层和网络层原始套接字的特点及其内核 ...

随机推荐

  1. 中国ITSM研发创新之路

    沿着 itil v3+java流程引擎 的老套路没办法搞出新的名堂了,所以必须要创新1. 理论创新关于ITIL辩证分析的文章我已经写了很多,不一一赘述.我的观念是与其坐等洋和尚来洗脑宣贯,不如自己主动 ...

  2. gin框架获取参数

    目录 httpext包 获取header头里的参数: scene := httpext.GetHeaderByName(ctx, "scene") // online / dev ...

  3. SATA与PCI-E速度对比

    SATA SATA接口已经发展到了第三代,理论上的最大速度达到600MB/s.平时大家见到的SATA SSD使用的都是SATA三代,实际测试速度在550MB/s左右,这比普通的机械硬盘的速度100MB ...

  4. PAT 练习2-3 输出倒三角图案

    结果: 本题要求编写程序,输出指定的由"*"组成的倒三角图案. 输入格式: 本题目没有输入. 输出格式: 按照下列格式输出由"*"组成的倒三角图案. 一般都用的 ...

  5. PageOffice在线打开编辑Word文件获取指定区域的数据并且保存整篇文件

    一.首先在word文件中给需要在后台获取数据的区域设置以PO_开头的书签. 二.通过pageoffice在线打开文件并编辑保存.有两种打开文件的模式 1.普通编辑模式(docNormalEdit) 普 ...

  6. kubernets之pod的生命周期容器启动后钩子以及容器结束前钩子

    一 先来介绍容器启动后钩子 1.1  容器启动后钩子,并不是容器启动之后才会执行的操作,而是在容器启动过程中,异步的和容器进行启动的一种钩子它有2种表现形式,包括我们后面提到的容器结束前钩子一样 在一 ...

  7. Android 13 - Media框架(33)- ACodec(九)

    关注公众号免费阅读全文,进入音视频开发技术分享群! 前一节我们学习了Output Format Changed事件是如何上抛并且被处理的,这一节我们紧接着来学习OutputBuffer是如何上抛并且被 ...

  8. RTOS入门

    RTOS是什么? RTOS是一款操作系统,相当于Windows\Linux 分为ucos FreeRTOS RT-Thread LiteOS 比裸机开发的优势在于,多任务系统,不必串行 临界区 临界区 ...

  9. Apache 服务搭建

    Apache 一.了解apache Apache(或httpd)是Internet上使用最多的Web服务器技术之一,使用的传输协议是http(Hypertext Transfer Protocol), ...

  10. react css-in-js

    CSS-in-JS是一种技术,而不是一个具体的库实现.简单来说CSS-in-JS就是将应用的CSS样式写在JavaScript文件里面,而不是独立为一些css,scss或less之类的文件,这样你就可 ...