|
| |
 精品推荐 |
 |
|
| |
|
|
|
|
黑客之旅――原始套接字透析之前言
|
日期:2008年6月4日 作者: 查看:[大字体
中字体 小字体]
|
大多数程序员所接触到的套接字(Socket)为两类:
(1)流式套接字(SOCK_STREAM):一种面向连接的Socket,针对于面向连接的TCP服务应用;
(2)数据报式套接字(SOCK_DGRAM):一种无连接的Socket,对应于无连接的UDP服务应用。
从用户的角度来看,SOCK_STREAM、SOCK_DGRAM这两类套接字似乎的确涵盖了TCP/IP应用的全部,因为基于TCP/IP的应用,从协议栈的层次上讲,在传输层的确只可能建立于TCP或UDP协议之上(图1),而SOCK_STREAM、SOCK_DGRAM又分别对应于TCP和UDP,所以几乎所有的应用都可以用这两类套接字实现。
 图1 TCP/IP协议栈
但是,当我们面对如下问题时,SOCK_STREAM、SOCK_DGRAM将显得这样无助:
(1) 怎样发送一个自定义的IP包?
(2) 怎样发送一个ICMP协议包?
(3) 怎样使本机进入杂糅模式,从而能够进行网络sniffer?
(4) 怎样分析所有经过网络的包,而不管这样包是否是发给自己的?
(5) 怎样伪装本地的IP地址?
这使得我们必须面对另外一个深刻的主题――原始套接字(Raw Socket)。Raw Socket广泛应用于高级网络编程,也是一种广泛的黑客手段。著名的网络sniffer、拒绝服务攻击(DOS)、IP欺骗等都可以以Raw Socket实现。
Raw Socket与标准套接字(SOCK_STREAM、SOCK_DGRAM)的区别在于前者直接置"根"于操作系统网络核心(Network Core),而SOCK_STREAM、SOCK_DGRAM则"悬浮"于TCP和UDP协议的外围,如图2所示:
 图2 Raw Socket与标准Socket
当我们使用Raw Socket的时候,可以完全自定义IP包,一切形式的包都可以"制造"出来。因此,本文事先必须对TCP/IP所涉及IP包结构进行必要的交待。
目前,IPv4的报头结构为:
版本号(4)包头长(4)服务类型(8)
数据包长度(16)
标识(16)
偏移量(16)
生存时间(8)
传输协议(8)
校验和(16)
源地址(32)
目的地址(32)
选项(8)
.........
填充
对其进行数据结构封装:
typedef struct _iphdr //定义IP报头
{
unsigned char h_lenver; //4位首部长度+4位IP版本号
unsigned char tos; //8位服务类型TOS
unsigned short total_len; //16位总长度(字节)
unsigned short ident; //16位标识
unsigned short frag_and_flags; //3位标志位
unsigned char ttl; //8位生存时间 TTL
unsigned char proto; //8位协议 (TCP, UDP 或其他)
unsigned short checksum; //16位IP首部校验和
unsigned int sourceIP; //32位源IP地址
unsigned int destIP; //32位目的IP地址
} IP_HEADER;
或者将上述定义中的第一字节按位拆分:
typedef struct _iphdr //定义IP报头
{
unsigned char h_len : 4; //4位首部长度
unsigned char ver : 4; //4位IP版本号
unsigned char tos;
unsigned short total_len;
unsigned short ident;
unsigned short frag_and_flags;
unsigned char ttl;
unsigned char proto;
unsigned short checksum;
unsigned int sourceIP;
上一篇:原始套接字透析之实现sniffer
下一篇:原始套接字透析之Raw Socket基础
|
| 相关文章: |
|
|
|
| 相关软件: |
|
|
|
|
