初探数据包设计范例.doc

初探数据包分析程序设计 Author ：maigan From : 第八军团－信息安全小组（ ) Mail : maigan@ Warnong: 转载本文请注明作者及出处 整天在网上转，也看到许多不错的文章，但我发现大多文章要么只停留在理论上，要么就 是太高深。对问题详细分析介绍的很少。今天，我就想以数据包分析程序为主题和大家讨论一 下网络编程的的相关问题，我也是新手，有不到之处，还望大家不吝指正。 通过对数据包的分析，我们可以判断通信双方的操作系统、网络信息流量、经过的路由、 数据包的大小，以及数据包的内容等等。对于喜欢网络安全的人来说，掌握这方面的知识是相 当重要的。现在的网络通信中，大部分数据都没有加密，我们可以轻易地从数据包中提取账号 、密码之类我们关心的数据.大家在看本文时如有困难，可先读一读计算机网络及C程序设计还 有协议分析方面的书。下面我将分TCP/IP族协议结构、程序部分函数及数据结构说明、案例程 序剖析三个部分与大家共同学习数据包分析程序的设计方法 一、TCP/IP族协议结构 在说TCP/IP之前，先让我们来认识一下以太网，因为我们现在接触最多的就是以太网， 并且研究数据包又是离不开以太网的帧的。在以太网中，数据是以被称为帧的数据结构本为单 位进行交换的。以太网中常用的协议是CSMA/CD(carrier sense multiple access with collision detection)即载波监听多点接入/碰撞检测，在这里，我们关注的是帧的格式。常 用的以太网帧的格式有两种标准，一种是DIX Ethernet V2标准，另一种是IEEE的802.3标准。 现在最常用的MAC帧是V2格式，这也是我们所要研究的格式，至于802.3帧我们不再讨论。以太 网V2帧的格式如下： (插入8字节）目的地址（6字节）-源地址(6字节)-类型(2字节)-数据(46-1500)-FCS(4字 节) 以太网的地址由48位的二进制来表示,也就是我们常说的MAC地址及硬件地址。在MAC帧前还有8 字节的前同步码和帧的开始定界符，之后才是地址等报头信息。接收端和发送端的地址之后是 2字节的类型字段，存放帧中传送数据的上层协议类型，RFC1700号文档规定了这些，如下： ETHER TYPES(十六进制) PROTOCOlS 800 IP 806 ARP 8035 Revese ARP 809B Apple Talk 8137/8138 Novel 814c SNMP 帧的数据部分长度为46－1500字节，当小于46时，会在后面加入一个整数字节的填充字段。 FCS(Frame Check Sequence)在以太网常用循环冗佘校检(CRC:cyclic redandancy check)。 IP协议为网络层协议，网络层的数据结构体被称为IP数据报。IP地址及域名这两个概念 我们就不说了，下面我们来看一看IP数据报的结构： 成员名 字节数 说明 version 1/2 IP的版本，现在为IPV4 IHL(报送长度) 1/2 最常用为20，取5－15之前的值，最 大60字节 Type Of Service 1 优先和可靠性服务要求的数值 Total Lenth 2 IP数据报的全长 Identification 2 识别IP数据报的编号 Flags 3/8 1位为0表示有碎块，2位为0表示是 最后的碎块，为1表示接收中。 Fragment Offset 13/8 分片在原分组中的位置 TTL 1 数据报寿命，建议值为32秒 Protocol 1 上层协议 Headerchecksum 2 报头检验码 Source Address 4 发送端IP地址 Destination Address 4 接收端IP地址 Options And Padding 4 选项及填充位 其中协议字段的值对我们分析数据包是很重要的，下面列出来给大家看看： 值 协议 意义 1 ICMP Internet Control Message Protocol 6 TCP Tranfer Control Protocol 8 EGP Exterior Gateway Protocol 9 IGP Interior Gateway Protocol 17 UDP User Datagram Protocol 下面这些协议的值在后面的程序中我们可以见到，请大家留心记一下。接着我们介绍地址解析 协议(ARP/RARP): 成员名 字节数 说明 Hardware address 2 硬件类型，以太网为1 Protocol address 2 上层协议类型，IP为800