網(wǎng)絡數(shù)據(jù)包生成技術(shù)

-.z網(wǎng)絡數(shù)據(jù)包生成技術(shù)摘要：數(shù)據(jù)包是tcp/ip通信傳輸中的數(shù)據(jù)單位，了解數(shù)據(jù)包的生成原理，可以幫助我們更好的理解網(wǎng)絡中的數(shù)據(jù)傳送和更有效的分析一些網(wǎng)絡問題。數(shù)據(jù)包的構(gòu)成主要以tcp/ip模型中的各個協(xié)議為根底，包括tcp協(xié)議、udp協(xié)議、ip協(xié)議和icmp協(xié)議等。在windows下，原始套接字、winpcap、和libnet是生成和發(fā)送數(shù)據(jù)包常用的3種方法。本文主要討論了在各個協(xié)議下數(shù)據(jù)包的構(gòu)造以及上述3種方法生成數(shù)據(jù)包的根本原理。

關(guān)鍵詞：rawsocket；winpca；libnet；tcp/ip協(xié)議族；數(shù)據(jù)包

一、數(shù)據(jù)包構(gòu)造分析

〔一〕ip數(shù)據(jù)包

1、ip協(xié)議

〔1〕是點對點協(xié)議，雖然ip數(shù)據(jù)報攜帶源ip和目的ip地址，但進展數(shù)據(jù)傳輸時的對等實體一定相鄰設備〔同一網(wǎng)絡中〕的對等實體。

〔2〕ip協(xié)議不保證傳輸?shù)目煽啃?，不對?shù)據(jù)進展過失校驗和跟蹤，可靠性有ip的上層tcp協(xié)議加以保證。

〔3〕ip協(xié)議提供無連接數(shù)據(jù)報效勞，各個數(shù)據(jù)報獨立傳輸，可能沿著不同路徑到達目的地，也可能不按序到達目的地。

正因為ip協(xié)議采用盡力傳輸?shù)乃枷?，所以ip協(xié)議的效率非常高，實現(xiàn)也簡單。ip層向下要面對各種不同的物理網(wǎng)絡，向上卻提供一個同一的數(shù)據(jù)傳輸效勞。通過ip數(shù)據(jù)報實現(xiàn)了物理數(shù)據(jù)幀的同一，ip層到達了向上屏蔽底層差異的目的。ip協(xié)議位于網(wǎng)絡層，是因特網(wǎng)的核心協(xié)議，除了arp和rarp報文外，幾乎所有的數(shù)據(jù)都要經(jīng)過ip協(xié)議進展發(fā)送。由于ip協(xié)議在網(wǎng)絡層中具有重要地位，人們又將tcp/ip協(xié)議的網(wǎng)絡層稱為ip層。

2、ip數(shù)據(jù)包構(gòu)造

〔1〕版本(ver)：4位，表示數(shù)據(jù)報的ip協(xié)議版本，當前的ip協(xié)議版本號為4，即ipv4;下一代網(wǎng)絡協(xié)議ipv6，版本號為6。

〔2〕首部長度〔hlen〕：4位，表示以字長〔4字節(jié)〕為單位的數(shù)據(jù)報首部長度。

〔3〕效勞類型〔servicetype〕：8位，規(guī)定本數(shù)據(jù)報的處理方式。前三位是優(yōu)先級，0-7，0表示最低，7最高〔最重要〕，但目前的ipv4沒有使用優(yōu)先級。后4位是tos，表示本數(shù)據(jù)報在傳輸過程中所希望得到的效勞，d--最小延遲〔minimizedelay〕；t--最大吞吐率〔ma*imizethroughout〕；r--最高可靠性〔ma*imizereliability〕；c--最低本錢〔minimizecost〕。

數(shù)據(jù)報總長度：總長度定義了ip數(shù)據(jù)報的總長度。這是一個2個字節(jié)的字段，可以定義長達65536個字節(jié)。

〔4〕標識〔identification〕：16位每個ip數(shù)據(jù)報都有一個本地唯一的標識符，它由信源機賦予ip數(shù)據(jù)報。每次自動加1。

〔5〕標志〔flags〕：3位，表示該ip數(shù)據(jù)報是否允許分片以及是否最后一片。

〔6〕片偏移〔fragmentationoffset〕：表示本片數(shù)據(jù)在他所屬原始數(shù)據(jù)報數(shù)據(jù)區(qū)的偏移量。

〔7〕生存時間〔timetolive,ttl〕：8位，生存期字段定義了數(shù)據(jù)報在被丟棄錢可以傳輸?shù)奶鴶?shù)，防止數(shù)據(jù)報在路由器之間反復的傳輸。

〔8〕協(xié)議(ipprotocol)：8位，指明被ip數(shù)據(jù)報封裝的協(xié)議:icmp=1,igmp=2,tcp=6,egp=8,udp=17,ospf=89。

〔二〕tcp數(shù)據(jù)包

1、tcp協(xié)議

tcp是一種面向連接的、可靠的傳輸層協(xié)議；tcp協(xié)議建立在不可靠的網(wǎng)絡層ip協(xié)議之上，ip不能提供任何可靠性機制，tcp的可靠性完全由自己實現(xiàn)，它在網(wǎng)絡層ip效勞的根底上，向應用層提供面向連接、可靠的流傳輸。

2、tcp數(shù)據(jù)包構(gòu)造

〔1〕源端口地址：源端口地址定義了源計算機上的應用程序。

〔2〕目的端口地址：源端口地址定義了目的計算機上的應用程序。

〔3〕序列號：來自應用程序的數(shù)據(jù)流可以分為兩個或者更多的tcp段。序列號字段顯示了數(shù)據(jù)在原始數(shù)據(jù)流中的位置。

〔4〕確認號：32位確實認號用來確認接收來自其他通信設備的數(shù)據(jù)。這個序號只有在控制字段中設置了ack為以后才有效，它定義了下一個期望收到的字節(jié)序列號。

〔5〕保存：6位的字段預留給將來使用。

〔6〕控制位：6位的控制字段中的每位都有獨特的功能。它即可定義段的用途，也可以用作其他字段的有效性檢查。當urg位被設置時，它驗證緊急指針的有效性。這個位和緊急指針一起指明了段中的數(shù)據(jù)是緊急的。當ack位被設置時，它驗證確認號字段的有效性。psh為用來通知發(fā)送方需要更高的吞吐量。rst位用于在序列號出現(xiàn)混亂時重置連接。syn位在以下三種類型的段中用于序列號同步：連接請求、

連接確認〔ack未被設置〕以及驗證確認〔ack未被設置〕。fin位在三種類型的段中用于連接終止：終止請求、終止驗證〔ack未被設置〕以及終止驗證確實認〔ack未被設置〕。

〔7〕窗口大?。捍翱谑且粋€16位的字段，它定義了滑動窗口的大小。

〔8〕校驗和：校驗和是一個16位的字段，用在過失檢驗中。

〔9〕緊急指針：這是報文頭中的最后一個字段。只有在控制字段中的urg位被設置后才能有效。在這種情況下，發(fā)送方通知接收方段中的數(shù)據(jù)是緊急數(shù)據(jù)，這個指針定義了緊急數(shù)據(jù)的結(jié)尾和普通數(shù)據(jù)的開場。

選項和填充：tcp報文頭中的其余局部定義了可選字段。它們用來給接收方傳送附加的信息，或者用來對齊數(shù)據(jù)。

〔三〕udp數(shù)據(jù)包

1、udp協(xié)議特點

〔1〕udp是一個無連接協(xié)議，傳輸數(shù)據(jù)之前源端和終端不建立連接當它想傳送時就簡單地去抓取來自應用程序的數(shù)據(jù)，并盡可能快地把它扔到網(wǎng)絡上。在發(fā)送端，udp傳送數(shù)據(jù)的速度僅僅是受應用程序生成數(shù)據(jù)的速度、計算機的能力和傳輸帶寬的限制；在接收端，udp把每個消息段放在隊列中，應用程序每次從隊列中讀一個消息段。

〔2〕由于傳輸數(shù)據(jù)不建立連接，因此也就不需要維護連接狀態(tài)，包括收發(fā)狀態(tài)等，因此一臺效勞機可同時向多個客戶機傳輸一樣的消息。

〔3〕udp信息包的標題很短，只有8個字節(jié)，相對于tcp的20個字節(jié)信息包的額外開銷很小。

〔4〕吞吐量不受擁擠控制算法的調(diào)節(jié)，只受應用軟件生成數(shù)據(jù)的速率、傳輸帶寬、源端和終端主機性能的限制。

〔5〕udp使用盡最大努力交付，即不保證可靠交付，因此主機不需要維持復雜的狀態(tài)表〔這里面有許多參數(shù)〕。

〔6〕udp是面向報文的。發(fā)送方的udp對應用程序交下來的報文，在添加首部后就向下交付給ip層。既不拆分，也不合并，而是保存這些報文的邊界，因此，應用程序需要選擇適宜的報文大小。

2、udp數(shù)據(jù)包構(gòu)造

〔1〕源端口地址：源端口地址是創(chuàng)立報文的應用程序的地址。

〔2〕目的端口地址：目的端口地址是接收報文的應用程序的地址。

〔3〕總長度：總長度定義了用戶數(shù)據(jù)報的總長度，以字節(jié)為單位。

〔4〕校驗和：校驗和是用在過失檢測中的16位字段。

二、基于原始套接字、winpcap、libnet生成數(shù)據(jù)包原理

〔一〕原始套接字工作原理及規(guī)則

1、使用原始套接字時應該注意的問題

〔1〕對于udp/tcp產(chǎn)生的ip數(shù)據(jù)包，核不將它傳遞給任何原始套接字,而只是將這些數(shù)據(jù)交給對應的udp/tcp數(shù)據(jù)處理句柄(所以,如果你想要通過原始套接字來tcp/udp或者其它類型的數(shù)據(jù)，調(diào)用socket函數(shù)創(chuàng)立原始套接字第三個參數(shù)應該指定為htons(eth_p_ip),也就是通過直接數(shù)據(jù)鏈路層來實現(xiàn)。

〔2〕對于icmp和egp等使用ip數(shù)據(jù)包承載數(shù)據(jù)但又在傳輸層之下的協(xié)議類型的ip數(shù)據(jù)包，核不管是否已經(jīng)有注冊了的句柄來處理這些數(shù)據(jù),都會將這些ip數(shù)據(jù)包復制一份傳遞給協(xié)議類型匹配的原始套接字。

〔3〕對于不能識別協(xié)議類型的數(shù)據(jù)包，核進展必要的校驗,然后會查看是否有類型匹配的原始套接字負責處理這些數(shù)據(jù)，如果有的話,就會將這些ip數(shù)據(jù)包復制一份傳遞給匹配的原始套接字，否則，核將會丟棄這個ip數(shù)據(jù)包，并返回一個icmp主機不可達的消息給源主機。

2、編程選項

〔1〕bind函數(shù)：調(diào)用bind函數(shù)后，發(fā)送數(shù)據(jù)包的源ip地址將是bind函數(shù)指定的地址。如是不調(diào)用bind，則核將以發(fā)送接口的主ip地址填充ip頭。如果使用setsockopt設置了ip_hdrincl(headerincluding)選項,就必須手工填充每個要發(fā)送的數(shù)據(jù)包的源ip地址，否則，核將自動創(chuàng)立ip首部。

〔2〕connetc函數(shù)：調(diào)用connect函數(shù)后，就可以使用write和send函數(shù)來發(fā)送數(shù)據(jù)包，而且核將會用這個綁定的地址填充ip數(shù)據(jù)包的目的ip地址，否則的話，則應使用sendto或sendmsg函數(shù)來發(fā)送數(shù)據(jù)包，并且要在函數(shù)參數(shù)中指定對方的ip地址。

綜合以上種種功能和特點，我們可以使用原始套接字來實現(xiàn)很多功能,比方最根本的數(shù)據(jù)包分析,主機嗅探等。其實也可以使用原始套接字作一個自定義的傳輸層協(xié)議。

〔二〕基于winpcap的原理

winpcap是win32平臺下的數(shù)據(jù)包捕獲和網(wǎng)絡分析構(gòu)架。它包含了一個核心級的包過濾器，低級的動態(tài)庫(packet.dl1)和一個高級并且系統(tǒng)獨立的庫(wpcap.dl1)。

由于捕獲系統(tǒng)要繞過系統(tǒng)的協(xié)議棧直接網(wǎng)絡數(shù)據(jù)，這就需要在操作系統(tǒng)核中，有一局部直接與網(wǎng)卡驅(qū)動交互。這一局部是系統(tǒng)相關(guān)的，在winpcap的解決方案中是通過一個設備驅(qū)動——npf(netgrouppacketfilter)來實現(xiàn)的。npf驅(qū)動提供了例如包捕獲和發(fā)送的根本功能，也提供了更高級的可編程過濾系統(tǒng)和監(jiān)視系統(tǒng)。捕獲系統(tǒng)實現(xiàn)了用戶級應用程序與核間的接口：packet.dll和wpcap.dll。

利用winpcap的庫函數(shù)可以將指定數(shù)據(jù)緩沖區(qū)中的數(shù)據(jù)發(fā)送出去。其中發(fā)送函數(shù)為“intpcap_sendpacket(pcap_t*p，u_char*buf，intsize)〞，此函數(shù)用來發(fā)送一個原始數(shù)據(jù)包，即從鏈路層的數(shù)據(jù)開場發(fā)送。這也就意味著在流程的第一步構(gòu)造發(fā)送緩沖區(qū)數(shù)據(jù)時，需要自頂向下構(gòu)造應用層數(shù)據(jù)、傳輸層數(shù)據(jù)、網(wǎng)絡層數(shù)據(jù)和鏈路層數(shù)據(jù)。從這里表現(xiàn)出winpcap比socketapi函數(shù)對數(shù)據(jù)包具有更深層次的控制能力，后者只能控制數(shù)據(jù)封裝到網(wǎng)絡層。winpcap比socketapi的功能強大得多。函數(shù)參數(shù)中的p是控制翻開網(wǎng)卡的句柄，buf指向準備發(fā)送的數(shù)據(jù)幀，size表示發(fā)送的數(shù)據(jù)長度。

〔三〕基于libnet的原理

libnet生成數(shù)據(jù)包的方法很具有模塊化，一個協(xié)議類型就是一個協(xié)議塊，要構(gòu)造一個完整的網(wǎng)絡數(shù)據(jù)包，只需要給出此數(shù)據(jù)包的各個協(xié)議塊，然后libnet把他們組合在一起發(fā)送出去。

1、存初始化：libnet_init(intinjection_type,char*device,char*err_buf)

injection_type表示構(gòu)造的類型；

device表示網(wǎng)絡接口；

err_buf表示存放出錯的信息。

2、釋放存：libn