关于TCP/IP数据包结构一文的进一步说明(常见协议数据报结构及TCP三次握手机制)

yiyeqinghuasoon

浏览: 643472 次

最近访客更多访客>>

morelily

lobin

_肖丹

920988216

博主相关

博客

微博

相册

留言

关于我

文章分类

全部博客 (1079)

社区版块

存档分类

2012-01 ( 20)
2011-12 ( 66)
2011-11 ( 21)
更多存档...

上周发一篇文章：http://blog.csdn.net/prsniper/article/details/6762145

大家反应比较活跃，看来对大家帮助不少，于是有此文。

================================================================

先声明一下，文章被很多人转载，我欢迎大家转载，但是我发现已有一个人转载时，没有保留出处，而且连转载也没写明，竟然挂着“原创”的标题，实在是……

================================================================

这篇文章可能表较长，所以这里写个目录，也可以说是摘要吧：

1.TCP三次握手机制

2.数据包拦截的C++源码(VS6/VC++)

3.TCP通信C源码，包括服务端和客户端

4.常见协议数据包头部的C语言定义(包括在抓包源码中)

5.WinHex分析数据报数据

//请在转载的时候，保留出处，至少声明是转载，尊重他人即尊重自己。限于水平，同时精力有限，不足指出望大家批评指正。

用到一张图片，以便理解：（大家可以阅读http://blog.csdn.net/prsniper/article/details/6762145便于理解）

1.TCP三次握手机制

　　第一次握手：建立连接时，客户端发送syn包(syn=j)到服务器，并进入SYN_SEND状态，等待服务器确认；SYN：同步序列编号(Synchronize Sequence Numbers)。

　　第二次握手：服务器收到syn包，必须确认客户的SYN（ack=j+1），同时自己也发送一个SYN包（syn=k），即SYN+ACK包，此时服务器进入SYN_RECV状态；

　　第三次握手：客户端收到服务器的SYN+ACK包，向服务器发送确认包ACK(ack=k+1)，此包发送完毕，客户端和服务器进入ESTABLISHED状态，完成三次握手。

　　完成三次握手，客户端与服务器开始传送数据，简单来说呢，就是：

A告诉B：“我要去你家做客。”，B收到，说：“欢迎”，杀鸡宰羊，开门等候，A得到确认，沐浴更衣，刷牙洗脸，带上筷子，告诉B：“我将要到达。”，双方会面…关于三次握手得到的数据分析，参见下面WinHex部分。

2.数据包拦截的C++源码(VS6/VC++)

VC++源码，可能比较长，大家可以滚动鼠标往下看

////==================================================
/*  Analyser.cpp - TCP/IP Pack Analysing Module
 *  Coded by http://blog.csdn.net/prsniper
 *  Please retain this information when copying
*///==================================================

#include "ANALYSER.H"

int main(int argc, char* argv[])
{	//初始化SOCKET
	WSADATA wsaData;
	int ret = WSAStartup(MAKEWORD(2, 2), &wsaData);
	if(ret != NO_ERROR)
	{	printf("Error at WSAStartup();\n");
		return 0;
	}
	//创建套接字,soket_raw
	SOCKET lpRawSocket = socket(AF_INET, SOCK_RAW, IPPROTO_IP);
	if (lpRawSocket == INVALID_SOCKET) 
	{	printf("Error at socket(): %ld\n", WSAGetLastError());
		WSACleanup();
		return 0;
	}
	//获取本机IP地址
	char strHost[200];
	if(gethostname((char*)strHost, sizeof(strHost) - 1) == SOCKET_ERROR)
	{	strcpy(strHost, "localhost");	//主机名获取失败，使用localhost
		printf("using \"localhost\" as host name!\n");
	}
	hostent *lpHost = gethostbyname((char*)strHost);
	if(lpHost == NULL) 
	{	printf("gethostbyname(); failed!\n");
		lpHost = gethostbyaddr("127.0.0.1", 4, PF_INET);
		if(lpHost == NULL)
		{	printf("get host failed!\n");
			WSACleanup();
			return 0;
		}
	}
	//struct in_addr addr;
	//if(lpHost->h_addrtype == AF_INET)
	//{	while(lpHost->h_addr_list[ret] != 0)
	//	{	addr.s_addr = *(u_long*)lpHost->h_addr_list[ret++];
	//		printf("\tIPv4 Address #%d: %s\n", ret, inet_ntoa(addr));
	//	}
	//}
	//绑定端口,把hostname与sa绑定,sa与lpRawSocket绑定
	SOCKADDR_IN sa;
	memcpy(&sa.sin_addr.S_un.S_addr, lpHost->h_addr_list[0], lpHost->h_length);
	sa.sin_family = AF_INET;
	sa.sin_port = htons(8972);
	if(bind(lpRawSocket, (PSOCKADDR)&sa, sizeof(sa)) == SOCKET_ERROR)
	{	printf("bind(); failed!\n");
		WSACleanup();
		return 0;
	}

//设置RAW socket
	DWORD dwBuffer[10];
	DWORD dwCount = 0;
	DWORD dwSize = 1;
	/*
	WSAIoctl()函数参数
	s：一个套接口的句柄。
	dwIoControlCode：将进行的操作的控制代码。
	lpvInBuffer：输入缓冲区的地址。
	cbInBuffer：输入缓冲区的大小。
	lpvOutBuffer：输出缓冲区的地址。
	cbOutBuffer：输出缓冲区的大小。
	lpcbBytesReturned：输出实际字节数的地址。
	lpOverlapped：WSAOVERLAPPED结构的地址。
	lpCompletionRoutine：一个指向操作结束后调用的例程指针。
	*/
	ret = WSAIoctl(lpRawSocket, SIO_RCVALL, &dwSize, sizeof(dwSize), &dwBuffer, sizeof(dwBuffer), &dwCount, NULL, NULL);
	if(ret == SOCKET_ERROR)
	{	printf("WSAIoctl(); failed!\n");
		WSACleanup();
		return 0;
	}
	//侦听IP报文
	char Buffer[8192] = {0};	//Windows 一般一个包裹8K=8192字节(Byte)
	BYTE *lpBuffer = (BYTE *)&Buffer;
	FILE *lpFile = fopen("TCPIP.LOG","wb");	//存在会覆盖
	int i = 1;
	while (1)
	{	//memset(Buffer, 0, sizeof(Buffer));
		ret = recv(lpRawSocket, Buffer, sizeof(Buffer), 0);
		if(ret > 0)
		{	Buffer[ret] = NULL;	//结束字符串
			//收到数据包，解码（这个就算了）
			//ret = *(int*)Buffer[12];
			printf("from: %d.%d.%d.%d To %d.%d.%d.%d\n", Buffer[12], Buffer[13], Buffer[14], Buffer[15], Buffer[16], Buffer[17], Buffer[18], Buffer[19]);
			printf("\nBegin Pack ID: %d ==================", i);
		 	if(lpFile != NULL)
			{	fseek(lpFile, 0, SEEK_END);
				fwrite(lpBuffer, ret, 1, lpFile);
				fclose(lpFile);
				lpFile = fopen("TCPIP.LOG","ab");	//二进制追加模式
			}
			printf("\nEnd Pack ID: %d ==================\n", i);
			i++;
		}
	}
	return 1;
}

inline void fnAnalyse(BYTE *pData)
{	static ICMPHEADER hICMPData;
	static IPHEADER hIPData;
	static TCPHEADER hTCP;
	static UDPHEADER hUDP;
	static BYTE *lpStr;
	//copy pack data
	memcpy(&hIPData, pData, sizeof(IPHEADER));
	//转换为网络字节序，即大端模式(big-endian)
	//hIPData.iSrcAddr = htons(hIPData.iSrcAddr);	//32位要另外写htons函数，或分成两个short
	//hIPData.iDstAddr = htons(hIPData.iDstAddr);	//
	hIPData.sLength = htons(hIPData.sLength);
	hIPData.sRepare = htons(hIPData.sRepare);
	//显示信息
	lpStr = pData + sizeof(IPHEADER);
	printf("IPv%x	Head Length:%d Bytes.	Serve Type:%d\n",
		hIPData.cLenVer >> 4, (hIPData.cLenVer & 0x0F) * 4, hIPData.cServer);
	//不写了...
}

编译运行，会将得到的数据包，保存在当前文件夹的TCPIP.LOG中，二进制模式

3.TCP通信C源码，包括服务端和客户端

这是服务端，也就是监听端的C语言源代码

#include <winsock2.h>
#include <stdio.h>
 
#pragma comment(lib,"ws2_32.lib")

#define MAX_RECV_LENGTH 1024	//1K Bytes
#define MAX_SEND_LENGTH 1024
 
int main(int argc, char* argv[])
{   SOCKET sckServer;
    SOCKADDR_IN lpServer;
    SOCKADDR_IN lpClient;
    WORD wVersionRequested;
    char lpSend[MAX_SEND_LENGTH];
    char lpGet[MAX_RECV_LENGTH];
    WSADATA wsaData;
    int ret;

wVersionRequested = MAKEWORD(1, 1);
    ret = WSAStartup( wVersionRequested, &wsaData );
    if (ret != 0) return 0;
    if((LOBYTE( wsaData.wVersion ) != 1)||(HIBYTE( wsaData.wVersion ) != 1))
    {   WSACleanup();
        return 0; 
    }
	sckServer= socket(AF_INET, SOCK_STREAM, 0);		//监听的套接字
    lpServer.sin_addr.S_un.S_addr = htonl(INADDR_ANY);
    lpServer.sin_family = AF_INET;
    lpServer.sin_port = htons(1987);	//using port:1987
    if( SOCKET_ERROR == bind(sckServer, (SOCKADDR*)&lpServer, sizeof(SOCKADDR)) )
    {   printf("bind error\n");
		WSACleanup();
        return 0;
    }
    if( SOCKET_ERROR == listen(sckServer,5) )
    {   printf("listen error");
		WSACleanup();
        return 0;
    }
	//变量重用是大侠一大风格，不过请勿模仿，最简单的建议是尽量不对全局变量重用
    ret = sizeof(SOCKADDR);
    while(1)
    {   SOCKET sckReq = accept(sckServer, (SOCKADDR*)&lpClient, &ret);
        if(sckReq == INVALID_SOCKET)
        {   printf("accept error\n");
            return 0;
        }
		//测试TCP三次握手，注释下面收发部分
		sprintf(lpSend,"%s","what the fuck are you doing?\n");
        if( SOCKET_ERROR == send(sckReq,lpSend,strlen(lpSend)+1,0) )
        {   printf("send err\n");
            return 0;
        }
        recv(sckReq,lpGet,MAX_RECV_LENGTH,0);
        printf("%s\n",lpGet);
		
        closesocket(sckReq);
    }
	return 1;
}

以下是客户端，连接请求端的C语言源码：

#include <winsock2.h>
#include <stdio.h>

#pragma comment(lib,"ws2_32.lib")

#define MAX_RECV_LENGTH 1024	//1K
#define SEND_MAX_LENGTH 1024
 
int main(int argc, char* argv[])
{   SOCKET sckClient;
	SOCKADDR_IN lpAddr;
	char lpGet[MAX_RECV_LENGTH];
	char lpSend[SEND_MAX_LENGTH];
    WORD wVersionRequested;
    WSADATA wsaData;
    int ret;
    
    wVersionRequested = MAKEWORD(1, 1);		//为了低版本的Windows
    ret = WSAStartup(wVersionRequested, &wsaData);
    if(ret != 0) return 0;
    if(LOBYTE(wsaData.wVersion) != 1 || HIBYTE(wsaData.wVersion) != 1) 
    {   WSACleanup();
        return 0; 
    }
    sckClient = socket(AF_INET,SOCK_STREAM,0);
    lpAddr.sin_addr.S_un.S_addr = inet_addr("192.168.0.2");	//connect to host
    lpAddr.sin_family = AF_INET;
    lpAddr.sin_port = htons(1987);		//server port:1987
    if( SOCKET_ERROR == connect(sckClient,(SOCKADDR*)&lpAddr,sizeof(SOCKADDR)) )
    {   printf("connect error\n");
		WSACleanup();
        return 0;
    }
	//测试TCP三次握手，注释下面收发部分
    if(recv(sckClient, lpGet, MAX_RECV_LENGTH, 0) == SOCKET_ERROR)
    {   printf("recive error\n");
		WSACleanup();
        return 0;
    }else
    {   printf("%s\n", lpGet);
    }
    strcpy(lpSend, "fucking this fucking code is what the fuck i\'m doing!\n"); 
    send(sckClient, lpSend, sizeof(lpSend) + 1, 0); 
	
    closesocket(sckClient);
    WSACleanup(); 
	return 1;
}

4.常见协议数据包头部的C语言定义(包括在抓包源码中)

这里列出TCP，UDP，ICMP，IGMP的数据包头部C语言结构定义，ICMP常见应用是ping命令，IGMP是个危险的协议。也许有人会说，那HTTP协议呢，FTP协议呢，TELNET协议呢？这些都是基于TCP/IP的，也可能使用UDP，但是他们的命令都是ASCII明文，比如HTTP协议的头部包含在TCP包的数据部分

// ==========================================================
// ANALYSER.H - Struct, Global Variable, Function Definitions
// Coded by http://blog.csdn.net/prsniper
// ==========================================================

#if !defined(__RANGER_ANA_H_)
#define __RANGER_ANA_H_

#if _MSC_VER >= 1000	//Visual Studio 6.0
#pragma once
#endif // _MSC_VER >= 1000

#include "Winsock2.h"
#include <stdio.h>

#define SIO_RCVALL _WSAIOW(IOC_VENDOR, 1)
#pragma comment(lib,"ws2_32.lib")

typedef struct _IPHEADER 
{	BYTE cLenVer;		//4位首部长度+4位IP版本号
	BYTE cServer;		//8位服务类型
	USHORT sLength;		//16位总长度（字节）
	USHORT sRepare;		//16位标识          
	USHORT sFlagOffset;	//3位标志位+13段偏移量  
	BYTE cTimeToLife;	//8位生存时间 TTL
	BYTE cProtocol;		//8位协议 (1=ICMP,2=IGMP,6=TCP,17=UDP等)
	USHORT sChecksum;	//16位IP首部校验和
	ULONG iSrcAddr;		//32位源始IP地址
	ULONG iDstAddr;		//32位目的IP地址
}IPHEADER;

typedef struct _TCPHEADER
{	USHORT sSrcPort;		//16位源端口  
	USHORT sDstPort;		//16位目的端口  
	ULONG iDataNum;			//32位数据序号
	ULONG iCheckNum;		//32位确认序号
	BYTE cHeadLen;			//4位首部长度+6位保留字(其中四位) 
	BYTE cUAPRSF;			//6位标志位  
	USHORT sWindow;			//16位窗口大小  
	USHORT sPackChecksum;	//16位校验和  
	USHORT sEmergency;		//16位紧急数据偏移量（紧急指针）
}TCPHEADER;

typedef struct _UDPHEADER
{	USHORT sSrcPort;	//16位原始端口
	USHORT sDstPort;	//16位目的端口
	USHORT sPackLen;	//16位数据包长度
	USHORT sChecksum;	//16位校验和，只提示，不强制重发
}UDPHEADER;

typedef struct _ICMPHEADER  
{	BYTE cType;				//8位类型  
	BYTE cCode;				//8位代码  
	USHORT sChecksum;		//16位校验和  
	USHORT sRecCode;		//16位识别号（一般为进程号）  
	USHORT sPackNum;		//16位报文序列号  
	ULONG iTimeValue;		//32位时间戳，GetTickCount();
}ICMPHEADER;

//IGMP[Internet Group Management Protocol]是IP主机用作向相邻多目路由器报告多目组成员。
typedef struct _IGMPHEADER	//畸形IGMP包会试TCPIP堆栈崩溃，这里不解析了
{	UCHAR cVerType;		//4位版本 4位类型
	UCHAR cUnKnow;		//未使用
	USHORT sChecksum;	//16位校验和 
	ULONG iGroupAddr;	//32位组地址 
}IGMPHEADER;

#endif //!defined(__RANGER_ANA_H_)

源码到此结束，因为是控制台窗口，数据也保存到文件，运行效果就不截图了。

5.WinHex分析数据报数据

用WinHex打开保存的文件，如下图

TCP/IP数据包结构参见这篇文章：http://blog.csdn.net/prsniper/article/details/6762145，下面的大端模式即高位在低地址(在前面)，举个例子IP为127.0.0.1在x86中是这样存储：0x0100007F，而大端模式是：0x7F000001。

首先，这是IP数据包，第一个字节是4位版本+首部长度，如图前四位是4，后四位是5，则这个包裹是IPv4，头长5*32bit=20Byte。第二个字节是服务类型，其值是0x00，第三第四字节是包裹总长，值为大端模式0x0034=52，可以据此计算包裹为红色部分。第五第六字节为重组标识，值为大端模式0x4986=18822。第七第八字节为3位标识和13位段偏移量，这两个字节(0x4000)的二进制值为01000000，可以算出该数据报不允许分段，段偏移量为0。第9字节为生存时间TTL=0x40=64，第十字节为协议代码，值为0x06=6（TCP）第11，12字节为头部校验和，值为0x6F77。下面为双方IP地址，0xC0A80164是大端模式为192.168.1.100，0xC0A80002一样，为192.168.0.2。也就是从192.168.1.100发向192.168.0.2（我给路由分了几个网段，呵呵）。因为头部长度已经标志为5，即没有选项，那么IP包头部到此结束。

然后，TCP头部部分，前面两个短整型是始末端口，为大端模式0x06F9=1785，请求连接的话，本地端口是随机的；目的端口0x07C3=1987，这个就是服务端的监听端口。下来是数据序号0x73F5BBBE=1945484222，因为是手提，一直不关机，合上待机就拿到办公室，所以已经累计发了很多数据了；确认序号0x00000000，说明两者还没有开始传输数据。然后看偏移，值为80，前四位是8=1000，也就是数据距离包头8*32=32Byte（32正好是这个字节到IP包头的偏移？！），后四位保留为0。下一个字节为0x02=00000010，前两位保留为0，后六位分别对应：UAPRSF，得出SYN=1，这是一个请求或者接受请求报文！窗口字段0x4000=16384，这个不管它。包校验和0x6DF1，紧急指针0x0000，因为URG位已经为0，即使紧急指针不为0也无效。

后面的数据究竟是什么意义，我还不太清楚，不过对TCP三次握手的说明，应该没有影响了。

下面看第二个包包，类似的我就不说了，它是从192.168.0.2发向192.168.1.100的，数据序号0x73F5BBBF，正好是请求包的数据序号+1；确认序号0xD4CF3750；标志0x10=00010000，所以ACK=1，说明确认号有效，这是服务端给请求方发的“同意连接”确认包。

再下面第三个包是绿色部分，一样道理分析之，我这里就不写这么多了。时间有限，偷懒一下。另一方面来说，我认为我表达的不是很通俗。这里有价值之处在于C/C++的源代码，大家对fnAnalyse()函数稍作修改就可以做全自动的协议分析，这才是本文的核心，也是它的价值所在。

可能是使用了代码的原因，不同形式的语言或者说表达方式很难融合到一起，熟悉C/C++的朋友（Java跟C++很像，简直就是C++生的）就好理解多了。

好啦，就这么多吧，下面发下使用编译出来的控制台的方法（可以直接双击运行，或者在VS6 IDE运行），我用的是命令行：

我放在这个目录，呵呵。大家编译时候不要忘记更改IP哦，不然又有人来这里发牢骚说源码不对了……

虎胆游侠

2011-09-15 15:25:00 于深圳

分享到：

《无极限之危情速递》观后感 | 微型计算机(PC)内存杂谈

2011-09-16 15:25
浏览 680
评论(0)
查看更多

发表评论

您还没有登录,请您登录后再发表评论

最近访客更多访客>>

博主相关

文章分类

社区版块

存档分类

最新评论