某學(xué)生粉絲發(fā)來問題：

這個題目一看就知道這位同學(xué)是網(wǎng)絡(luò)安全相關(guān)專業(yè)。

很多粉絲以為彭老師知識搞驅(qū)動的，

但是其實(shí)作為一個擁有多篇網(wǎng)絡(luò)協(xié)議專利的老鳥，

網(wǎng)絡(luò)知識還是比較擅長的！

應(yīng)用層套接字、組網(wǎng)、網(wǎng)卡驅(qū)動都有所涉獵，

目前還缺Linux內(nèi)核協(xié)議棧這塊沒深入研究，后期會補(bǔ)上。

一、題目總結(jié)

題目要求是掃描所有TCP半連接的端口，需要實(shí)現(xiàn)的功能如下：

1. 攻擊方啟動任務(wù)1，循環(huán)向指定 服務(wù)器端+端口 發(fā)送SYN數(shù)據(jù)包，（端口從0開始遞增）
2. 如果該服務(wù)器上有服務(wù)打開了這個端口，就會回復(fù)SYN+ACK，此時服務(wù)端進(jìn)入SYN_RCVD狀態(tài)，
3. 攻擊方啟動任務(wù)2，掃描收到的所有SYN+ACK數(shù)據(jù)包，如果客戶端收到SYN+ACK，那么說明服務(wù)器改端口打開，任務(wù)2就可以將所有打開的端口信息打印出來

• 任務(wù)1使用socket API
• 任務(wù)2使用pcap庫

二、TCP基礎(chǔ)知識點(diǎn)

解決這個問題必須掌握以下幾個知識點(diǎn)：

1. 什么是TCP
2. TCP3次握手
3. 什么是半連接
4. TCP、IP協(xié)議頭
5. 如何使用Libpcap庫
6. 線程、進(jìn)程

整體來說對網(wǎng)絡(luò)知識的基本功要求還是很高的。關(guān)于TCP/IP協(xié)議棧這些基礎(chǔ)知識點(diǎn)的本文就不列舉了。

下面主要強(qiáng)化下這個題目涉及的TCP的知識點(diǎn)。

1.TCP

首先就是我們必須了解TCP協(xié)議頭：

• 序列號：在建立連接時由計(jì)算機(jī)生成的隨機(jī)數(shù)作為其初始值，通過 SYN 包傳給接收端主機(jī)，每發(fā)送一次數(shù)據(jù)，就「累加」一次該「數(shù)據(jù)字節(jié)數(shù)」的大小。用來解決網(wǎng)絡(luò)包亂序問題
• 確認(rèn)應(yīng)答號：指下一次「期望」收到的數(shù)據(jù)的序列號，發(fā)送端收到這個確認(rèn)應(yīng)答以后可以認(rèn)為在這個序號以前的數(shù)據(jù)都已經(jīng)被正常接收。用來解決不丟包的問題
• 控制位：ACK：該位為 1 時，「確認(rèn)應(yīng)答」的字段變?yōu)橛行?，TCP 規(guī)定除了最初建立連接時的 SYN 包之外該位必須設(shè)置為 1 RST：該位為 1 時，表示 TCP 連接中出現(xiàn)異常必須強(qiáng)制斷開連接 SYN：該位為 1 時，表示希望建立連接，并在其「序列號」的字段進(jìn)行序列號初始值的設(shè)定 FIN：該位為 1 時，表示今后不會再有數(shù)據(jù)發(fā)送，希望斷開連接。當(dāng)通信結(jié)束希望斷開連接時，通信雙方的主機(jī)之間就可以相互交換 FIN 位置為 1 的 TCP 段

與本題目相關(guān)的是最主要字段是控制位，控制位的操作最主要體現(xiàn)在3次握手和4次握手。

2. tcp三次握手

開始客戶端和服務(wù)器都處于CLOSED狀態(tài)，然后服務(wù)端開始監(jiān)聽某個端口，進(jìn)入LISTEN狀態(tài)：

• 第一次握手(SYN=1, seq=x)，發(fā)送完畢后，客戶端進(jìn)入 SYN_SENT 狀態(tài)
• 第二次握手(SYN=1, ACK=1, seq=y, ACKnum=x+1)， 發(fā)送完畢后，服務(wù)器端進(jìn)入 SYN_RCVD 狀態(tài)
• 第三次握手(ACK=1，ACKnum=y+1)，發(fā)送完畢后，客戶端進(jìn)入 ESTABLISHED 狀態(tài)，當(dāng)服務(wù)器端接收到這個包時,也進(jìn)入 ESTABLISHED 狀態(tài)，TCP 握手，即可以開始數(shù)據(jù)傳輸

3. tcp四次揮手

四次揮手過程：

• 客戶端打算關(guān)閉連接，此時會發(fā)送一個 TCP 首部 FIN 標(biāo)志位被置為 1 的報文，也即 FIN 報文，之后客戶端進(jìn)入 FIN_WAIT_1 狀態(tài)
• 服務(wù)端收到該報文后，就向客戶端發(fā)送 ACK 應(yīng)答報文，接著服務(wù)端進(jìn)入 CLOSED_WAIT 狀態(tài)
• 客戶端收到服務(wù)端的 ACK 應(yīng)答報文后，之后進(jìn)入 FIN_WAIT_2 狀態(tài)
• 等待服務(wù)端處理完數(shù)據(jù)后，也向客戶端發(fā)送 FIN 報文，之后服務(wù)端進(jìn)入 LAST_ACK 狀態(tài)
• 客戶端收到服務(wù)端的 FIN 報文后，回一個 ACK 應(yīng)答報文，之后進(jìn)入 TIME_WAIT 狀態(tài)
• 服務(wù)器收到了 ACK 應(yīng)答報文后，就進(jìn)入了 CLOSE 狀態(tài)，至此服務(wù)端已經(jīng)完成連接的關(guān)閉
• 客戶端在經(jīng)過 2MSL 一段時間后，自動進(jìn)入 CLOSE 狀態(tài)，至此客戶端也完成連接的關(guān)閉

4.TCP狀態(tài)

TCP協(xié)議狀態(tài)遷移圖如下：

• CLOSED：表示初始狀態(tài)
• LISTEN：表示服務(wù)器端的某個SOCKET處于監(jiān)聽狀態(tài)，可以接受連接了
• SYN_RCVD：表示接收到了SYN報文
• SYN_SENT：表示客戶端已發(fā)送SYN報文
• ESTABLISHED：表示連接已經(jīng)建立了
• TIME_WAIT：表示收到了對方的FIN報文，并發(fā)送出了ACK報文，就等2MSL后即可回到CLOSED可用狀態(tài)了
• CLOSING：表示你發(fā)送FIN報文后，并沒有收到對方的ACK報文，反而卻也收到了對方的FIN報文。如果雙方幾乎在同時* close一個SOCKET的話，那么就出現(xiàn)了雙方同時發(fā)送FIN報 文的情況，也即會出現(xiàn)CLOSING狀態(tài)，表示雙方都正在關(guān)閉SOCKET連接
• CLOSE_WAIT：表示在等待關(guān)閉

5. 半連接/全連接

TCP半連接及全連接狀態(tài)，在服務(wù)器的性能分析中，起著重要的作用，它通常是反應(yīng)服務(wù)端的處理能力

1）半連接隊(duì)列(syn queue)

客戶端發(fā)送SYN包，服務(wù)端收到后回復(fù)SYN+ACK后，服務(wù)端進(jìn)入SYN_RCVD狀態(tài)，這個時候的socket會放到半連接隊(duì)列。

2）全連接隊(duì)列(accept queue)

當(dāng)服務(wù)端收到客戶端的ACK后，socket會從半連接隊(duì)列移出到全連接隊(duì)列。當(dāng)調(diào)用accpet函數(shù)的時候，會從全連接隊(duì)列的頭部返回可用socket給用戶進(jìn)程。

全連接隊(duì)列中存放的是已完成TCP三次握手的過程，等待被處理的連接，在客戶端及服務(wù)端的狀態(tài)均為 ESTABLISHED

三、 抓包舉例

要想學(xué)好網(wǎng)絡(luò)，抓包工具是必須掌握的。

下圖是一口君通過抓包工具抓取的一個完整的 tcp 3次握手 + HTTP GET請求 + 4次握手 的完整通信數(shù)據(jù)包。

https://www.bilibili.com/video/BV1xr4y1T7cT/?vd_source=07570058a62e0e8a6cf489efac35cfec

四、 socket

關(guān)于socket API內(nèi)容，大家可以的參考下面這篇文章《??socket到底是什么？??》

五、libpcap

libpcap是一個網(wǎng)絡(luò)數(shù)據(jù)包捕獲函數(shù)庫，功能非常強(qiáng)大，Linux下著名的tcpdump就是以它為基礎(chǔ)的。

libpcap主要由兩部分組成：網(wǎng)絡(luò)分接頭（network tap）和數(shù)據(jù)過濾器（packet filter）。

網(wǎng)絡(luò)分接頭從網(wǎng)絡(luò)設(shè)備驅(qū)動程序中收集數(shù)據(jù)進(jìn)行拷貝，過濾器決定是否接收該數(shù)據(jù)包。

libpcap利用BSD packet filter（BPF）算法對網(wǎng)卡接收到的鏈路層數(shù)據(jù)包進(jìn)行過濾。

libpcap的包捕獲機(jī)制就是在數(shù)據(jù)鏈路層加一個旁路處理。當(dāng)一個數(shù)據(jù)包到達(dá)網(wǎng)絡(luò)接口時，libpcap首先利用已經(jīng)創(chuàng)建的套接字從鏈路層驅(qū)動程序中獲得該數(shù)據(jù)包的拷貝，再通過Tap函數(shù)將數(shù)據(jù)包發(fā)給BPF過濾器。

BPF過濾器根據(jù)用戶已經(jīng)定義好的過濾規(guī)則對數(shù)據(jù)包進(jìn)行逐一匹配，匹配成功則放入內(nèi)核緩沖區(qū)，并傳遞給用戶緩沖區(qū)，匹配失敗則直接丟棄。

如果沒有設(shè)置過濾規(guī)則，所有數(shù)據(jù)包都將放入內(nèi)核緩沖區(qū)，并傳遞給用戶層緩沖區(qū)。

1. libpcap安裝

1. 在線安裝

sudo apt-get  install  libpcap-dev

這種適合有網(wǎng)絡(luò)的朋友

如何無法安裝嘗試更新下源：

sudo apt-get update

2. 離線編譯安裝

http://www.tcpdump.org/#latest-release

然后解壓
tar zxvf libpcap-1.10.3.tar.gz  
cd libpcap-1.10.3
./configure
sudo make
sudo make install

2. Libpcap的抓包流程：

1. 查找網(wǎng)絡(luò)設(shè)備：目的是發(fā)現(xiàn)可用的網(wǎng)卡，實(shí)現(xiàn)的函數(shù)為pcap_lookupdev()，如果當(dāng)前有多個網(wǎng)卡，函數(shù)就會返回一個網(wǎng)絡(luò)設(shè)備名的指針列表。
2. 打開網(wǎng)絡(luò)設(shè)備：利用上一步中的返回值，可以決定使用哪個網(wǎng)卡，通過函數(shù)pcap_open_live()打開網(wǎng)卡，返回用于捕捉網(wǎng)絡(luò)數(shù)據(jù)包的秒數(shù)字。
3. 獲得網(wǎng)絡(luò)參數(shù)：這里是利用函數(shù)pcap_lookupnet()，可以獲得指定網(wǎng)絡(luò)設(shè)備的IP地址和子網(wǎng)掩碼。
4. 編譯過濾策略：Lipcap的主要功能就是提供數(shù)據(jù)包的過濾，函數(shù)pcap_compile()來實(shí)現(xiàn)。
5. 設(shè)置過濾器：在上一步的基礎(chǔ)上利用pcap_setfilter()函數(shù)來設(shè)置。
6. 利用回調(diào)函數(shù)，捕獲數(shù)據(jù)包：函數(shù)pcap_loop()和pcap_dispatch()來抓去數(shù)據(jù)包，也可以利用函數(shù)pcap_next()和pcap_next_ex()來完成同樣的工作。
7. 關(guān)閉網(wǎng)絡(luò)設(shè)備：pcap_close()函數(shù)關(guān)系設(shè)備，釋放資源。

3. 數(shù)據(jù)結(jié)構(gòu)說明:

struct pcap_pkthdr {
    struct timeval ts;  /* time stamp */
    bpf_u_int32 caplen; /* 抓到的數(shù)據(jù)包實(shí)際長度 */
    bpf_u_int32 len;    /*數(shù)據(jù)包的長度 */
};

4. libcap庫函數(shù)

關(guān)于libcap的詳細(xì)講解，后續(xù)會出文章，

本文只講幾個重要的函數(shù)。

• 打開網(wǎng)絡(luò)接口

//這個函數(shù)會返回指定接口的pcap_t類型指針，后面的所有操作都要使用這個指針。
pcap_t * pcap_open_live(const char * device, int snaplen, int promisc, int to_ms, char * errbuf)
device:網(wǎng)絡(luò)接口字符串，可以直接使用硬編碼,比如eth0。
snaplen：對于每個數(shù)據(jù)包，從開頭要抓多少個字節(jié)，我們可以設(shè)置這個值來只抓每個數(shù)據(jù)包的頭部，而不關(guān)心具體的內(nèi)容。典型的以太網(wǎng)幀長度是1518字節(jié)，但其他的某些協(xié)議的數(shù)據(jù)包會更長一點(diǎn)，但任何一個協(xié)議的一個數(shù)據(jù)包長度都必然小于65535個字節(jié)。
promisc：指定是否打開混雜模式(Promiscuous Mode)，0表示非混雜模式，任何其他值表示混合模式。如果要打開混雜模式，那么網(wǎng)卡必須也要打開混雜模式，可以使用如下的命令打開eth0混雜模式：ifconfig eth0 
to_ms：抓包時長單位為毫秒，0標(biāo)示一直等待。
errbuf: 輸出參數(shù)，打開網(wǎng)絡(luò)接口失敗原因。

• 打開離線的pcap文件

pcap_t * pcap_open_offline (const char *fname, char *errbuf)
fname ：文件名稱。
errbuf ：打開失敗的錯誤信息。

• 抓包函數(shù)

int pcap_loop(pcap_t * p, int cnt, pcap_handler callback, u_char * user)
p: 打開的pcap_t類型指針。
cnt：一共抓多少個包，如果為負(fù)數(shù)就一直循環(huán)。
callback：回調(diào)函數(shù)指針
user：傳遞給回調(diào)函數(shù)的參數(shù)。

void callback(u_char * userarg, const struct pcap_pkthdr * pkthdr, const u_char * packet)
userarg：是pcap_loop的最后一個參數(shù)，當(dāng)收到足夠數(shù)量的包后pcap_loop會調(diào)用callback回調(diào)函數(shù)，同時將pcap_loop()的user參數(shù)傳遞給它
pkthdr： 抓到的報文頭信息。
packet：收到的包的數(shù)據(jù)。

• 過濾函數(shù)編譯

int pcap_compile(pcap_t * p, struct bpf_program * fp, char * str, int optimize, bpf_u_int32 netmask)
//fp：這是一個傳出參數(shù)，存放編譯后的bpf
//str：過濾表達(dá)式
//optimize：是否需要優(yōu)化過濾表達(dá)式
//metmask：簡單設(shè)置為0即可

• 設(shè)置過濾函數(shù)

int pcap_setfilter(pcap_t * p,  struct bpf_program * fp)
//參數(shù)fp就是pcap_compile()的第二個參數(shù)，存放編譯后的bpf

• 釋放網(wǎng)絡(luò)接口

void pcap_close(pcap_t * p)
//該函數(shù)用于關(guān)閉pcap_open_live()獲取的pcap_t的網(wǎng)絡(luò)接口對象并釋放相關(guān)資源。

• 打開網(wǎng)絡(luò)包保存文件

pcap_dumper_t * pcap_dump_open (pcap_t *p, const char *fname)
 //p:是我們已經(jīng)打開的網(wǎng)絡(luò)設(shè)備，從這個設(shè)備接收數(shù)據(jù)包。
  // fname:是我們要寫入的文件名，隨便起。
  //return: 如果出錯，會返回NULL?？梢越璐藱z查這個文件有沒有打開。

• 將網(wǎng)絡(luò)包寫入文件

void pcap_dump (u_char *user, const struct pcap_pkthdr *h, const u_char *sp)
user:就是文件描述符dumpfp，只不過要做一下類型轉(zhuǎn)換。
由于這個函數(shù)一般在pcap_loop()的函數(shù)指針?biāo)赶虻膒acket_handler中使用，所以packet_handler中的user就是這里的user。
 h:就是pkt_header

• 網(wǎng)絡(luò)包文件關(guān)閉

pcap_dump_close(pcap_dumper_t * t);

5. libcap過濾規(guī)則

一些過濾表達(dá)式的例子如下：

• 只接收源ip地址是192.168.1.177的數(shù)據(jù)包

src host 192.168.1.177

• 只接收tcp/udp的目的端口是80的數(shù)據(jù)包

dst port 80

• 只接收不使用tcp協(xié)議的數(shù)據(jù)包

not tcp

• 只接收SYN標(biāo)志位置位且目標(biāo)端口是22或23的數(shù)據(jù)包（tcp首部開始的第13個字節(jié)）

tcp[13] == 0x02 and (dst port 22 or dst port 23)

• 只接收icmp的ping請求和ping響應(yīng)的數(shù)據(jù)包

icmp[icmptype] == icmp-echoreply or icmp[icmptype] == icmp-echo

• 只接收以太網(wǎng)mac地址是00:e0:09:c1:0e:82的數(shù)據(jù)包

ether dst 00:e0:09:c1:0e:82

只接收ip的ttl=5的數(shù)據(jù)包（ip首部開始的第8個字節(jié)）

ip[8] == 5

本例只抓取ip地址為本地IP的數(shù)據(jù)包，然后程序再對數(shù)據(jù)包協(xié)議頭進(jìn)行解析：

host 192.168.0.113

六、設(shè)計(jì)方案

實(shí)現(xiàn)原理：

atach、cap進(jìn)程運(yùn)行在ubuntu中，要攻擊的目的終端可以使網(wǎng)絡(luò)中任意設(shè)備，只需要能ping通即可。本例在windows上測試，采用橋接模式將ubuntu的網(wǎng)口和windows的網(wǎng)口橋接起來。

atach進(jìn)程主要功能：

• 創(chuàng)建tcp套接字
• 設(shè)置需要攻擊的終端的ip+port，然后執(zhí)行connect函數(shù)
• connect成功，說明對方該端口可以使用
• 修改port值，重復(fù)前面3個步驟

cap進(jìn)程主要功能：

• 通過eth0，抓取指定規(guī)則:host 192.168.0.116數(shù)據(jù)包
• 解析出以太頭、tcp頭，ip頭、tcp頭，判斷tcp頭中sync+ack位為1的所有數(shù)據(jù)包
• 打印出步驟2過濾出來的數(shù)據(jù)包

代碼流程：

七、測試

1. 環(huán)境：

windows ip：192.168.0.116
ubuntu ip：192.168.0.113

2. 文件：

peng@ubuntu:~/work/test/pcap$ ls
atach  header.c        libpcap-1.10.3.tar.gz  cap.c
cap    libpcap-1.10.3  atach.c             protocol.h

其中atach是上攻擊方，用于向指定ip發(fā)送sync包 cap 用于檢測所有網(wǎng)卡收到的sync+ack數(shù)據(jù)包 程序運(yùn)行在ubuntu中。

3. 啟動網(wǎng)絡(luò)調(diào)試助手

在windows上啟動網(wǎng)絡(luò)調(diào)試助手，

建立幾個Tcp Server，端口號分別為55、56、57

在這里插入圖片描述

4. 啟動程序

1）首先啟動cap

peng@ubuntu:~/work/test/pcap$ sudo ./cap 192.168.0.116
found device: eth0
netaddr:0000a8c0
try to open device eth0
filter:host 192.168.0.116

2）啟動攻擊程序atach

需要新開啟一個終端。

peng@ubuntu:~/work/test/pcap$ ./atach 192.168.0.116

5. 運(yùn)行截圖如下：

右邊log可見，列舉出了所有可以訪問的端口，包括55、56、57。

注意：那個單詞atach故意少了一個t，否則編譯不過去：

大家可以試試你們的編譯器，刑不刑！

八、代碼

代碼已經(jīng)同步到gitee，地址如下：

https://gitee.com/yikoulinux/pcap.git