Принять IP пакет

@Leardjiny · Регистрация: 22.09.2013

Студворк — интернет-сервис помощи студентам

Добрый день.

Хочу сделать аналог сниффера (типа wireshark) и принимать полный IP пакет, а не только данные.

Подскажите, пожалуйста, можно ли это сделать на уровне сокетов?
Либо какими-то стандартными способами, без установки дополнительных библиотек.

В интернете нашел примеры с библиотекой pcap.h, но как я понял это не стандартная, и чтобы с ней работать - нужно ее отдельно скачать и поставить.

@Undisputed · 21.08.2017, 12:23

Leardjiny,
На уровне сокетов думаю можно, посмотрите в сторону SOCK_RAW,
https://habrahabr.ru/post/164901/

@Leardjiny · 21.08.2017, 12:57 **[ТС]**

Undisputed, Спасибо. Вроде похоже как раз на то, что нужно - попробую сделать.

Я правильно понимаю, что если я таким образом перехвачу данные, а потом запишу их в файл, то потом смогу их проиграть к примеру в wireshark, и получу то же самое, что если бы записывал им?

И второй вопрос, можно потом как-то сделать, чтобы данные можно было с другого сокета обычным способом уже перехватить? Или таким образом уже не выйдет? (Задачи сделать таким образом нет, поэтому способ в любом случае подойдет, но просто чтобы на будущее знать)

@Undisputed · 21.08.2017, 13:27

Leardjiny,
Whireshark-ом не пользовался, но если там есть возможность импортирования данных и вы будете соблюдать подходящий для этой операции формат, то полагаю проблем быть не должно...

Не встречал программ с двойной прослушкой в пределах одного процесса. Это может как работать, так и не работать по самым разным причинам, поэтому затрудняюсь что либо ответить по этому поводу...

@Leardjiny · 21.08.2017, 13:31 **[ТС]**

Undisputed, Хорошо, значит на эту тему надо почитать.

А фильтры, по портам или IP там настроить я так понимаю не выйдет в таком формате?
Придется уже после ловли пакета лезть в заголовок и смотреть данные источника?

@GbaLog- · 21.08.2017, 13:53

http://www.binarytides.com/pac... e-c-linux/
http://www.binarytides.com/pac... g-winsock/

Сообщение от Leardjiny

Я правильно понимаю, что если я таким образом перехвачу данные, а потом запишу их в файл, то потом смогу их проиграть к примеру в wireshark, и получу то же самое, что если бы записывал им?

только если в правильном формате запишите.
https://wiki.wireshark.org/Dev... FileFormat

@Leardjiny · 21.08.2017, 13:56 **[ТС]**

GbaLog-, Спасибо. Для UDP я так понимаю надо IPPROTO_UDP поставить и все?
Либо IPPROTO_IP как в первом варианте?

@Undisputed · 21.08.2017, 14:01

Leardjiny,
Я думаю порты и айпи надо фильтровать после принятия пакета, других способов не знаю...

@Leardjiny · 21.08.2017, 14:05 **[ТС]**

Undisputed, Я тоже так думаю, на уровне сокетов не могу настроек найти. А libpcap не хочу ставить

@GbaLog- · 21.08.2017, 14:09

Сообщение от Leardjiny

Для UDP я так понимаю надо IPPROTO_UDP поставить и все?
Либо IPPROTO_IP как в первом варианте?

да.

Сообщение от Leardjiny

на уровне сокетов не могу настроек найти.

как вы себе это представляете?

@Leardjiny · 21.08.2017, 14:13 **[ТС]**

GbaLog-, ну для pcap есть функции фильтрации.

Либо как для обычных данных указать порт, затем bind сделать или что-то подобное.

Но это не вариант - т.к. даже если можно, то привяжет к одному порту, а не к нескольким.

@GbaLog- · 21.08.2017, 15:42

Сообщение от Leardjiny

ну для pcap есть функции фильтрации.

libpcap сама реализует их, их нет из коробки.

@Leardjiny · 21.08.2017, 15:47 **[ТС]**

GbaLog-, понятно. Тогда сделаю фильтрацию вручную, если понадобится. Для начала так попробую сделать

@Leardjiny · 29.08.2017, 12:16 **[ТС]**

GbaLog-, Сделал таким образом:
Поставил IPPROTO_UDP (пробовал IPPROTO_RAW, но при чтении выдавало ошибку).

Открытие порта:

C++
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
OpenPort()
{
    ClosePort();
    m_sock = -1;
    m_connection_state = false;
 
    double current_time = GetTickCount();
    if ( (current_time - m_last_connect_try) < m_read_timeout )
    {
        usleep(10000);  //мкс
        return false;
    }
 
 
 
    if ((m_sock = socket(AF_INET, SOCK_RAW , IPPROTO_UDP)) < 0) {
        return false;
    }
 
    timeval timeout = {0, 0};
    timeout.tv_usec = 0;
    timeout.tv_sec = (int)((double)m_read_timeout/1000);
 
    if (setsockopt(m_sock, SOL_SOCKET, SO_RCVTIMEO, (char*)&timeout, sizeof(timeout)) < 0);{
 
    }
 
    int buffsize = MAX_UDP_BUFFER;
    if ( setsockopt(m_sock, SOL_SOCKET, SO_RCVBUF, reinterpret_cast<const char*>(&buffsize), sizeof(buffsize)) < 0 )
    {
    }  
 
    m_connection_state = true;
    return true;
}

Чтение кадра:

C++
1
2
3
4
5
6
7
8
9
10
struct sockaddr_in echoclient;
    char buffer[MAX_UDP_BUFFER];
    unsigned int echolen, clientlen;
    clientlen = sizeof(echoclient);
    int nNumberOfBytesReaded = -1;
    if (m_connection_state == true )
    {
        nNumberOfBytesReaded = recvfrom(m_sock, buffer, MAX_UDP_BUFFER, 0,
                                (struct sockaddr *) &echoclient, &clientlen);
    }

Все читает, но записав в файл - вижу некоторые проблемы.
Wireshark отказывается читать. Когда сравниваю то, что видно в wireshark и в моем файле, то вижу что не хватает 14 байт, которые выглядят так: "ff ff ff ff ff ff 0a 0b 0c 0d 0e 0f 08 00"

Подскажите, что я делаю не так? И как их правильно считывать?

@GbaLog- · 29.08.2017, 13:51

Сообщение от Leardjiny

то вижу что не хватает 14 байт

глобальный заголовок в файл пишете?

Сообщение от Leardjiny

(m_sock = socket(AF_INET, SOCK_RAW , IPPROTO_UDP))

может всё-таки (m_sock = socket(AF_INET, SOCK_RAW, IPPROTO_IP))?

@Leardjiny · 29.08.2017, 15:22 **[ТС]**

GbaLog-, я все что возвращает recvfrom - пишу в файл. Ничего с этим не делая и не добавляя.

По поводу IPPROTO_IP - я пробовал делать так. В контексте той же функции , что выше привел. Менял только эту строку.
В этом случае у меня почему-то не открывался порт (либо создание совета, либо установка опций не проходят)

Добавлено через 1 час 0 минут
GbaLog-,

Сообщение от GbaLog-

может всё-таки (m_sock = socket(AF_INET, SOCK_RAW, IPPROTO_IP))?

Попробовал сделать так:
(m_sock = socket(AF_INET, SOCK_RAW , IPPROTO_IP))
не хочет создавать сокет

и так:
(m_sock = socket(AF_INET, SOCK_RAW , IPPROTO_RAW))
сокет открывает, но не работает recvfrom

@GbaLog- · 29.08.2017, 16:17

Сообщение от Leardjiny

я все что возвращает recvfrom - пишу в файл. Ничего с этим не делая и не добавляя.

в .pcap-файле должен быть заголовок.
чтобы Wireshark понял, что это pcap-файл, а не текстовый.
я вам ссылку скидывал, вы читали?
https://wiki.wireshark.org/Dev... bal_Header

Сообщение от Leardjiny

Ничего с этим не делая и не добавляя.

так нельзя, к каждому пакету должен писаться хедер в таком формате:
https://wiki.wireshark.org/Dev... .29_Header

Сообщение от Leardjiny

не хочет создавать сокет

errno(Linux)/WSAGetLastError(Windows) что говорят?

@Leardjiny · 29.08.2017, 16:37 **[ТС]**

GbaLog-, а, я понял о чем Вы. Да, заголовок pcap файла я добавлю, он же не из сети берется вроде.
У меня само содержимое неполное.

Я наткнулся в интернете, что IPPROTO_RAW используется только для отправки, потому recvfrom не работает. Возможно конечно это не так.
Источник вот: https://www.experts-exchange.c... ckets.html

Там же наткнулся, на следующую инициализацию сокета:

C++
1
m_sock = socket(PF_PACKET, SOCK_RAW, htons(ETH_P_ALL))

Это для приема всего что идет. Я у себя сделал так:

C++
1
m_sock = socket(PF_PACKET, SOCK_RAW, htons(ETH_P_IP))

Вроде бы сейчас содержимое совпадает с тем что я вижу в Wireshark.

Теперь осталось разобраться с форматом pcap заголовков и добавить их перед данными.

Новые блоги и статьи Все статьи Все блоги /
SDL3 для Web (WebAssembly): Реализация движения на Box2D v3 - трение и коллизии с повёрнутыми стенами 8Observer8 20.02.2026 Содержание блога Box2D позволяет легко создать главного героя, который не проходит сквозь стены и перемещается с заданным трением о препятствия, которые можно располагать под углом, как верхнее. . .	Конвертировать закладки radiotray-ng в m3u-плейлист damix 19.02.2026 Это можно сделать скриптом для PowerShell. Использование . \СonvertRadiotrayToM3U. ps1 <path_to_bookmarks. json> Рядом с файлом bookmarks. json появится файл bookmarks. m3u с результатом. # Check if. . .	Семь CDC на одном интерфейсе: 5 U[S]ARTов, 1 CAN и 1 SSI Eddy_Em 18.02.2026 Постепенно допиливаю свою "многоинтерфейсную плату". Выглядит вот так: https:/ / www. cyberforum. ru/ blog_attachment. php?attachmentid=11617&stc=1&d=1771445347 Основана на STM32F303RBT6. На борту пять. . .	Камера Toupcam IUA500KMA Eddy_Em 12.02.2026 Т. к. у всяких "хикроботов" слишком уж мелкий пиксель, для подсмотра в ESPriF они вообще плохо годятся: уже 14 величину можно рассмотреть еле-еле лишь на экспозициях под 3 секунды (а то и больше),. . .
И ясному Солнцу zbw 12.02.2026 И ясному Солнцу, и светлой Луне. В мире покоя нет и люди не могут жить в тишине. А жить им немного лет.	«Знание-Сила» zbw 12.02.2026 «Знание-Сила» «Время-Деньги» «Деньги -Пуля»	SDL3 для Web (WebAssembly): Подключение Box2D v3, физика и отрисовка коллайдеров 8Observer8 12.02.2026 Содержание блога Box2D - это библиотека для 2D физики для анимаций и игр. С её помощью можно определять были ли коллизии между конкретными объектами и вызывать обработчики событий столкновения. . . .	SDL3 для Web (WebAssembly): Загрузка PNG с прозрачным фоном с помощью SDL_LoadPNG (без SDL3_image) 8Observer8 11.02.2026 Содержание блога Библиотека SDL3 содержит встроенные инструменты для базовой работы с изображениями - без использования библиотеки SDL3_image. Пошагово создадим проект для загрузки изображения. . .

@Leardjiny 2 / 2 / 0 Регистрация: 22.09.2013 Сообщений: 219

	Принять IP пакет 21.08.2017, 11:58. Показов 3434. Ответов 17 Метки нет (Все метки) Добрый день. Хочу сделать аналог сниффера (типа wireshark) и принимать полный IP пакет, а не только данные. Подскажите, пожалуйста, можно ли это сделать на уровне сокетов? Либо какими-то стандартными способами, без установки дополнительных библиотек. В интернете нашел примеры с библиотекой pcap.h, но как я понял это не стандартная, и чтобы с ней работать - нужно ее отдельно скачать и поставить. 0

@Undisputed 901 / 478 / 93 Регистрация: 10.06.2014 Сообщений: 2,700
	21.08.2017, 12:23
	Leardjiny, На уровне сокетов думаю можно, посмотрите в сторону SOCK_RAW, https://habrahabr.ru/post/164901/ 0

@Leardjiny 2 / 2 / 0 Регистрация: 22.09.2013 Сообщений: 219
	21.08.2017, 12:57 [ТС]
	Undisputed, Спасибо. Вроде похоже как раз на то, что нужно - попробую сделать. Я правильно понимаю, что если я таким образом перехвачу данные, а потом запишу их в файл, то потом смогу их проиграть к примеру в wireshark, и получу то же самое, что если бы записывал им? И второй вопрос, можно потом как-то сделать, чтобы данные можно было с другого сокета обычным способом уже перехватить? Или таким образом уже не выйдет? (Задачи сделать таким образом нет, поэтому способ в любом случае подойдет, но просто чтобы на будущее знать) 0

@Undisputed 901 / 478 / 93 Регистрация: 10.06.2014 Сообщений: 2,700
	21.08.2017, 13:27
	Leardjiny, Whireshark-ом не пользовался, но если там есть возможность импортирования данных и вы будете соблюдать подходящий для этой операции формат, то полагаю проблем быть не должно... Не встречал программ с двойной прослушкой в пределах одного процесса. Это может как работать, так и не работать по самым разным причинам, поэтому затрудняюсь что либо ответить по этому поводу... 0

@Leardjiny 2 / 2 / 0 Регистрация: 22.09.2013 Сообщений: 219
	21.08.2017, 13:31 [ТС]
	Undisputed, Хорошо, значит на эту тему надо почитать. А фильтры, по портам или IP там настроить я так понимаю не выйдет в таком формате? Придется уже после ловли пакета лезть в заголовок и смотреть данные источника? 0

@Leardjiny 2 / 2 / 0 Регистрация: 22.09.2013 Сообщений: 219
	21.08.2017, 13:56 [ТС]
	GbaLog-, Спасибо. Для UDP я так понимаю надо IPPROTO_UDP поставить и все? Либо IPPROTO_IP как в первом варианте? 0

@Undisputed 901 / 478 / 93 Регистрация: 10.06.2014 Сообщений: 2,700
	21.08.2017, 14:01
	Leardjiny, Я думаю порты и айпи надо фильтровать после принятия пакета, других способов не знаю... 0

@Leardjiny 2 / 2 / 0 Регистрация: 22.09.2013 Сообщений: 219
	21.08.2017, 14:05 [ТС]
	Undisputed, Я тоже так думаю, на уровне сокетов не могу настроек найти. А libpcap не хочу ставить 0

@Leardjiny 2 / 2 / 0 Регистрация: 22.09.2013 Сообщений: 219
	21.08.2017, 14:13 [ТС]
	GbaLog-, ну для pcap есть функции фильтрации. Либо как для обычных данных указать порт, затем bind сделать или что-то подобное. Но это не вариант - т.к. даже если можно, то привяжет к одному порту, а не к нескольким. 0

@Leardjiny 2 / 2 / 0 Регистрация: 22.09.2013 Сообщений: 219
	21.08.2017, 15:47 [ТС]
	GbaLog-, понятно. Тогда сделаю фильтрацию вручную, если понадобится. Для начала так попробую сделать 0