"Расшифровка" TCP пакета

@maslo2015 · Регистрация: 21.05.2017

Студворк — интернет-сервис помощи студентам

Привет

Столкнулся недавно с проблемой и пол дня уже рою гугл, но ничего дельного так и не нашёл. Перехожу с win pcap на winPCFilter и столкнулся с такой проблемой, что в winPCFilter пакеты предоставляются как есть:

Кликните здесь для просмотра всего текста

C#
1
2
3
4
5
6
7
8
9
10
11
var buffer = new INTERMEDIATE_BUFFER();
var bufferPtr = Marshal.AllocHGlobal(Marshal.SizeOf(buffer));
buffer = (INTERMEDIATE_BUFFER)Marshal.PtrToStructure(bufferPtr, typeof(INTERMEDIATE_BUFFER));
....
// Вывод пакета на консоль
for (int i = 0; i < buffer .m_Length; i++)
{
    if (i % 32 == 0)
    Console.WriteLine();
    Console.Write(buffer .m_IBuffer[i].ToString("X2") + " ");
}

Code
1
2
3
4
5
78 11 DC 57 DE F1 38 B1 DB 7D 2A 51 08 00 45 00 00 7D 19 96 40 00 41 06 C1 85 C0 A8 01 36 6D F8
2E 89 04 3D 5B A5 91 B9 49 55 63 D2 31 10 80 18 00 44 10 95 00 00 01 01 08 0A 2A 0E F1 7A 1D DD
21 AB 49 00 00 00 AB C8 58 C7 48 B8 49 F7 46 FA 00 01 F8 FD 02 FF 00 F8 00 06 FA 00 E8 03 F9 00
6D 61 73 6C 6F 32 30 31 30 00 10 FA 00 F1 29 01 86 A5 D0 B1 CE AB 27 F4 E7 7C 0C 5D 68 3F 08 FB
00 64 33 64 39 2E 64 F9 6C F9 00

И встроенных в библиотеку возможностей анализа пакетов нету, когда на win pcap я спокойно мог получить основную часть пакета (data):

Кликните здесь для просмотра всего текста

C#
1
2
3
4
5
6
7
8
9
var tcpPacket = (TcpPacket)packet.Extract(typeof(TcpPacket));
var data = tcpPacket.PayloadData;
// Вывод data пакета на консоль
for (int i = 0; i < data .Length; i++)
{
    if (i % 32 == 0)
    Console.WriteLine();
    Console.Write(data[i].ToString("X2") + " ");
}

Code
1
2
3
49 00 00 00 AB C8 58 C7 48 B8 49 F7 46 FA 00 01 F8 FD 02 FF 00 F8 00 06 FA 00 E8 03 F9 00
6D 61 73 6C 6F 32 30 31 30 00 10 FA 00 F1 29 01 86 A5 D0 B1 CE AB 27 F4 E7 7C 0C 5D 68 3F 
08 FB 00 64 33 64 39 2E 64 F9 6C F9 00

Хотелось бы уже услышать, что для анализа TCP пакетов уже есть готовое решение и не надо лезть в статьи и книжки и изучать полностью структуру TCP пакетов в байтах, чтобы писать свою систему, которая будет доставать ту самую data

p.s. создавался сетевой экран, который блокировал ip, который отправлял на сервер вредоносные пакеты, но т.к. win pcap не умеет дропать такие пакеты и они всё равно успевали дойти до конечной точки большими пачками, то пришлось от него отказаться.

@maslo2015 · 27.08.2018, 18:25 **[ТС]**

Если что пример разбора пакета в окне wireshark:

@maslo2015 · 29.08.2018, 09:57 **[ТС]**

Видимо на самом деле нету готовых решений или просто тема довольно узкая, что никто не ответил. Проблему решил сам:

C#
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
// Получаем интернет заголовок
var ethernetHeader = (ETHER_HEADER*) ((byte*) packetBufferPtr + 
                                      (Marshal.OffsetOf (typeof(INTERMEDIATE_BUFFER), 
                                          "m_IBuffer")).ToInt32());
 
// Нужены только Internet протоколы
if( ntohs(ethernetHeader->proto) != ETHER_HEADER.ETH_P_IP )
    return;
 
// Получаем интернет заголовок
var ipHeader = (IPHeader*) ((byte*) ethernetHeader + Marshal.SizeOf(typeof(ETHER_HEADER)));
 
// Нужен только протокол TCP
if( ipHeader->P != IPHeader.IPPROTO_TCP )
    return;
 
// Получаем TCP заголовок
var tcpHeader = (TcpHeader*) ((byte*) ipHeader + ((ipHeader->IPLenVer) & 0xF) * 4);
 
byte ihl = (byte) (ipHeader->IPLenVer & 0b00001111); // internet header length (min 5, max 15)
byte thl = (byte) ((tcpHeader->Off >> 4) & 0b00001111); // tcp header length (min 5, max 15)
 
// Общий размер заголовков
// 14 - стандартный размер интернет заголовка (6 байт MAC назначения, 6 байт MAC источника, 2 байта тип)
// * 4 = * 32 / 8 ( / 8 чтобы получить байты)
byte headerLength = (byte) (14 + (ihl * 4) + (thl * 4));
// Размер Data
byte dataLength = (byte) (packetBuffer.m_Length - headerLength);

Инфа по теме:

Кликните здесь для просмотра всего текста

Ethernet - о Ethernet заголовке
IPv4 - о IPv4 заголовке
TCP - о TCP заголовке

Новые блоги и статьи Все статьи Все блоги /
Модель микоризы: классовый агентный подход 3 anaschu 06.01.2026 aa0a7f55b50dd51c5ec569d2d10c54f6/ O1rJuneU_ls https:/ / vkvideo. ru/ video-115721503_456239114	Owen Logic: О недопустимости использования связки «аналоговый ПИД» + RegKZR ФедосеевПавел 06.01.2026 Owen Logic: О недопустимости использования связки «аналоговый ПИД» + RegKZR ВВЕДЕНИЕ Введу сокращения: аналоговый ПИД — ПИД регулятор с управляющим выходом в виде числа в диапазоне от 0% до. . .	Модель микоризы: классовый агентный подход 2 anaschu 06.01.2026 репозиторий https:/ / github. com/ shumilovas/ fungi ветка по-частям. коммит Create переделка под биомассу. txt вход sc, но sm считается внутри мицелия. кстати, обьем тоже должен там считаться. . . .	Расчёт токов в цепи постоянного тока igorrr37 05.01.2026 / * Дана цепь постоянного тока с сопротивлениями и напряжениями. Надо найти токи в ветвях. Программа составляет систему уравнений по 1 и 2 законам Кирхгофа и решает её. Последовательность действий:. . .
Новый CodeBlocs. Версия 25.03 palva 04.01.2026 Оказывается, недавно вышла новая версия CodeBlocks за номером 25. 03. Когда-то давно я возился с только что вышедшей тогда версией 20. 03. С тех пор я давно снёс всё с компьютера и забыл. Теперь. . .	Модель микоризы: классовый агентный подход anaschu 02.01.2026 Раньше это было два гриба и бактерия. Теперь три гриба, растение. И на уровне агентов добавится между грибами или бактериями взаимодействий. До того я пробовал подход через многомерные массивы,. . .	Советы по крайней бережливости. Внимание, это ОЧЕНЬ длинный пост. Programma_Boinc 28.12.2025 Советы по крайней бережливости. Внимание, это ОЧЕНЬ длинный пост. Налог на собак: https:/ / ********/ gallery/ V06K53e Финансовый отчет в Excel: https:/ / ********/ gallery/ bKBkQFf Пост отсюда. . .	Кто-нибудь знает, где можно бесплатно получить настольный компьютер или ноутбук? США. Programma_Boinc 26.12.2025 Нашел на реддите интересную статью под названием Anyone know where to get a free Desktop or Laptop? Ниже её машинный перевод. После долгих разбирательств я наконец-то вернула себе. . .

@maslo2015 0 / 0 / 0 Регистрация: 21.05.2017 Сообщений: 14
	27.08.2018, 18:25 [ТС]
	Если что пример разбора пакета в окне wireshark: Миниатюры 0