网络程序设计-09-原始套接字-网络嗅探器v1.0.0.pptVIP

* Background provided by m62 Visualcommunications, visit for more information * 《信息安全管理》徐国爱—北邮出版 * 《信息安全管理》徐国爱—北邮出版 * 《信息安全管理》徐国爱—北邮出版 * 《信息安全管理》徐国爱—北邮出版 * 《信息安全管理》徐国爱—北邮出版 * 《信息安全管理》徐国爱—北邮出版 * 《信息安全管理》徐国爱—北邮出版 * Background provided by m62 Visualcommunications, visit for more information 原始套接字 ——网络嗅探器 《网络程序设计》 * 原始套接字-引入 前续课程中我们了解到，使用Socket可以方便的进行网络通信，通信内容由Socket封装为TCP/UDP数据报在网络上传输，开发者不用关心TCP/UDP数据报文是如何封装的。 但是，有时我们需要对底层网络协议进行处理，如发送自定义的IP包、接收/解析网络上的数据包等。 这时就需要使用原始套接字技术。 * 原始套接字 原始套接字概述 协议数据头部格式定义 网络嗅探器开发实例 小结 动手实践 * 原始套接字 原始套接字概述 协议数据头部格式定义 网络嗅探器开发实例 小结 动手实践 * 1. 原始套接字概述 1.1. 什么是原始套接字 原始套接字（Raw Socket）是一种套接字类型，是使开发者能够直接对底层网络协议数据报（如IP报文）进行处理的套接字。 Raw英文含义： adj.生的，未加工的；n.半成品，原料。 * 1. 原始套接字概述 1.2. 原始套接字的适用场景 （1）发送自己封装的网络报文 可以是预定义的协议，如ICMP、TCP、UDP等； 也可以是自定义的协议。 （2）接收/解析原始网络报文 常见的网络嗅探器（sniffer）就是抓取和解析原始的网络报文实现的。 * 1. 原始套接字概述 1.3. 如何创建原始套接字 示例： SOCKET rawSocket = socket(AF_INET, SOCK_RAW, IPPROTO_IP); * 1. 原始套接字概述 1.4. 需要注意的问题 （1）操作系统对原始套接字的使用有一定限制 （2）使用原始套接字需要深入理解TCP/IP协议格式 * 原始套接字 原始套接字概述 协议数据头部格式定义 网络嗅探器开发实例 小结 动手实践 * 2. 协议数据头部格式定义 2.1. IPv4头格式 typedef struct _IPHeader // 20字节的IP头 { UCHAR iphVerLen; // 版本号和头长度（各占4位） UCHAR ipTOS; // 服务类型 USHORT ipLength; // 封包总长度，即整个IP报的长度 USHORT ipID; // 封包标识，惟一标识发送的每一个数据报 USHORT ipFlags; // 标志 UCHAR ipTTL; // 生存时间，就是TTL UCHAR ipProtocol; // 协议，可能是TCP、UDP、ICMP等 USHORT ipChecksum; // 校验和 ULONG ipSource; // 源IP地址 ULONG ipDestination; // 目标IP地址 } IPHeader, *PIPHeader; * 2. 协议数据头部格式定义 2.2. TCP头格式 typedef struct _TCPHeader // 20字节的TCP头 { USHORT sourcePort; // 16位源端口号 USHORT destinationPort; // 16位目的端口号 ULONG sequenceNumber; // 32位序列号 ULONG acknowledgeNumber; // 32位确认号 UCHAR dataoffset; // 高4位表示数据偏移 UCHAR flags; // 6位标志位 USHORT windows; // 16位窗口大小 USHORT checksum; // 16位校验和 USHORT urgentPointe