编程随记 ---- 拼包程序（二）

编程随记 ---- 拼包程序（二）

    找来了Richard Stevens的经典著作《TCP/IP祥解 卷1：协议》仔细的
翻阅TCP和IP协议部分。从而发现截获到的数据包前面包含若干头：
wpcap Header + Ethernet Header + IP Header + TCP Header + Data
前面已经分析了wpcap的头部。由于只需要分析TCP数据包，所以以太网包
头部只需解析一下类型字段，看是不是后面封装的IP包（类型字段是不是
0800）。然后分析一下IP头，找到源和目的IP地址。再查看8位协议字段，
看IP包封装的是否是TCP包，当协议字段的值为6时，为TCP包。再相应解析
tcp头，解析出源和目的IP的端口号，并需要保存seq，ack，flag，已备后
面分析三次握手协议和断开连接时作准备。
    上述过程很简单，看了具体的协议内容就可以实现。但是接下来分析
TCP连接过程时则相应比较麻烦些。TCP建立连接过程必须满足三次握手协
议：
   1、源端发送一个SYN:seq1的TCP包；
   2、目的端收到上面的包后，返回一个SYN:seq2:ack2的TCP包，其中ack2
      值为seq1+1；
   3、源端收到目的端的TCP包后，再发送一个ack1的TCP包，其中ack1的
      值为seq2+1。
这样，经过三个TCP包才能正常建立一个TCP连接。而且这个连接是双向的，
所以需要对每个方向分别保存数据。显然可以使用srcIP + desIP + srcPort
+ desPort来唯一标示一个半连接。用socket来简记。
    而对于每个socket必须标记该状态，记录达到那个步骤。
    因此，当发现一个SYN的TCP包时，需要查看以前有没有该socket，有则
看该socket的状态，从而来判断上述协议。
    同样，断开连接也需要两个阶段：
   1、源端发送一个FIN:seq1的TCP包；
   2、目的端发送一个ack2的TCP包，其中ack2=seq1+1；
注意，这个阶段只是断开一个方向的连接。如果另外一个方向需要断开连接
同样需要上述阶段。
    这样，一个拼包程序的整体框架就有了。下面需要解决的只是细节和性
能问题。

附：（一些头定义）

/* Ethernet header */
typedef struct sniff_ethernet {
    u_char ether_dhost[ETHER_ADDR_LEN]; /* Destination host address */
    u_char ether_shost[ETHER_ADDR_LEN]; /* Source host address */
    u_short ether_type; /* IP? ARP? RARP? etc */
} tEthernetHead;

/* IPv4 header */
typedef struct ip_header{
 u_char ver:4,
            ihl:4;  // Version (4 bits) + Internet header length (4 bits)
 u_char tos;   // Type of service
 u_short tlen;   // Total length
 u_short identification; // Identification
 u_short flags_fo;  // Flags (3 bits) + Fragment offset (13 bits)
 u_char ttl;   // Time to live
 u_char proto;   // Protocol
 u_short crc;   // Header checksum
 u_char saddr[4];  // Source address
 u_char daddr[4];  // Destination address
 u_int op_pad;   // Option + Padding
}ip_header;

typedef struct udp_header{
 u_short sport;   // Source port
 u_short dport;   // Destination port
 u_short len;   // Datagram length
 u_short crc;   // Checksum
}udp_header;

typedef struct tcphdr {
 u_short th_sport;  /* source port */
 u_short th_dport;  /* destination port */
 u_int th_seq;   /* sequence number */
 u_int th_ack;   /* acknowledgement number */
 u_char th_off:4,  /* data offset */
       th_x2:4;  /* (unused) */
 u_char th_flags;
#define TH_FIN 0x01
#define TH_SYN 0x02
#define TH_RST 0x04
#define TH_PUSH 0x08
#define TH_ACK 0x10
#define TH_URG 0x20
 u_short th_win;   /* window */
 u_short th_sum;   /* checksum */
 u_short th_urp;   /* urgent pointer */
}tcp_header;