libpcap是unix/Linux平台下的網絡數據包捕獲函數包,大多數網絡監控軟件都以它為基礎。Libpcap可以在絕大多數類unix平台下工作,本文分析了libpcap在linux 下的源代碼實現,其中重點是linux的底層包捕獲機制和過濾器設置方式,同時也簡要的討論了 libpcap使用的包過濾機制 BPF。
網絡監控 絕大多數的現代操作系統都提供了對底層網絡數據包捕獲的機制,在捕獲機制之上可以建立網絡監控(Network Monitoring)應用軟件。網絡監控也常簡稱為sniffer,其最初的目的在於對網絡通信情況進行監控,以對網絡的一些異常情況進行調試處理。但隨著互連網的快速普及和網絡攻擊行為的頻繁出現,保護網絡的運行安全也成為監控軟件的另一個重要目的。例如,網絡監控在路由器,防火牆、入侵檢查等方面使用也很廣泛。除此而外,它也是一種比較有效的黑客手段,例如,美國政府安全部門的"肉食動物"計劃。
包捕獲機制 從廣義的角度上看,一個包捕獲機制包含三個主要部分:最底層是針對特定操作系統的包捕獲機制,最高層是針對用戶程序的接口,第三部分是包過濾機制。 不同的操作系統實現的底層包捕獲機制可能是不一樣的,但從形式上看大同小異。數據包常規的傳輸路徑依次為網卡、設備驅動層、數據鏈路層、IP層、傳輸層、最後到達應用程序。而包捕獲機制是在數據鏈路層增加一個旁路處理,對發送和接收到的數據包做過濾/緩沖等相關處理,最後直接傳遞到應用程序。值得注意的是,包捕獲機制並不影響操作系統對數據包的網絡棧處理。對用戶程序而言,包捕獲機制提供了一個統一的接口,使用戶程序只需要簡單的調用若干函數就能獲得所期望的數據包。這樣一來,針對特定操作系統的捕獲機制對用戶透明,使用戶程序有比較好的可移植性。包過濾機制是對所捕獲到的數據包根據用戶的要求進行篩選,最終只把滿足過濾條件的數據包傳遞給用戶程序。
Libpcap應用程序框架 Libpcap提供了系統獨立的用戶級別網絡數據包捕獲接口,並充分考慮到應用程序的可移植性。Libpcap可以在絕大多數類unix平台下工作,參考資料 A 中是對基於 libpcap 的網絡應用程序的一個詳細列表。在windows平台下,一個與libpcap 很類似的函數包 winpcap 提供捕獲功能,其官方網站是http://winpcap.polito.it/。 Libpcap 軟件包可從 http://www.tcpdump.org/ 下載,然後依此執行下列三條命令即可安裝,但如果希望libpcap能在linux上正常工作,則必須使內核支持"packet"協議,也即在編譯內核時打開配置選項 CONFIG_PACKET(選項缺省為打開)。 ./configure ./make ./make install libpcap源代碼由20多個C文件構成,但在Linux系統下並不是所有文件都用到。可以通過查看命令make的輸出了解實際所用的文件。本文所針對的libpcap版本號為0.8.3,網絡類型為常規以太網。Libpcap應用程序從形式上看很簡單,下面是一個簡單的程序框架: char * device; /* 用來捕獲數據包的網絡接口的名稱 */ pcap_t * p; /* 捕獲數據包句柄,最重要的數據結構 */ strUCt bpf_program fcode; /* BPF 過濾代碼結構 */ /* 第一步:查找可以捕獲數據包的設備 */ device = pcap_lookupdev(errbuf); /* 第二步:創建捕獲句柄,准備進行捕獲 */ p = pcap_open_live(device, 8000, 1, 500, errbuf); /* 第三步:如果用戶設置了過濾條件,則編譯和安裝過濾代碼 */ pcap_compile(p, &fcode, filter_string, 0, netmask); pcap_setfilter(p, &fcode); /* 第四步:進入(死)循環,反復捕獲數據包 */ for( ; ; ) { while((ptr = (char *)(pcap_next(p, &hdr))) == NULL); /* 第五步:對捕獲的數據進行類型轉換,轉化成以太數據包類型 */ eth = (struct libnet_ethernet_hdr *)ptr; /* 第六步:對以太頭部進行分析,判斷所包含的數據包類型,做進一步的處理 */ if(eth->ether_type == ntohs(ETHERTYPE_IP)) ………… if(eth->ether_type == ntohs(ETHERTYPE_ARP)) ………… } /* 最後一步:關閉捕獲句柄,一個簡單技巧是在程序初始化時增加信號處理函數, 以便在程序退出前執行本條代碼 */ pcap_close(p);
檢查網絡設備 libpcap 程序的第一步通常是在系統中找到合適的網絡接口設備。網絡接口在Linux網絡體系中是一個很重要的概念,它是對具體網絡硬件設備的一個抽象,在它的下面是具體的網卡驅動程序,而其上則是網絡協議層。Linux中最常見的接口設備名eth0和lo。Lo 稱為回路設備,是一種邏輯意義上的設備,其主要目的是為了調試網絡程序之間的通訊功能。eth0對應了實際的物理網卡,在真實網絡環境下,數據包的發送和接收都要通過 eht0。如果計算機有多個網卡,則還可以有更多的網絡接口,如eth1,eth2 等等。調用命令ifconfig可以列出當前所有活躍的接口及相關信息,注意對eth0的描述中既有物理網卡的MAC地址,也有網絡協議的IP地址。查看文件/proc/net/dev也可獲得接口信息。 Libpcap中檢查網絡設備中主要使用到的函數關系如下圖: libpcap調用pcap_lookupdev()函數獲得可用網絡接口的設備名。首先利用函數 getifaddrs() 獲得所有網絡接口的地址,以及對應的網絡掩碼、廣播地址、目標地址等相關信息,再利用 add_addr_to_iflist()、add_or_find_if()、get_instance() 把網絡接口的信息增加到結構鏈表 pcap_if 中,最後從鏈表中提取第一個接口作為捕獲設備。其中 get_instanced()的功能是從設備名開始,找第一個是數字的字符,做為接口的實例號。網絡接口的設備號越小,則排在鏈表的越前面,因此,通常函數最後返回的設備名為 eth0。雖然 libpcap 可以工作在回路接口上,但顯然 libpcap 開發者認為捕獲本機進程之間的數據包沒有多大意義。在檢查網絡設備操作中,主要用到的數據結構和代碼如下: /* libpcap 自定義的接口信息鏈表 [pcap.h] */ struct pcap_if { struct pcap_if *next; char *name; /* 接口設備名 */ char *description; /* 接口描述 */ /*接口的 IP 地址, 地址掩碼, 廣播地址,目的地址 */ struct pcap_addr addresses; bpf_u_int32 flags; /* 接口的參數 */ }; char * pcap_lookupdev(register char * errbuf) { pcap_if_t *alldevs; …… pcap_findalldevs(&alldevs, errbuf); …… strlcpy(device, alldevs->name, sizeof(device)); }
打開網絡設備 當設備找到後,下一步工作就是打開設備以准備捕獲數據包。Libpcap的包捕獲是建立在具體的操作系統所提供的捕獲機制上,而Linux系統隨著版本的不同,所支持的捕獲機制也有所不同。 2.0 及以前的內核版本使用一個特殊的socket類型SOCK_PACKET,調用形式是socket(PF_INET, SOCK_PACKET, int protocol),但 Linux 內核開發者明確指出這種方式已過時。Linux 在 2.2及以後的版本中提供了一種新的協議簇 PF_PACKET 來實現捕獲機制。PF_PACKET 的調用形式為 socket(PF_PACKET, int socket_type, int protocol),其中socket類型可以是 SOCK_RAW和SOCK_DGRAM。SOCK_RAW 類型使得數據包從數據鏈路層取得後,不做任何修改直接傳遞給用戶程序,而 SOCK_DRRAM 則要對數據包進行加工(cooked),把數據包的數據鏈路層頭部去掉,而使用一個通用結構 sockaddr_ll 來保存鏈路信息。 使用 2.0 版本內核捕獲數據包存在多個問題:首先,SOCK_PACKET 方式使用結構 sockaddr_pkt來保存數據鏈路層信息,但該結構缺乏包類型信息;其次,如果參數 MSG_TRUNC 傳遞給讀包函數 recvmsg()、recv()、recvfrom() 等,則函數返回的數據包長度是實際讀到的包數據長度,而不是數據包真正的長度。Libpcap 的開發者在源代碼中明確建議不使用 2.0 版本進行捕獲。 相對2.0版本SOCK_PACKET方式,2.2版本的PF_PACKET方式則不存在上述兩個問題。在實際應用中,用戶程序顯然希望直接得到"原始"的數據包,因此使用 SOCK_RAW 類型最好。但在下面兩種情況下,libpcap 不得不使用SOCK_DGRAM類型,從而也必須為數據包合成一個"偽"鏈路層頭部(sockaddr_ll)。 某些類型的設備數據鏈路層頭部不可用:例如 Linux 內核的 PPP 協議實現代碼對 PPP 數據包頭部的支持不可靠。 在捕獲設備為"any"時:所有設備意味著libpcap對所有接口進行捕獲,為了使包過濾機制能在所有類型的數據包上正常工作,要求所有的數據包有相同的數據鏈路頭部。 打開網絡設備的主函數是 pcap_open_live()[pcap-linux.c],其任務就是通過給定的接口設備名,獲得一個捕獲句柄:結構 pcap_t。pcap_t 是大多數libpcap函數都要用到的參數,其中最重要的屬性則是上面討論到的三種 socket方式中的某一種。首先我們看看pcap_t的具體構成。 struct pcap [pcap-int.h] { int fd; /* 文件描述字,實際就是 socket */ /* 在 socket 上,可以使用 select() 和 poll() 等 I/O 復用類型函數 */ int selectable_fd; int snapshot; /* 用戶期望的捕獲數據包最大長度 */ int linktype; /* 設備類型 */ int tzoff; /* 時區位置,實
