- c - 在位数组中找到第一个零
- linux - Unix 显示有关匹配两种模式之一的文件的信息
- 正则表达式替换多个文件
- linux - 隐藏来自 xtrace 的命令
#include <stdio.h>
#include <stdlib.h>
#include <string.h>
#include <errno.h>
#include <sys/types.h>
#include <sys/socket.h>
#include <sys/ioctl.h>
#include <unistd.h>
#include <arpa/inet.h>
#include <linux/if_ether.h>
#include <net/if.h>
#include <netpacket/packet.h>
struct ethernet {
unsigned char dest[6];
unsigned char source[6];
uint16_t eth_type;
};
struct arp {
uint16_t htype;
uint16_t ptype;
unsigned char hlen;
unsigned char plen;
uint16_t oper;
/* addresses */
unsigned char sender_ha[6];
unsigned char sender_pa[4];
unsigned char target_ha[6];
unsigned char target_pa[4];
};
#define ETH_HDR_LEN 14
#define BUFF_SIZE 2048
#define ARP_PROTO 0x0806
static void dump_arp(struct arp *arp_hdr);
int main(void)
{
int sock, err;
void *buffer = NULL;
ssize_t recvd_size;
struct sockaddr_ll s_ll;
struct ethernet *eth_hdr = NULL;
struct arp *arp_hdr = NULL;
if( (sock = socket(AF_PACKET, SOCK_RAW, htons(ETH_P_ARP))) == -1)
// if( (sock = socket(AF_PACKET, SOCK_RAW, htons(ETH_P_ALL))) == -1)
{
perror("socket(): ");
exit(-1);
}
s_ll.sll_family = AF_PACKET;
s_ll.sll_protocol = htons(ETH_P_ARP);
//s_ll.sll_protocol = htons(ETH_P_ARP);
s_ll.sll_ifindex = 0; // all ifaces
//s_ll.sll_ifindex = 2 // eth0
if( (err = bind(sock, (struct sockaddr *)&s_ll, sizeof(s_ll))) == -1)
{
perror("bind(): ");
exit(-1);
}
buffer = malloc(BUFF_SIZE);
while(1)
{
if( (recvd_size = recv(sock, buffer, BUFF_SIZE, 0)) == -1)
{
perror("recv(): ");
free(buffer);
close(sock);
exit(-1);
}
if(recvd_size <= (sizeof(struct ethernet) + sizeof(struct arp)))
{
printf("Short packet. Packet len: %d\n", recvd_size);
continue;
}
eth_hdr = (struct ethernet *)buffer;
if(ntohs(eth_hdr->eth_type) != ARP_PROTO)
continue;
arp_hdr = (struct arp *)(buffer+ETH_HDR_LEN);
dump_arp(arp_hdr);
}
free(buffer);
close(sock);
}
static void
dump_arp(struct arp *arp_hdr)
{
uint16_t htype = ntohs(arp_hdr->htype);
uint16_t ptype = ntohs(arp_hdr->ptype);
uint16_t oper = ntohs(arp_hdr->oper);
switch(htype)
{
case 0x0001:
printf("ARP HTYPE: Ethernet(0x%04X)\n", htype);
break;
default:
printf("ARP HYPE: 0x%04X\n", htype);
break;
}
switch(ptype)
{
case 0x0800:
printf("ARP PTYPE: IPv4(0x%04X)\n", ptype);
break;
default:
printf("ARP PTYPE: 0x%04X\n", ptype);
break;
}
printf("ARP HLEN: %d\n", arp_hdr->hlen);
printf("ARP PLEN: %d\n", arp_hdr->plen);
switch(oper)
{
case 0x0001:
printf("ARP OPER: Request(0x%04X)\n", oper);
break;
case 0x0002:
printf("ARP OPER: Response(0x%04X)\n", oper);
break;
default:
printf("ARP OPER: 0x%04X\n", oper);
break;
}
printf("ARP Sender HA: %02X:%02X:%02X:%02X:%02X:%02X\n",
arp_hdr->sender_ha[0],arp_hdr->sender_ha[1],arp_hdr->sender_ha[2],
arp_hdr->sender_ha[3], arp_hdr->sender_ha[4], arp_hdr->sender_ha[5]);
printf("ARP Sender PA: %d.%d.%d.%d\n", arp_hdr->sender_pa[0],
arp_hdr->sender_pa[1], arp_hdr->sender_pa[2], arp_hdr->sender_pa[3]);
printf("ARP Target HA: %02X:%02X:%02X:%02X:%02X:%02X\n",
arp_hdr->target_ha[0],arp_hdr->target_ha[1],arp_hdr->target_ha[2],
arp_hdr->target_ha[3], arp_hdr->target_ha[4], arp_hdr->target_ha[5]);
printf("ARP Target PA: %d.%d.%d.%d\n", arp_hdr->target_pa[0],
arp_hdr->target_pa[1], arp_hdr->target_pa[2], arp_hdr->target_pa[3]);
printf("ARP DONE =====================\n");
}
我使用 AF_PACKET、SOCK_RAW、ETH_P_ARP 参数创建 socket()。并在所有接口(interface)上使用 args(AF_PACKET, ETH_P_ARP) bind() 它(无关紧要)。因此,所有 ARP 数据包都必须流经此套接字。
我的主机:192.168.1.2 远程主机:192.168.1.7,主机不包含192.167.1.7的ARP记录。
程序输出,当我 ping 192.168.1.7 时:
...ARP OPER: Response(0x0002)ARP Sender HA: 50:67:F0:94:70:F5ARP Sender PA: 192.168.1.7ARP Target HA: 00:22:15:A2:D0:C5ARP Target PA: 192.168.1.2ARP DONE =====================...ARP OPER: Request(0x0001)ARP Sender HA: 50:67:F0:94:70:F5ARP Sender PA: 192.168.1.7ARP Target HA: 00:00:00:00:00:00ARP Target PA: 192.168.1.2ARP DONE =====================
我的套接字只有 2 个数据包,共 4 个(my_host 请求和 my_host 响应丢失)。 tcpdump -n -p -i eth0 arp 显示所有 4 个数据包。
如果我在 socket() 和 bind() 中将 ETH_P_ARP 更改为 ETH_P_ALL,那么所有 4 个数据包都会进入套接字(使用 IP 和其他)。
为什么?如何解决?
附言。请告诉我一些邮件列表的地址,我可以在那里询问这种行为。
最佳答案
有点迟到的答案,但我为了好玩而尝试了这个。也许一些 googler/duckduckgoer 可以受益。
我的建议是使用 ETH_P_ALL 接收所有数据包,然后使用 Linux 套接字过滤器对其进行过滤,以便应用程序仅接收请求的 ARP 数据包。
这是我的代码。较大的更改标有 CHANGE 注释
#include <stdio.h>
#include <stdlib.h>
#include <string.h>
#include <errno.h>
#include <sys/types.h>
#include <sys/socket.h>
#include <sys/ioctl.h>
#include <unistd.h>
#include <arpa/inet.h>
#include <linux/if_ether.h>
#include <net/if.h>
#include <netpacket/packet.h>
#include <linux/filter.h> // CHANGE: include lsf
struct ethernet {
unsigned char dest[6];
unsigned char source[6];
uint16_t eth_type;
};
struct arp {
uint16_t htype;
uint16_t ptype;
unsigned char hlen;
unsigned char plen;
uint16_t oper;
/* addresses */
unsigned char sender_ha[6];
unsigned char sender_pa[4];
unsigned char target_ha[6];
unsigned char target_pa[4];
};
#define ETH_HDR_LEN 14
#define BUFF_SIZE 2048
/* CHANGE
Linux socket filters use the Berkeley packet filter syntax.
This was adapted from BSDs "man 4 bpf" example for RARP.
*/
struct sock_filter arpfilter[] = {
BPF_STMT(BPF_LD+BPF_H+BPF_ABS, 12), /* Skip 12 bytes */
BPF_JUMP(BPF_JMP+BPF_JEQ+BPF_K, ETH_P_ARP, 0, 1), /* if eth type != ARP
skip next instr. */
BPF_STMT(BPF_RET+BPF_K, sizeof(struct arp) +
sizeof(struct ethernet)),
BPF_STMT(BPF_RET+BPF_K, 0), /* Return, either the ARP packet or nil */
};
static void dump_arp(struct arp *arp_hdr);
int main(void)
{
int sock;
void *buffer = NULL;
ssize_t recvd_size;
struct ethernet *eth_hdr = NULL;
struct arp *arp_hdr = NULL;
struct sock_filter *filter;
struct sock_fprog fprog;
if( (sock = socket(AF_PACKET, SOCK_RAW, htons(ETH_P_ALL))) == -1)
{
perror("socket(): ");
exit(-1);
}
/* CHANGE prepare linux packet filter */
if ((filter = malloc(sizeof(arpfilter))) == NULL) {
perror("malloc");
close(sock);
exit(1);
}
memcpy(filter, &arpfilter, sizeof(arpfilter));
fprog.filter = filter;
fprog.len = sizeof(arpfilter)/sizeof(struct sock_filter);
/* CHANGE add filter */
if (setsockopt(sock, SOL_SOCKET, SO_ATTACH_FILTER, &fprog, sizeof(fprog)) == -1) {
perror("setsockopt");
close(sock);
exit(1);
}
buffer = malloc(BUFF_SIZE);
while(1)
{
if( (recvd_size = recv(sock, buffer, BUFF_SIZE, 0)) < 0)
{
perror("recv(): ");
free(buffer);
close(sock);
exit(-1);
}
if((size_t)recvd_size < (sizeof(struct ethernet) + sizeof(struct arp)))
{
printf("Short packet. Packet len: %ld\n", recvd_size);
continue;
}
eth_hdr = (struct ethernet *)buffer;
if(ntohs(eth_hdr->eth_type) != ETH_P_ARP) {
printf("Received wrong ethernet type: %X\n", eth_hdr->eth_type);
exit(1);
}
arp_hdr = (struct arp *)(buffer+ETH_HDR_LEN);
dump_arp(arp_hdr);
}
free(buffer);
close(sock);
}
static void
dump_arp(struct arp *arp_hdr)
{
uint16_t htype = ntohs(arp_hdr->htype);
uint16_t ptype = ntohs(arp_hdr->ptype);
uint16_t oper = ntohs(arp_hdr->oper);
switch(htype)
{
case 0x0001:
printf("ARP HTYPE: Ethernet(0x%04X)\n", htype);
break;
default:
printf("ARP HYPE: 0x%04X\n", htype);
break;
}
switch(ptype)
{
case 0x0800:
printf("ARP PTYPE: IPv4(0x%04X)\n", ptype);
break;
default:
printf("ARP PTYPE: 0x%04X\n", ptype);
break;
}
printf("ARP HLEN: %d\n", arp_hdr->hlen);
printf("ARP PLEN: %d\n", arp_hdr->plen);
switch(oper)
{
case 0x0001:
printf("ARP OPER: Request(0x%04X)\n", oper);
break;
case 0x0002:
printf("ARP OPER: Response(0x%04X)\n", oper);
break;
default:
printf("ARP OPER: 0x%04X\n", oper);
break;
}
printf("ARP Sender HA: %02X:%02X:%02X:%02X:%02X:%02X\n",
arp_hdr->sender_ha[0],arp_hdr->sender_ha[1],arp_hdr->sender_ha[2],
arp_hdr->sender_ha[3], arp_hdr->sender_ha[4], arp_hdr->sender_ha[5]);
printf("ARP Sender PA: %d.%d.%d.%d\n", arp_hdr->sender_pa[0],
arp_hdr->sender_pa[1], arp_hdr->sender_pa[2], arp_hdr->sender_pa[3]);
printf("ARP Target HA: %02X:%02X:%02X:%02X:%02X:%02X\n",
arp_hdr->target_ha[0],arp_hdr->target_ha[1],arp_hdr->target_ha[2],
arp_hdr->target_ha[3], arp_hdr->target_ha[4], arp_hdr->target_ha[5]);
printf("ARP Target PA: %d.%d.%d.%d\n", arp_hdr->target_pa[0],
arp_hdr->target_pa[1], arp_hdr->target_pa[2], arp_hdr->target_pa[3]);
printf("ARP DONE =====================\n");
}
我还删除了 bind()
作为不必要的并在捕获的数据包大小的比较中纠正了一个。比较是<= sizeof(struct ethernet) + sizeof(struct arp)
什么时候应该是<
由于我暂时没有阅读数据包套接字内核源代码,所以我没有找到很好的解释来解释为什么示例代码只接收寻址到主机 IP 的数据包。正如 OP 和互联网上的许多示例所证实的那样,当级别为 ETH_P_ALL 时,套接字也会接收传出数据包。我想这只是一个实现选择。这可能是大多数应用程序的首选行为,例如那些实现协议(protocol),而不是窥探现有协议(protocol)的人。
注意 说到内核源代码,我完全不确定为什么 lsf/bpf 过滤器在我给它两个字节的 ETH_P_ARP 而没有字节顺序修改时起作用。我认为这可能是因为内核中的这些行:
case BPF_S_ANC_PROTOCOL:
A = ntohs(skb->protocol);
关于c - SOCK_RAW 套接字中缺少 ARP 数据包,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/16543191/
我需要在本地网络中查找 MAC 地址并且我使用的是 Linux。我所做的是使用 libnet 发送一个 ARP 请求,但是在我发送 3 个请求后,缓存仍然不会更新。我使用 wireshark 来捕获数
我正在尝试学习 ARP 协议(protocol)。我对 ARP 的看法是,它是一种有助于将 IP 寻址到确切 MAC 地址的协议(protocol)。 但是当我尝试这样做时: arp -a 我认为它将
因此,在我玩过 Digitalsquid 开发的 Network Spoofer (http://digitalsquid.co.uk/netspoof/) 之后,我一直试图通过编写一个执行某些操作的
我目前正在编写一个发送 arp 请求的小程序,该程序似乎可以工作,因为 wireshark 捕获了数据包,但有一些奇怪的地方;首先,目标主机没有收到数据包(我没有收到任何响应,甚至在目标上运行 wir
我们有一个运行 Windows XP Embedded SP1 的产品。我们在 ARP 表中为假 IP 配置假(不存在)MAC 地址。当发生通信时,Windows 将数据包发送到伪造的 MAC 和伪造
我试图在 Linux 中将 ARP 绑定(bind)添加到 ARP 表中,我的 arp 表如下所示: IP address HW type Flags HW addre
使用 ARP 表,我们可以访问 Android 9 及更早版本的热点连接设备的 IP 和 MAC。现在来自 Android 10 的权限被拒绝。请建议我如何在 Android 10 中访问连接设备的
我正在尝试在 Linux 上用 c 语言制作一个简单的 arp 欺骗程序(主要是为了更好地理解低级网络)。到目前为止,我成功地创建了一个 arp 请求并获得了带有目标和网关 mac 地址的 arp 回
我需要在任意 IP 网络上存储对第三方设备的持久引用,其中设备的 IP 地址可能是静态的或由 DHCP 随机分配的。我不控制网络上的设备,我不能依赖 DNS 和其他现有的或与设备一起使用的临时网络协议
Scapy 文档给出了以下 ARP 缓存中毒的例子: send(Ether(dst=clientMAC)/ARP(op="who-has", psrc=gateway, pdst=client)) 问
我正在尝试在我的 android 设备上调用“arp -a”,但由于它仅适用于 pc - 我该如何更改?有没有办法访问 arp -a 给你的 IP 地址列表,但是在 android 上? 我的代码在a
我正在从事一个网络安全项目,我注意到一些我无法解释的事情: 为什么我们需要arp中的源硬件地址字段?它不是已经包含在以太网 header 中了吗? 最佳答案 ARP 是这样设计的,因此它可以在其他硬件
关闭。这个问题不符合Stack Overflow guidelines .它目前不接受答案。 这个问题似乎不是关于 a specific programming problem, a softwar
我正在通过 PC1 向 PC2 发送数据,两者都是 Linux 2.6 内核机器。此传输将需要几个小时。 PC1 中的 ARP 缓存过时超时设置为 50 秒。因此在数据传输期间,PC1 每隔 50 秒
我需要编写一个java程序,获取所有计算机网络接口(interface)并扫描子网内的IP地址和MAC地址。 我不太确定该怎么做,但我发现有一个方法叫做: Arping.scan(deviceName
已关闭。此问题不符合Stack Overflow guidelines 。目前不接受答案。 这个问题似乎不是关于 a specific programming problem, a software
我需要一些可在 Linux 下编译的 C 或 C++ 代码,以便能够获取一些任意数量的远程主机的 IP 地址列表,并为每个主机获取一个以太网 MAC 地址。这些主机可能在同一个子网上,也可能在路由器后
我一直在尝试找出将 Linux ARP 表复制到数组中的最佳方法,我只需要 IP 和 MAC 地址。我试过复制/proc/net/arp 文件,但我发现这不是最好的方法,我读到除了 ARP(IPv6
我需要编写一个程序来显示这些信息: 网络统计 TCP/UDP 连接 有关IP的信息 ipconfig/all arp-a 路线图 我已经有了其中的大部分,但是我在 route print 和 arp
我正在为 WiFi direct 编写一个应用程序,它使用我通过另一种方法(有效)传输的 mac 地址,客户端将使用 ARP 表查找主机的 IP,因为 groupownerintent 在全部在安卓上
我是一名优秀的程序员,十分优秀!