007_原始套接字_基本网络检测技术

,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,原始套接字与网络检测技术,1,原始套接字,原始套接字是允许访问底层传输协议的一种套接字,原始套接字有两种类型：,在,IP,头中使用预定义的协议，如,ICMP,在,IP,头中使用自定义的协议,2,创建原始套接字,使用函数,socket(),或,WSASocket(),例：,SOCKET sRaw=socket(AF_INET,SOCK_RAW,IPPRPTP_ICMP);,原始套接字提供管理下层传输的能力，它们可能会被恶意利用。因此，仅,administrator,组的成员能够创建,SOCK_RAW,类型的套接字。任何人在,NT,下都可以创建原始套接字，但是没有,administrator,权限的用户不能用它做任何事情，因为,bind,函数将会失败。,3,ICMP协议,ICMP（Internet Control Message Protocol），网间控制报文协议,互联网的操作由路由器监控着，遇有异常发生，具体事件通过该协议报告。,4,ICMP报文,ICMP,报文可分为两大类：差错报告报文和查询报文,报文结构：,类型（,8b,）,代码（,8b,）,校验和（,16b,）,内容（取决于类型和代码）,5,ICMP报文与IP报文的关系,ICMP,报文,ICMP,报文,IP,首部,6,ICMP报文的类型,种类,类型,代码,报文,差错控制报文,3,0-15,目的站不可达,4,0-1,源站抑制,11,0-1,时间超时,12,0-1,参数问题,5,0,改变路由,查询报文,8,或,0,0,回送请求或回答,13,或,14,0,时间戳请求或回答,17,或,18,0,地址掩码请求或回答,10,或,9,0,路由器询问或通告,7,表示ICMP头部的数据结构,typedef struct icmp_hdr, unsigned char icmp_type; /,消息类型,unsigned char icmp_code; /,代码,unsigned short icmp_checksum; /,校验和,unsigned short icmp_id; /ID,号,unsigned short icmp_sequence; /,序列号,unsigned long icmp_timestamp; /,时间戳, ICMP_HDR,*PICMP_HDR;,8,校验和,校验和是网络传输中常用的差错控制方法。计算收到的数据的校验和，与其所带校验和进行比较，即可知数据在传输中是否受损,校验和的计算方法：将数据以字为单位累加到一个双字中，如果数据长度为奇数，最后一个字将被扩展成双字。最后将累加得到的双字的高位和低位相加后取反，便得到校验和。,9,Ping程序：检测网络的可达性,原理：产生一个,ICMP,回显请求，并驱使它到感兴趣的主机,主要步骤：,创建,ICMP,协议类型的套接字,创建并初始化,ICMP,封包,调用,sendto(),函数向远端主机发送,ICMP,请求,调用,recvfrom(),函数接收,ICMP,响应,10,SetTimeout()函数,BOOL SetTimeout(SOCKET s, int nTime, BOOL bRecv),int ret = :setsockopt(s, SOL_SOCKET,bRecv ? SO_RCVTIMEO : SO_SNDTIMEO, (char*),return ret != SOCKET_ERROR;,11,routeTracer程序：路由追踪,原理：由本地发送UDP封包到目的地址，递加TTL值。初始情况下，TTL值为，这个UDP封包到达第一个路由器后将中止。这个终止会促使路由器产生一个ICMP超时封包。然后TTL值加，再发送这个UDP封包。收集每个ICMP消息便可知道封包所经过的路由器。如果最终到达目的地址，多半会返回ICMP端口不可达消息，因为没有进程在等待这个封包。,12,SetTTL()函数,BOOL SetTTL(SOCKET s, int nValue),int ret = :setsockopt(s, IPPROTO_IP, IP_TTL, (char*),return ret != SOCKET_ERROR;,13,