前段时间搞抓包程序,打算使用Pcap4J实现,发现除了GitHub,其它资料少之又少,几乎都是不起作用。
被迫我一直看(日本作者!)英文注解的源码和sample和test,比较费劲+营养很少。因为几乎都是解析本地保存的抓包文件 同 初始化好的包类型对象做比较,没有对真实的网络环境抓包举例。都按指定类型初始化对象不是重点好不好,重点是怎么把抓到的包转换到指定类型!
说一下我们要使用Pcap4J的原因。
之前一直是使用jNetPcap的,但是它已经很久不更新代码了,并且在linux上跑不起来。使用时还需要根据操作系统加载不同的jar包。
Pcap4J和jNetPcap相同之处,都是基于libpcap/winpcap的。于是乎,过滤器规则也是通用的(比较关键)。过滤器写法可以直接去wareshark验证。
代码使用上,Pcap4J 和 jNetPcap很相似,不同的是,Pcap4J 比jNetPcap 封装的更多些,其实不好,它想让我们写的更少,却不太灵活了。
Pcap4J 不用分操作系统引用不同的包,支持linux比较好,比较不错。
更多优点去参考Github,据说Pcap4J既可以抓包,又可以发包,还多支持了SNMP。当然,对linux的良好支持就够打动我了。
maven 引用的部分
<dependencies> <dependency> <groupId>org.pcap4j</groupId> <artifactId>pcap4j-core</artifactId> <version>1.6.3</version> </dependency> <dependency> <groupId>org.pcap4j</groupId> <artifactId>pcap4j-packetfactory-static</artifactId> <version>1.6.3</version> </dependency> ... </dependencies>
开始贴代码吧,只是大体轮廓,意思都到了。
// 获取所有网卡设备 List<PcapNetworkInterface> alldev = Pcaps.findAllDevs(); // 根据设备名称初始化抓包接口 PcapNetworkInterface nif = Pcaps.getDevByName(alldev.get(devicenum).getName()); // 抓取包长度 int snaplen = 64 * 1024; // 超时50ms int timeout = 50; // 初始化抓包器 PcapHandle.Builder phb = new PcapHandle.Builder(nif.getName()).snaplen(snaplen) .promiscuousMode(PromiscuousMode.PROMISCUOUS).timeoutMillis(timeout) .bufferSize(1 * 1024 * 1024); PcapHandle handle = phb.build(); // handle = nif.openLive(snaplen, PromiscuousMode.NONPROMISCUOUS, timeout); /** 设置TCP过滤规则 */ String filter = "ip and tcp and (dst host 127.0.0.1 and dst port 80)"; // 设置过滤器 handle.setFilter(filter, BpfCompileMode.OPTIMIZE);
filter过滤器只是例子,要根据自身需求写过滤器。
再写个loop,也就是观察者模式(高大上了有木有!),抓到包后就回调。
这里没写try-catch 也没啥牛逼的逻辑。代码意思就是抓到包后,都调gotPacket方法。
或者,你也可以实现自己的loop即无限循环处理包,方法是:
Packet packet = handle.getNextPacket();
这样实现的结果就是:直接在嗅探线程返回抓到的包,等待对这个包进行处理(阻塞后面的接收)。这其实是个阻塞方法,就是说可以一个接一个抓到包然后处理,而不是说抓到一个包后它不等你,你还处理呢,后面的包都溜了。
再往下走,其实比较恶心了。困扰了好几天。
铺垫下,以下处理的都是TCP/IPv4协议包,如果有其他更好的实现方式一定要告诉我!
说下恶心的原因。
handle 获取到的包,都是原始类型的packet,debug看到的叫unknownPacket类型。而从各种例子,网络,包括作者的test + sample举例,都没发现怎么把未知类型的packet 转换到可以使用的包类型,如TcpPacket,IpV4Packet(对了,这里作者还分了v4 和 v6 两个版本的IP协议),它们都是Packet的子类。
然后我们逼不得已,对着TCP/IP协议的教材(是一种对网络知识的复习!),搞一套实现方式。
贴代码了,但愿我写的代码注释能释然你们。
byte[] rawData = pcapPacket.getRawData(); // 如果抓包内容长度都小于最小硬件协议长度,则直接返回。 if (rawData.length < 14) { return; } IpV4Packet ipV4Packet = null; TcpPacket tcpPacket = null; // 由于默认过滤器过滤为IP和TCP协议包,可以直接判断rawData长度。 // 只判断IpV4协议,通过rawData数据得出IpV4头部长度。header_length标识在rawDta第15字节值,即(刨去前14位Ethernet协议长度)的后4个bit, // 则IpV4协议头部长度,最长为4位二进制数最大值15(4bit最大值) * 4 = 60 字节(1字节为8位即rawData数组中的一个数字) int ipV4HeaderLength = Integer.parseInt(Integer.toHexString(rawData[14]).charAt(1) + "") * 4; ipV4Packet = IpV4Packet.newPacket(rawData, 14, ipV4HeaderLength); // tcpOffset 是tcp协议开始的部分,开始于Ethernet协议和IpV4协议头部之后,存在于IpV4协议数据部分里。 int tcpOffset = 14 + ipV4HeaderLength; // 方法解释:rawData数据, 头部的长度(按非数据内容处理),数据的长度(整个长度-非数据内容长度) tcpPacket = TcpPacket.newPacket(rawData, tcpOffset, rawData.length - tcpOffset);
我解释一下,其实上面的代码真没经过太牛逼的检验,但是简单测试N次是符合我们要求的。
我们是通过分析包内容rawData来转换对象的,用的都是包对象的构造方法。
首先,截取到的rawData是分层次的(我们只要TCP和IP协议的东西),从头开始依次是:Ethernet协议,IpV4协议,TCP协议。
再者,每个协议的定义是有规律的,都包含在rawData内容里。这样我们就可以分析。
水平有限,只能简单解释一下每个协议的分析。
1位byte = 8bit 即 两个 16进制数。
Ethernet协议: 长度是14位是比较固定的, 包含:6位目的mac地址 + 6位源mac地址 + 2位协议类型。
IPv4协议: 头部长度在整个长度第 15位 的第2个 16进制数上。 具体是换算成10进制后*4 的长度,即最长是60位。为什么乘以4,我解释不了,可能4是4bit的意思,默认的规则。头部长度最小是20位,深究的自己查一下吧。
TCP协议: IPv4协议的数据部分,就都是TCP协议的内容了,可以直接来用了。