一个上课用的SOCKET编程的例子：SYN端口扫描的例子

煎饼

老师用的这个例子，使我对TCP连接的握手过程有了深切的理解，以往的疑惑也豁然开朗，不敢独享，愿与大家共同分享。更多的东西来自材纺： ' N5 S. X2 R1 Qfile:\\192.168.11.1\高级程序设计 有关IP数据包，TCP，UDP数据包的结构以及数据的功能，请查看：《TCP/IP协议详解 卷一：协议》或者 RFC文档http://www.china-pub.com/computers/eMook/emooknew/RFC/allrfc.asp?selectP= 8 f( x. w# m: T* Z( ^4 F/ _ /* 经典描器（全TCP连接）和SYN（半连接）扫描器 全TCP连接 2 o4 r+ N L* x/ o" H- W　　全TCP连接是长期以来TCP端口扫描的基础。扫描主机尝试（使用三次握手）与目的机指定端口建立建立正规的连接。 - w# q5 j* z+ c9 X: Y* D连接由系统调用connect()开始。对于每一个监听端口，connect()会获得成功，否则返回－1，表示端口不可访问。 6 k0 J+ Y( T6 g- _　　这种扫描方法很容易检测出来，在日志文件中会有大量密集的连接和错误记录）。 2 Z" B/ ]: O3 r5 L0 t: Z9 Z) B. HTCP SYN扫描 % e1 k7 |4 n; b　　在这种技术中，扫描主机向目标主机的选择端口发送SYN数据段。如果应答是RST，那么说明端口是关闭的，按照设定就探听其它端口；如果应答中包含SYN和ACK，说明目标端口处于监听状态。由于所有的扫描主机都需要知道这个信息，传送一个RST给目标机从而停止建立连接。由于在SYN扫描时，全连接尚未建立，所以这种技术通常被称为半打开扫描。 - H$ B% c, b* s5 K3 y8 J$ y" H SYN扫描的优点在于即使日志中对扫描有所记录，但是尝试进行连接的记录也要比全扫描少得多。缺点是在大部分操作系统下，发送主机需要构造适用于这种扫描的IP包，通常情况下，构造SYN数据包需要超级用户或者授权用户访问专门的系统调用。 & W2 c- O5 `2 j' H' n' M - ?: @/ P0 T6 U/ E Z; P 一个TCP头包含6个标志位。它们的意义分别为： $ @1 M+ m# D; \- USYN: 标志位用来建立连接，让连接双方同步序列号。如果SYN＝1而ACK=0，则表示该数据包为连接请求，如果SYN=1而ACK=1则表示接受连接。 6 ^: z9 E7 L- S% W5 Z \8 T8 _FIN: 表示发送端已经没有数据要求传输了，希望释放连接。 - X& J* I( t; {4 ~: CRST: 用来复位一个连接。RST标志置位的数据包称为复位包。一般情况下，如果TCP收到的一个分段明显不是属于该主机上的任何一个连接，则向远端发送一个复位包。 5 V/ H" T7 a! r8 e; pURG: 为紧急数据标志。如果它为1，表示本数据包中包含紧急数据。此时紧急数据指针有效。 1 Y O) h% ?' J! eACK: 为确认标志位。如果为1，表示包中的确认号时有效的。否则，包中的确认号无效。 ! G4 s8 x. [/ O7 I ] u9 [PSH: 如果置位，接收端应尽快把数据传送给应用层。 $ b8 [7 M3 P7 s* `" X* P; h C( \5 _8 ?7 Y6 \) A. u& ^6 }# Q端口扫描技术（port scanning） " O I2 h; }. F; j+ ~' o5 y　　 , ]2 D6 T9 M0 o" P　　端口扫描就是通过连接到目标系统的TCP或UDP端口，来确定什么服务正在运行。一般来说端口扫描有三个用途： 　　 * 识别目标系统上正在运行的TCP和UDP服务。 0 C" {6 a0 w, Z6 J _& ~# w/ [. S　　 * 识别目标系统的操作系统类型（Windows 9x, Windows NT，或UNIX，等）。 , G2 Y |" r* V# e　　 * 识别某个应用程序或某个特定服务的版本号。 7 L/ L% D% I5 f: a( V" M( ^# Z　　 + s6 K" b. K7 M# X- ?- f　　端口扫描技术： 　　 1. TCP connect scan：这种方法最简单，直接连到目标端口并完成一个完整的三次握手过程（SYN, SYN/ACK, 和ACK）。缺点是容易被目标系统检测到。 A& `# |0 H- j* x* f7 h) j　　 2. TCP SYN scan：这种技术也叫“半开式扫描”（half-open scanning），因为它没有完成一个完整的TCP连接。这种方法向目标端口发送一个SYN分组（packet），如果目标端口返回SYN/ACK，那么可以肯定该端口处于检听状态；否则，返回的是RST/ACK。这种方法比第一种更具隐蔽性，可能不会在目标系统中留下扫描痕迹。 　　 3. TCP FIN scan：这种方法向目标端口发送一个FIN分组。按RFC793的规定（http://www.ietf.org/rfc/rfc0793.txt），对于所有关闭的端口，目标系统应该返回RST标志。这种方法通常用在基于UNIX的TCP/IP堆栈。 　　 4. TCP Xmas Tree scan：这种方法向目标端口发送一个含有FIN, URG,和PUSH标志的分组。根据RFC793，对于所有关闭的端口，目标系统应该返回RST标志。 9 z J" I" m& l　　 5. TCP Null scan：这种方法向目标端口发送一个不包含任何标志的分组。根据RFC793，对于所有关闭的端口，目标系统应该返回RST标志。 " @9 L% Y4 f7 x, ]) k　　 6. UDP scan：这种方法向目标端口发送一个UDP分组。如果目标端口以“ICMP port unreachable”消息响应，那么说明该端口是关闭的；反之，如果没有收到“ICMP port unreachable”响应消息，则可以肯定该端口是打开的。由于UDP协议是面向无连接的协议，这种扫描技术的精确性高度依赖于网络性能和系统资源。另外，如果目标系统采用了大量分组过滤技术，那么UDP扫描过程会变得非常慢。如果你想对Internet进行UDP扫描，那么你不能指望得到可靠的结果。 　　 　　另外，有某种系统的IP协议是这样实现的，对于所有扫描的端口，不管他们处于关闭或者监听状态，都返回RST标志（我们知道，这不符合RFC793的规定）。因此，扫描这种系统时，用不同的扫描技术可能得到不同的扫描结果。 ; ?! ]0 H7 E$ c; v　　 ) w, K/ ]# I% V B8 W, |2 u　　 6 H$ Z' m5 P! W+ C*/ #include ; N& @$ ?& {9 N) c" ]6 X$ h6 M#include 1 Z7 y( l9 k4 \3 q2 R8 G) P#include #include "mstcpip.h" + x. C7 T% c, I h1 F3 G' x#pragma comment(lib,"ws2_32") #define SEQ 0x28376839 4 ^ w( a' @+ r& F9 B - J3 R. ~$ t/ t! q0 |# c2 j; X //ip数据包的首部数据结构 typedef struct _iphdr { 0 K) ^5 R& l% T, g+ A# x) ? unsigned char h_lenver; //4位首部长度+4位IP版本号 unsigned char tos; //8位服务类型TOS unsigned short total_len; //16位总长度（字节） unsigned short ident; //16位标识 unsigned short frag_and_flags; //3位标志位 ( R0 c2 |* ?* Y6 \, P unsigned char ttl; //8位生存时间 TTL 3 A' l& f' l' u" s" a unsigned char proto; //8位协议 (TCP, UDP 或其他) unsigned short checksum; //16位IP首部校验和 7 l/ C+ H4 L* R9 f1 ^ e7 W2 s' C" F unsigned int sourceIP; //32位源IP地址 * B. e; C; }/ K unsigned int destIP; //32位目的IP地址 0 }8 P. Y3 w6 Q( q0 R J0 v2 b8 E0 ?( N}IP_HEADER; 4 h& \1 z8 V' R; Y z9 A% z* f5 t! V2 Y k5 v/ ~/ Ctypedef struct _tcphdr //定义TCP首部 { " l! `4 E6 {2 Y2 V USHORT th_sport; //16位源端口 4 h: A0 Z. o/ L/ i. H0 D) m USHORT th_dport; //16位目的端口 ) O" t8 R+ B! a1 {2 f: S: q5 v7 e6 U" j unsigned int th_seq; //32位序列号 unsigned int th_ack; //32位确认号 unsigned char th_lenres; //4位首部长度/6位保留字 unsigned char th_flag; //6位标志位 USHORT th_win; //16位窗口大小 5 k3 R1 W/ k6 u5 e) E0 {. q" q: c USHORT th_sum; //16位校验和 USHORT th_urp; //16位紧急数据偏移量 }TCP_HEADER; struct //定义TCP伪首部 0 R6 I5 E1 S4 _. s% Q{ unsigned long saddr; //源地址 unsigned long daddr; //目的地址 7 t6 R7 `) S. h- `) ~2 o7 c1 b7 }& N3 e char mbz; , I# c* z+ R' W5 D char ptcl; //协议类型 : | k u+ Y4 f unsigned short tcpl; //TCP长度 + M5 j# Q V" b}psd_header; 0 U% q) m4 e) r+ x0 s! m8 Y : T# \& ^( G+ {0 @# ?! V+ SSOCKET sockRaw = INVALID_SOCKET, sockListen = INVALID_SOCKET; struct sockaddr_in dest; # F4 P: M: R# L. P z$ g6 K$ _ //SOCK错误处理程序 % ^$ E2 h* ]" C- f" tvoid CheckSockError(int iErrorCode, char *pErrorMsg) 1 x6 l2 f' a. ~7 \" e3 m{ if(iErrorCode==SOCKET_ERROR) { d; E& F, d; u; y printf("%s Error:%d\n", pErrorMsg, GetLastError()); 9 ]4 W" S% ~& l8 ?' U9 F closesocket(sockRaw); + V# e" l+ t" ?) Z9 K ExitProcess(-1); 3 Y; O$ H: ^8 A: h ?) j- y+ C/ H } } . h" o" x$ K. O/ R2 X( Z //计算检验和 USHORT checksum(USHORT *buffer, int size) 6 C! A$ O* Y- n9 a# O( U+ |{ 0 `! u; C; K! F" p* s! U unsigned long cksum=0; while (size > 1) 9 u8 P4 S( t1 k# T { cksum += *buffer++; ' U0 v' r1 {+ Q size -= sizeof(USHORT); 0 L2 B% q% N6 J0 W } if (size) cksum += *(UCHAR*)buffer; 2 X9 P& Q3 N8 r0 t T* M cksum = (cksum >> 16) + (cksum & 0xffff); cksum += (cksum >>16); return (USHORT)(~cksum); |" K1 h6 y6 l1 V} ' G# G3 s- R9 j6 V- F //IP解包程序 8 `+ P' W" f: {+ n0 K4 Mint DecodeIPHeader(char *recvbuf, int bytes) / ] |/ l' E% b. b{ - \" m" H8 g: z1 J+ F) y7 P IP_HEADER *iphdr; 6 k5 c! o$ F4 m TCP_HEADER *tcphdr; i' A' Q' K* P, _$ Y unsigned short iphdrlen; iphdr = (IP_HEADER *)recvbuf; + P E! z" u, Q iphdrlen = sizeof(unsigned long) * (iphdr->h_lenver & 0xf); - C5 S2 e+ q3 G/ @) T tcphdr = (TCP_HEADER*)(recvbuf + iphdrlen); ) q4 r1 t% ~5 z 0 g W: D; O3 t' l% b( v2 m& I: \ //是否来自目标IP if(iphdr->sourceIP != dest.sin_addr.s_addr) return 0; //序列号是否正确 if((ntohl(tcphdr->th_ack) != (SEQ+1)) && (ntohl(tcphdr->th_ack) != SEQ)) return 0; 9 `9 e8 m6 X9 [$ |5 P //RST/ACK - 无服务 + [+ I& t* Z, V if(tcphdr->th_flag == 20) { printf("RST+ACK 无服务.\n"); - j9 g" Z/ {8 T. B% z5 N return 1; } 4 R8 u6 l% f A" ` //SYN/ACK - 扫描到一个端口 / Z) }9 _7 u0 O; ~8 \6 n' v0 D4 ? b$ _% ? if(tcphdr ->th_flag == 18) 5 m& h3 d0 M6 E: `; v& Q { - S6 V' |) I5 J. C6 n printf("%d\n",ntohs(tcphdr->th_sport)); return 2; # U& }; H1 s& ? } ) w7 H5 J# f8 b return true; ! Y' g) x; u6 w; r+ Q6 G} , a: U$ t9 K8 V' y# G& g //主函数 int main(int argc,char *argv[]) * K+ Z& ~% @- |2 b% P4 G{ int iErrorCode; int datasize; struct hostent *hp; * x! U: e0 d9 J$ r- ?- M IP_HEADER ip_header; TCP_HEADER tcp_header; " ?" F0 S) e( j% S% g char SendBuf[128]={0}; 8 O/ b. P+ K& b: o4 W char RecvBuf[65535]={0}; 6 M1 K( Y6 R; {, m6 m; y8 B. R ' I z6 [4 a& w4 a; Q1 W printf("Useage: SYNPing.exe Target_ip Target_port \n"); $ D* j1 {$ ?! y4 F3 Z if (argc!=3) ( Z6 o( p& C4 C { return false; } 1 e& X3 q( m+ }' G! t ! t0 L. m1 v6 L( C+ [& x. ?! \ //初始化SOCKET WSADATA wsaData; iErrorCode = WSAStartup(MAKEWORD(2,2),&wsaData); " M/ r- v# W! z. G5 O0 S/ M CheckSockError(iErrorCode, "WSAStartup()"); 3 C4 `2 t8 P5 r1 N# j sockRaw = socket(AF_INET , SOCK_RAW , IPPROTO_IP); + h6 Q" ^' l; q& l0 Q" ?! `$ ^ CheckSockError(sockRaw, "socket()"); . }8 z. `! X; y1 p3 j sockListen = socket(AF_INET , SOCK_RAW , IPPROTO_IP); CheckSockError(sockListen, "socket"); 0 M3 _/ c- \* l5 G9 Q& t* J* v, X$ u 9 v s7 |9 z! e% | //设置IP头操作选项 BOOL bOpt = true; iErrorCode = setsockopt(sockRaw,IPPROTO_IP,IP_HDRINCL,(char *)&bOpt,sizeof(bOpt)); CheckSockError(iErrorCode, "setsockopt()"); 3 c! d6 Y/ t+ c; Z //获得本地IP 4 ]! T7 V8 K* I5 V. A8 E SOCKADDR_IN sa; 1 N/ ]& l* P( b2 K, P. y" k% y; U) V unsigned char LocalName[256]; iErrorCode = gethostname((char*)LocalName,sizeof(LocalName)-1); ( X) A! F$ R$ T4 d& R- H CheckSockError(iErrorCode, "gethostname()"); if((hp = gethostbyname((char*)LocalName)) == NULL) { CheckSockError(SOCKET_ERROR, "gethostbyname()"); } memcpy(&sa.sin_addr.S_un.S_addr,hp->h_addr_list[0],hp->h_length); sa.sin_family = AF_INET; 1 t. x- G+ |: l g' A( g sa.sin_port = htons(7000); iErrorCode = bind(sockListen, (PSOCKADDR)&sa, sizeof(sa)); * }1 G' T# @6 a% M4 a CheckSockError(iErrorCode, "bind"); //设置SOCK_RAW为SIO_RCVALL，以便接收所有的IP包 / t& {' t& p5 w" ]: U* P5 d& t DWORD dwBufferLen[10] ; DWORD dwBufferInLen = 1 ; + [7 `8 l1 Y0 z, ^" T DWORD dwBytesReturned = 0 ; " R. t ?- m' F. w& A! s! Q iErrorCode=WSAIoctl(sockListen, SIO_RCVALL,&dwBufferInLen, sizeof(dwBufferInLen), &dwBufferLen, sizeof(dwBufferLen),&dwBytesReturned , NULL , NULL ); CheckSockError(iErrorCode, "Ioctl"); % N4 i3 w8 x1 `7 T4 r5 _$ w/ n //获得目标主机IP ! x9 x+ A1 K7 {' E( B7 e memset(&dest,0,sizeof(dest)); 9 Z( i; a' k3 ?, ^# i1 @ dest.sin_family = AF_INET; dest.sin_port = htons(atoi(argv[2])); if((dest.sin_addr.s_addr = inet_addr(argv[1])) == INADDR_NONE) ' S/ p0 D. k% ~) X, n8 s" ^ { 6 L1 v5 H5 ^2 P1 [& { if((hp = gethostbyname(argv[1])) != NULL) { 7 h: Z' X# `, M3 _- O( O memcpy(&(dest.sin_addr),hp->h_addr_list[0],hp->h_length); ) A5 p. v7 i/ F dest.sin_family = hp->h_addrtype; / ?' j5 m( a. Z6 U# J: o& j printf("dest.sin_addr = %s\n",inet_ntoa(dest.sin_addr)); } , @. v' Q' I: G1 C i else ( p. X: v3 a' d { CheckSockError(SOCKET_ERROR, "gethostbyname()"); ( X/ j/ l: K8 {% v! T. A4 D } ( g# G9 l& x7 k4 z) ^3 l } //填充IP首部 " |+ _& @+ h1 t- Z ip_header.h_lenver=(4<<4 | sizeof(ip_header)/sizeof(unsigned long)); //高四位IP版本号，低四位首部长度 ip_header.total_len=htons(sizeof(IP_HEADER)+sizeof(TCP_HEADER)); //16位总长度（字节） ip_header.ident=1; //16位标识 ip_header.frag_and_flags=0; //3位标志位 ip_header.ttl=128; //8位生存时间TTL ip_header.proto=IPPROTO_TCP; //8位协议(TCP,UDP…) ip_header.checksum=0; //16位IP首部校验和 & j; R0 P0 w: i ip_header.sourceIP=sa.sin_addr.s_addr; //32位源IP地址 ip_header.destIP=dest.sin_addr.s_addr; //32位目的IP地址 & h5 R0 U5 }3 W* F3 t //填充TCP首部 ; ~, g" Y" f/ o" }2 h5 b9 U tcp_header.th_sport=htons(7000); //源端口号 tcp_header.th_dport=htons(atoi(argv[2])); //目的端口号 tcp_header.th_seq=htonl(SEQ); //SYN序列号 tcp_header.th_ack=0; //ACK序列号置为0 6 @) t' b' _9 f1 {6 i tcp_header.th_lenres=(sizeof(TCP_HEADER)/4<<4|0); //TCP长度和保留位 tcp_header.th_flag=2; //SYN 标志 tcp_header.th_win=htons(16384); //窗口大小 tcp_header.th_urp=0; //偏移 tcp_header.th_sum=0; //校验和 * w! e. J2 \ z! `) C0 c //填充TCP伪首部（用于计算校验和，并不真正发送） psd_header.saddr=ip_header.sourceIP; 2 U+ I) m3 h) }- j, e psd_header.daddr=ip_header.destIP; psd_header.mbz=0; 0 ~5 Z1 G Y2 T3 ~0 x- B' R psd_header.ptcl=IPPROTO_TCP; psd_header.tcpl=htons(sizeof(tcp_header)); 3 V; b g l5 y //计算TCP校验和，计算校验和时需要包括TCP pseudo header ; c0 u" R9 {% [ K memcpy(SendBuf,&psd_header,sizeof(psd_header)); memcpy(SendBuf+sizeof(psd_header),&tcp_header,sizeof(tcp_header)); tcp_header.th_sum=checksum((USHORT *)SendBuf,sizeof(psd_header)+sizeof(tcp_header)); * U( [" B/ m! s: F; f5 q( N- G //计算IP校验和 / q0 U+ q) `+ j# H* U: | memcpy(SendBuf,&ip_header,sizeof(ip_header)); memcpy(SendBuf+sizeof(ip_header),&tcp_header,sizeof(tcp_header)); D4 k n, c: d" V; I+ W4 d memset(SendBuf+sizeof(ip_header)+sizeof(tcp_header),0,4); 1 t Y; O5 D, ~* Y/ x }0 | datasize=sizeof(ip_header)+sizeof(tcp_header); ip_header.checksum=checksum((USHORT *)SendBuf,datasize); 1 [" a/ r+ l" B( D2 C //填充发送缓冲区 1 _ H' D% N3 } e7 k7 w5 A. h memcpy(SendBuf,&ip_header,sizeof(ip_header)); //发送TCP报文 iErrorCode=sendto(sockRaw,SendBuf,datasize,0,(struct sockaddr*) &dest,sizeof(dest)); 0 N& t# E; O- |3 Y" M$ j. l CheckSockError(iErrorCode, "sendto()"); ) ~2 t/ U& e7 X4 E+ m, m* H) d C1 N% v //接收数据 ) A. A8 R$ ^$ c1 O+ } o# E DWORD timeout = 200000;//2000 u* d" w# \' K2 d6 C# ~" O DWORD start = GetTickCount(); while(true) { 5 Z. ^2 K' n* f: g //计时,2s超时 if((GetTickCount() - start) >= timeout) break; 7 O7 l1 h ]: t6 Q; D0 a8 z K6 J& ` 2 K! d; t( ~% n8 j memset(RecvBuf, 0, sizeof(RecvBuf)); iErrorCode = recv(sockListen, RecvBuf, sizeof(RecvBuf), 0); ; ]4 p/ r0 P& B" s* R+ U CheckSockError(iErrorCode, "recv"); . ~0 ?+ t% c- P. d6 k+ r$ M i& O) K if(int i = DecodeIPHeader(RecvBuf,iErrorCode)) . w+ T0 {0 t" G% o { if(i == 1) break; ( `, }6 h, i$ {% f* V1 q tcp_header.th_flag=4; //RST 标志 4 K3 B- Z3 G3 j+ M8 T( c //计算TCP校验和，计算校验和时需要包括TCP pseudo header memcpy(SendBuf,&psd_header,sizeof(psd_header)); * \4 i+ V8 y3 F3 T0 |) m memcpy(SendBuf+sizeof(psd_header),&tcp_header,sizeof(tcp_header)); " b6 i% C; U5 s' o( g3 F tcp_header.th_sum=checksum((USHORT *)SendBuf,sizeof(psd_header)+sizeof(tcp_header)); 3 U/ _% a0 E' _( Y) W7 h) {! v& f 9 g* b/ ^7 I V% n9 W. O5 W //计算IP校验和 memcpy(SendBuf,&ip_header,sizeof(ip_header)); memcpy(SendBuf+sizeof(ip_header),&tcp_header,sizeof(tcp_header)); memset(SendBuf+sizeof(ip_header)+sizeof(tcp_header),0,4); datasize=sizeof(ip_header)+sizeof(tcp_header); / H( b+ L# m* o. e2 K ip_header.checksum=checksum((USHORT *)SendBuf,datasize); . a( X; Z" y& t //填充发送缓冲区 memcpy(SendBuf,&ip_header,sizeof(ip_header)); //发送TCP报文 ) j# w- y5 t. g. h3 `. ] iErrorCode=sendto(sockRaw,SendBuf,datasize,0,(struct sockaddr*) &dest, sizeof(dest)); & l! @6 `6 T% ~0 C5 K9 c1 F0 p CheckSockError(iErrorCode, "sendto()"); 4 u1 h' a8 p# T, d break; } 4 `0 [8 m f, X o } 0 D% q3 z; l9 J# @, \/ C //退出前清理 if(sockRaw != INVALID_SOCKET) closesocket(sockRaw); WSACleanup(); return 0; } + D2 o& G4 i) U. X8 d( Q( [% Y

zero

恩,有用,有用