一个上课用的SOCKET编程的例子：SYN端口扫描的例子

煎饼

老师用的这个例子，使我对TCP连接的握手过程有了深切的理解，以往的疑惑也豁然开朗，不敢独享，愿与大家共同分享。更多的东西来自材纺： file:\\192.168.11.1\高级程序设计 有关IP数据包，TCP，UDP数据包的结构以及数据的功能，请查看：《TCP/IP协议详解 卷一：协议》或者 RFC文档http://www.china-pub.com/computers/eMook/emooknew/RFC/allrfc.asp?selectP= - m/ E! e5 L( k" F /* M' _; S F. ]6 P, H经典描器（全TCP连接）和SYN（半连接）扫描器 * d5 ~' K( ?9 d7 g4 y# A" w: e# r6 X全TCP连接 　　全TCP连接是长期以来TCP端口扫描的基础。扫描主机尝试（使用三次握手）与目的机指定端口建立建立正规的连接。 连接由系统调用connect()开始。对于每一个监听端口，connect()会获得成功，否则返回－1，表示端口不可访问。 8 ^) ]) V2 b2 C% z/ B9 U. A　　这种扫描方法很容易检测出来，在日志文件中会有大量密集的连接和错误记录）。 TCP SYN扫描 　　在这种技术中，扫描主机向目标主机的选择端口发送SYN数据段。如果应答是RST，那么说明端口是关闭的，按照设定就探听其它端口；如果应答中包含SYN和ACK，说明目标端口处于监听状态。由于所有的扫描主机都需要知道这个信息，传送一个RST给目标机从而停止建立连接。由于在SYN扫描时，全连接尚未建立，所以这种技术通常被称为半打开扫描。 SYN扫描的优点在于即使日志中对扫描有所记录，但是尝试进行连接的记录也要比全扫描少得多。缺点是在大部分操作系统下，发送主机需要构造适用于这种扫描的IP包，通常情况下，构造SYN数据包需要超级用户或者授权用户访问专门的系统调用。 * A! e9 G9 f+ s2 [; A6 x& M 一个TCP头包含6个标志位。它们的意义分别为： 0 v( p8 H3 ~- K, _; k% @SYN: 标志位用来建立连接，让连接双方同步序列号。如果SYN＝1而ACK=0，则表示该数据包为连接请求，如果SYN=1而ACK=1则表示接受连接。 FIN: 表示发送端已经没有数据要求传输了，希望释放连接。 RST: 用来复位一个连接。RST标志置位的数据包称为复位包。一般情况下，如果TCP收到的一个分段明显不是属于该主机上的任何一个连接，则向远端发送一个复位包。 : {$ k% X: ~9 z0 o7 ?# t7 JURG: 为紧急数据标志。如果它为1，表示本数据包中包含紧急数据。此时紧急数据指针有效。 ACK: 为确认标志位。如果为1，表示包中的确认号时有效的。否则，包中的确认号无效。 PSH: 如果置位，接收端应尽快把数据传送给应用层。 ; C6 a3 E5 O4 K& Y4 J端口扫描技术（port scanning） 　　 9 s) s7 b5 n$ W　　端口扫描就是通过连接到目标系统的TCP或UDP端口，来确定什么服务正在运行。一般来说端口扫描有三个用途： ( @. x! v I! @) W/ z9 I0 t3 |　　 * 识别目标系统上正在运行的TCP和UDP服务。 　　 * 识别目标系统的操作系统类型（Windows 9x, Windows NT，或UNIX，等）。 　　 * 识别某个应用程序或某个特定服务的版本号。 　　 ! g" A7 h3 Q4 U( z! C　　端口扫描技术： 　　 1. TCP connect scan：这种方法最简单，直接连到目标端口并完成一个完整的三次握手过程（SYN, SYN/ACK, 和ACK）。缺点是容易被目标系统检测到。 ! P, i' ?# t* I6 r7 @　　 2. TCP SYN scan：这种技术也叫“半开式扫描”（half-open scanning），因为它没有完成一个完整的TCP连接。这种方法向目标端口发送一个SYN分组（packet），如果目标端口返回SYN/ACK，那么可以肯定该端口处于检听状态；否则，返回的是RST/ACK。这种方法比第一种更具隐蔽性，可能不会在目标系统中留下扫描痕迹。 0 s8 u5 ]% p* w* H+ Z) B$ P1 K# O　　 3. TCP FIN scan：这种方法向目标端口发送一个FIN分组。按RFC793的规定（http://www.ietf.org/rfc/rfc0793.txt），对于所有关闭的端口，目标系统应该返回RST标志。这种方法通常用在基于UNIX的TCP/IP堆栈。 　　 4. TCP Xmas Tree scan：这种方法向目标端口发送一个含有FIN, URG,和PUSH标志的分组。根据RFC793，对于所有关闭的端口，目标系统应该返回RST标志。 　　 5. TCP Null scan：这种方法向目标端口发送一个不包含任何标志的分组。根据RFC793，对于所有关闭的端口，目标系统应该返回RST标志。 　　 6. UDP scan：这种方法向目标端口发送一个UDP分组。如果目标端口以“ICMP port unreachable”消息响应，那么说明该端口是关闭的；反之，如果没有收到“ICMP port unreachable”响应消息，则可以肯定该端口是打开的。由于UDP协议是面向无连接的协议，这种扫描技术的精确性高度依赖于网络性能和系统资源。另外，如果目标系统采用了大量分组过滤技术，那么UDP扫描过程会变得非常慢。如果你想对Internet进行UDP扫描，那么你不能指望得到可靠的结果。 W1 `' s$ k& b0 `7 ^　　 4 a9 X# o! M: V! P" p) |　　另外，有某种系统的IP协议是这样实现的，对于所有扫描的端口，不管他们处于关闭或者监听状态，都返回RST标志（我们知道，这不符合RFC793的规定）。因此，扫描这种系统时，用不同的扫描技术可能得到不同的扫描结果。 # T' q+ s3 p" v- K) M% F　　 0 E/ r0 c/ g# f* e　　 */ # _. u6 i2 ]* }5 i" e#include ; W+ h, y" A( Z- w: i, y; N3 I#include #include #include "mstcpip.h" 1 k3 u% Q4 x* R4 z& K ^#pragma comment(lib,"ws2_32") #define SEQ 0x28376839 7 M( `6 D$ S, d; O* N% i7 N# s% v" k 2 k" x) q) ^' E: @3 o; y //ip数据包的首部数据结构 - v# `/ F1 J6 ttypedef struct _iphdr { unsigned char h_lenver; //4位首部长度+4位IP版本号 unsigned char tos; //8位服务类型TOS " _/ _& V+ ]& W. D: f unsigned short total_len; //16位总长度（字节） unsigned short ident; //16位标识 ' Y+ }. I1 v0 a6 E unsigned short frag_and_flags; //3位标志位 % I u# c$ [ K3 p* w( d unsigned char ttl; //8位生存时间 TTL ) ?! N3 p8 ]2 m( g unsigned char proto; //8位协议 (TCP, UDP 或其他) $ F u5 `* G6 }" A" K) O7 ? unsigned short checksum; //16位IP首部校验和 7 ]! W2 Y( Q: k+ a unsigned int sourceIP; //32位源IP地址 + U5 h3 V; } c! _/ y unsigned int destIP; //32位目的IP地址 ; Q0 Y1 h2 y- P}IP_HEADER; # ]1 z% c, g$ q8 u/ L7 Z. a$ R1 B: ~8 z $ \1 Y) Q) y& a5 ftypedef struct _tcphdr //定义TCP首部 1 U+ g5 E4 ]% W6 o. o{ 5 {) w. m& B. y @; E4 l USHORT th_sport; //16位源端口 % m0 {: u( v/ s; ]4 S USHORT th_dport; //16位目的端口 unsigned int th_seq; //32位序列号 1 B% C8 J8 O& C0 t unsigned int th_ack; //32位确认号 unsigned char th_lenres; //4位首部长度/6位保留字 unsigned char th_flag; //6位标志位 USHORT th_win; //16位窗口大小 : z H( y! P* @. r USHORT th_sum; //16位校验和 7 z1 M. n( n1 R! u USHORT th_urp; //16位紧急数据偏移量 + c/ Y2 B {5 w! G$ L* a G}TCP_HEADER; 7 I$ Q' l& e- ^* b ' |6 r& y) a& A( F' [4 |7 x* k! N struct //定义TCP伪首部 { ) H% P9 c3 a8 e/ V; N0 L& c9 [ unsigned long saddr; //源地址 unsigned long daddr; //目的地址 char mbz; " `: I$ ?; d- {& u+ X char ptcl; //协议类型 2 @( B% O, C( {- p' y3 O( M; I unsigned short tcpl; //TCP长度 ' f* F- D7 V5 G/ a. r, W0 z' F}psd_header; " a, I( P; B3 ^: J$ B4 l 5 B8 G- h3 Z5 `; oSOCKET sockRaw = INVALID_SOCKET, ' }' v. [6 w2 A1 B# s/ YsockListen = INVALID_SOCKET; struct sockaddr_in dest; 3 u0 y+ W l3 w$ L //SOCK错误处理程序 ' @6 [! f5 o7 h' A& } Zvoid CheckSockError(int iErrorCode, char *pErrorMsg) { if(iErrorCode==SOCKET_ERROR) { " y0 |! g' ?/ w+ A% K8 j printf("%s Error:%d\n", pErrorMsg, GetLastError()); $ p- i' x6 P. b' K! V% X) \% I closesocket(sockRaw); 7 y' A1 }, V" b- ^% G ExitProcess(-1); 3 q; g2 P* z0 A4 M } } - T2 I: ~. ?& b7 f2 b4 @$ X ; P, o+ D" \* ~2 U" b0 B6 n//计算检验和 ' `2 w+ B! v+ H& ^USHORT checksum(USHORT *buffer, int size) { 5 w" a$ Q) V& @0 I8 f5 n# i8 e unsigned long cksum=0; 4 ]/ `* B" r: B \# P; i while (size > 1) 3 Q3 R% L) T' B/ V- P' z { s6 z' u: ^& _7 C" d- Z cksum += *buffer++; * e9 u1 o6 D5 t+ T' W0 o size -= sizeof(USHORT); } 0 S6 v& H3 `* T- u if (size) / l- R. _% J5 q. d- U cksum += *(UCHAR*)buffer; ' S9 ?! T: A, p8 `# V+ H cksum = (cksum >> 16) + (cksum & 0xffff); cksum += (cksum >>16); ) M% I) ?7 q) d7 z8 W* h return (USHORT)(~cksum); } , J+ |: V8 \, C+ w- u & z/ {* x3 L" u# g1 ^3 n//IP解包程序 # y/ g- y6 w6 g# d# h3 Nint DecodeIPHeader(char *recvbuf, int bytes) { IP_HEADER *iphdr; " ]& t# _5 a. V: {2 y; ?) z2 b$ [ TCP_HEADER *tcphdr; 6 k( n% C/ Q4 q2 C H7 r unsigned short iphdrlen; iphdr = (IP_HEADER *)recvbuf; 2 k U/ u0 H5 ^5 e, \ i) E iphdrlen = sizeof(unsigned long) * (iphdr->h_lenver & 0xf); tcphdr = (TCP_HEADER*)(recvbuf + iphdrlen); 1 g/ [% l2 v2 U & ] g7 k0 H4 j7 D* o$ z+ a( x //是否来自目标IP if(iphdr->sourceIP != dest.sin_addr.s_addr) return 0; //序列号是否正确 if((ntohl(tcphdr->th_ack) != (SEQ+1)) && (ntohl(tcphdr->th_ack) != SEQ)) return 0; 3 k, W$ ~( H, ^, z! l& s //RST/ACK - 无服务 if(tcphdr->th_flag == 20) { - t- Z4 S" E8 Q4 U, c( ] printf("RST+ACK 无服务.\n"); 3 u% _6 q9 O# f, T0 `! E return 1; } //SYN/ACK - 扫描到一个端口 $ y0 \+ z( a# v& M/ l# C if(tcphdr ->th_flag == 18) # [# y8 m8 Q# D I { printf("%d\n",ntohs(tcphdr->th_sport)); return 2; ( d( t @0 X" o9 ?/ {, e } # ^# T% q- d. v& F- r 1 s! r. B- s- @6 F. P% t1 a% U2 _ return true; } //主函数 ; v9 r6 X( m5 Q% S# J* X" hint main(int argc,char *argv[]) { int iErrorCode; int datasize; ( ? d: q3 j: J' {" m" I5 A- x struct hostent *hp; ; u/ t& n6 N( J* g8 J) ^$ N IP_HEADER ip_header; TCP_HEADER tcp_header; char SendBuf[128]={0}; & ~4 f& Z* E6 }4 i char RecvBuf[65535]={0}; 7 m) i3 o" n" F( w* \- O/ U " h1 P% q t8 y printf("Useage: SYNPing.exe Target_ip Target_port \n"); - u d+ B. z* D F . n u' ^% Y8 F7 V1 J6 h2 ~ if (argc!=3) { return false; } //初始化SOCKET WSADATA wsaData; ' K* N5 J2 H7 [: s; k7 T) k iErrorCode = WSAStartup(MAKEWORD(2,2),&wsaData); 3 _1 B, D& h9 c2 {% A5 _- a CheckSockError(iErrorCode, "WSAStartup()"); sockRaw = socket(AF_INET , SOCK_RAW , IPPROTO_IP); 9 a3 h3 `6 Z! H, W! \ CheckSockError(sockRaw, "socket()"); 7 y% Q. B" \1 q& W6 m2 g3 p sockListen = socket(AF_INET , SOCK_RAW , IPPROTO_IP); + q1 y" ^ i" w+ G% @7 B0 Q CheckSockError(sockListen, "socket"); ! S# a5 x1 `. C8 U- ? //设置IP头操作选项 BOOL bOpt = true; iErrorCode = setsockopt(sockRaw,IPPROTO_IP,IP_HDRINCL,(char *)&bOpt,sizeof(bOpt)); ) O3 A1 B2 |7 X; I CheckSockError(iErrorCode, "setsockopt()"); . ]7 R9 ?' T0 [7 }/ n //获得本地IP SOCKADDR_IN sa; 2 ?: \* [* c5 U unsigned char LocalName[256]; - w b/ c& }: X m6 e4 ^" W5 S# h 0 N) T" C( o2 P! Q4 F+ p9 S iErrorCode = gethostname((char*)LocalName,sizeof(LocalName)-1); , o/ R. B: a( h+ Y CheckSockError(iErrorCode, "gethostname()"); if((hp = gethostbyname((char*)LocalName)) == NULL) & v, e9 D. E# L, U: w { $ D9 ~; f( U6 I B2 v! w CheckSockError(SOCKET_ERROR, "gethostbyname()"); 2 H+ \: q2 D/ ~: F5 ? } ; [7 v5 ?- a' d8 I: l$ i6 ~ memcpy(&sa.sin_addr.S_un.S_addr,hp->h_addr_list[0],hp->h_length); sa.sin_family = AF_INET; sa.sin_port = htons(7000); & r: ?5 j- j& T) S- z, v iErrorCode = bind(sockListen, (PSOCKADDR)&sa, sizeof(sa)); : W* z; w8 X/ e2 X CheckSockError(iErrorCode, "bind"); 4 ~, o) s# w3 J6 `$ w) L //设置SOCK_RAW为SIO_RCVALL，以便接收所有的IP包 8 i' W4 u4 y" G DWORD dwBufferLen[10] ; DWORD dwBufferInLen = 1 ; 7 m1 A2 j* `0 o0 y0 T DWORD dwBytesReturned = 0 ; / \+ I S) w- }. @2 r0 s( P. R9 M iErrorCode=WSAIoctl(sockListen, SIO_RCVALL,&dwBufferInLen, sizeof(dwBufferInLen), &dwBufferLen, sizeof(dwBufferLen),&dwBytesReturned , NULL , NULL ); CheckSockError(iErrorCode, "Ioctl"); //获得目标主机IP memset(&dest,0,sizeof(dest)); ( Y# n: |7 _8 W4 B& d6 B& t- C dest.sin_family = AF_INET; `) x* t' f6 R0 S# v" i dest.sin_port = htons(atoi(argv[2])); 0 N) K4 ]4 l2 L1 \8 B if((dest.sin_addr.s_addr = inet_addr(argv[1])) == INADDR_NONE) ) M7 j" ]0 Z! J& n7 S L { ! L* J; W* {0 s( ~" z2 y if((hp = gethostbyname(argv[1])) != NULL) { : \8 X9 ~" j+ E+ l memcpy(&(dest.sin_addr),hp->h_addr_list[0],hp->h_length); - C$ ~2 @( V/ q1 u7 d7 | dest.sin_family = hp->h_addrtype; printf("dest.sin_addr = %s\n",inet_ntoa(dest.sin_addr)); * q8 {) l$ \$ L. F } 8 U6 J! i- M8 G, o. i else { 0 H( I; Z Q; [6 d0 X7 P: R CheckSockError(SOCKET_ERROR, "gethostbyname()"); 7 O( i0 d2 B$ q3 I: O2 P } } 4 A8 `: l$ t% u- E$ _! V //填充IP首部 2 P1 Z. Z6 N& ]$ Q! E2 W ip_header.h_lenver=(4<<4 | sizeof(ip_header)/sizeof(unsigned long)); , S2 E9 P3 I! q( t8 L1 s //高四位IP版本号，低四位首部长度 1 `- v6 C" s& ^5 H, L0 f, _8 q0 b ip_header.total_len=htons(sizeof(IP_HEADER)+sizeof(TCP_HEADER)); //16位总长度（字节） ip_header.ident=1; //16位标识 ip_header.frag_and_flags=0; //3位标志位 $ Y* Y' Q( g8 }6 }5 F$ v' Y6 t% \ ip_header.ttl=128; //8位生存时间TTL , e# Z S( z( o7 K6 [2 o" t+ u* X ip_header.proto=IPPROTO_TCP; //8位协议(TCP,UDP…) ip_header.checksum=0; //16位IP首部校验和 ip_header.sourceIP=sa.sin_addr.s_addr; //32位源IP地址 ip_header.destIP=dest.sin_addr.s_addr; //32位目的IP地址 . \( k3 h. K% A/ W //填充TCP首部 . ^% K0 N" V- n8 W! d" w$ I: k- E tcp_header.th_sport=htons(7000); //源端口号 tcp_header.th_dport=htons(atoi(argv[2])); //目的端口号 1 Z- }! X" @' i# @1 C7 h tcp_header.th_seq=htonl(SEQ); //SYN序列号 tcp_header.th_ack=0; //ACK序列号置为0 9 f* K, y5 Z, Y: m. e tcp_header.th_lenres=(sizeof(TCP_HEADER)/4<<4|0); //TCP长度和保留位 2 _" d, I" M# t/ u2 u$ `+ V tcp_header.th_flag=2; //SYN 标志 ' T1 \( H* Z* K) A0 H$ L tcp_header.th_win=htons(16384); //窗口大小 2 u# T* c/ S( W0 j' {$ o# v1 X" U- F tcp_header.th_urp=0; //偏移 ) ~* [8 B) V; E5 q6 h; n tcp_header.th_sum=0; //校验和 m9 p( b# ^8 b- h2 D //填充TCP伪首部（用于计算校验和，并不真正发送） psd_header.saddr=ip_header.sourceIP; psd_header.daddr=ip_header.destIP; 6 O1 G% V5 Y" w; R# L# _, A psd_header.mbz=0; psd_header.ptcl=IPPROTO_TCP; , D. D& r4 e. Q7 E; c psd_header.tcpl=htons(sizeof(tcp_header)); # p- ? G3 Z& B; [+ [9 O* C , M! m# \8 o8 X( e g //计算TCP校验和，计算校验和时需要包括TCP pseudo header memcpy(SendBuf,&psd_header,sizeof(psd_header)); - N5 L4 ^+ u5 F" N3 s& l memcpy(SendBuf+sizeof(psd_header),&tcp_header,sizeof(tcp_header)); tcp_header.th_sum=checksum((USHORT *)SendBuf,sizeof(psd_header)+sizeof(tcp_header)); 2 [/ d2 F: [( ~ _7 \5 _ //计算IP校验和 / q# L7 G4 Q; f: Y$ Q7 z memcpy(SendBuf,&ip_header,sizeof(ip_header)); memcpy(SendBuf+sizeof(ip_header),&tcp_header,sizeof(tcp_header)); memset(SendBuf+sizeof(ip_header)+sizeof(tcp_header),0,4); datasize=sizeof(ip_header)+sizeof(tcp_header); ip_header.checksum=checksum((USHORT *)SendBuf,datasize); , r- H" w9 U) n: W: L //填充发送缓冲区 memcpy(SendBuf,&ip_header,sizeof(ip_header)); 8 a; y7 w: w& O; f$ K* b6 j+ z //发送TCP报文 : _& ~/ s/ O9 u+ \ iErrorCode=sendto(sockRaw,SendBuf,datasize,0,(struct sockaddr*) &dest,sizeof(dest)); 6 u" l8 O6 x- i CheckSockError(iErrorCode, "sendto()"); 5 z% M4 X& Y0 k9 X$ W //接收数据 7 ~! z7 z7 V! ~3 i% D& s DWORD timeout = 200000;//2000 DWORD start = GetTickCount(); while(true) " y* r6 V. U* T { ; h" F' I- q" ~& X/ z //计时,2s超时 $ q4 O4 e4 Q! l, t0 s8 g; ^ if((GetTickCount() - start) >= timeout) break; ! E% w! b- I/ `8 o6 A2 y- F memset(RecvBuf, 0, sizeof(RecvBuf)); iErrorCode = recv(sockListen, RecvBuf, sizeof(RecvBuf), 0); 6 \! L; v9 a1 ? CheckSockError(iErrorCode, "recv"); if(int i = DecodeIPHeader(RecvBuf,iErrorCode)) ! z! W9 }7 e3 K4 M { if(i == 1) break; tcp_header.th_flag=4; //RST 标志 //计算TCP校验和，计算校验和时需要包括TCP pseudo header 6 U# f- h4 J7 U5 X. }; G memcpy(SendBuf,&psd_header,sizeof(psd_header)); 7 a. l- j1 l! p/ k memcpy(SendBuf+sizeof(psd_header),&tcp_header,sizeof(tcp_header)); tcp_header.th_sum=checksum((USHORT *)SendBuf,sizeof(psd_header)+sizeof(tcp_header)); : @( i7 K8 w- p! l* K% P# e - G( b- S/ z/ i8 K+ f* H& r5 b //计算IP校验和 memcpy(SendBuf,&ip_header,sizeof(ip_header)); . l. T3 K W; T memcpy(SendBuf+sizeof(ip_header),&tcp_header,sizeof(tcp_header)); # N" B( i( O0 s6 H memset(SendBuf+sizeof(ip_header)+sizeof(tcp_header),0,4); datasize=sizeof(ip_header)+sizeof(tcp_header); ; O; U" L4 ^& E6 D& H% B7 |+ e ip_header.checksum=checksum((USHORT *)SendBuf,datasize); " \8 a8 S0 j# E4 \- y+ ]1 ~& m! e- J //填充发送缓冲区 memcpy(SendBuf,&ip_header,sizeof(ip_header)); 6 X f( R5 B- u ( G0 t% j3 g; t- w5 M //发送TCP报文 iErrorCode=sendto(sockRaw,SendBuf,datasize,0,(struct sockaddr*) &dest, sizeof(dest)); CheckSockError(iErrorCode, "sendto()"); . ], f G# e+ _/ m" A+ K* X break; } 1 F$ M0 u! X4 ]' ^ C7 Y& N+ A } //退出前清理 if(sockRaw != INVALID_SOCKET) closesocket(sockRaw); WSACleanup(); 5 `. V% M3 S5 R4 q+ k return 0; } - t s% ` z! ?* L( v: {1 w, d5 t1 X * G- w" [% _: @* g8 C

zero

恩,有用,有用