一个上课用的SOCKET编程的例子：SYN端口扫描的例子

煎饼

老师用的这个例子，使我对TCP连接的握手过程有了深切的理解，以往的疑惑也豁然开朗，不敢独享，愿与大家共同分享。更多的东西来自材纺： file:\\192.168.11.1\高级程序设计 有关IP数据包，TCP，UDP数据包的结构以及数据的功能，请查看：《TCP/IP协议详解 卷一：协议》或者 RFC文档http://www.china-pub.com/computers/eMook/emooknew/RFC/allrfc.asp?selectP= + ^- s1 `8 t j6 \& h3 V0 s ; H0 `3 C* E# t3 X7 d# e/* 3 |% |3 E( C* U$ ~. C8 P经典描器（全TCP连接）和SYN（半连接）扫描器 ' M, t b. n( T+ G1 G* }全TCP连接 　　全TCP连接是长期以来TCP端口扫描的基础。扫描主机尝试（使用三次握手）与目的机指定端口建立建立正规的连接。 连接由系统调用connect()开始。对于每一个监听端口，connect()会获得成功，否则返回－1，表示端口不可访问。 　　这种扫描方法很容易检测出来，在日志文件中会有大量密集的连接和错误记录）。 ( v0 ?/ W# S1 B- P9 X+ ITCP SYN扫描 　　在这种技术中，扫描主机向目标主机的选择端口发送SYN数据段。如果应答是RST，那么说明端口是关闭的，按照设定就探听其它端口；如果应答中包含SYN和ACK，说明目标端口处于监听状态。由于所有的扫描主机都需要知道这个信息，传送一个RST给目标机从而停止建立连接。由于在SYN扫描时，全连接尚未建立，所以这种技术通常被称为半打开扫描。 3 z3 \# D5 l& V' a! i, K SYN扫描的优点在于即使日志中对扫描有所记录，但是尝试进行连接的记录也要比全扫描少得多。缺点是在大部分操作系统下，发送主机需要构造适用于这种扫描的IP包，通常情况下，构造SYN数据包需要超级用户或者授权用户访问专门的系统调用。 & b! q5 V! X6 f 9 f/ c+ h# Y3 Q" r' x7 P 一个TCP头包含6个标志位。它们的意义分别为： SYN: 标志位用来建立连接，让连接双方同步序列号。如果SYN＝1而ACK=0，则表示该数据包为连接请求，如果SYN=1而ACK=1则表示接受连接。 FIN: 表示发送端已经没有数据要求传输了，希望释放连接。 RST: 用来复位一个连接。RST标志置位的数据包称为复位包。一般情况下，如果TCP收到的一个分段明显不是属于该主机上的任何一个连接，则向远端发送一个复位包。 + |' Q- [1 a1 U, ]+ F$ O% X5 eURG: 为紧急数据标志。如果它为1，表示本数据包中包含紧急数据。此时紧急数据指针有效。 & z& z# b3 h1 h+ }3 a6 ~ACK: 为确认标志位。如果为1，表示包中的确认号时有效的。否则，包中的确认号无效。 PSH: 如果置位，接收端应尽快把数据传送给应用层。 , S+ P* T6 M0 l& p/ l9 }端口扫描技术（port scanning） / L/ K- b4 h- P E　　 　　端口扫描就是通过连接到目标系统的TCP或UDP端口，来确定什么服务正在运行。一般来说端口扫描有三个用途： 　　 * 识别目标系统上正在运行的TCP和UDP服务。 　　 * 识别目标系统的操作系统类型（Windows 9x, Windows NT，或UNIX，等）。 　　 * 识别某个应用程序或某个特定服务的版本号。 1 z0 k- p$ G0 y# w' V7 z+ R* L　　 & u& g3 w u& ]+ E1 v9 j　　端口扫描技术： 　　 1. TCP connect scan：这种方法最简单，直接连到目标端口并完成一个完整的三次握手过程（SYN, SYN/ACK, 和ACK）。缺点是容易被目标系统检测到。 % Y' F" }. q. s3 q; B( N N　　 2. TCP SYN scan：这种技术也叫“半开式扫描”（half-open scanning），因为它没有完成一个完整的TCP连接。这种方法向目标端口发送一个SYN分组（packet），如果目标端口返回SYN/ACK，那么可以肯定该端口处于检听状态；否则，返回的是RST/ACK。这种方法比第一种更具隐蔽性，可能不会在目标系统中留下扫描痕迹。 　　 3. TCP FIN scan：这种方法向目标端口发送一个FIN分组。按RFC793的规定（http://www.ietf.org/rfc/rfc0793.txt），对于所有关闭的端口，目标系统应该返回RST标志。这种方法通常用在基于UNIX的TCP/IP堆栈。 　　 4. TCP Xmas Tree scan：这种方法向目标端口发送一个含有FIN, URG,和PUSH标志的分组。根据RFC793，对于所有关闭的端口，目标系统应该返回RST标志。 　　 5. TCP Null scan：这种方法向目标端口发送一个不包含任何标志的分组。根据RFC793，对于所有关闭的端口，目标系统应该返回RST标志。 　　 6. UDP scan：这种方法向目标端口发送一个UDP分组。如果目标端口以“ICMP port unreachable”消息响应，那么说明该端口是关闭的；反之，如果没有收到“ICMP port unreachable”响应消息，则可以肯定该端口是打开的。由于UDP协议是面向无连接的协议，这种扫描技术的精确性高度依赖于网络性能和系统资源。另外，如果目标系统采用了大量分组过滤技术，那么UDP扫描过程会变得非常慢。如果你想对Internet进行UDP扫描，那么你不能指望得到可靠的结果。 　　 6 Z% ?+ [( J4 A4 H1 K8 w4 |　　另外，有某种系统的IP协议是这样实现的，对于所有扫描的端口，不管他们处于关闭或者监听状态，都返回RST标志（我们知道，这不符合RFC793的规定）。因此，扫描这种系统时，用不同的扫描技术可能得到不同的扫描结果。 　　 , h7 s1 W1 ]# a/ p0 `2 D　　 */ #include #include #include " A6 j- n5 e/ j# C* u( T#include "mstcpip.h" $ O* w$ p( n. Z' R' T& [& G; e#pragma comment(lib,"ws2_32") #define SEQ 0x28376839 * D+ r% ^: n9 C" Y/ q; V9 r l' a2 J1 X' c" F 4 @4 [2 o% y, x. d' K# v& B3 U * u) c6 b4 y6 ?* q //ip数据包的首部数据结构 , @$ q& `9 M: ^+ |! j# S) Ftypedef struct _iphdr { unsigned char h_lenver; //4位首部长度+4位IP版本号 unsigned char tos; //8位服务类型TOS t+ Z% O4 n* X" g9 Q5 w: _ unsigned short total_len; //16位总长度（字节） unsigned short ident; //16位标识 unsigned short frag_and_flags; //3位标志位 , Z2 W. f- R+ l unsigned char ttl; //8位生存时间 TTL ) t4 c6 k3 v3 r/ _8 I unsigned char proto; //8位协议 (TCP, UDP 或其他) unsigned short checksum; //16位IP首部校验和 - K- G6 Q0 g$ E, }2 Q5 M% a unsigned int sourceIP; //32位源IP地址 unsigned int destIP; //32位目的IP地址 }IP_HEADER; ( _- H# C& Z9 R- ? typedef struct _tcphdr //定义TCP首部 ) K+ ^3 |2 D) u# S! z# z# v{ ^( k+ m! e- i5 p# V( j USHORT th_sport; //16位源端口 USHORT th_dport; //16位目的端口 # N& [ _4 W) c8 [7 L9 \ unsigned int th_seq; //32位序列号 unsigned int th_ack; //32位确认号 . e" _/ l N+ c: v unsigned char th_lenres; //4位首部长度/6位保留字 5 N2 h" C9 z3 j unsigned char th_flag; //6位标志位 ) U! K# I/ y2 m" {. H5 m! g USHORT th_win; //16位窗口大小 USHORT th_sum; //16位校验和 ' n' V$ E% E* V$ Y0 N3 S; R USHORT th_urp; //16位紧急数据偏移量 }TCP_HEADER; struct //定义TCP伪首部 ! ^/ O0 i% Y; B$ r; _& g{ unsigned long saddr; //源地址 ' c" ^% j8 a8 b- P" ~9 t( U/ E unsigned long daddr; //目的地址 ! K( v: V* g: P1 ?/ ?. } char mbz; char ptcl; //协议类型 a/ n* T" z2 c0 _& I6 k+ y. E unsigned short tcpl; //TCP长度 }psd_header; # o6 @- A* p4 h- p , u, k; i1 W6 ]SOCKET sockRaw = INVALID_SOCKET, sockListen = INVALID_SOCKET; struct sockaddr_in dest; 5 {+ e; x R, i% } G& W//SOCK错误处理程序 void CheckSockError(int iErrorCode, char *pErrorMsg) ; z" T) W0 {, p9 I* c{ if(iErrorCode==SOCKET_ERROR) { printf("%s Error:%d\n", pErrorMsg, GetLastError()); closesocket(sockRaw); 3 }: J$ R7 I1 T* p/ j ExitProcess(-1); 3 h! S/ U8 @5 X } } 4 ]3 n0 T- \: I 1 r8 r) K* u: {1 d5 U7 r. [//计算检验和 8 V2 d+ Y2 s! K' E. m# [USHORT checksum(USHORT *buffer, int size) $ J, s+ I8 c. f9 O{ unsigned long cksum=0; $ x9 Q$ k# z D9 n while (size > 1) . i( _7 E8 V, r! m! Z! c. K { / i: E9 F A! }. c$ F+ C( p$ d cksum += *buffer++; size -= sizeof(USHORT); $ E; O$ L( M% g" r } % w9 P2 b9 ?5 l" U" w+ @/ Q) B) j if (size) cksum += *(UCHAR*)buffer; 4 s% f- O: `1 L- w% `& r cksum = (cksum >> 16) + (cksum & 0xffff); cksum += (cksum >>16); return (USHORT)(~cksum); } ; U) G$ f* Z! B$ Z4 u //IP解包程序 ; U( X6 o! x: ?: P: l+ Y+ W9 rint DecodeIPHeader(char *recvbuf, int bytes) { IP_HEADER *iphdr; ( K. n: S" Y9 _/ e5 j: O; s2 n- l7 s TCP_HEADER *tcphdr; 9 @* n2 v- I- ?) O unsigned short iphdrlen; iphdr = (IP_HEADER *)recvbuf; ( ]8 _" u; `* g2 z5 D2 Y iphdrlen = sizeof(unsigned long) * (iphdr->h_lenver & 0xf); 6 F; @* }1 o0 e tcphdr = (TCP_HEADER*)(recvbuf + iphdrlen); 4 W! G/ P' Z/ L( T! G5 | 1 K4 B% K5 l' e1 @ //是否来自目标IP 9 t* p* b) T* K9 |' @ if(iphdr->sourceIP != dest.sin_addr.s_addr) return 0; + a+ U1 X4 V d% Q/ w //序列号是否正确 3 a: ?( ~/ e1 a- O if((ntohl(tcphdr->th_ack) != (SEQ+1)) && (ntohl(tcphdr->th_ack) != SEQ)) return 0; //RST/ACK - 无服务 if(tcphdr->th_flag == 20) 1 B% _3 y' s5 g9 A9 T { ! K* e% H3 R+ |" {$ J printf("RST+ACK 无服务.\n"); return 1; } 3 Z5 M9 B( Q" P0 k% m8 n3 Y4 T : u% F$ i) u& q* Y! n' p //SYN/ACK - 扫描到一个端口 . U$ r. Q8 V, n3 M1 y! ?( a if(tcphdr ->th_flag == 18) { printf("%d\n",ntohs(tcphdr->th_sport)); return 2; + C& |! A0 s o } 8 g. D+ K0 [' a* F; S3 L' K) | return true; $ T2 _/ q) G0 u) P} 0 Z" A+ L7 x" l+ B, w //主函数 ; Y7 b" l' Q1 y. R( wint main(int argc,char *argv[]) { int iErrorCode; int datasize; struct hostent *hp; " j8 q0 q) w- U7 s3 r" @ IP_HEADER ip_header; 4 B2 z! Q- E+ y8 X% t, n) ~0 U8 x TCP_HEADER tcp_header; char SendBuf[128]={0}; 0 M% }, s1 B, q, }. Y3 U* e char RecvBuf[65535]={0}; printf("Useage: SYNPing.exe Target_ip Target_port \n"); ' K: X+ {/ r: c2 A/ C( d8 S' Q: w if (argc!=3) 3 a+ f8 ` I! s' d { return false; } ! v# Y5 Q$ ]5 s" | 7 O& O+ J0 y q% T) i //初始化SOCKET WSADATA wsaData; iErrorCode = WSAStartup(MAKEWORD(2,2),&wsaData); 3 W1 ~( z8 |2 L H% h! s" d CheckSockError(iErrorCode, "WSAStartup()"); + [5 s" w9 p: `; i sockRaw = socket(AF_INET , SOCK_RAW , IPPROTO_IP); 6 ^# v. _* a9 [0 w0 }, }6 l CheckSockError(sockRaw, "socket()"); sockListen = socket(AF_INET , SOCK_RAW , IPPROTO_IP); CheckSockError(sockListen, "socket"); . ~4 v8 b0 ~9 m' x //设置IP头操作选项 BOOL bOpt = true; iErrorCode = setsockopt(sockRaw,IPPROTO_IP,IP_HDRINCL,(char *)&bOpt,sizeof(bOpt)); 5 L+ Y: M: S/ ?5 E4 g CheckSockError(iErrorCode, "setsockopt()"); //获得本地IP SOCKADDR_IN sa; * S$ \+ P- T, F% `) v unsigned char LocalName[256]; z- ` O& g7 o, k, F) Z 4 J y! L6 e( p; q. O' I% I, T iErrorCode = gethostname((char*)LocalName,sizeof(LocalName)-1); 7 [* `- J1 \; ?: V. I CheckSockError(iErrorCode, "gethostname()"); if((hp = gethostbyname((char*)LocalName)) == NULL) ; Z5 }4 v! b4 }' }. n- a/ E { CheckSockError(SOCKET_ERROR, "gethostbyname()"); } : g/ A$ @: `* i( H. X; a memcpy(&sa.sin_addr.S_un.S_addr,hp->h_addr_list[0],hp->h_length); $ H P. |0 R0 J% m$ H. ]$ A7 h3 S9 A5 m sa.sin_family = AF_INET; 5 j" Q# g. ?( P/ L sa.sin_port = htons(7000); + T- X5 o$ n" ^$ m$ Q0 S% G/ U, ^ iErrorCode = bind(sockListen, (PSOCKADDR)&sa, sizeof(sa)); CheckSockError(iErrorCode, "bind"); * f( z6 V0 y g* n. c- U ( d1 H2 {9 H5 B6 \/ M //设置SOCK_RAW为SIO_RCVALL，以便接收所有的IP包 DWORD dwBufferLen[10] ; 9 a* P8 p# {9 z4 F9 r8 j" M DWORD dwBufferInLen = 1 ; DWORD dwBytesReturned = 0 ; $ y1 K( p0 C# k2 R8 D1 T0 K9 g0 J iErrorCode=WSAIoctl(sockListen, SIO_RCVALL,&dwBufferInLen, sizeof(dwBufferInLen), 5 z+ G/ e2 Y* Q) s. P& o4 h &dwBufferLen, sizeof(dwBufferLen),&dwBytesReturned , NULL , NULL ); CheckSockError(iErrorCode, "Ioctl"); ; v$ K# p5 H4 W% J- `+ K6 | //获得目标主机IP " v) A8 t; S3 L- C% e8 \3 y2 X memset(&dest,0,sizeof(dest)); dest.sin_family = AF_INET; dest.sin_port = htons(atoi(argv[2])); if((dest.sin_addr.s_addr = inet_addr(argv[1])) == INADDR_NONE) * H" J6 X( g# i0 u8 ?' t3 ~ { if((hp = gethostbyname(argv[1])) != NULL) . ^) @/ S+ V w9 n' x7 c { memcpy(&(dest.sin_addr),hp->h_addr_list[0],hp->h_length); : t1 r1 d0 R) l- H; l/ J dest.sin_family = hp->h_addrtype; + r ^) i' v* q printf("dest.sin_addr = %s\n",inet_ntoa(dest.sin_addr)); * C A, k1 Q V } ' R- u& ?4 L2 s& e q/ C7 p else { 1 d. |' z7 \8 o, P+ q9 [ CheckSockError(SOCKET_ERROR, "gethostbyname()"); 7 ~. e a- s8 J/ z; Y } ' o0 e/ Q/ u# \% \8 |% y } ( R) o, h) P5 o3 z$ Q //填充IP首部 b( Q+ |% }, ]1 `/ O' ^ ip_header.h_lenver=(4<<4 | sizeof(ip_header)/sizeof(unsigned long)); 2 s% d8 l' x& P( D! h //高四位IP版本号，低四位首部长度 ip_header.total_len=htons(sizeof(IP_HEADER)+sizeof(TCP_HEADER)); //16位总长度（字节） 1 K, V4 u/ b% G. P ip_header.ident=1; //16位标识 $ v4 N# |8 D+ O" P ip_header.frag_and_flags=0; //3位标志位 ip_header.ttl=128; //8位生存时间TTL 9 ^( T" E) V* O0 b. H: b! Z, h ip_header.proto=IPPROTO_TCP; //8位协议(TCP,UDP…) 4 R6 d* E: q0 n4 u: c0 \ @ ip_header.checksum=0; //16位IP首部校验和 ip_header.sourceIP=sa.sin_addr.s_addr; //32位源IP地址 # X) @( z" l s3 E ip_header.destIP=dest.sin_addr.s_addr; //32位目的IP地址 ( C: `# X1 N& ~8 }; @+ Q# i 7 z7 Q+ e9 q$ C5 B- c$ J //填充TCP首部 tcp_header.th_sport=htons(7000); //源端口号 tcp_header.th_dport=htons(atoi(argv[2])); //目的端口号 " Y' E: ]0 b: r$ W4 v/ m+ @ tcp_header.th_seq=htonl(SEQ); //SYN序列号 tcp_header.th_ack=0; //ACK序列号置为0 $ M/ x) p! U% |8 x tcp_header.th_lenres=(sizeof(TCP_HEADER)/4<<4|0); //TCP长度和保留位 tcp_header.th_flag=2; //SYN 标志 _8 L* v- r+ l$ i" q tcp_header.th_win=htons(16384); //窗口大小 9 _* x+ ]4 F6 K- X6 H tcp_header.th_urp=0; //偏移 . x/ U1 s7 _; ?( A5 L tcp_header.th_sum=0; //校验和 / [# M+ |; h8 J V1 b Y //填充TCP伪首部（用于计算校验和，并不真正发送） psd_header.saddr=ip_header.sourceIP; 6 L7 p; }7 g' B) q1 C9 r psd_header.daddr=ip_header.destIP; ' P' @! l8 J- i3 U- f psd_header.mbz=0; psd_header.ptcl=IPPROTO_TCP; % _9 l6 i( S4 k( { z: A; v psd_header.tcpl=htons(sizeof(tcp_header)); & D0 _* q. W% y* s ; u( y& u7 X0 K* R //计算TCP校验和，计算校验和时需要包括TCP pseudo header memcpy(SendBuf,&psd_header,sizeof(psd_header)); ' U8 ] H8 _: J8 f memcpy(SendBuf+sizeof(psd_header),&tcp_header,sizeof(tcp_header)); tcp_header.th_sum=checksum((USHORT *)SendBuf,sizeof(psd_header)+sizeof(tcp_header)); 1 t$ I2 [. M3 @$ z& D( n //计算IP校验和 memcpy(SendBuf,&ip_header,sizeof(ip_header)); memcpy(SendBuf+sizeof(ip_header),&tcp_header,sizeof(tcp_header)); memset(SendBuf+sizeof(ip_header)+sizeof(tcp_header),0,4); 7 w: t3 N4 X I7 K( L datasize=sizeof(ip_header)+sizeof(tcp_header); ip_header.checksum=checksum((USHORT *)SendBuf,datasize); . v1 e9 z5 A; D9 ^! R9 n5 H //填充发送缓冲区 3 r7 F9 T: s8 n# S% ]' \1 F memcpy(SendBuf,&ip_header,sizeof(ip_header)); : B5 \2 @' S/ K5 q$ L //发送TCP报文 iErrorCode=sendto(sockRaw,SendBuf,datasize,0,(struct sockaddr*) &dest,sizeof(dest)); 8 m" l q0 p; B6 H g: @0 M CheckSockError(iErrorCode, "sendto()"); . z4 S6 ^3 R% I! i& z$ F //接收数据 " E8 H% c& G: I/ N DWORD timeout = 200000;//2000 ' f. T$ Y8 p Q" z: Q& w z4 N+ l% e DWORD start = GetTickCount(); 5 X7 h. ?+ b/ i, w' y* g while(true) . {4 ^8 q1 |% k. Y& V' v { 0 o% f0 ~" S5 k2 S. [0 l) I' c% @2 t //计时,2s超时 & T2 @1 J6 _6 C( E2 Q if((GetTickCount() - start) >= timeout) break; 8 v( f8 j' G8 Q9 \ memset(RecvBuf, 0, sizeof(RecvBuf)); iErrorCode = recv(sockListen, RecvBuf, sizeof(RecvBuf), 0); CheckSockError(iErrorCode, "recv"); 0 N3 d% w4 L$ \- m K& J- Q if(int i = DecodeIPHeader(RecvBuf,iErrorCode)) # O' {1 k' C+ O4 ]( P4 g { 3 h; A& w* P. c/ B, P) |5 e9 t if(i == 1) break; tcp_header.th_flag=4; //RST 标志 6 g7 u+ p( u" P" k8 c Q! s8 C //计算TCP校验和，计算校验和时需要包括TCP pseudo header : v0 m. z5 {7 Z& s& T I/ g memcpy(SendBuf,&psd_header,sizeof(psd_header)); ) ^1 `% ^- q4 L* l* u+ X memcpy(SendBuf+sizeof(psd_header),&tcp_header,sizeof(tcp_header)); 4 S6 @" w7 Q, ~& T9 F$ M z: n tcp_header.th_sum=checksum((USHORT *)SendBuf,sizeof(psd_header)+sizeof(tcp_header)); - z, M1 p% ^8 W1 M9 u$ p: G0 a //计算IP校验和 memcpy(SendBuf,&ip_header,sizeof(ip_header)); memcpy(SendBuf+sizeof(ip_header),&tcp_header,sizeof(tcp_header)); 3 `; d0 f+ T i& e% z( d memset(SendBuf+sizeof(ip_header)+sizeof(tcp_header),0,4); 6 Y. T5 Y+ w, I' c datasize=sizeof(ip_header)+sizeof(tcp_header); * U4 [* x# A% y6 t) s ip_header.checksum=checksum((USHORT *)SendBuf,datasize); //填充发送缓冲区 9 [. } ~% ~% Y1 f, z# n memcpy(SendBuf,&ip_header,sizeof(ip_header)); " s/ X, Z' i0 r% ]9 n //发送TCP报文 iErrorCode=sendto(sockRaw,SendBuf,datasize,0,(struct sockaddr*) &dest, sizeof(dest)); CheckSockError(iErrorCode, "sendto()"); " T6 i' G& K3 W5 B & C* M; v, s( n3 ` break; } } //退出前清理 # j1 g# }" I( F* g if(sockRaw != INVALID_SOCKET) closesocket(sockRaw); WSACleanup(); 8 S3 A7 G8 L& g0 X. B0 N7 t* W. ^ return 0; } ( z) s) b0 G4 s* \, S

zero

恩,有用,有用