一个上课用的SOCKET编程的例子：SYN端口扫描的例子

煎饼

老师用的这个例子，使我对TCP连接的握手过程有了深切的理解，以往的疑惑也豁然开朗，不敢独享，愿与大家共同分享。更多的东西来自材纺： file:\\192.168.11.1\高级程序设计 有关IP数据包，TCP，UDP数据包的结构以及数据的功能，请查看：《TCP/IP协议详解 卷一：协议》或者 7 L$ L' A8 W8 M- S6 {RFC文档http://www.china-pub.com/computers/eMook/emooknew/RFC/allrfc.asp?selectP= 3 P0 R8 h- z9 W, H /* 7 ^2 C) c3 }6 }9 T( O0 T. w经典描器（全TCP连接）和SYN（半连接）扫描器 $ ?7 v: H C5 x2 f; y全TCP连接 　　全TCP连接是长期以来TCP端口扫描的基础。扫描主机尝试（使用三次握手）与目的机指定端口建立建立正规的连接。 ; s9 N: r( a( E1 G. J' C# W连接由系统调用connect()开始。对于每一个监听端口，connect()会获得成功，否则返回－1，表示端口不可访问。 　　这种扫描方法很容易检测出来，在日志文件中会有大量密集的连接和错误记录）。 7 g; N- T" K& `' t4 ]3 t3 ]TCP SYN扫描 　　在这种技术中，扫描主机向目标主机的选择端口发送SYN数据段。如果应答是RST，那么说明端口是关闭的，按照设定就探听其它端口；如果应答中包含SYN和ACK，说明目标端口处于监听状态。由于所有的扫描主机都需要知道这个信息，传送一个RST给目标机从而停止建立连接。由于在SYN扫描时，全连接尚未建立，所以这种技术通常被称为半打开扫描。 SYN扫描的优点在于即使日志中对扫描有所记录，但是尝试进行连接的记录也要比全扫描少得多。缺点是在大部分操作系统下，发送主机需要构造适用于这种扫描的IP包，通常情况下，构造SYN数据包需要超级用户或者授权用户访问专门的系统调用。 # L1 s1 ?9 j G |$ A2 B2 H: g; f& ^9 B 8 O0 A# n9 y$ R% ? 一个TCP头包含6个标志位。它们的意义分别为： SYN: 标志位用来建立连接，让连接双方同步序列号。如果SYN＝1而ACK=0，则表示该数据包为连接请求，如果SYN=1而ACK=1则表示接受连接。 ) u: O9 p- y0 j( H! ^* aFIN: 表示发送端已经没有数据要求传输了，希望释放连接。 7 ?- K9 ^; k L: r. }$ Z1 Y6 s: gRST: 用来复位一个连接。RST标志置位的数据包称为复位包。一般情况下，如果TCP收到的一个分段明显不是属于该主机上的任何一个连接，则向远端发送一个复位包。 3 v2 E* k& c( g8 l4 JURG: 为紧急数据标志。如果它为1，表示本数据包中包含紧急数据。此时紧急数据指针有效。 4 h! H* g& j4 E: \ACK: 为确认标志位。如果为1，表示包中的确认号时有效的。否则，包中的确认号无效。 PSH: 如果置位，接收端应尽快把数据传送给应用层。 4 v0 p$ z2 m1 ~0 ]* v端口扫描技术（port scanning） 　　 : g2 U' O1 g. ~, P; J" P. w8 @　　端口扫描就是通过连接到目标系统的TCP或UDP端口，来确定什么服务正在运行。一般来说端口扫描有三个用途： . J2 j) r( s% V) h. k: T　　 * 识别目标系统上正在运行的TCP和UDP服务。 　　 * 识别目标系统的操作系统类型（Windows 9x, Windows NT，或UNIX，等）。 , ~# F6 J+ H8 C* n　　 * 识别某个应用程序或某个特定服务的版本号。 　　 　　端口扫描技术： 　　 1. TCP connect scan：这种方法最简单，直接连到目标端口并完成一个完整的三次握手过程（SYN, SYN/ACK, 和ACK）。缺点是容易被目标系统检测到。 : r) O; U" J1 D7 g$ |　　 2. TCP SYN scan：这种技术也叫“半开式扫描”（half-open scanning），因为它没有完成一个完整的TCP连接。这种方法向目标端口发送一个SYN分组（packet），如果目标端口返回SYN/ACK，那么可以肯定该端口处于检听状态；否则，返回的是RST/ACK。这种方法比第一种更具隐蔽性，可能不会在目标系统中留下扫描痕迹。 - b- E5 v+ f, Q% `5 }3 D* [0 \　　 3. TCP FIN scan：这种方法向目标端口发送一个FIN分组。按RFC793的规定（http://www.ietf.org/rfc/rfc0793.txt），对于所有关闭的端口，目标系统应该返回RST标志。这种方法通常用在基于UNIX的TCP/IP堆栈。 　　 4. TCP Xmas Tree scan：这种方法向目标端口发送一个含有FIN, URG,和PUSH标志的分组。根据RFC793，对于所有关闭的端口，目标系统应该返回RST标志。 ; e4 r/ {) @- \: A: p　　 5. TCP Null scan：这种方法向目标端口发送一个不包含任何标志的分组。根据RFC793，对于所有关闭的端口，目标系统应该返回RST标志。 　　 6. UDP scan：这种方法向目标端口发送一个UDP分组。如果目标端口以“ICMP port unreachable”消息响应，那么说明该端口是关闭的；反之，如果没有收到“ICMP port unreachable”响应消息，则可以肯定该端口是打开的。由于UDP协议是面向无连接的协议，这种扫描技术的精确性高度依赖于网络性能和系统资源。另外，如果目标系统采用了大量分组过滤技术，那么UDP扫描过程会变得非常慢。如果你想对Internet进行UDP扫描，那么你不能指望得到可靠的结果。 　　 　　另外，有某种系统的IP协议是这样实现的，对于所有扫描的端口，不管他们处于关闭或者监听状态，都返回RST标志（我们知道，这不符合RFC793的规定）。因此，扫描这种系统时，用不同的扫描技术可能得到不同的扫描结果。 　　 ' O9 D9 K: U. `+ O: G, N　　 5 r& }9 W3 V+ {/ C) S: R% `*/ #include 7 p4 t; e: V! e! R: t" s5 ?#include ! S1 u' \# W+ T- H1 _2 ~9 O#include #include "mstcpip.h" #pragma comment(lib,"ws2_32") 5 s* [$ X# Q( N- W$ L$ v) N2 E #define SEQ 0x28376839 ! ]8 m. K1 D1 z8 I' f . i7 O/ V% {3 J+ w8 q# Z1 k! Y //ip数据包的首部数据结构 ; D6 l# }4 g0 X! ntypedef struct _iphdr ! h R. R' I1 F# p+ Q9 M" { S8 j{ unsigned char h_lenver; //4位首部长度+4位IP版本号 unsigned char tos; //8位服务类型TOS y8 i0 L3 i# J: x- L unsigned short total_len; //16位总长度（字节） unsigned short ident; //16位标识 ; I* |# }4 t, T. `6 x6 M unsigned short frag_and_flags; //3位标志位 4 \( V+ `) U3 i3 n$ V unsigned char ttl; //8位生存时间 TTL unsigned char proto; //8位协议 (TCP, UDP 或其他) unsigned short checksum; //16位IP首部校验和 unsigned int sourceIP; //32位源IP地址 % x6 T, t( `3 Y* z unsigned int destIP; //32位目的IP地址 }IP_HEADER; 1 ^3 b- y( [3 o2 H typedef struct _tcphdr //定义TCP首部 ' y9 {9 H$ p1 @+ t$ z/ o{ 7 E# ~- Y. @- d5 L$ I/ p, v USHORT th_sport; //16位源端口 USHORT th_dport; //16位目的端口 : Y n" ?2 w) [4 x3 a unsigned int th_seq; //32位序列号 8 ~+ U! ]& A h' U5 e% m2 X+ d unsigned int th_ack; //32位确认号 unsigned char th_lenres; //4位首部长度/6位保留字 1 D/ c/ j, ^3 d' |+ t) h( m+ } unsigned char th_flag; //6位标志位 USHORT th_win; //16位窗口大小 3 s. Y6 l1 I% H6 r. h! E USHORT th_sum; //16位校验和 7 L" y) H- T) r$ X USHORT th_urp; //16位紧急数据偏移量 1 _: z. P. ]5 R4 M# a! y+ g}TCP_HEADER; ; F* h2 q, m+ X1 t$ Z9 }4 z# |struct //定义TCP伪首部 { ) ]$ G, ~/ _) C, u unsigned long saddr; //源地址 $ `" Z [' `/ [/ Z' W$ d( P2 ? unsigned long daddr; //目的地址 / i) Z: \- M2 B( z% j2 f, R char mbz; # f2 |- I N5 G V" z char ptcl; //协议类型 0 k. y( s' x( u/ I3 Z! c" f, @ unsigned short tcpl; //TCP长度 }psd_header; SOCKET sockRaw = INVALID_SOCKET, 2 {7 R8 X0 j* l( I4 d$ u5 D, _$ nsockListen = INVALID_SOCKET; struct sockaddr_in dest; # s3 c' ?$ b, N2 Q % I: P# g) o8 ]% J; Y' _//SOCK错误处理程序 6 S" k0 y- L4 v2 y Y; Jvoid CheckSockError(int iErrorCode, char *pErrorMsg) ' R P. j Q( t' I4 s8 V3 u1 a{ if(iErrorCode==SOCKET_ERROR) + w$ l1 s: @& [+ @6 Q/ p { printf("%s Error:%d\n", pErrorMsg, GetLastError()); 3 t& T/ d5 W) g closesocket(sockRaw); ExitProcess(-1); } } 8 V6 a$ V, w" v8 w; R n9 t" E //计算检验和 USHORT checksum(USHORT *buffer, int size) { unsigned long cksum=0; 0 f! S8 o5 D5 s: d. i# Y6 j0 i while (size > 1) { % s! B0 y% g. w2 }! W! D' T cksum += *buffer++; + f; R; f7 W! \: t7 Y+ X size -= sizeof(USHORT); } , x2 m! z; z* Y5 f( @) f. ? if (size) # l: [% q, M0 ?! y cksum += *(UCHAR*)buffer; ( b) s$ Y. c; |' P- b cksum = (cksum >> 16) + (cksum & 0xffff); cksum += (cksum >>16); 7 V. ?( _& v" N2 F2 S return (USHORT)(~cksum); " @. V! f( X1 n7 |6 S) E} # d& R! P, z: s/ h: ?$ `* T3 }//IP解包程序 8 f# T2 ~ ^* r$ ]) g# t0 Dint DecodeIPHeader(char *recvbuf, int bytes) - S% d" J2 B. w I7 {# E" |7 G5 B{ IP_HEADER *iphdr; 0 G6 w1 u7 y) D TCP_HEADER *tcphdr; + M( O0 ^0 b& A$ p unsigned short iphdrlen; 1 }1 k& @ n* V iphdr = (IP_HEADER *)recvbuf; iphdrlen = sizeof(unsigned long) * (iphdr->h_lenver & 0xf); * c) X* {2 {' c# s5 ^3 v tcphdr = (TCP_HEADER*)(recvbuf + iphdrlen); & X4 Y; U b: g) C" i. X0 g0 Q% _ //是否来自目标IP # Z( j9 |$ L F* [) @ if(iphdr->sourceIP != dest.sin_addr.s_addr) return 0; - d4 c' M+ u- h$ a. C6 T3 d- U9 z //序列号是否正确 ) i2 v" [; y6 j4 }3 X* e2 J: b if((ntohl(tcphdr->th_ack) != (SEQ+1)) && (ntohl(tcphdr->th_ack) != SEQ)) return 0; //RST/ACK - 无服务 . S0 o S. c; d* H if(tcphdr->th_flag == 20) { printf("RST+ACK 无服务.\n"); return 1; } / k0 R7 o7 J& {. g: A //SYN/ACK - 扫描到一个端口 4 k- L: C3 n1 Q5 i if(tcphdr ->th_flag == 18) { 0 H+ }5 _4 H0 A% v0 F# @ printf("%d\n",ntohs(tcphdr->th_sport)); I+ R" u% \; n3 A1 m# J return 2; 4 d! ]8 }2 }$ |7 c0 {5 \) b } ) n8 `5 v) s4 B $ m+ ?. \: |) k& V9 u return true; 6 H; j W `2 k# v; w# p} ; u. Z2 G: }8 s* V. j; O9 v( U" y' j//主函数 int main(int argc,char *argv[]) { . L2 C) W' }' u$ I3 R- M int iErrorCode; * G3 M; \5 y/ Q' H int datasize; 7 O c. o, L7 x, N struct hostent *hp; - `5 d/ n" |& `9 Q A! @ IP_HEADER ip_header; TCP_HEADER tcp_header; + H m) ]4 P o/ a, {" y7 v char SendBuf[128]={0}; & ^" r( o6 r1 h6 c char RecvBuf[65535]={0}; , j! [; Z' O9 `# K# |! q printf("Useage: SYNPing.exe Target_ip Target_port \n"); / c B! G" M. l3 ~ if (argc!=3) 8 J( F6 z( e5 `1 Q6 I% f { return false; } / }. Z/ E6 C% X $ G; J* }( d+ I' \8 Q) U; k q2 q7 J //初始化SOCKET WSADATA wsaData; t; D) U1 k& z; F0 g iErrorCode = WSAStartup(MAKEWORD(2,2),&wsaData); ( X, B; _9 ~8 D2 W8 a& ]- ^ CheckSockError(iErrorCode, "WSAStartup()"); " J/ p: [5 A, R0 O8 x! h sockRaw = socket(AF_INET , SOCK_RAW , IPPROTO_IP); CheckSockError(sockRaw, "socket()"); sockListen = socket(AF_INET , SOCK_RAW , IPPROTO_IP); 0 I: J; @# |0 e8 N# o CheckSockError(sockListen, "socket"); 6 m$ _; l1 |' d) Y //设置IP头操作选项 ; s6 W+ f2 @3 g0 |7 [ BOOL bOpt = true; . x2 [ I! i5 }# W+ F& p iErrorCode = setsockopt(sockRaw,IPPROTO_IP,IP_HDRINCL,(char *)&bOpt,sizeof(bOpt)); . Z% k5 \' w( [( Y9 S. I4 V CheckSockError(iErrorCode, "setsockopt()"); ) B9 |+ G, x& L ) I, J9 s$ O8 o" z' Z7 i //获得本地IP 2 N5 d; @4 o( }" `4 {1 i) F9 ?$ R/ l* s# b SOCKADDR_IN sa; M- H0 j# h$ x0 j( V: ?: l. B unsigned char LocalName[256]; 4 V2 `) I y+ q2 I1 }, c6 ] iErrorCode = gethostname((char*)LocalName,sizeof(LocalName)-1); 5 r n1 d5 H( ]1 {$ s2 `8 A CheckSockError(iErrorCode, "gethostname()"); ! i0 n/ J: l4 o9 z3 G" w if((hp = gethostbyname((char*)LocalName)) == NULL) |' j! g% A: g$ J# L/ ~0 v2 y { , q1 o' t1 K' M# Q CheckSockError(SOCKET_ERROR, "gethostbyname()"); 6 c; z/ U$ {& Q, I } memcpy(&sa.sin_addr.S_un.S_addr,hp->h_addr_list[0],hp->h_length); % A/ e. g# N% C3 d0 X7 q' p sa.sin_family = AF_INET; % j7 M! ^% M x3 P0 P& z sa.sin_port = htons(7000); & q. E5 u$ d8 g2 Z9 k8 Y iErrorCode = bind(sockListen, (PSOCKADDR)&sa, sizeof(sa)); CheckSockError(iErrorCode, "bind"); ! m1 L. _2 `. F+ ?+ e //设置SOCK_RAW为SIO_RCVALL，以便接收所有的IP包 DWORD dwBufferLen[10] ; DWORD dwBufferInLen = 1 ; & H) a# n! c& P6 h9 O7 q- Y8 e DWORD dwBytesReturned = 0 ; iErrorCode=WSAIoctl(sockListen, SIO_RCVALL,&dwBufferInLen, sizeof(dwBufferInLen), - X/ d. q8 w2 Y* R &dwBufferLen, sizeof(dwBufferLen),&dwBytesReturned , NULL , NULL ); 2 G% Y# q/ |$ g9 H6 T! q& D CheckSockError(iErrorCode, "Ioctl"); % a, J% ^0 \# r! l" Y //获得目标主机IP memset(&dest,0,sizeof(dest)); ' x5 Q: s1 ^4 I dest.sin_family = AF_INET; n& W9 e! d: F/ e0 q) X dest.sin_port = htons(atoi(argv[2])); if((dest.sin_addr.s_addr = inet_addr(argv[1])) == INADDR_NONE) { if((hp = gethostbyname(argv[1])) != NULL) { memcpy(&(dest.sin_addr),hp->h_addr_list[0],hp->h_length); * S+ ?' [( Q9 G- w3 T& @ dest.sin_family = hp->h_addrtype; printf("dest.sin_addr = %s\n",inet_ntoa(dest.sin_addr)); " A1 \( Z8 t9 v3 o: N } & B) Z+ F8 m4 I0 Y6 R else 9 F7 X H: F. e2 ]% c9 ^! e { 6 Z! E! t# P+ g% I5 B$ P- ? CheckSockError(SOCKET_ERROR, "gethostbyname()"); % z: P6 W B* z/ H A } 4 p! Z9 k& f1 z; u6 T' P# V } 2 f& D! \* h4 p6 s: U ) X* u% T1 m; p0 y, q0 z p3 [ //填充IP首部 % i: D& H! J% A" M ip_header.h_lenver=(4<<4 | sizeof(ip_header)/sizeof(unsigned long)); //高四位IP版本号，低四位首部长度 ip_header.total_len=htons(sizeof(IP_HEADER)+sizeof(TCP_HEADER)); //16位总长度（字节） ]& R* G) i9 K, Q; M, h ip_header.ident=1; //16位标识 " a6 @0 I/ |+ ^% s3 Q ip_header.frag_and_flags=0; //3位标志位 ip_header.ttl=128; //8位生存时间TTL ) H* E: t% s; C' V" a! c$ c ip_header.proto=IPPROTO_TCP; //8位协议(TCP,UDP…) ip_header.checksum=0; //16位IP首部校验和 ip_header.sourceIP=sa.sin_addr.s_addr; //32位源IP地址 ip_header.destIP=dest.sin_addr.s_addr; //32位目的IP地址 ) F: Q, ?' b" C Q : y: q) j2 N$ {) K0 {! m //填充TCP首部 * D6 d! b6 P4 v% ?1 n tcp_header.th_sport=htons(7000); //源端口号 tcp_header.th_dport=htons(atoi(argv[2])); //目的端口号 tcp_header.th_seq=htonl(SEQ); //SYN序列号 M% v) |! ^$ U- b2 _ tcp_header.th_ack=0; //ACK序列号置为0 tcp_header.th_lenres=(sizeof(TCP_HEADER)/4<<4|0); //TCP长度和保留位 1 g8 W' M+ P: I# \ tcp_header.th_flag=2; //SYN 标志 tcp_header.th_win=htons(16384); //窗口大小 tcp_header.th_urp=0; //偏移 * Q5 f! Y3 }, B7 O tcp_header.th_sum=0; //校验和 - r' c& z: \5 u" D5 [4 a //填充TCP伪首部（用于计算校验和，并不真正发送） psd_header.saddr=ip_header.sourceIP; psd_header.daddr=ip_header.destIP; . U! N% l) Z8 r0 O" k! B0 o psd_header.mbz=0; , `' o7 D, ^& }) |1 @0 O" j, Q psd_header.ptcl=IPPROTO_TCP; psd_header.tcpl=htons(sizeof(tcp_header)); 8 R9 `: Q1 B3 Y# P //计算TCP校验和，计算校验和时需要包括TCP pseudo header 7 w1 ?. |0 n' J) b2 S memcpy(SendBuf,&psd_header,sizeof(psd_header)); . Z/ o& v: i8 [ memcpy(SendBuf+sizeof(psd_header),&tcp_header,sizeof(tcp_header)); tcp_header.th_sum=checksum((USHORT *)SendBuf,sizeof(psd_header)+sizeof(tcp_header)); $ K) e& Z6 \9 M4 s2 }0 k //计算IP校验和 & f+ B3 j- g. y' m% ? memcpy(SendBuf,&ip_header,sizeof(ip_header)); memcpy(SendBuf+sizeof(ip_header),&tcp_header,sizeof(tcp_header)); ( s7 O' ]- }5 M% X$ Z, X1 E memset(SendBuf+sizeof(ip_header)+sizeof(tcp_header),0,4); datasize=sizeof(ip_header)+sizeof(tcp_header); ip_header.checksum=checksum((USHORT *)SendBuf,datasize); ( P5 y9 Y8 m" s0 y# i 1 I9 G* } B2 i$ S& g //填充发送缓冲区 1 j8 a1 Y6 y: ?7 G memcpy(SendBuf,&ip_header,sizeof(ip_header)); 9 w3 s p6 {, {8 A4 ^ //发送TCP报文 . z& h; x( o4 [5 B iErrorCode=sendto(sockRaw,SendBuf,datasize,0,(struct sockaddr*) &dest,sizeof(dest)); z8 V7 e6 C; @0 ]2 N1 C' A CheckSockError(iErrorCode, "sendto()"); //接收数据 $ f5 u! u3 X) M, V8 I4 V q" \! C DWORD timeout = 200000;//2000 / `! p" X" A' g% V% V DWORD start = GetTickCount(); while(true) l9 x) a1 s( G' c! Q, S+ F& Q: o { //计时,2s超时 if((GetTickCount() - start) >= timeout) break; 1 D; L6 M+ r6 n3 k6 W+ U memset(RecvBuf, 0, sizeof(RecvBuf)); ; k' y4 t3 b1 M& U iErrorCode = recv(sockListen, RecvBuf, sizeof(RecvBuf), 0); CheckSockError(iErrorCode, "recv"); 9 \% O" g/ a5 N! O 6 ?- P; s8 f' p if(int i = DecodeIPHeader(RecvBuf,iErrorCode)) + Q+ \; Y7 a( D8 N, V2 z/ E; }- ^ { # ~8 B, N! O' t" P' Z! V8 `7 P if(i == 1) break; tcp_header.th_flag=4; //RST 标志 //计算TCP校验和，计算校验和时需要包括TCP pseudo header memcpy(SendBuf,&psd_header,sizeof(psd_header)); - t! G- K3 T! p. a! Q5 e memcpy(SendBuf+sizeof(psd_header),&tcp_header,sizeof(tcp_header)); 1 d$ f1 }. o m tcp_header.th_sum=checksum((USHORT *)SendBuf,sizeof(psd_header)+sizeof(tcp_header)); //计算IP校验和 . `; c# Q, H# c$ v1 Z H! K memcpy(SendBuf,&ip_header,sizeof(ip_header)); % {0 s C" d+ K, [ memcpy(SendBuf+sizeof(ip_header),&tcp_header,sizeof(tcp_header)); memset(SendBuf+sizeof(ip_header)+sizeof(tcp_header),0,4); - P/ k7 K, `; Z6 _* v datasize=sizeof(ip_header)+sizeof(tcp_header); - R: o2 s' B3 ^- I5 }: o ip_header.checksum=checksum((USHORT *)SendBuf,datasize); //填充发送缓冲区 memcpy(SendBuf,&ip_header,sizeof(ip_header)); ' m/ {# Z; N' v3 J* d //发送TCP报文 % e, b( c$ j2 ?6 R% z0 m% H' ^- C" |$ h iErrorCode=sendto(sockRaw,SendBuf,datasize,0,(struct sockaddr*) &dest, sizeof(dest)); ' D( Y- U1 J1 N. `+ j: W; k) u2 N/ I CheckSockError(iErrorCode, "sendto()"); break; } } //退出前清理 6 z3 [3 |3 W i4 L0 s if(sockRaw != INVALID_SOCKET) closesocket(sockRaw); WSACleanup(); return 0; 1 q5 d* C8 }9 {# r1 P/ p} ( [# n3 }1 s0 o* c ( T9 e/ J2 `3 I; \4 F

zero

恩,有用,有用