libpcap không thể nắm bắt các đoạn IP

Question

Tôi muốn chụp các gói UDP được định hướng đến một cổng cục bộ, biểu thức lọc giống như udp port 20000. Tôi nhận thấy nếu có phân mảnh IP trên gói UDP, libpcap chỉ có thể nắm bắt đoạn IP đầu tiên. Tôi đoán lý do là đoạn IP thứ hai không có tiêu đề UDP (tôi nghĩ nó giống với TCP), vì vậy libpcap không thể chụp chúng bằng cách sử dụng bộ lọc express udp port 20000.

có cách giải quyết nào cho vấn đề này không? hoặc bất kỳ thư viện nào khác có thể nắm bắt các gói tin đến một cổng cục bộ cụ thể?

cảm ơn!

Answer 1

Tôi đoán lý do là đoạn IP thứ hai là không phải với tiêu đề UDP (tôi nghĩ rằng nó là như nhau cho TCP), vì vậy libpcap không thể nắm bắt chúng bằng cách sử dụng bộ lọc hiện cổng udp 20000.

Vâng, đó là chính xác.

Bạn có thể thử udp port 20000 or (ip[6:2] & 0x1fff) != 0, sẽ thu thập các gói đến hoặc từ cổng 20000 và các đoạn IP khác với đoạn đầu tiên; đó không phải là lý tưởng, nhưng tất cả những gì bạn có thể làm với các bộ lọc libpcap, vì cơ chế bộ lọc mà nó sử dụng (là một phần của hạt nhân OS) không duy trì bất kỳ lịch sử nào giữa các gói, và do đó không có cách nào để biết rằng IP ID được cho là một phần của cùng một phân đoạn như một gói khác có cùng ID IP, độ lệch mảnh 0 và tiêu đề UDP với cổng 20000.

(Cũng lưu ý rằng ít nhất một số phiên bản Linux sẽ truyền các mảnh của một gói dữ liệu IP theo thứ tự đảo ngược - để cho phép người nhận xem đoạn cuối cùng trước tiên, và do đó có thể thường xuyên ước tính chính xác kích thước của gói đã được tập hợp lại. Điều đó sẽ làm cho thậm chí nhiều hơn khó khăn để nắm bắt tất cả các mảnh của gói IP với một bộ lọc kiểm tra các trường trong tiêu đề TCP hoặc UDP.)