python之分解以太帧

　　通过了解socket(int domain, int type, int protocol)接口，我们知道利用socket的AF_PACKET

或者PF_PACKET域，和类型SOCK_RAW再加上协议就可以监听获得指定协议的以太帧。

      1.获得各个协议的头部

　　以太协议类型有很多，仅贴上一部分，如下图：

　　　　　　　　　　　　　　　　                  图一

更多以太类型见：http://en.wikipedia.org/wiki/EtherType

   本文仅介绍0x0800（IPV4）的监听与拆分。现在我们就可以利用：

s=socket.socket(socket.PF_PACKET,socket.SOCK_RAW,socket.htons(0x0800))

获得ipv4协议的以太帧。然后就是接收，并根据协议格式拆分了。先看以太帧格式部分，如下：

                                                                          图二

　　我们接收的数据没有Preamble部分,此部分被以太网硬件过滤掉了。这里说一下，上图Type/Length

部分是Ethernet-II才有的type，在原始的IEEE 802.3帧此部分是负载的数据长度，怎样区分的呢，数值小于

1500表示帧负载数据长度，而>=1536（十六进制0x0600)表示Ethernet-II的type(见图一ethertype的值)。

　　另外提一下vlan类型大小是0x8100，此类型的协议现在使用比较广泛，格式如下：

                                                                         图三

vlan tag中有12bit用来表示vlan id的。此处和本文没有多少关系，主要是应用广泛介绍一下。继续正文。

　　我们用pkt表示接受的数据，pkt为str类型，通过图二可知用pkt[:14]包含了目的mac(6 bytes)、

源mac(6 bytes)和Type(2 bytes)。ipv4数据包封装在以太帧中，下一步看ipv4头格式：

 

                                                                   图四

了解更详细IPv4:http://en.wikipedia.org/wiki/IPv4

从图四可以知道ipv4最小长度20bytes（每行四字节，共5行），所以通过pkt[14:34]得到其头部。

由于ipv4之上有Tcp、UDP等协议，这里介绍获取的TCP数据，在ipv4头部的protocol为6时即是tcp包。

TCP header如下：

                                                                     图五

Tcp头部最小也是20bytes，所以tcp_header=pkt[34:54]。

　　2.获得每个协议的每个字段

　　在此之前，要说一个问题。比如要把4存进int型的低8位，在python中这个还好说，再去取来也

没什么难度。但是如果把4存进2bytes的数中或者从保存4的2bytes str类型中获得4，就没有c等语言

简单。这里介绍struct模块，有了它，一切就简单了！我们通过如下：

tcp_h=struct.unpack("<HHIIbbHHH", tcp_header)

此方法就得到了tcp头部的个部分信息。

　　首先"<HHIIbbHHH"中的'<'表示开始部分，还可以是 '>'、'!' 或者 '='。H表示无符号16位，

I表示unsigned int，b表示signed char。所以HHII分别是source port（16bits)、Destination port(16bits)、

Sequence number(32bits)、Ack number(32bits)（看图五），bbHHH同理。

　　根据你设置的格式化字符串unpack（）返回对应长度的数组，比如上面的“HHIIbbHHH”（9个字符）

就会返回长度为9的数组，并且每个元素都是int型。

　　同理，对于以太帧头部和ipv4头部处理与tcp header类似。

　　更详细的格式化字符对照如下：

　　3.代码实现

　　通过上面讲述实现主体代码如下：

ipv4=0x0800
udptype=0x11
tcptype=0x06
bufsize=1500
s=socket.socket(socket.PF_PACKET,socket.SOCK_RAW,socket.htons(ipv4))

while True:
    pkt=s.recv(bufsize)
    if len(pkt)<=0:
        break
    elif len(pkt)>54:
        ether_header = pkt[0:14]
        ip_header  = pkt[14:34]        
        ether_h = struct.unpack("!6s6s2s",ether_header)
        ip_h  = struct.unpack("<bbHHHbbHII",ip_header)        
        ip  = IPv4Parser(ip_h) #做位运算等处理
        if ip.protocol==tcptype: #判断是否为tcp包
            tcp_header = pkt[34:54]
            tcp_h = struct.unpack("<HHIIbbHHH", tcp_header)
            tcp = TCPParser(tcp_h)
            print ip.sourceip()+':'+str(tcp.sport)+'-->'+ip.destinationip()+
                ':'+str(tcp.dport)

 16、17行用了两个类对ip和tcp头部解析，如下：

import os,socket
import struct
class IPv4Parser:
    def __init__(self,ip):
        self.ip=ip
    @property
    def version(self):
        v=self.ip[0]>>4
        return v
    @property
    def headerLen(self):
        l=(self.ip[0]&0x000f)*4
        return l
　　　　@property
　　　　def protocol(self):
　　　　　　return self.ip[6]
    def sourceip(self):
        sip=self.__getstrip(self.ip[8])
        return sip
    def destinationip(self):
        dip=self.__getstrip(self.ip[9])
        return dip
    def totalLen(self):
        return ((self.ip[2]&0xff)<<8)|((self.ip[2]>>8)&0xff)
    def checksum(self):
        pass
    def __getstrip(self,intip):
        strip=str(intip&0xff)+'.'+str((intip>>8)&0xff)+'.'+
            str((intip>>16)&0xff)+'.'+str((intip>>24)&0xff)
        return strip
class TCPParser:
    def __init__(self,tcp):
        self.tcp=tcp
    @property
    def sport(self):
        sp=self.tcp[0]
        return ((sp&0xff)<<8)|(sp>>8)
    @property
    def dport(self):
        return ((self.tcp[1]&0xff)<<8)|(self.tcp[1]>>8)
    @property
    def headerLen(self):
        return ((self.tcp[4]>>4)&0x0f)*4

　　上面并没有解析ip和tcp header的所有部分，当然你可以补全，解析头部注意字节序。

　　把上面两处代码放在一个文件中没意外就可以运行了，注意需要root权限。运行输出的

信息如下，当然也可以输出更详细的信息。

　　我们完全可以更进一步，对于tcp上层的协议比如http继续解包。