[C언어] Pcap을 이용한 TCP 프로토콜 정보 출력 프로그램

📝 과제 내용

 

 

🧩 코드 구성 설명

• 구조체
  • struct Ethernet : 2계층 이더넷 패킷의 헤더 구조체
  • strcut IP : 3계층 IP 패킷의 헤더 구조체
  • struct TCP : 4계층 TCP 패킷의 헤더 구조체
  • struct TCP_Payload : TCP 페이로드를 저장할 구조체
• 함수
  • void usage() : 사용법에 대해 출력해주는 함수
  • bool parse() : 인수의 개수가 올바르게 받아지면 True를 반환하는 함수
  • int main() :
    1. 인수의 개수 검사
    2. 아무 패킷이 캡쳐되지 않았을 때 오류 메시지 출력
    3. 패킷을 캡쳐하고, TCP 패킷인지 확인하고 정보 출력

 

 

🖥️ 코드 & 설명

#include <pcap.h>
#include <stdbool.h>
#include <stdio.h>
#include <stdint.h>
#include <arpa/inet.h>


// 2계층 이더넷 구조체 선언 : 총 바이트는 14바이트
struct Ethernet {
    uint8_t dst_MAC[6]; 
    uint8_t src_MAC[6];
    uint16_t type;
} __attribute__ ((__packed__)); //#pragma pack 1과 비슷한 역할


// 3계층 IP 구조체 선언
struct IP {
    uint8_t IHL:4; // 원래는 Ver, IHL 순서이지만, NBO에 의해 순서를 바꿔 선언
    uint8_t Ver:4;
    uint8_t Service;
    uint16_t IP_total_length;
    uint16_t Identification;
    uint16_t Flags_FragOffset;
    uint8_t TTL;
    uint8_t Protocol;
    uint16_t Header_checksum;
    uint8_t src_IP[4];
    uint8_t dst_IP[4];
} __attribute__ ((__packed__));


// 4계층 TCP 구조체 선언
struct TCP {
    uint16_t src_Port;
    uint16_t dst_Port;
    uint32_t Seq_Num;
    uint32_t Ack_Num;
    uint8_t Reserved:4; // 원래는 H_len, Reserved 순서이지만, NBO에 의해 순서를 바꿔 선언
    uint8_t H_len:4;
    uint8_t Flags;
    uint16_t Window;
    uint16_t Checksum;
    uint16_t Urgent_Pointer;
} __attribute__ ((__packed__));

// TCP Payload를 저장할 구조체 선언
struct TCP_Payload {
    uint8_t payload[16];
}__attribute__ ((__packed__));

void usage() {
    printf("syntax: Pcap <interface>\n");
    printf("sample: Pcap wlan0\n");
}

typedef struct {
    char* dev_;
} Param;

Param param = {
    .dev_ = NULL
};

// 인수의 개수가 제대로 받아지면 True를 반환하는 함수
bool parse(Param* param, int argc, char* argv[]) {
    if (argc != 2) {
        usage();
        return false;
    }
    param->dev_ = argv[1]; // dev_가 argv[1]의 위치를 가리킴
    return true;
}

int main(int argc, char* argv[]) {
    // 인수 개수 검사
    if (!parse(&param, argc, argv))
        return -1;

    // PCAP_ERRBUF_SIZE : pcap 라이브러리에서 발생하는 오류 메시지를 저장하는 버퍼의 최대 크기
    // errbuf는 오류 메세지를 담을 문자열
    char errbuf[PCAP_ERRBUF_SIZE];

    pcap_t* pcap = pcap_open_live(param.dev_, BUFSIZ, 1, 1000, errbuf);

    // 아무 패킷이 캡쳐되지 않았을 때 오류 메시지 출력
    if (pcap == NULL) {
        fprintf(stderr, "pcap_open_live(%s) return null - %s\n", param.dev_, errbuf);
        return -1;
    }

// 구조체 객체 생성
    struct Ethernet *ethernet;
    struct IP *ip;
    struct TCP *tcp;
    struct TCP_Payload *tcp_payload;


    while (true) {
        struct pcap_pkthdr* header;
        const u_char* packet;
        int res = pcap_next_ex(pcap, &header, &packet);
        if (res == 0) continue;
        if (res == PCAP_ERROR || res == PCAP_ERROR_BREAK) {
            printf("pcap_next_ex return %d(%s)\n", res, pcap_geterr(pcap));
            break;
        }

// [이더넷 패킷] 패킷의 맨 앞 위치부터 구조체 크기 만큼 데이터를 할당
        ethernet = (struct Ethernet *)packet;
// [ip 패킷] 이더넷 헤더 뒤 위치부터 데이터 할당 
        ip = (struct IP *)(packet + sizeof(struct Ethernet));
// [tcp 패킷] ip 헤더 뒤 위치부터 데이터 할당
        tcp = (struct TCP *)(packet + (sizeof(struct Ethernet)) + (ip->IHL * 4));
// [tcp 페이로드] tcp헤더 뒤 위치부터 할당
        tcp_payload = (struct TCP_Payload *)(packet + (sizeof(struct Ethernet) + (ip->IHL * 4) + (tcp->H_len * 4)));


// 캡처한 패킷이 tcp 패킷인지 확인
        if (ip->Protocol == 0x06 && ethernet->type == 0x0008) {

// 출발지 MAC 주소 출력
            printf("Src MAC : ");
            for (int i = 0; i < 6; i++) {
                printf("%02X", ethernet->src_MAC[i]);
                if (i <= 4)
                    printf(" : ");
                else
                    printf("\n");
            }

// 목적지 MAC 주소 출력
            printf("Dst MAC : ");
            for (int i = 0; i < 6; i++) {
                printf("%02X", ethernet->dst_MAC[i]);
                if (i <= 4)
                    printf(" : ");
                else
                    printf("\n");
            }

// 출발지 IP 주소 출력
            printf("Src IP : ");
            for (int i = 0; i < 4; i++) {
                printf("%d", ip->src_IP[i]);
                if (i <= 2)
                    printf(".");
                else
                    printf("\n");
            }

// 목적지 IP 주소 출력
            printf("Dst IP : ");
            for (int i = 0; i < 4; i++) {
                printf("%d", ip->dst_IP[i]);
                if (i <= 2)
                    printf(".");
                else
                    printf("\n");
            }

// 출발지 포트 출력
            printf("Src Port : %d\n", ntohs(tcp->src_Port));

// 목적지 포트 출력
            printf("Dst Port : %d\n", ntohs(tcp->dst_Port));

// 데이터 길이 출력
            printf("Total Byte : %u\n", header->caplen);

// TCP 페이로드 출력
            int check_remain = header->caplen - (sizeof(struct Ethernet) + (ip->IHL * 4) + (tcp->H_len * 4));

            if (check_remain != 0 ) {
                printf("TCP Payload : ");

                for (int i = 0; i < check_remain; i++) {
                    if (i == 16) break;

                    printf("%02X", tcp_payload->payload[i]);
                    printf(" ");
                }
                printf("\n");
            }
            printf("\n");
        }
    }
    pcap_close(pcap);
}

❓ 패킷 구조체를 선언해 주는 과정에서 멤버 변수 순서가 바뀐 이유

원래 IP 패킷의 헤더 안 값들의 순서는 아래와 같다

Version → Header Length→ Type of Service → Total Length → ...

하지만 위 주석을 달아놓은 곳을 보면 

Header Length(IHL)를 먼저 선언한 것을 볼 수 있다.

이는 NBO(Network Byte Order) 때문인데, 네트워크에서는 빅 엔디언 방식을 이용하는 특성에 의해

낮은 주소에서 높은 주소로 데이터를 표현하게 된다.

NBO가 바이트에만 영향을 주는 것이 아니라, 비트에도 영향을 준다.

 

실제로 NBO가 바이트에 영향을 주는 것을 wireshark에서 확인해 보자.

빅 엔디언 순서 때문에 5 → 4 순서로 값이 들어가므로 Header Length(IHL)에 먼저 값을 넣어 주었다.

 

실제로 OS 내장 함수에 정의된 TCP Header에도 NBO 때문에 호스트 환경에 따라 엔디언을 가려서 입력받는다고 한다.

OS 내장 함수에 정의된 TCP Header 구조체

아래의 4계층의 TCP 구조체 역시 이와 같은 이유로 순서를 바꿔 선언해 주었다.

 

❓ 페이로드 출력하기

먼저 TCP 페이로드를 출력하기 전 check_remain 변수를 선언해 주었다.

이 변수는 TCP 페이로드의 길이를 저장해 주는 변수이다.

 

TCP 페이로드는 TCP 헤더의 뒤에 위치하고 있기 때문에,

전체 패킷 길이에서 이더넷, IP, TCP 헤더의 길이를 빼준 값이 페이로드의 길이가 된다.

 

따라서 만약 전체 패킷의 길이가 2, 3, 4 계층의 헤더의 길이가 같다면 페이로드가 없다는 의미이므로 출력을 하지 않도록 코드를 작성해였다.

 

페이로드를 출력해 줄 때도 길이만큼만 출력해 주도록 for문에서 check_remain의 값과 비교하도록 하였다.

페이로드의 최대 출력 길이는 16byte이므로 16바이트가 출력이 되면 for 문을 break 해주었다.

 

 

🎞️ 출력 결과

먼저, ifconfig로 인터페이스를 확인해 준다.

 

빌드한 파일을 실행해 준다. 이때, 내 인터페이스인 ens33도 입력해 준다.

 

패킷이 캡처되고, 패킷의 정보들이 출력되는 것을 확인할 수 있다.