3

从这个网站:http ://www.enderunix.org/docs/en/rawipspoof/

我拉了以下功能

unsigned short in_cksum(unsigned short *addr, int len)
{
    int nleft = len;
    int sum = 0;
    unsigned short *w = addr;
    unsigned short answer = 0;

    while (nleft > 1) {
        sum += *w++;
        nleft -= 2;
    }

    if (nleft == 1) {
        *(unsigned char *) (&answer) = *(unsigned char *) w;
        sum += answer;
    }

    sum = (sum >> 16) + (sum & 0xFFFF);
    sum += (sum >> 16);
    answer = ~sum;
    return (answer);
}

unsigned short in_cksum_tcp(int src, int dst, unsigned short *addr, int len)
{
    struct psd_tcp buf;
    u_short ans;

    memset(&buf, 0, sizeof(buf));
    buf.src.s_addr = src;
    buf.dst.s_addr = dst;
    buf.pad = 0;
    buf.proto = IPPROTO_TCP;
    buf.tcp_len = htons(len);
    memcpy(&(buf.tcp), addr, len);
    ans = in_cksum((unsigned short *)&buf, 12 + len);
    return (ans);
}

但是,当我对我看到的传入 TCP 数据包运行它时,我没有得到与当前相同的校验和结果(我保存传入的 TCP 校验和并将数据包上的校验和设置为零,然后再尝试运行校验和功能)

现在,当我对 IP 标头运行“in_cksum”时,我得到了正确的答案。

这是该站点的 TCP 伪标头:

struct psd_tcp {
    struct in_addr src;
    struct in_addr dst;
    unsigned char pad;
    unsigned char proto;
    unsigned short tcp_len;
    struct tcphdr tcp;
};

它是否缺少使这项工作有效的东西?

4

1 回答 1

1

好吧,您的主要错误是忘记在校验和计算中包含 TCP 有效负载,仅包含标头 (oops)。参见 RFC 793 的第 3.1 节 (http://www.ietf.org/rfc/rfc793.txt) 以获取对此的描述:

校验和字段是标题和文本中所有 16 位字的反码和的 16 位反码。

当然,这是我假设“len”参数是 TCP 标头的长度;如果它包含有效负载,那么您会遇到不同的问题(memcpy 到比源更小的缓冲区......)。

请注意,当您对有效负载进行校验和时,RFC 中还有一个很容易遗漏的小东西:

如果一个段包含奇数个要校验和的标题和文本八位字节,则最后一个八位字节在右侧用零填充以形成一个用于校验和目的的 16 位字。

只需记住在计算校验和之前根据需要用零填充有效负载。

于 2012-11-06T17:08:32.647 回答