Obtenir une trame Ethernet

**Scorff** · 15/04/2004, 09h34

Bonjour,
Je souhaiterais pouvoir analyser les trames que s'échangent 2 automates reliés par l'ethernet... (et ce peu importe le protocole).
Je voudrais donc savoir comment il est possible de lire ce qui circule sur ce réseau...

Dans un second temps je souhaiterais gérer cette récupération en langage Borland C++ Builder... (si vous avez des infos sur des méthodes ou fonctions à utiliser).

Merci d'avance.

**Eusebius** · 15/04/2004, 09h48

Pour la deuxième partie en C++, je te dis tout de suite je répondrai pas, je suis pas compétent.

Pour une récupération "manuelle", si tu es sur le même domaine de collision ethernet qu'un des automates, par exemple si yen a un qui est sur ta machine, tu peux utiliser ethereal (www.ethereal.com) pour écouter une interface ethernet (apparemment ça tourne sous unix, linux, windows)

**Greg01** · 15/04/2004, 12h14

Salut !

L'outil d'analyse des trames réseaux s'appelle un sniffer, et effectivement Ethreal en est un (plus bien d'ailleurs). Il s'appuie sur la librairie WinPcap pour la capture proprement dite. Tu peux donc t'en inspirer pour ton projet.

Bon courage

Greg

**Raideman** · 19/04/2004, 01h50

Avec WinPcaP, voicin un exemple pour capter les trames ethernet:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
#include "pcap.h"

/* 4 bytes IP address */
typedef struct ip_address&#123;
    u_char byte1;
    u_char byte2;
    u_char byte3;
    u_char byte4;
&#125;ip_address;

/* IPv4 header */
typedef struct ip_header&#123;
    u_char  ver_ihl;        // Version &#40;4 bits&#41; + Internet header length &#40;4 bits&#41;
    u_char  tos;            // Type of service 
    u_short tlen;           // Total length 
    u_short identification; // Identification
    u_short flags_fo;       // Flags &#40;3 bits&#41; + Fragment offset &#40;13 bits&#41;
    u_char  ttl;            // Time to live
    u_char  proto;          // Protocol
    u_short crc;            // Header checksum
    ip_address  saddr;      // Source address
    ip_address  daddr;      // Destination address
    u_int   op_pad;         // Option + Padding
&#125;ip_header;

/* UDP header*/
typedef struct udp_header&#123;
    u_short sport;          // Source port
    u_short dport;          // Destination port
    u_short len;            // Datagram length
    u_short crc;            // Checksum
&#125;udp_header;

/* prototype of the packet handler */
void packet_handler&#40;u_char *param, const struct pcap_pkthdr *header, const u_char *pkt_data&#41;;


main&#40;&#41;
&#123;
    pcap_if_t *alldevs;
    pcap_if_t *d;
    int inum;
    int i=0;
    pcap_t *adhandle;
    char errbuf&#91;PCAP_ERRBUF_SIZE&#93;;
    u_int netmask;
    char packet_filter&#91;&#93; = "ip and udp";
    struct bpf_program fcode;
  
    /* Retrieve the device list */
    if &#40;pcap_findalldevs&#40;&alldevs, errbuf&#41; == -1&#41;
    &#123;
        fprintf&#40;stderr,"Error in pcap_findalldevs&#58; %s\n", errbuf&#41;;
        exit&#40;1&#41;;
    &#125;
    
    /* Print the list */
    for&#40;d=alldevs; d; d=d->next&#41;
    &#123;
        printf&#40;"%d. %s", ++i, d->name&#41;;
        if &#40;d->description&#41;
            printf&#40;" &#40;%s&#41;\n", d->description&#41;;
        else
            printf&#40;" &#40;No description available&#41;\n"&#41;;
    &#125;

    if&#40;i==0&#41;
    &#123;
        printf&#40;"\nNo interfaces found! Make sure WinPcap is installed.\n"&#41;;
        return -1;
    &#125;
    
    printf&#40;"Enter the interface number &#40;1-%d&#41;&#58;",i&#41;;
    scanf&#40;"%d", &inum&#41;;
    
    if&#40;inum < 1 || inum > i&#41;
    &#123;
        printf&#40;"\nInterface number out of range.\n"&#41;;
        /* Free the device list */
        pcap_freealldevs&#40;alldevs&#41;;
        return -1;
    &#125;

    /* Jump to the selected adapter */
    for&#40;d=alldevs, i=0; i< inum-1 ;d=d->next, i++&#41;;
    
    /* Open the adapter */
    if &#40; &#40;adhandle= pcap_open_live&#40;d->name, // name of the device
                             65536,     // portion of the packet to capture. 
                                        // 65536 grants that the whole packet will be captured on all the MACs.
                             1,         // promiscuous mode
                             1000,      // read timeout
                             errbuf     // error buffer
                             &#41; &#41; == NULL&#41;
    &#123;
        fprintf&#40;stderr,"\nUnable to open the adapter. %s is not supported by WinPcap\n"&#41;;
        /* Free the device list */
        pcap_freealldevs&#40;alldevs&#41;;
        return -1;
    &#125;
    
    /* Check the link layer. We support only Ethernet for simplicity. */
    if&#40;pcap_datalink&#40;adhandle&#41; != DLT_EN10MB&#41;
    &#123;
        fprintf&#40;stderr,"\nThis program works only on Ethernet networks.\n"&#41;;
        /* Free the device list */
        pcap_freealldevs&#40;alldevs&#41;;
        return -1;
    &#125;
    
    if&#40;d->addresses != NULL&#41;
        /* Retrieve the mask of the first address of the interface */
        netmask=&#40;&#40;struct sockaddr_in *&#41;&#40;d->addresses->netmask&#41;&#41;->sin_addr.S_un.S_addr;
    else
        /* If the interface is without addresses we suppose to be in a C class network */
        netmask=0xffffff; 


    //compile the filter
    if&#40;pcap_compile&#40;adhandle, &fcode, packet_filter, 1, netmask&#41; <0 &#41;&#123;
        fprintf&#40;stderr,"\nUnable to compile the packet filter. Check the syntax.\n"&#41;;
        /* Free the device list */
        pcap_freealldevs&#40;alldevs&#41;;
        return -1;
    &#125;
    
    //set the filter
    if&#40;pcap_setfilter&#40;adhandle, &fcode&#41;<0&#41;&#123;
        fprintf&#40;stderr,"\nError setting the filter.\n"&#41;;
        /* Free the device list */
        pcap_freealldevs&#40;alldevs&#41;;
        return -1;
    &#125;
    
    printf&#40;"\nlistening on %s...\n", d->description&#41;;
    
    /* At this point, we don't need any more the device list. Free it */
    pcap_freealldevs&#40;alldevs&#41;;
    
    /* start the capture */
    pcap_loop&#40;adhandle, 0, packet_handler, NULL&#41;;
    
    return 0;
&#125;

/* Callback function invoked by libpcap for every incoming packet */
void packet_handler&#40;u_char *param, const struct pcap_pkthdr *header, const u_char *pkt_data&#41;
&#123;
    ip_header *ih;
    u_int ip_len;
    u_short sport,dport;

   

    /* recupere la position de l'entete IP */
    ih = &#40;ip_header *&#41; &#40;pkt_data +
        14&#41;; //length of ethernet header

   
        /*  ip addresses */
    printf&#40;"%d.%d.%d.%d -> %d.%d.%d.%d\n",
        ih->saddr.byte1,
        ih->saddr.byte2,
        ih->saddr.byte3,
        ih->saddr.byte4,
        
        ih->daddr.byte1,
        ih->daddr.byte2,
        ih->daddr.byte3,
        ih->daddr.byte4&#41;;
        &#125;

Ce code permet de lire les paquets ip sur de de l'ethernet.
Si tu veux plus de renseignements, n'hesite pas

Bon code.

**Esus13092004** · 25/08/2006, 09h22

quelqu'un sait il comment faire pour capter toutes les trames ethernet et pas juste les trames ip ?
merci

**ced600** · 25/08/2006, 10h14

Si je ne me trompe pas ethereal capture toutes les trames. Donc pour répondre à ta question, il suffit d'utiliser ethereal.

**Aramis** · 25/08/2006, 11h02

Envoyé par cedric600

Si je ne me trompe pas ethereal capture toutes les trames. Donc pour répondre à ta question, il suffit d'utiliser ethereal.

petit precision - sur un reseau commute, donc qui utilise un swithc, Ethereal ne pourra capturer que les trames "broadcast" et celles emisent et recues par le PC hote.

Ar@mi$

**Esus13092004** · 25/08/2006, 17h29

j'avais oublié un détail de taille : il faut aussi les envoyer apres... je veux les capter, les arreter puis les renvoyer... enfin avec winpcap c'est faisable !

merci quand meme !

**Aramis** · 25/08/2006, 23h05

Re,

sous Windows WinPCap n est capable que de capturer les trames, en ce qui concerne le renvoie il vous suffirai de configurer votre machine en tant que passerelle au quel cas aucun besoin de WinPCap. Par contre, si vous voulez les capturer et le modifier d'une maniere ou d'une autre, les modifications en dessous de la couche 4 du model OSI (transport) ne sont pas possible sous Windows.

L|0

**Esus13092004** · 27/08/2006, 21h46

je ne suis pas sur puisque sur leurs site il y a écrit :

WinPcap is the industry-standard tool for link-layer network access in Windows environments: it allows applications to capture and transmit network packets bypassing the protocol stack, and has additional useful features, including kernel-level packet filtering, a network statistics engine and support for remote packet capture.

www.winpcap.org

Pourquoi ces modifications ne sont elles pas possibles? il suffit juste de lire la trame ip, la bloquer et d'en renvoyer une modifiée !

**Aramis** · 28/08/2006, 11h12

Re,

peu etre parce que j'ai deja essaye? Non, serieusement il me semble que recement Microsoft a vire la possibilite d'utiliser les sockets en mode RAW, par consequent si le systeme d exploitation detecte un packet modifie, il le corrige. Maintenant, ca fait un bout de temps que je n'ai pas utilise WinPCap donc il se peut qu'entre temps ils aient developpe leur propre drivers reseaux. Ce sont nos eleves qui vont etre content... ils sont un peu perdu lorsqu'il s'agit d'utiliser Linux/Unix pour ce genre de truc (TCPReplay rulez!

)

A.

NB: la derniere fois que nous avons essaye WinPCap pour envoyer des packets modifie - fausse adresse et etc. - cela n'a pas marche avec WinXP, mais cela a fonctioner avec Win2k.

**Esus13092004** · 29/08/2006, 08h18

d'accord. si j'y arrive avec winpcap, je vous le ferai savoir !
merci de votre aide !

**fabaix** · 07/09/2006, 09h34

Pour répondre aux question, tcpdump est un outils en ligne de commande très pratique qui fonctionne avec les mêmes filtres que ethereal. Il permet d'enregistrer les trames réseaux dans un fichier ".pcap" ( comme ethereal ). L'outils pour les rejouer est Tcpreplay. Il permet de rejouer ces fichiers d'enregistrement réseau et de pouvoir changer les @IP, les port, etc...
Si besoin d'explication sur ces deux outils je pourrai peut-être vous aider...