c封包过滤

❶ 什么是包过滤技术其特点是什么

一、定义：
包过滤（Packet Filtering）技术：是基于协议特定的标准，路由器在其端口能够区分包和限制包的技术。
基于协议特定的标准，路由器在其端口能够区分包和限制包的能力叫包过滤（Packet Filtering）。其技术原理在于加入IP过滤功能的路由器逐一审查包头信息，并根据匹配和规则决定包的前行或被舍弃，以达到拒绝发送可疑的包的目的。过滤路由器具备保护整个网络、高效快速并且透明等优点，同时也有定义复杂、消耗CPU资源、不能彻底防止地址欺骗、涵盖应用协议不全、无法执行特殊的安全策略并且不提供日志等局限性。包过滤技术的二、特点
1、优点 ：对小型的、不太复杂的站点包过滤较容易实现。
（1）一个过滤路由器能协助保护整个网络。绝大多数Internet防火墙系统只用一个包过滤路由器；
（2）过滤路由器速度快、效率高。执行包过滤所用的时间很少或几乎不需要什么时间，由于过滤路由器只检查报头相应的字段，一般不查看数据报的内容，而且某些核心部分是由专用硬件实现的，如果通信负载适中且定义的过滤很少的话，则对路由器性能没有多大影响；
（3）包过滤路由器对终端用户和应用程序是透明的。当数据包过滤路由器决定让数据包通过时，它与普通路由器没什么区别，甚至用户没有认识到它的存在，因此不需要专门的用户培训或在每主机上设置特别的软件。
2、缺点及局限性：
他们很少有或没有日志记录能力，所以网络管理员很难确认系统是否正在被入侵或已经被入侵了。这种防火墙的最大缺陷是依赖一个单一的部件来保护系统。

（1）定义包过滤器可能是一项复杂的工作。因为网管员需要详细地了解Internet各种服务、包头格式和他们在希望每个域查找的特定的值。如果必须支持复杂的过滤要求的，则过滤规则集可能会变得很长很复杂，并且没有什么工具可以用来验证过滤规则的正确性。
（2）路由器信息包的吞吐量随过滤器数量的增加而减少。路由器被优化用来从每个包中提取目的IP地址、查找一个相对简单的路由表，而后将信息包顺向运行到适当转发接口。如果过滤可执行，路由器还必须对每个包执行所有过滤规则。这可能消耗CPU的资源，并影响一个完全饱和的系统性能。
（3）不能彻底防止地址欺骗。大多数包过滤路由器都是基于源IP地址、目的IP地址而进行过滤的，而IP地址的伪造是很容易、很普遍的。
（4）一些应用协议不适合于数据包过滤。即使是完美的数据包过滤，也会发现一些协议不很适合于经由数据包过滤安全保护。如RPC、X- Window和FTP。而且服务代理和HTTP的链接，大大削弱了基于源地址和源端口的过滤功能。
（5）正常的数据包过滤路由器无法执行某些安全策略。例如，数据包说它们来自什么主机，而不是什么用户，因此，我们不能强行限制特殊的用户。同样地，数据包说它到什么端口，而不是到什么应用程序，当我们通过端口号对高级协议强行限制时，不希望在端口上有别的指定协议之外的协议，而不怀好意的知情者能够很容易地破坏这种控制。
（6）一些包过滤路由器不提供任何日志能力，直到闯入发生后，危险的封包才可能检测出来。它可以阻止非法用户进入内部网络，但也不会告诉我们究竟都有谁来过，或者谁从内部进入了外部网络。

❷ C语言 socket封包和解包

你的基本思路是正确的，就是在发送数据之前把数据的长度添加在数据之前，便于收到后进行解析。
不过你这个在稍微有点异常的情况下就可以引起系统崩溃，因为一旦“长度”部分可能是乱码，因而引起后面数据的访问越界。
比较科学的做法就是为payload数据增加包头（包括前导码、数据描述）和包尾（包校验码），通过一系列的校验，首先验证包的数据是正常的，然后再从包中吧数据解析出来。

❸ 浅谈iptables

iptables是linux系统下用来做防火墙的二进制文件（linux上位于/sbin/iptables，android中位于/system/bin/iptables），底层依赖于内核的netfilter模块，用来完成封包过滤、封包重定向和网络地址转换（NAT）等功能(在android上需要root使用)。

举个例子来简单看看iptables命令的基本用法。

意思是在nat转发表的OUTPUT输出链中增加这样一条规则：倘若OUTPUT输出链拦到了tcp请求，则将其重定向到本地的8123端口。

可以看到iptables中有 表 、 链 和 规则 的概念，那么先通过iptables传输数据包的过程来简单了解下表和链是什么以及他们之间的关系。

可以看到 链 就是对数据包传输路径的一种抽象，一个数据包根据其具体场景以固定的顺序依次经过PREROUTING、INPUT等各个链，在经过各个链时，又有不同的表在监听这个链，而nat、filter等 表 中有包含一系列的 规则 ，当一个数据包到达一个链时，iptables就会从链中第一条规则开始检查，看该数据包是否满足规则所定义的条件。如果满足，系统就会根据该条规则所定义的方法处理该数据包；否则iptables将继续检查下一条规则。

值得注意的是，

至此我们了解了表、链和规则是什么以及他们之间的关系，下面来具体看下 iptables命令的基本用法 。

更多关于各command、parameter的具体含义以及用法可以参考 https://wangchujiang.com/linux-command/c/iptables.html

iptables对网络数据包做过滤或拦截时其维度只能局限于网络数据包收发的ip地址、端口号、网卡、tcp/udp协议，因此可以推测iptables最终是在ip层对网络数据包做的拦截。

那iptables基于netfilter具体是怎么做到在各个链上对数据包做拦截的呢？

/net/ipv4/ip_output.c

/net/ipv4/ip_input.c

/net/ipv4/ip_forward.c

可以看到内核在每一个数据转发的关键节点都调用了NF_HOOK这个宏，来看下NF_HOOK这个宏干了啥

关于NF_HOOK相关具体逻辑可参见 https://sites.google.com/site/ibms/network-security-development/netfilter%E8%AE%BE%E8%AE%A1%E4%B8%8E%E6%BA%90%E7%A0%81%E5%88%86%E6%9E%90

❹ 怎么在windows下过滤TCP/IP数据包

IP地址和端口被称作套接字，它代表一个TCP连接的一个连接端。为了获得TCP服务，必须在发送机的一个端口上和接收机的一个端口上建立连接。TCP连接用两个连接端来区别，也就是（连接端1，连接端2）。连接端互相发送数据包。
一个TCP数据包包括一个TCP头，后面是选项和数据。一个TCP头包含6个标志位。它们的意义分别为：
SYN: 标志位用来建立连接，让连接双方同步序列号。如果SYN＝1而ACK=0，则表示该数据包为连接请求，如果SYN=1而ACK=1则表示接受连接。
FIN: 表示发送端已经没有数据要求传输了，希望释放连接。
RST: 用来复位一个连接。RST标志置位的数据包称为复位包。一般情况下，如果TCP收到的一个分段明显不是属于该主机上的任何一个连接，则向远端发送一个复位包。
URG: 为紧急数据标志。如果它为1，表示本数据包中包含紧急数据。此时紧急数据指针有效。
ACK: 为确认标志位。如果为1，表示包中的确认号时有效的。否则，包中的确认号无效。
PSH: 如果置位，接收端应尽快把数据传送给应用层。

TCP连接的建立
TCP是一个面向连接的可靠传输协议。面向连接表示两个应用端在利用TCP传送数据前必须先建立TCP连接。 TCP的可靠性通过校验和，定时器，数据序号和应答来提供。通过给每个发送的字节分配一个序号，接收端接收到数据后发送应答，TCP协议保证了数据的可靠传输。数据序号用来保证数据的顺序，剔除重复的数据。在一个TCP会话中，有两个数据流（每个连接端从另外一端接收数据，同时向对方发送数据），因此在建立连接时，必须要为每一个数据流分配ISN（初始序号）。为了了解实现过程，我们假设客户端C希望跟服务器端S建立连接，然后分析连接建立的过程（通常称作三阶段握手）：
1： C --SYN XXà S
2： C ?-SYN YY/ACK XX+1------- S
3： C ----ACK YY+1--à S
1：C发送一个TCP包（SYN 请求）给S，其中标记SYN（同步序号）要打开。SYN请求指明了客户端希望连接的服务器端端口号和客户端的ISN（XX是一个例子）。
2：服务器端发回应答，包含自己的SYN信息ISN（YY）和对C的SYN应答，应答时返回下一个希望得到的字节序号（YY+1）。
3：C 对从S 来的SYN进行应答，数据发送开始。

一些实现细节
大部分TCP/IP实现遵循以下原则：
1：当一个SYN或者FIN数据包到达一个关闭的端口，TCP丢弃数据包同时发送一个RST数据包。
2：当一个RST数据包到达一个监听端口，RST被丢弃。
3：当一个RST数据包到达一个关闭的端口，RST被丢弃。
4：当一个包含ACK的数据包到达一个监听端口时，数据包被丢弃，同时发送一个RST数据包。
5：当一个SYN位关闭的数据包到达一个监听端口时，数据包被丢弃。
6：当一个SYN数据包到达一个监听端口时，正常的三阶段握手继续，回答一个SYN ACK数据包。
7：当一个FIN数据包到达一个监听端口时，数据包被丢弃。"FIN行为"（关闭得端口返回RST，监听端口丢弃包），在URG和PSH标志位置位时同样要发生。所有的URG，PSH和FIN，或者没有任何标记的TCP数据包都会引起"FIN行为"。

二：全TCP连接和SYN扫描器
全TCP连接
全TCP连接是长期以来TCP端口扫描的基础。扫描主机尝试（使用三次握手）与目的机指定端口建立建立正规的连接。连接由系统调用connect()开始。对于每一个监听端口，connect()会获得成功，否则返回－1，表示端口不可访问。由于通常情况下，这不需要什么特权，所以几乎所有的用户（包括多用户环境下）都可以通过connect来实现这个技术。
这种扫描方法很容易检测出来（在日志文件中会有大量密集的连接和错误记录）。Courtney,Gabriel和TCP Wrapper监测程序通常用来进行监测。另外，TCP Wrapper可以对连接请求进行控制，所以它可以用来阻止来自不明主机的全连接扫描。
TCP SYN扫描
在这种技术中，扫描主机向目标主机的选择端口发送SYN数据段。如果应答是RST，那么说明端口是关闭的，按照设定就探听其它端口；如果应答中包含SYN和ACK，说明目标端口处于监听状态。由于所有的扫描主机都需要知道这个信息，传送一个RST给目标机从而停止建立连接。由于在SYN扫描时，全连接尚未建立，所以这种技术通常被称为半打开扫描。SYN扫描的优点在于即使日志中对扫描有所记录，但是尝试进行连接的记录也要比全扫描少得多。缺点是在大部分操作系统下，发送主机需要构造适用于这种扫描的IP包，通常情况下，构造SYN数据包需要超级用户或者授权用户访问专门的系统调用。

三：秘密扫描与间接扫描
秘密扫描技术
由于这种技术不包含标准的TCP三次握手协议的任何部分，所以无法被记录下来，从而不比SYN扫描隐蔽得多。另外，FIN数据包能够通过只监测SYN包的包过滤器。
秘密扫描技术使用FIN数据包来探听端口。当一个FIN数据包到达一个关闭的端口，数据包会被丢掉，并且回返回一个RST数据包。否则，当一个FIN数据包到达一个打开的端口，数据包只是简单的丢掉（不返回RST）。
Xmas和Null扫描是秘密扫描的两个变种。Xmas扫描打开FIN，URG和PUSH标记，而Null扫描关闭所有标记。这些组合的目的是为了通过所谓的FIN标记监测器的过滤。
秘密扫描通常适用于UNIX目标主机，除过少量的应当丢弃数据包却发送reset信号的操作系统（包括CISCO，BSDI，HP/UX，MVS和IRIX）。在Windows95/NT环境下，该方法无效，因为不论目标端口是否打开，操作系统都发送RST。
跟SYN扫描类似，秘密扫描也需要自己构造IP 包。
间接扫描
间接扫描的思想是利用第三方的IP（欺骗主机）来隐藏真正扫描者的IP。由于扫描主机会对欺骗主机发送回应信息，所以必须监控欺骗主机的IP行为，从而获得原始扫描的结果。间接扫描的工作过程如下：
假定参与扫描过程的主机为扫描机，隐藏机，目标机。扫描机和目标记的角色非常明显。隐藏机是一个非常特殊的角色，在扫描机扫描目的机的时候，它不能发送任何数据包（除了与扫描有关的包）。

❺ 包过滤技术如何防御黑客攻击以及包过滤技术的优缺点（越详细越好）

包过滤应该是针对某一个数据包来进行的过滤，这样的话就可以防止某些有害的版数据包进入你的网络内部权，但是这样的话它不能够防止一些通过正常端口进行访问的数据包 如DDOS里面的CC攻击就是通过一个正常的80端口来进行访问从而产生了大量的数据流量使服务器承受不住而宕机。

❻ 封包过滤器的介绍

封包过滤是最早被用来作为网路防火墙的技术，是在OSI七层架构中第三层以下的网路中运作。封包过滤器的功能主要是检查过往的每一个IP资料封包，如果其表头中所含的资料内容符合事先设定的可信赖安全标准就放行通过，反之则阻档在门外。

❼ WPE高手进看看这个封包用什么思路过滤掉

一般WPE 传送出去的封包才有用，接收到的封包是没有用的，你把接收到的封包过滤掉，会加快找到自己需要的封包。另外一点就是除非是被截取封包的内部人员或者对该被截取的编码原则很了解的人才能看出封包数据所代表的意思。一般玩家只能猜和实验。我有时间会不时在自己的网络空间发关于WPE文章，有兴趣的可以去看看。

❽ wpe的过滤器是怎么回事怎么打开封包！

过滤器的右边那个发送 点下 然后上面一排中有个是打开了

❾ 怎样用C语言实现网络抓包

1. 第一法则：站在巨人肩膀上 && 不要重复造轮子。

   对于这种复杂的过程，第一选择是使用现成的，节约时间，提升效率。

   Wireshark（前称Ethereal）是一个网络封包分析软件。网络封包分析软件的功能是撷取网络封包，并尽可能显示出最为详细的网络封包资料。Wireshark使用WinPCAP作为接口，直接与网卡进行数据报文交换。
   网络封包分析软件的功能可想像成 "电工技师使用电表来量测电流、电压、电阻" 的工作 - 只是将场景移植到网络上，并将电线替换成网络线。在过去，网络封包分析软件是非常昂贵，或是专门属于营利用的软件。Ethereal的出现改变了这一切。在GNUGPL通用许可证的保障范围底下，使用者可以以免费的代价取得软件与其源代码，并拥有针对其源代码修改及客制化的权利。Ethereal是目前全世界最广泛的网络封包分析软件之一。

2. 第二法则：学习 && 提升。

   如果是单纯的学习知识，可以直接尝试写一些具有部分功能的程序，过程会有点艰难，但非常有意义。学习网络编程，需要了解 开放系统互连参考模型的的七层每一层的意义以及现实当中实现的四层的网络协议。然后就可以知道抓包的包位于模型当中的传输层协议，包括UDP和TCP的协议。进一步要学习每种协议的格式，表头，数据包等等。一句话，冰冻三尺非一日之寒。

3. Windows下的抓包及简单的编程。
   

   Windows2000在TCP/IP协议组件上做了很多改进，功能也有增强。比如在协议栈上的调整，增大了默认窗口大小，以及高延迟链接新算法。同时在安全性上，可应用IPSec加强安全性，比NT下有不少的改进。
   Microsoft TCP/IP 组件包含“核心协议”、“服务”及两者之间的“接口”。传输驱动程序接口 (TDI) 与网络设备接口规范 (NDIS) 是公用的。 此外，还有许多用户模型应用程序的更高级接口。最常用的接口是 Windows Sockets、远程过程调用 (RPC) 和 NetBIOS。
   Windows Sockets 是一个编程接口，它是在加州大学伯克利分校开发的套接字接口的基础上定义的。它包括了一组扩展件，以充分利用 Microsoft Windows 消息驱动的特点。规范的 1.1 版是在 1993 年 1 月发行的，2.2.0 版在 1996 年 5 月发行。Windows 2000 支持 Winsock 2.2 版。在Winsock2中，支持多个传输协议的原始套接字，重叠I/O模型、服务质量控制等。
   这里介绍Windows Sockets的一些关于原始套接字(Raw Socket)的编程。同Winsock1相比，最明显的就是支持了Raw Socket套接字类型，通过原始套接字，我们可以更加自如地控制Windows下的多种协议，而且能够对网络底层的传输机制进行控制。
   1、创建一个原始套接字，并设置IP头选项。
   
   SOCKET sock;
   sock = socket(AF_INET,SOCK_RAW,IPPROTO_IP);
   或者：
   s = WSASoccket(AF_INET,SOCK_RAW,IPPROTO_IP,NULL,0,WSA_FLAG_OVERLAPPED);
   这里，我们设置了SOCK_RAW标志，表示我们声明的是一个原始套接字类型。创建原始套接字后，IP头就会包含在接收的数据中，如果我们设定 IP_HDRINCL 选项，那么，就需要自己来构造IP头。注意，如果设置IP_HDRINCL 选项，那么必须具有 administrator权限，要不就必须修改注册表：
   HKEY_LOCAL_
   修改键：DisableRawSecurity（类型为DWORD），把值修改为 1。如果没有，就添加。
   BOOL blnFlag=TRUE;
   setsockopt(sock, IPPROTO_IP, IP_HDRINCL, (char *)&blnFlag, sizeof(blnFlag);
   对于原始套接字在接收数据报的时候，要注意这么几点：
   a、如果接收的数据报中协议类型和定义的原始套接字匹配，那么，接收的所有数据就拷贝到套接字中。
   b、如果绑定了本地地址，那么只有接收数据IP头中对应的远端地址匹配，接收的数据就拷贝到套接字中。
   c、如果定义的是外部地址，比如使用connect()，那么，只有接收数据IP头中对应的源地址匹配，接收的数据就拷贝到套接字中。

   
   

   2、构造IP头和TCP头
   这里，提供IP头和TCP头的结构：
   // Standard TCP flags
   #define URG 0x20
   #define ACK 0x10
   #define PSH 0x08
   #define RST 0x04
   #define SYN 0x02
   #define FIN 0x01
   typedef struct _iphdr //定义IP首部
   {
   unsigned char h_lenver; //4位首部长度+4位IP版本号
   unsigned char tos; //8位服务类型TOS
   unsigned short total_len; //16位总长度（字节）
   unsigned short ident; //16位标识
   unsigned short frag_and_flags; //3位标志位
   unsigned char ttl; //8位生存时间 TTL
   unsigned char proto; //8位协议 (TCP, UDP 或其他)
   unsigned short checksum; //16位IP首部校验和
   unsigned int sourceIP; //32位源IP地址
   unsigned int destIP; //32位目的IP地址
   }IP_HEADER;
   
   typedef struct psd_hdr //定义TCP伪首部
   {
   unsigned long saddr; //源地址
   unsigned long daddr; //目的地址
   char mbz;
   char ptcl; //协议类型
   unsigned short tcpl; //TCP长度
   }PSD_HEADER;
   
   typedef struct _tcphdr //定义TCP首部
   {
   USHORT th_sport; //16位源端口
   USHORT th_dport; //16位目的端口
   unsigned int th_seq; //32位序列号
   unsigned int th_ack; //32位确认号
   unsigned char th_lenres; //4位首部长度/6位保留字
   unsigned char th_flag; //6位标志位
   USHORT th_win; //16位窗口大小
   USHORT th_sum; //16位校验和
   USHORT th_urp; //16位紧急数据偏移量
   }TCP_HEADER;
   
   TCP伪首部并不是真正存在的，只是用于计算检验和。校验和函数：
   
   USHORT checksum(USHORT *buffer, int size)
   {
   unsigned long cksum=0;
   while (size > 1)
   {
   cksum += *buffer++;
   size -= sizeof(USHORT);
   }
   if (size)
   {
   cksum += *(UCHAR*)buffer;
   }
   cksum = (cksum >> 16) + (cksum & 0xffff);
   cksum += (cksum >>16);
   return (USHORT)(~cksum);
   }
   
   当需要自己填充IP头部和TCP头部的时候，就同时需要自己计算他们的检验和。
   
   3、发送原始套接字数据报
   
   填充这些头部稍微麻烦点，发送就相对简单多了。只需要使用sendto()就OK。
   
   sendto(sock, (char*)&tcpHeader, sizeof(tcpHeader), 0, (sockaddr*)&addr_in,sizeof(addr_in));
   
   下面是一个示例程序，可以作为SYN扫描的一部分。
   
   #include <stdio.h>
   #include <winsock2.h>
   #include <ws2tcpip.h>
   
   #define SOURCE_PORT 7234
   #define MAX_RECEIVEBYTE 255
   
   typedef struct ip_hdr //定义IP首部
   {
   unsigned char h_verlen; //4位首部长度,4位IP版本号
   unsigned char tos; //8位服务类型TOS
   unsigned short total_len; //16位总长度（字节）
   unsigned short ident; //16位标识
   unsigned short frag_and_flags; //3位标志位
   unsigned char ttl; //8位生存时间 TTL
   unsigned char proto; //8位协议 (TCP, UDP 或其他)
   unsigned short checksum; //16位IP首部校验和
   unsigned int sourceIP; //32位源IP地址
   unsigned int destIP; //32位目的IP地址
   }IPHEADER;
   
   typedef struct tsd_hdr //定义TCP伪首部
   {
   unsigned long saddr; //源地址
   unsigned long daddr; //目的地址
   char mbz;
   char ptcl; //协议类型
   unsigned short tcpl; //TCP长度
   }PSDHEADER;
   
   typedef struct tcp_hdr //定义TCP首部
   {
   USHORT th_sport; //16位源端口
   USHORT th_dport; //16位目的端口
   unsigned int th_seq; //32位序列号
   unsigned int th_ack; //32位确认号
   unsigned char th_lenres; //4位首部长度/6位保留字
   unsigned char th_flag; //6位标志位
   USHORT th_win; //16位窗口大小
   USHORT th_sum; //16位校验和
   USHORT th_urp; //16位紧急数据偏移量
   }TCPHEADER;
   
   //CheckSum:计算校验和的子函数
   USHORT checksum(USHORT *buffer, int size)
   {
   unsigned long cksum=0;
   while(size >1)
   {
   cksum+=*buffer++;
   size -=sizeof(USHORT);
   }
   if(size )
   {
   cksum += *(UCHAR*)buffer;
   }
   
   cksum = (cksum >> 16) + (cksum & 0xffff);
   cksum += (cksum >>16);
   return (USHORT)(~cksum);
   }
   
   void useage()
   {
   printf("****************************************** ");
   printf("TCPPing ");
   printf(" Written by Refdom ");
   printf(" Email: [email protected] ");
   printf("Useage: TCPPing.exe Target_ip Target_port ");
   printf("******************************************* ");
   }
   
   int main(int argc, char* argv[])
   {
   WSADATA WSAData;
   SOCKET sock;
   SOCKADDR_IN addr_in;
   IPHEADER ipHeader;
   TCPHEADER tcpHeader;
   PSDHEADER psdHeader;
   
   char szSendBuf[60]={0};
   BOOL flag;
   int rect,nTimeOver;
   
   useage();
   
   if (argc!= 3)
   { return false; }
   
   if (WSAStartup(MAKEWORD(2,2), &WSAData)!=0)
   {
   printf("WSAStartup Error! ");
   return false;
   }
   
   if ((sock=WSASocket(AF_INET,SOCK_RAW,IPPROTO_RAW,NULL,0,WSA_FLAG_OVERLAPPED))==INVALID_SOCKET)
   {
   printf("Socket Setup Error! ");
   return false;
   }
   flag=true;
   if (setsockopt(sock,IPPROTO_IP, IP_HDRINCL,(char *)&flag,sizeof(flag))==SOCKET_ERROR)
   {
   printf("setsockopt IP_HDRINCL error! ");
   return false;
   }
   
   nTimeOver=1000;
   if (setsockopt(sock, SOL_SOCKET, SO_SNDTIMEO, (char*)&nTimeOver, sizeof(nTimeOver))==SOCKET_ERROR)
   {
   printf("setsockopt SO_SNDTIMEO error! ");
   return false;
   }
   addr_in.sin_family=AF_INET;
   addr_in.sin_port=htons(atoi(argv[2]));
   addr_in.sin_addr.S_un.S_addr=inet_addr(argv[1]);
   
   //
   //
   //填充IP首部
   ipHeader.h_verlen=(4<<4 | sizeof(ipHeader)/sizeof(unsigned long));
   // ipHeader.tos=0;
   ipHeader.total_len=htons(sizeof(ipHeader)+sizeof(tcpHeader));
   ipHeader.ident=1;
   ipHeader.frag_and_flags=0;
   ipHeader.ttl=128;
   ipHeader.proto=IPPROTO_TCP;
   ipHeader.checksum=0;
   ipHeader.sourceIP=inet_addr("本地地址");
   ipHeader.destIP=inet_addr(argv[1]);
   
   //填充TCP首部
   tcpHeader.th_dport=htons(atoi(argv[2]));
   tcpHeader.th_sport=htons(SOURCE_PORT); //源端口号
   tcpHeader.th_seq=htonl(0x12345678);
   tcpHeader.th_ack=0;
   tcpHeader.th_lenres=(sizeof(tcpHeader)/4<<4|0);
   tcpHeader.th_flag=2; //修改这里来实现不同的标志位探测，2是SYN，1是FIN，16是ACK探测 等等
   tcpHeader.th_win=htons(512);
   tcpHeader.th_urp=0;
   tcpHeader.th_sum=0;
   
   psdHeader.saddr=ipHeader.sourceIP;
   psdHeader.daddr=ipHeader.destIP;
   psdHeader.mbz=0;
   psdHeader.ptcl=IPPROTO_TCP;
   psdHeader.tcpl=htons(sizeof(tcpHeader));
   
   //计算校验和
   memcpy(szSendBuf, &psdHeader, sizeof(psdHeader));
   memcpy(szSendBuf+sizeof(psdHeader), &tcpHeader, sizeof(tcpHeader));
   tcpHeader.th_sum=checksum((USHORT *)szSendBuf,sizeof(psdHeader)+sizeof(tcpHeader));
   
   memcpy(szSendBuf, &ipHeader, sizeof(ipHeader));
   memcpy(szSendBuf+sizeof(ipHeader), &tcpHeader, sizeof(tcpHeader));
   memset(szSendBuf+sizeof(ipHeader)+sizeof(tcpHeader), 0, 4);
   ipHeader.checksum=checksum((USHORT *)szSendBuf, sizeof(ipHeader)+sizeof(tcpHeader));
   
   memcpy(szSendBuf, &ipHeader, sizeof(ipHeader));
   
   rect=sendto(sock, szSendBuf, sizeof(ipHeader)+sizeof(tcpHeader),
   0, (struct sockaddr*)&addr_in, sizeof(addr_in));
   if (rect==SOCKET_ERROR)
   {
   printf("send error!:%d ",WSAGetLastError());
   return false;
   }
   else
   printf("send ok! ");
   
   closesocket(sock);
   WSACleanup();
   
   return 0;
   }
   
   4、接收数据
   和发送原始套接字数据相比，接收就比较麻烦了。因为在WIN我们不能用recv()来接收raw socket上的数据，这是因为，所有的IP包都是先递交给系统核心，然后再传输到用户程序，当发送一个raws socket包的时候（比如syn），核心并不知道，也没有这个数据被发送或者连接建立的记录，因此，当远端主机回应的时候，系统核心就把这些包都全部丢掉，从而到不了应用程序上。所以，就不能简单地使用接收函数来接收这些数据报。
   
   要达到接收数据的目的，就必须采用嗅探，接收所有通过的数据包，然后进行筛选，留下符合我们需要的。可以再定义一个原始套接字，用来完成接收数据的任务，需要设置SIO_RCVALL，表示接收所有的数据。
   
   SOCKET sniffersock;
   sniffsock = WSASocket(AF_INET, SOCK_RAW, IPPROTO_IP, NULL, 0, WSA_FLAG_OVERLAPPED);
   
   DWORD lpvBuffer = 1;
   DWORD lpcbBytesReturned = 0 ;
   WSAIoctl(sniffersock, SIO_RCVALL, &lpvBuffer, sizeof(lpvBuffer), NULL, 0, & lpcbBytesReturned, NULL, NULL);
   
   创建一个用于接收数据的原始套接字，我们可以用接收函数来接收数据包了。然后在使用一个过滤函数达到筛选的目的，接收我们需要的数据包。
   
   如果在XP以上的操作系统，微软封杀了Raw Soccket，只能用wincpap之类的开发包了。
   

❿ iptables详解

netfilter/iptables （简称为iptables）组成Linux平台下的包过滤防火墙，与大多数的Linux软件一样，这个包过滤防火墙是免费的，它可以代替昂贵的商业防火墙解决方案，完成封包过滤、封包重定向和网络地址转换（NAT）等功能。
iptables和netfilter的关系：
这是第一个要说的地方，Iptables和netfilter的关系是一个很容易让人搞不清的问题。很多的知道iptables却不知道 netfilter。其实iptables只是Linux防火墙的管理工具而已，位于/sbin/iptables。真正实现防火墙功能的是 netfilter，它是Linux内核中实现包过滤的内部结构。

规则 （rules）其实就是网络管理员预定义的条件，规则一般的定义为“如果数据包头符合这样的条件，就这样处理这个数据包”。规则存储在内核空间的信息包过滤表中，这些规则分别指定了源地址、目的地址、传输协议（如TCP、UDP、ICMP）和服务类型（如HTTP、FTP和SMTP）等。当数据包与规则匹配时，iptables就根据规则所定义的方法来处理这些数据包，如放行（accept）、拒绝（reject）和丢弃（drop）等。配置防火墙的 主要工作就是添加、修改和删除这些规则。

① 当一个数据包进入网卡时，它首先进入PREROUTING链，内核根据数据包目的IP判断是否需要转送出去。
② 如果数据包就是进入本机的，它就会沿着图向下移动，到达INPUT链。数据包到了INPUT链后，任何进程都会收到它。本机上运行的程序可以发送数据包，这些数据包会经过OUTPUT链，然后到达POSTROUTING链输出。
③ 如果数据包是要转发出去的，且内核允许转发，数据包就会如图所示向右移动，经过FORWARD链，然后到达POSTROUTING链输出。
过程图如下：

Iptables采用“表”和“链”的分层结构。

表 （tables）提供特定的功能，iptables内置了4个表，即filter表、nat表、mangle表和raw表，分别用于实现包过滤，网络地址转换、包重构(修改)和数据跟踪处理。

（1）filter表——三个链：INPUT、FORWARD、OUTPUT
作用：过滤数据包 内核模块：iptables_filter.
（2）Nat表——三个链：PREROUTING、POSTROUTING、OUTPUT
作用：用于网络地址转换（IP、端口） 内核模块：iptable_nat
（3）Mangle表——五个链：PREROUTING、POSTROUTING、INPUT、OUTPUT、FORWARD
作用：修改数据包的服务类型、TTL、并且可以配置路由实现QOS内核模块：iptable_mangle(别看这个表这么麻烦，咱们设置策略时几乎都不会用到它)
（4）Raw表——两个链：OUTPUT、PREROUTING
作用：决定数据包是否被状态跟踪机制处理 内核模块：iptable_raw

Raw——mangle——nat——filter

链 （chains）是数据包传播的路径，每一条链其实就是众多规则中的一个检查清单，每一条链中可以有一 条或数条规则。当一个数据包到达一个链时，iptables就会从链中第一条规则开始检查，看该数据包是否满足规则所定义的条件。如果满足，系统就会根据 该条规则所定义的方法处理该数据包；否则iptables将继续检查下一条规则，如果该数据包不符合链中任一条规则，iptables就会根据该链预先定 义的默认策略来处理数据包。

（1）INPUT——进来的数据包应用此规则链中的策略
（2）OUTPUT——外出的数据包应用此规则链中的策略
（3）FORWARD——转发数据包时应用此规则链中的策略
（4）PREROUTING——对数据包作路由选择前应用此链中的规则
（记住！所有的数据包进来的时侯都先由这个链处理）
（5）POSTROUTING——对数据包作路由选择后应用此链中的规则（所有的数据包出来的时侯都先由这个链处理）

从外界到达防火墙的数据包，先被PREROUTING规则链处理（是否修改数据包地址等），之后会进行路由选择（判断该数据包应该发往何处），如果数据包 的目标主机是防火墙本机（比如说Internet用户访问防火墙主机中的web服务器的数据包），那么内核将其传给INPUT链进行处理（决定是否允许通 过等），通过以后再交给系统上层的应用程序（比如Apache服务器）进行响应。

来自外界的数据包到达防火墙后，首先被PREROUTING规则链处理，之后会进行路由选择，如果数据包的目标地址是其它外部地址（比如局域网用户通过网 关访问QQ站点的数据包），则内核将其传递给FORWARD链进行处理（是否转发或拦截），然后再交给POSTROUTING规则链（是否修改数据包的地 址等）进行处理。

防火墙本机向外部地址发送的数据包（比如在防火墙主机中测试公网DNS服务器时），首先被OUTPUT规则链处理，之后进行路由选择，然后传递给POSTROUTING规则链（是否修改数据包的地址等）进行处理。

iptables-save把规则保存到文件中，再由目录rc.d下的脚本（/etc/rc.d/init.d/iptables）自动装载
使用命令iptables-save来保存规则。一般用
iptables-save > /etc/sysconfig/iptables
生成保存规则的文件 /etc/sysconfig/iptables，
也可以用
service iptables save
它能把规则自动保存在/etc/sysconfig/iptables中。
当计算机启动时，rc.d下的脚本将用命令iptables-restore调用这个文件，从而就自动恢复了规则。
删除INPUT链的第一条规则：

1.拒绝进入防火墙的所有ICMP协议数据包

2.允许防火墙转发除ICMP协议以外的所有数据包

说明：使用“！”可以将条件取反。

3.拒绝转发来自192.168.1.10主机的数据，允许转发来自192.168.0.0/24网段的数据

说明：注意要把拒绝的放在前面不然就不起作用了啊。

4.丢弃从外网接口（eth1）进入防火墙本机的源地址为私网地址的数据包

5.封堵网段（192.168.1.0/24），两小时后解封。

说明：这个策略咱们借助crond计划任务来完成，就再好不过了。
[1] Stopped at now 2 hours

6.只允许管理员从202.13.0.0/16网段使用SSH远程登录防火墙主机。

说明：这个用法比较适合对设备进行远程管理时使用，比如位于分公司中的SQL服务器需要被总公司的管理员管理时。

7.允许本机开放从TCP端口20-1024提供的应用服务。

8.允许转发来自192.168.0.0/24局域网段的DNS解析请求数据包。

9.禁止其他主机ping防火墙主机，但是允许从防火墙上ping其他主机

10.禁止转发来自MAC地址为00：0C：29：27：55：3F的和主机的数据包

说明：iptables中使用“-m 模块关键字”的形式调用显示匹配。咱们这里用“-m mac –mac-source”来表示数据包的源MAC地址。

11.允许防火墙本机对外开放TCP端口20、21、25、110以及被动模式FTP端口1250-1280

说明：这里用“-m multiport –dport”来指定目的端口及范围

12.禁止转发源IP地址为192.168.1.20-192.168.1.99的TCP数据包。

说明：此处用“-m –iprange –src-range”指定IP范围。

13.禁止转发与正常TCP连接无关的非—syn请求数据包。

说明：“-m state”表示数据包的连接状态，“NEW”表示与任何连接无关的，新的嘛！

14.拒绝访问防火墙的新数据包，但允许响应连接或与已有连接相关的数据包

说明：“ESTABLISHED”表示已经响应请求或者已经建立连接的数据包，“RELATED”表示与已建立的连接有相关性的，比如FTP数据连接等。

15.只开放本机的web服务（80）、FTP(20、21、20450-20480)，放行外部主机发住服务器其它端口的应答数据包，将其他入站数据包均予以丢弃处理。