VC++分析数据包实现UDP协议分析

UDP 是User Datagram Protocol的简称， 中文名是用户数据报协议，是 OSI 参考模型中一种无连接的传输层协议，提供面向事务的简单不可靠信息传送服务，IETF RFC 768是UDP的正式规范。

用户数据报协议

　　UDP是OSI参考模型中一种无连接的传输层协议，提供面向事务的简单不可靠信息传送服务。UDP 协议基本上是IP协议与上层协议的接口。UDP协议适用端口分别运行在同一台设备上的多个应用程序。

简介

　　UDP协议的全称是用户数据报协议，在网络中它与TCP协议一样用于处理
　　 UDP数据包，是一种无连接的协议。在OSI模型中，在第四层——传输层，处于IP协议的上一层。UDP有不提供数据包分组、组装和不能对数据包进行排序的缺点，也就是说，当报文发送之后，是无法得知其是否安全完整到达的。UDP用来支持那些需要在计算机之间传输数据的网络应用。包括网络视频会议系统在内的众多的客户/服务器模式的网络应用都需要使用UDP协议。UDP协议从问世至今已经被使用了很多年，虽然其最初的光彩已经被一些类似协议所掩盖，但是即使是在今天UDP仍然不失为一项非常实用和可行的网络传输层协议。
　　与所熟知的TCP（传输控制协议）协议一样，UDP协议直接位于IP（网际协议）协议的顶层。根据OSI（开放系统互连）参考模型，UDP和TCP都属于传输层协议。
　　UDP协议的主要作用是将网络数据流量压缩成数据包的形式。一个典型的数据包就是一个二进制数据的传输单位。每一个数据包的前8个字节用来包含报头信息，剩余字节则用来包含具体的传输数据。

使用UDP

　　在选择使用协议的时候，选择UDP必须要谨慎。在网络质量令人不十分满意的环境下，UDP协议数据包丢失会比较严重。但是由于UDP的特性：它不属于连接型协议，因而具有资源消耗小，处理速度快的优点，所以通常音频、视频和普通数据在传送时使用UDP较多，因为它们即使偶尔丢失一两个数据包，也不会对接收结果产生太大影响。比如我们聊天用的ICQ和QQ就是使用的UDP协议。

UDP报头

　　UDP报头由4个域组成，其中每个域各占用2个字节，具体如下： UDP源端口号
　　目标端口号
　　数据报长度
　　校验值
　　UDP协议使用端口号为不同的应用保留其各自的数据传输通道。UDP和TCP协议正是采用这一机制实现对同一时刻内多项应用同时发送和接收数据的支持。数据发送一方（可以是客户端或服务器端）将UDP数据包通过源端口发送出去，而数据接收一方则通过目标端口接收数据。有的网络应用只能使用预先为其预留或注册的静态端口；而另外一些网络应用则可以使用未被注册的动态端口。因为UDP报头使用两个字节存放端口号，所以端口号的有效范围是从0到65535。一般来说，大于49151的端口号都代表动态端口。
　　数据报的长度是指包括报头和数据部分在内的总字节数。因为报头的长度是固定的，所以该域主要被用来计算可变长度的数据部分（又称为数据负载）。数据报的最大长度根据操作环境的不同而各异。从理论上说，包含报头在内的数据报的最大长度为65535字节。不过，一些实际应用往往会限制数据报的大小，有时会降低到8192字节。
　　UDP协议使用报头中的校验值来保证数据的安全。校验值首先在数据发送方通过特殊的算法计算得出，在传递到接收方之后，还需要再重新计算。如果某个数据报在传输过程中被第三方篡改或者由于线路噪音等原因受到损坏，发送和接收方的校验计算值将不会相符，由此UDP协议可以检测是否出错。这与TCP协议是不同的，后者要求必须具有校验值。
　　许多链路层协议都提供错误检查，包括流行的以太网协议，也许你想知道为什么UDP也要提供检查和校验。其原因是链路层以下的协议在源端和终端之间的某些通道可能不提供错误检测。虽然UDP提供有错误检测，但检测到错误时，UDP不做错误校正，只是简单地把损坏的消息段扔掉，或者给应用程序提供警告信息。

UDP协议的几个特性

　　（1） UDP是一个无连接协议，传输数据之前源端和终端不建立连接，当 UDP它想传送时就简单地去抓取来自应用程序的数据，并尽可能快地把它扔到网络上。在发送端，UDP传送数据的速度仅仅是受应用程序生成数据的速度、计算机的能力和传输带宽的限制；在接收端，UDP把每个消息段放在队列中，应用程序每次从队列中读一个消息段。
　　（2） 由于传输数据不建立连接，因此也就不需要维护连接状态，包括收发状态等，因此一台服务机可同时向多个客户机传输相同的消息。
　　（3） UDP信息包的标题很短，只有8个字节，相对于TCP的20个字节信息包的额外开销很小。
　　（4） 吞吐量不受拥挤控制算法的调节，只受应用软件生成数据的速率、传输带宽、源端和终端主机性能的限制。
　　（5）UDP使用尽最大努力交付，即不保证可靠交付，因此主机不需要维持复杂的链接状态表（这里面有许多参数）。
　　（6）UDP是面向报文的。发送方的UDP对应用程序交下来的报文，在添加首部后就向下交付给IP层。既不拆分，也不合并，而是保留这些报文的边界，因此，应用程序需要选择合适的报文大小。　
　　虽然UDP是一个不可靠的协议，但它是分发信息的一个理想协议。例如，在屏幕上报告股票市场、在屏幕上显示航空信息等等。UDP也用在路由信息协议RIP（Routing Information Protocol）中修改路由表。在这些应用场合下，如果有一个消息丢失，在几秒之后另一个新的消息就会替换它。UDP广泛用在多媒体应用中，例如，Progressive Networks公司开发的RealAudio软件，它是在因特网上把预先录制的或者现场音乐实时传送给客户机的一种软件，该软件使用的RealAudio audio-on-demand protocol协议就是运行在UDP之上的协议，大多数因特网电话软件产品也都运行在UDP之上。

UDP vs TCP

　　UDP和TCP协议的主要区别是两者在如何实现信息的可靠传递方面不同。 UDPTCP协议中包含了专门的传递保证机制，当数据接收方收到发送方传来的信息时，会自动向发送方发出确认消息；发送方只有在接收到该确认消息之后才继续传送其它信息，否则将一直等待直到收到确认信息为止。与TCP不同，UDP协议并不提供数据传送的保证机制。如果在从发送方到接收方的传递过程中出现数据报的丢失，协议本身并不能做出任何检测或提示。因此，通常人们把UDP协议称为不可靠的传输协议。
　　相对于TCP协议，UDP协议的另外一个不同之处在于如何接收突发性的多个数据报。不同于TCP，UDP并不能确保数据的发送和接收顺序。例如，一个位于客户端的应用程序向服务器发出了以下4个数据报
　　D1
　　D22
　　D333
　　D4444
　　但是UDP有可能按照以下顺序将所接收的数据提交到服务端的应用：
　　D333
　　D1
　　D4444
　　D22
　　事实上，UDP协议的这种乱序性基本上很少出现，通常只会在网络非常拥挤的情况下才有可能发生。

UDP协议的应用

　　既然UDP是一种不可靠的网络协议，那么还有什么使用价值或必要呢？其实不然，在有些情况下UDP协议可能会变得非常有用。因为UDP具有TCP所望尘莫及的速度优势。虽然TCP协议中植入了各种安全保障功能，但是在实际执行的过程中会占用大量的系统开销，无疑使速度受到严重的影响。反观UDP由于排除了信息可靠传递机制，将安全和排序等功能移交给上层应用来完成，极大降低了执行时间，使速度得到了保证。
　　关于UDP协议的最早规范是RFC768，1980年发布。尽管时间已经很长，但是UDP协议仍然继续在主流应用中发挥着作用。包括视频电话会议系统在内的许多应用都证明了UDP协议的存在价值。因为相对于可靠性来说，这些应用更加注重实际性能，所以为了获得更好的使用效果（例如，更高的画面帧刷新速率）往往可以牺牲一定的可靠性（例如，画面质量）。这就是UDP和TCP两种协议的权衡之处。根据不同的环境和特点，两种传输协议都将在今后的网络世界中发挥更加重要的作用。

#include "nids.h"
/*
-----------------------------------------------------------------------------------------------------------------------
下面是UDP协议首部的数据结构
-----------------------------------------------------------------------------------------------------------------------
*/
struct udp_header
{
unsigned short udp_source_port; /* 源端口号 */
unsigned short udp_destination_port; /* 目的端口号 */
unsigned short udp_length; /* 长度 */
unsigned short udp_checksum; /* 校验和 */
};
/*
-----------------------------------------------------------------------------------------------------------------------
下面是IP协议首部的数据结构
-----------------------------------------------------------------------------------------------------------------------
*/
struct ip_header
{
#if defined(WORDS_BIGENDIAN)
unsigned char ip_version: 4,  /* 版本 */
ip_header_length: 4; /* 首部长度 */
#else
unsigned char ip_header_length: 4, ip_version: 4;
#endif
unsigned char ip_tos; /* 服务类型 */
unsigned short ip_length; /* 总长度 */
unsigned short ip_id; /* 标识 */
unsigned short ip_off; /* 标志和偏移 */
unsigned char ip_ttl; /* 生存时间  */
unsigned char ip_protocol; /*协议 */
unsigned short ip_checksum; /* 校验和 */
struct in_addr ip_souce_address; /* 源IP地址 */
struct in_addr ip_destination_address; /* 目的IP地址 */
};
char ascii_string[10000];
char *char_to_ascii(char ch)
{
char *string;
ascii_string[0] = 0;
string = ascii_string;
if (isgraph(ch))
{
*string++ = ch;
}
else if (ch == ' ')
{
*string++ = ch;
}
else if (ch == '\n' || ch == '\r')
{
*string++ = ch;
}
else
{
*string++ = '.';
}
*string = 0;
return ascii_string;
}
/*
=======================================================================================================================
下面是分析UDP协议的函数的定义
=======================================================================================================================
*/
void udp_protocol_packet_callback(u_char *packet_content)
{
struct udp_header *udp_protocol;
u_short source_port;
u_short destination_port;
u_short length;
udp_protocol = (struct udp_header*)(packet_content + 20);
/* 获取UPD协议数据 */
source_port = ntohs(udp_protocol->udp_source_port);
/* 获取源端口 */
destination_port = ntohs(udp_protocol->udp_destination_port);
/* 获取目的端口 */
length = ntohs(udp_protocol->udp_length);
/* 获取长度 */
printf("----------  UDP协议首部    ----------\n");
printf("源端口:%d\n", source_port);
printf("目的端口:%d\n", destination_port);
switch (destination_port) /* 判断端口号，确定上层协议类型 */
{
case 138:
printf("NETBIOS Datagram Service\n");
break;
case 137:
printf("NETBIOS Name Service\n");
break;
case 139:
printf("NETBIOS session service\n");
break;
case 53:
printf("name-domain server \n");
break;
default:
break;
}
printf("长度:%d\n", length);
printf("校验和:%d\n", ntohs(udp_protocol->udp_checksum));
/* 获取校验和 */
}
/*
=======================================================================================================================
下面是实现IP协议分析的函数的定义
=======================================================================================================================
*/
void ip_protocol_packet_callback(u_char *packet_content)
{
struct ip_header *ip_protocol;
u_int header_length;
u_int offset;
u_char tos;
unsigned short checksum;
printf("----------  IP协议首部  ----------\n");
ip_protocol = (struct ip_header*)(packet_content);
/* 获取IP协议数据 */
checksum = ntohs(ip_protocol->ip_checksum);
/* 获取校验和 */
header_length = ip_protocol->ip_header_length *4;
/* 获取长度 */
tos = ip_protocol->ip_tos;
/* 获取服务类型 */
offset = ntohs(ip_protocol->ip_off);
/* 获取标志和偏移 */
printf("IP版本:%d\n", ip_protocol->ip_version);
printf("首部长度:%d\n", header_length);
printf("TOS:%d\n", tos);
printf("总长度:%d\n", ntohs(ip_protocol->ip_length));
printf("标识:%d\n", ntohs(ip_protocol->ip_id));
printf("偏移:%d\n", (offset &0x1fff) *8);
printf("生存时间:%d\n", ip_protocol->ip_ttl);
printf("协议:%d\n", ip_protocol->ip_protocol);
switch (ip_protocol->ip_protocol) /* 判断上层协议类型 */
{
case 6:
printf("上层协议为TCP\n");
break;
case 17:
printf("上层协议为UDP\n");
break;
case 1:
printf("上层协议为ICMP\n");
break;
default:
break;
}
printf("校验和:%d\n", checksum);
printf("源IP地址:%s\n", inet_ntoa(ip_protocol->ip_souce_address));
/* 获取源IP地址 */
printf("目的IP地址:%s\n", inet_ntoa(ip_protocol->ip_destination_address));
/* 获取目的IP地址 */
switch (ip_protocol->ip_protocol)
{
case 17:
udp_protocol_packet_callback(packet_content);
break;
/* 调用分析UDP协议的函数 */
default:
break;
}
}
/*
=======================================================================================================================
下面是回调函数，此回调函数将在函数nids_register_udp（）中被注册
=======================================================================================================================
*/
void udp_callback(struct tuple4 *addr, char *buf, int len, struct ip *iph)
{
int i;
char content[65535];
char content_urgent[65535];
char tcp_content[65535];
char buffer[1024];
strcpy(buffer, inet_ntoa(*((struct in_addr*) &(addr->saddr))));
sprintf(buffer + strlen(buffer), " : %i", addr->source);
strcat(buffer, " -> ");
strcat(buffer, inet_ntoa(*((struct in_addr*) &(addr->daddr))));
sprintf(buffer + strlen(buffer), " : %i", addr->dest);
strcat(buffer, "\n");
printf("------------------- BEGIN ---------------------------\n");
printf("%s", buffer);
ip_protocol_packet_callback(iph);
/* 调用分析IP协议的函数 */
printf("----------  UDP数据包内容  ----------");
/* 输出UDP负载数据内容 */
for (i = 0; i < len; i++)
{
if (i % 50 == 0)
{
printf("\n");
}
printf("%s", char_to_ascii(buf[i]));
}
printf("\n");
printf("------------------- END ---------------------------\n");
printf("\n");
return ;
}
/*
=======================================================================================================================
主函数
=======================================================================================================================
*/
void main()
{
if (!nids_init())
/* Libnids初始化 */
{
printf("%s\n", nids_errbuf);
exit(1);
}
nids_register_udp(udp_callback); /* 注册回调函数 */
nids_run(); /* 进入循环捕获数据包状态 */
}