用Go开发可以内网活跃主机嗅探器 #1

timest · 2017-10-28T03:19:50Z

用Go开发可以内网活跃主机嗅探器

文章关键词

go/golang
gopacket
抓包
pcap/libpcap
arp
nbns
mdns
manuf

程序截图

说明

本文对于Go语言本身的讲解不会太多，想把更多的时间花在几个网络协议的讲解上，希望本文对打算或正在用Go进行TCP/IP编程和抓包的朋友带来帮助。
github地址：https://github.com/timest/goscan

程序思路

通过内网IP和子网掩码计算出内网IP范围
向内网广播ARP Request
监听并抓取ARP Response包，记录IP和Mac地址
发活跃IP发送MDNS和NBNS包，并监听和解析Hostname
根据Mac地址计算出厂家信息

通过内网IP和子网掩码计算出内网IP范围

如果仅仅只是知道一个IP地址，是无法得知内网IP的网段，不能只是简单的把本机IP的最后一个字节改成1-255。需要通过子网掩码来计算得出内网的网段，这块比较简单，这里不赘述了，有疑问的网上搜索子网掩码获取更多资料。值得一提的是IP地址的最后一个字段是不能为0和255，前者是RFC规定，后者一般是广播地址。

// 单网卡模式
addrs, err := net.InterfaceAddrs()
if err != nil {
   log.Fatal("无法获取本地网络信息:", err)
}
for i, a := range addrs {
   if ip, ok := a.(*net.IPNet); ok && !ip.IP.IsLoopback() {
       if ip.IP.To4() != nil {
           fmt.Println("IP:", ip.IP)
           fmt.Println("子网掩码:", ip.Mask)
           it, _ := net.InterfaceByIndex(i)
           fmt.Println("Mac地址:", it.HardwareAddr)
           break
       }
   }
}

根据上面得到的IPNet，可以算出内网IP范围：

type IP uint32
// 根据IP和mask换算内网IP范围
func Table(ipNet *net.IPNet) []IP {
    ip := ipNet.IP.To4()
    log.Info("本机ip:", ip)
    var min, max IP
    var data []IP
    for i := 0; i < 4; i++ {
        b := IP(ip[i] & ipNet.Mask[i])
        min += b << ((3 - uint(i)) * 8)
    }
    one, _ := ipNet.Mask.Size()
    max = min | IP(math.Pow(2, float64(32 - one)) - 1)
    log.Infof("内网IP范围:%s --- %s", min, max)
    // max 是广播地址，忽略
    // i & 0x000000ff  == 0 是尾段为0的IP，根据RFC的规定，忽略
    for i := min; i < max; i++ {
        if i & 0x000000ff == 0 {
            continue
        }
        data = append(data, i)
    }
    return data
}

向内网广播ARP Request

ARP（Address Resolution Protocol），地址解析协议，是根据IP地址获取物理地址的一个TCP/IP协议。主机发送信息时将包含目标IP地址的ARP请求广播到网络上的所有主机，并接收返回消息，以此确定目标的物理地址 ------百度百科

当我们要向以太网中另一台主机发送IP数据时，我们本地会根据目的主机的IP地址在ARP高速缓存中查询相应的以太网地址，ARP高速缓存是主机维护的一个IP地址到相应以太网地址的映射表。如果查询失败，ARP会广播一个询问（op字段为1）目的主机硬件地址的报文，等待目标主机的响应。
因为ARP高速缓存有时效性，读取到目标主机的硬件地址后，最好发送一个ICMP包验证目标是否在线。当然也可以选择不从高速缓存里读取数据，而是直接并发发送arp包，等待在线主机回应ARP报文。

gopacket有封装好的ARP报文：

type ARP struct {
	BaseLayer
	AddrType          LinkType     // 硬件类型
	Protocol          EthernetType // 协议类型
	HwAddressSize     uint8        // 硬件地址长度
	ProtAddressSize   uint8        // 协议地址长度
	Operation         uint16       // 操作符(1代表request 2代表reply)
	SourceHwAddress   []byte       // 发送者硬件地址
	SourceProtAddress []byte       // 发送者IP地址
	DstHwAddress      []byte       // 目标硬件地址（可以填写00:00:00:00:00:00)
	DstProtAddress    []byte       // 目标IP地址
}

给出项目中具体的代码：

// 发送arp包
// ip 目标IP地址
func sendArpPackage(ip IP) {
    srcIp := net.ParseIP(ipNet.IP.String()).To4()
    dstIp := net.ParseIP(ip.String()).To4()
    if srcIp == nil || dstIp == nil {
        log.Fatal("ip 解析出问题")
    }
    // 以太网首部
    // EthernetType 0x0806  ARP
    ether := &layers.Ethernet{
        SrcMAC: localHaddr,
        DstMAC: net.HardwareAddr{0xff, 0xff, 0xff, 0xff, 0xff, 0xff},
        EthernetType: layers.EthernetTypeARP,
    }
    
    a := &layers.ARP{
        AddrType: layers.LinkTypeEthernet,
        Protocol: layers.EthernetTypeIPv4,
        HwAddressSize: uint8(6),
        ProtAddressSize: uint8(4),
        Operation: uint16(1), // 0x0001 arp request 0x0002 arp response
        SourceHwAddress: localHaddr,
        SourceProtAddress: srcIp,
        DstHwAddress: net.HardwareAddr{0x00, 0x00, 0x00, 0x00, 0x00, 0x00},
        DstProtAddress: dstIp,
    }
    
    buffer := gopacket.NewSerializeBuffer()
    var opt gopacket.SerializeOptions
    gopacket.SerializeLayers(buffer, opt, ether, a)
    outgoingPacket := buffer.Bytes()
    
    handle, err := pcap.OpenLive(iface, 2048, false, 30 * time.Second)
    if err != nil {
        log.Fatal("pcap打开失败:", err)
    }
    defer handle.Close()
    
    err = handle.WritePacketData(outgoingPacket)
    if err != nil {
        log.Fatal("发送arp数据包失败..")
    }
}

我们只需要将第一步得到的内网IP表，开启一个goruntime遍历发送arp报文就可以。

监听并抓取ARP Response包，记录IP和Mac地址

在上一步已经发送了arp请求，只需要开启一个arp的监听goruntime，所有有返回arp response包的，就是内网在线的host。

func listenARP(ctx context.Context) {
    handle, err := pcap.OpenLive(iface, 1024, false, 10 * time.Second)
    if err != nil {
        log.Fatal("pcap打开失败:", err)
    }
    defer handle.Close()
    handle.SetBPFFilter("arp")
    ps := gopacket.NewPacketSource(handle, handle.LinkType())
    for {
        select {
        case <-ctx.Done():
            return
        case p := <-ps.Packets():
            arp := p.Layer(layers.LayerTypeARP).(*layers.ARP)
            if arp.Operation == 2 {
                mac := net.HardwareAddr(arp.SourceHwAddress)
                pushData(ParseIP(arp.SourceProtAddress).String(), mac, "", manuf.Search(mac.String()))
                go sendMdns(ParseIP(arp.SourceProtAddress), mac)
                go sendNbns(ParseIP(arp.SourceProtAddress), mac)
            }
        }
    }
}

发活跃IP发送MDNS和NBNS包，并监听和解析hostname

在上一步的过程中，我们在接受到一个arp的response后，就可以发起mdns和nbns包等待hostname的返回。

go sendMdns(ParseIP(arp.SourceProtAddress), mac)
go sendNbns(ParseIP(arp.SourceProtAddress), mac)

mDNS：往对方的5353端口和01:00:5E:00:00:FB的mac地址发送UDP的mdns（Multicast DNS）包，如果目标系统支持，回返回host name。详细协议介绍和报文格式可以查看维基百科的介绍。
NBNS：也是一个种常见的查看目标机器hostname的一种协议，和mDNS一样，传输层也是UDP，端口是在137。
篇幅太长了，具体的代码请看github上的nbns.go 和 mdns.go。

根据Mac地址计算出厂家信息

我们可以通过目标主机的硬件地址，获取到设备的生产厂家信息。这样的话，即使遇到防御比较好的系统，我们无法获取到hostname，也能从厂家信息里获取一定的信息量，比如厂家信息是oneplus或则Smartisan，就可以判断是手机了
manuf文件，文件片段：

00:03:8F	Weinsche	Weinschel Corporation
00:03:90	DigitalV	Digital Video Communications, Inc.
00:03:91	Advanced	Advanced Digital Broadcast, Ltd.
00:03:92	HyundaiT	Hyundai Teletek Co., Ltd.
00:03:93	Apple	Apple, Inc.
00:03:94	ConnectO	Connect One
00:03:95	Californ	California Amplifier
00:03:96	EzCast	EZ Cast Co., Ltd.
00:03:97	Watchfro	Watchfront Limited

代码不贴了，直接看代码，100行不到的代码，还是挺简单的：manuf.go。测试结果99%的mac地址都能映射到相应的厂商信息。

The text was updated successfully, but these errors were encountered:

timest · 2017-10-30T04:18:08Z

terryzwt · 2017-11-01T05:19:59Z

谢谢分享.
但是怎么使用?没看到相关的说明.

timest · 2017-11-01T07:18:49Z

@terryzwt 直接 go build main && sudo ./main 就可以了

a4j4123 · 2017-11-02T07:16:35Z

kali2.0

没玩过go，指导下

a4j4123 · 2017-11-02T08:04:59Z

还得翻墙下载依赖包

a4j4123 · 2017-11-02T09:18:42Z

依赖包搞定了，现在这样了

a4j4123 · 2017-11-02T16:30:38Z

搞定了把包放vendor下就行。。。。捣鼓半天，

a4j4123 · 2017-11-03T01:15:22Z

虚拟机里只能扫到自己，局域网其他主机扫不了

singchia · 2017-11-03T01:39:05Z

虚机用的桥接吧，桥接的虚二层网络隔绝了vlan，所以arp出不去，可以改成host试试看

exp-db · 2017-11-09T07:13:44Z

补充，如果Linux上安装报错： fatal error: pcap.h: No such file or directory 说明需要安装libpcap程序
sudo apt-get install libpcap-dev

timest · 2017-11-09T07:39:25Z

@exp-db 👍 不过补充在 #4 会更合适

terryzwt · 2017-11-10T09:12:35Z

MAC上,go build无报错.
执行./main,会有如下报错:

'./main' terminated by signal SIGKILL (Forced quit)

dagongrenzzZ · 2017-12-28T03:44:37Z

你好，我想请问下win环境下怎么运行？github.com\google\gopacket\pcap_obj\pcap.cgo2.o: In function _cgo_e5e2831ef2ad_Cfunc_pcap_free_datalinks': \github.com\google\gopacket\pcap/cgo-gcc-prolog:246: undefined reference to pcap_free_datalinks'这是链接的问题么？

tcchend · 2017-12-30T02:59:45Z

你好，win环境下，如下问题怎么解决，谢谢
time="2017-12-30T10:58:47+08:00" level=info msg="本机ip:172.28.169.17"
time="2017-12-30T10:58:47+08:00" level=info msg="内网IP范围:172.28.169.0 --- 172.28.169.255"
time="2017-12-30T10:58:47+08:00" level=fatal msg="pcap打开失败:Error opening adapter: ϵͳ\xd5Ҳ\xbb\xb5\xbdָ\xb6\xa8\xb5\xc4\xc9豸\xa1\xa3 (20)"
错误: 进程退出代码 1.

timest · 2018-01-03T08:00:24Z

@chenDONG9 目前没有windows测试环境，另外你这个乱码也看不懂，你已经排除是权限的问题了吗？

qianxiansheng90 · 2018-02-09T09:56:26Z

楼主请教个问题：
我用mac本地编译，可以通过，但是编译为Linux的时候，报错：
CGO_ENABLED=0 GOOS=linux GOARCH=amd64 go build -v fetchPortCommand.go
command-line-arguments
# command-line-arguments
./fetchPortCommand.go:51:16: undefined: pcap.FindAllDevs
./fetchPortCommand.go:60:17: undefined: pcap.OpenLive

找到解决办法：
在Linux平台编译就可以通过

grassto · 2019-09-29T06:21:41Z

你好，win环境下，如下问题怎么解决，谢谢
time="2017-12-30T10:58:47+08:00" level=info msg="本机ip:172.28.169.17"
time="2017-12-30T10:58:47+08:00" level=info msg="内网IP范围:172.28.169.0 --- 172.28.169.255"
time="2017-12-30T10:58:47+08:00" level=fatal msg="pcap打开失败:Error opening adapter: ϵͳ\xd5Ҳ\xbb\xb5\xbdָ\xb6\xa8\xb5\xc4\xc9豸\xa1\xa3 (20)"
错误: 进程退出代码 1.

解决了吗老哥

AmarsDing · 2019-10-12T07:34:30Z

time="2019-10-12T15:30:44+08:00" level=info msg="本机ip:192.168.1.30"
time="2019-10-12T15:30:44+08:00" level=info msg="内网IP范围:192.168.1.0 --- 192.168.1.255"
time="2019-10-12T15:30:44+08:00" level=fatal msg="pcap打开失败:Error opening adapter: ϵͳ\xd5Ҳ\xbb\xb5\xbdָ\xb6\xa8\xb5\xc4\xc9豸\xa1\xa3 (20)"

同样错误 win10 管理员权限

timest · 2019-10-12T09:39:32Z

@AmarsDing 不好意思朋友，没有windows 的测试机。暂没有对支持windows的计划。

Xuzan9396 · 2021-03-03T05:42:32Z

为什么只能扫到自己

timest · 2021-03-04T14:09:02Z

为什么只能扫到自己

建议用wireshark分析下

timest closed this as completed Aug 1, 2019

Repository owner locked as off-topic and limited conversation to collaborators Mar 4, 2021

Provide feedback

Saved searches

Use saved searches to filter your results more quickly

用Go开发可以内网活跃主机嗅探器 #1

用Go开发可以内网活跃主机嗅探器 #1

timest commented Oct 28, 2017 •

edited

timest commented Oct 30, 2017

terryzwt commented Nov 1, 2017

timest commented Nov 1, 2017

a4j4123 commented Nov 2, 2017

a4j4123 commented Nov 2, 2017

a4j4123 commented Nov 2, 2017

a4j4123 commented Nov 2, 2017

a4j4123 commented Nov 3, 2017

singchia commented Nov 3, 2017

exp-db commented Nov 9, 2017

timest commented Nov 9, 2017

terryzwt commented Nov 10, 2017

dagongrenzzZ commented Dec 28, 2017

tcchend commented Dec 30, 2017

timest commented Jan 3, 2018

qianxiansheng90 commented Feb 9, 2018 •

edited

grassto commented Sep 29, 2019

AmarsDing commented Oct 12, 2019

timest commented Oct 12, 2019

Xuzan9396 commented Mar 3, 2021

timest commented Mar 4, 2021

用Go开发可以内网活跃主机嗅探器 #1

用Go开发可以内网活跃主机嗅探器 #1

Comments

timest commented Oct 28, 2017 • edited

用Go开发可以内网活跃主机嗅探器

文章关键词

程序截图

说明

程序思路

通过内网IP和子网掩码计算出内网IP范围

向内网广播ARP Request

监听并抓取ARP Response包，记录IP和Mac地址

发活跃IP发送MDNS和NBNS包，并监听和解析hostname

根据Mac地址计算出厂家信息

timest commented Oct 30, 2017

terryzwt commented Nov 1, 2017

timest commented Nov 1, 2017

a4j4123 commented Nov 2, 2017

a4j4123 commented Nov 2, 2017

a4j4123 commented Nov 2, 2017

a4j4123 commented Nov 2, 2017

a4j4123 commented Nov 3, 2017

singchia commented Nov 3, 2017

exp-db commented Nov 9, 2017

timest commented Nov 9, 2017

terryzwt commented Nov 10, 2017

dagongrenzzZ commented Dec 28, 2017

tcchend commented Dec 30, 2017

timest commented Jan 3, 2018

qianxiansheng90 commented Feb 9, 2018 • edited

grassto commented Sep 29, 2019

AmarsDing commented Oct 12, 2019

timest commented Oct 12, 2019

Xuzan9396 commented Mar 3, 2021

timest commented Mar 4, 2021

timest commented Oct 28, 2017 •

edited

qianxiansheng90 commented Feb 9, 2018 •

edited