Windows下完成SCTP简单抓包

文章目录

Windows下完成SCTP简单抓包
一、实验主机信息
二、所使用的程序
三、程序安装
四、实验过程
五、报文分析
- 1.SCTP报文格式
- 2.SCTP四次握手
- SCTP INIT报文
- SCTP INIT-ACK 数据报
- SCTP INIT_ACK 数据报
- SCTP COOKIE_ECHO数据报
- SCTP COOKIE_ACK 数据报
- SCTP SACK数据报
- SCTP DATA块
- SCTP HEARTBEAT块
- SCTP HEARTBEAT_ACK块

一、实验主机信息

二、所使用的程序

sctplib-1.0.4.exe、glib-1.2.zip 、wireshark
http://www.sctp.be/sctplib/
具体软件安装请见：SCTP在windows下简单实现发包

三、程序安装

1.将sctplib-1.0.4.exe和glib-1.2.zip下载到本地计算机上。

2.安装 sctplib-1.0.4.exe到本机器上，安装完后将glib-1.2.zip解压到它的安装目录下，例如：E:/Program Files/sctplib下面。

3.这个SCTP的实现是在两个机器之间进行的，所以要另外一台机器也要和你自己安装相同的工具（以上两个）。

四、实验过程

由于Windows自带防火墙的存在，当带有防火墙的主机收到了SCTP的INIT信息后，防火墙会直接将该包丢弃，所以在实验开始前关闭两个主机的防火墙
S端先以管理员模式打开echo_server，C端在命令提示符窗口中打开echo_tool（先开S端，再开C端）
在C端命令中输入 echo_tool -d 192.168.1.108（S端IP），即可与S端建立连接，并可以在抓包软件中看到SCTP四握手，等待大约30秒即可收到SCTP的heartbeat报文与heartbeat_ACK报文

C端命令中输入echo_tool -d 192.168.1.108（S端IP）-n 1，即可在上述过程之外再抓到C端与S端互发的DATA数据块，其中双方的确认方式均为选择确认（确认模式固定，发包内容大小固定，可能无法改变？）
由于程序设置的问题，无法主动正常断开链接，只能通过ctrl+c异常断开，故在3.4步骤后续中抓到的包为ICMP协议不可达（C段程序断开，协议信息无法送达）
其他参数可由C端指令符中echo_tool/?获得其参数对应的作用

五、报文分析

1.SCTP报文格式

2.SCTP四次握手

SCTP INIT报文

SCTP INIT-ACK 数据报

注：INIT中的验证标志位，因为还未接收到对方ACK中的初始标志，默认为0

字段	长度	意义
初始标志	4	用于确定一对连接的值。这个值必须被放置到INIT的接收方发送的与该连接相关的每个SCTP分组中的验证标签字段中。初始标签允许除0以外的的任何值。如果在收到的INIT数据块中的启动标签为0，则接收方发送ABORT数据块中止该连接。
窗口大小	4	表示指定的缓冲区的容量，用字节数表示，为INIT发送方为连接预留的窗口大小。
输出流	2	表示发送方希望数据输出流的数量
输入流	2	表示发送方允许接收数据流的数量
初始TSN	4	定义发送方的初始TSN，类似于TCP中的序号
可变长参数	可变	参见以下

可变长参数：IPv4地址参数(5)

IPv4地址（32bit无符号整数）：包含发送方端点的IPv4地址，采用二进制编码。
IPv6地址参数(6)

IPv6地址(128bit的无符号整数)：包含发送方端点的IPv6地址，采用二进制编码。
注：多个地址参数体现SCTP的多宿主特点

防止Cookie过期参数(9)
INIT的发送方应使用这个参数来建议INIT的接收方提供较长存活跨度的状态Cookie。

建议的COOKIE存活跨度增量(32bit的无符号整数)，该参数用来向接收方指示发送方希望接收方为其缺省的COOKIE的存活跨度增加的毫秒数。
由于失效的cookie操作差错原因，前一次尝试与对等端建立连接失败后，又重新尝试连接建立时，这个任选参数应能由发送方添加到INIT数据块中。

主机名地址(11)
INIT发送方使用这个参数把其主机名(在其IP地址的位置中)传递到对等层。这个对等层负责解析这个主机名，用这个参数可以使连接工作通过NAT box进行工作

主机名：可变长度，该字段包含了按照RFC1123规定的“主机名句法”定义的主机名，主机名地址的解析不在本标准中规定，该参数中至少有一个非空的中止符包含在主机名字符串中，并且应包含长度。

支持的地址类型(12)
NIT的发送方使用该参数列出其所支持的全部地址类型。

地址类型(16bit无符号整数)：该参数使用对应的地址类型的类型值(例如：IPv4=5，IPv6=6，主机名=11)

实例分析：

注：Parameter padding字段用于参数填充，使其对齐或成为8的整数倍（二进制），能够进行差错检验和计算

SCTP INIT_ACK 数据报

报文实例：

SCTP COOKIE_ECHO数据报

报文实例：

SCTP COOKIE_ACK 数据报

报文实例：

SCTP SACK数据报

字段	长度	意义
类型	1
标志	2	设为全0并由接收方忽略
长度	4
累积TSN确认	4	该参数包含了在收到TSN序列的间隔前的最后一个TSN值
窗口大小	2	规定了SACK的发送方的接收缓冲容量的字节数。
间隔ACK块数	2	用来指示SACK数据块中包含的间隔证实块的数目

重复TSN数	2	该字段包含了该端点收到的重复的TSN的数目
间隔ACK块结束偏移量	2	该字段用来指示这个间隔整数块的起始TSN偏移，为了计算实际的TSN号码必须要用累积TSN证实加上偏移号码。
重复TSN	4	用来指示一个在上一个SACK发送后收到的TSN重复的个数。每次一个接收者收到一个重复的TSN(在发送SACK前)，则把这个TSN加到重复的TSN列表中。

SCTP DATA块

报文实例：

注：该SACK+DATA中的DATA未发生分片，且按序。

注：以下两个报文为另一次连接建立所抓到的，所以固定首部中的验证标志位与上面不同。

SCTP HEARTBEAT块

（意义：用于检测连接对象是否已经断开）
报文实例：

SCTP HEARTBEAT_ACK块

报文实例：