Rubyでつくるパケットキャプチャツール

Slide 1

Slide 1 text

Slide 2

Slide 2 text

Confidential © 2024 ANDPAD All Rights Reserved. 2 $ whoami •ydah(わいだー) •GitHub: @ydah / 旧Twitter: @ydah_ •株式会社アンドパッドSWE •Kyobashi.rb創設メンバ、Ruby関西メンバ •大阪Ruby会議04のチーフオーガナイザ •#LR_parser_gangs •「終まで飲めば #rubyfamily」 •新米Rubyコミッター(2024/12~)

Slide 3

Slide 3 text

Slide 4

Slide 4 text

Slide 5

Slide 5 text

Slide 6

Slide 6 text

Slide 7

Slide 7 text

Slide 8

Slide 8 text

Slide 9

Slide 9 text

Slide 10

Slide 10 text

Slide 11

Slide 11 text

Slide 12

Slide 12 text

Confidential © 2024 ANDPAD All Rights Reserved. 12 第7層 (L7) アプリケーション層アプリケーション間の通信（HTTP、FTP）第6層 (L6) プレゼンテーション層データ形式の変換（暗号化、圧縮）第5層 (L5) セッション層通信の開始・維持・終了（セッション管理）第4層 (L4) トランスポート層エンドツーエンドの通信（TCP/UDP、セグメント）第3層 (L3) ネットワーク層ネットワーク間のルーティング（IPアドレス、パケット）第2層 (L2) データリンク層隣接ノード間の通信（MACアドレス、フレーム）第1層 (L1) 物理層電気信号やビットの伝送（ケーブル、コネクタ）コンピューターが通信するために利用するネットワークの機能を7つの階層に分類したもの。階層ごとに通信プロトコルが定義されている。 OSI参照モデル

Slide 13

Slide 13 text

Confidential © 2024 ANDPAD All Rights Reserved. 受信側送信側 13 FCS データ L7 ヘッダ L4 ヘッダ L3 ヘッダ L2 ヘッダデータ L7 ヘッダ L4 ヘッダ L3 ヘッダデータ L7 ヘッダ L4 ヘッダデータ L7 ヘッダ FCS データ L7 ヘッダ L4 ヘッダ L3 ヘッダ L2 ヘッダデータ L7 ヘッダ L4 ヘッダ L3 ヘッダデータ L7 ヘッダ L4 ヘッダデータ L7 ヘッダ電気信号電気信号 OSI参照モデルとデータ(カプセル化/非カプセル化)

Slide 14

Slide 14 text

Slide 15

Slide 15 text

Slide 16

Slide 16 text

Slide 17

Slide 17 text

Slide 18

Slide 18 text

Slide 19

Slide 19 text

Slide 20

Slide 20 text

Slide 21

Slide 21 text

Confidential © 2024 ANDPAD All Rights Reserved. 21 組み合わせはこんな感じ扱いたいものソケットの設定アドレスタイプソケットタイププロトコル UDPデータ部以上 AF_INET SOCK_DGRAM IPPROTO_UDP(17) or 0 TCPデータ部以上 AF_INET SOCK_STREAM IPPROTO_TCP(6) or 0 UDPヘッダ部以上 AF_INET SOCK_RAW IPPROTO_UDP(17) TCPヘッダ部以上 AF_INET SOCK_RAW IPPROTO_TCP(6) ICMPヘッダ部以上 AF_INET SOCK_RAW IPPROTO_ICMP(1) IPヘッダ部以上 AF_PACKET SOCK_DGRAM htons(ETH_P_IP) ARPヘッダ部以上 AF_PACKET SOCK_DGRAM htons(ETH_P_ARP) Ethernetヘッダ部以上 AF_PACKET SOCK_RAW htons(ETH_P_IP)

Slide 22

Slide 22 text

Confidential © 2024 ANDPAD All Rights Reserved. 22 組み合わせはこんな感じ扱いたいものソケットの設定アドレスタイプソケットタイププロトコル UDPデータ部以上 AF_INET SOCK_DGRAM IPPROTO_UDP(17) or 0 TCPデータ部以上 AF_INET SOCK_STREAM IPPROTO_TCP(6) or 0 UDPヘッダ部以上 AF_INET SOCK_RAW IPPROTO_UDP(17) TCPヘッダ部以上 AF_INET SOCK_RAW IPPROTO_TCP(6) ICMPヘッダ部以上 AF_INET SOCK_RAW IPPROTO_ICMP(1) IPヘッダ部以上 AF_PACKET SOCK_DGRAM htons(ETH_P_IP) ARPヘッダ部以上 AF_PACKET SOCK_DGRAM htons(ETH_P_ARP) Ethernetヘッダ部以上 AF_PACKET SOCK_RAW htons(ETH_P_IP)

Slide 23

Slide 23 text

Confidential © 2024 ANDPAD All Rights Reserved. 23 なのでこうする r equi r e 'socket' ETH_P_ALL = 768 # NOTE : htons(ETH_P_ALL) = > linux/if_ethe r .h Socket.new(Socket : : AF_PACKET, Socket : : SOCK_RAW, ETH_P_ALL)

Slide 24

Slide 24 text

Slide 25

Slide 25 text

Slide 26

Slide 26 text

Confidential © 2024 ANDPAD All Rights Reserved. 26 こうする PACKED_ETH_P_ALL = [ETH_P_ALL].pack('S').unpack1('S>') s = Socket.new(Socket : : AF_PACKET, Socket : : SOCK_RAW, ETH_P_ALL) sll = [Socket : : AF_PACKET, PACKED_ETH_P_ALL, m r _if i ndex] s.bind(sll.pack('SS>a16'))

Slide 27

Slide 27 text

Confidential © 2024 ANDPAD All Rights Reserved. 27 こうする PACKED_ETH_P_ALL = [ETH_P_ALL].pack('S').unpack1('S>') s = Socket.new(Socket : : AF_PACKET, Socket : : SOCK_RAW, ETH_P_ALL) sll = [Socket : : AF_PACKET, PACKED_ETH_P_ALL, m r _if i ndex] s.bind(sll.pack('SS>a16')) ソケットを作って

Slide 28

Slide 28 text

Confidential © 2024 ANDPAD All Rights Reserved. 28 こうする PACKED_ETH_P_ALL = [ETH_P_ALL].pack('S').unpack1('S>') s = Socket.new(Socket : : AF_PACKET, Socket : : SOCK_RAW, ETH_P_ALL) sll = [Socket : : AF_PACKET, PACKED_ETH_P_ALL, m r _if i ndex] s.bind(sll.pack('SS>a16')) sockaddr_ll構造体に詰める

Slide 29

Slide 29 text

Confidential © 2024 ANDPAD All Rights Reserved. 29 struct sockaddr_llᾇ st r uct sockadd r _ll { unsigned sho r t sll_family; / * Always AF_PACKET * / unsigned sho r t sll_p r otocol; / * Physical - laye r p r otocol * / int sll_if i ndex; / * Inte r face numbe r * / unsigned sho r t sll_hatype; / * ARP ha r dwa r e type * / unsigned cha r sll_pkttype; / * Packet type * / unsigned cha r sll_halen; / * Length of add r ess * / unsigned cha r sll_add r [8]; / * Physical - laye r add r ess * / }; ᾇ https://man7.org/linux/man-pages/man7/packet.7.html

Slide 30

Slide 30 text

Confidential © 2024 ANDPAD All Rights Reserved. 30 struct sockaddr_llᾇ st r uct sockadd r _ll { unsigned sho r t sll_family; / * Always AF_PACKET * / unsigned sho r t sll_p r otocol; / * Physical - laye r p r otocol * / int sll_if i ndex; / * Inte r face numbe r * / unsigned sho r t sll_hatype; / * ARP ha r dwa r e type * / unsigned cha r sll_pkttype; / * Packet type * / unsigned cha r sll_halen; / * Length of add r ess * / unsigned cha r sll_add r [8]; / * Physical - laye r add r ess * / }; ᾇ https://man7.org/linux/man-pages/man7/packet.7.html この3つに詰める

Slide 31

Slide 31 text

Slide 32

Slide 32 text

Slide 33

Slide 33 text

Confidential © 2024 ANDPAD All Rights Reserved. 33 struct sockaddr_llᾇ st r uct sockadd r _ll { unsigned sho r t sll_family; / * Always AF_PACKET * / unsigned sho r t sll_p r otocol; / * Physical - laye r p r otocol * / int sll_if i ndex; / * Inte r face numbe r * / unsigned sho r t sll_hatype; / * ARP ha r dwa r e type * / unsigned cha r sll_pkttype; / * Packet type * / unsigned cha r sll_halen; / * Length of add r ess * / unsigned cha r sll_add r [8]; / * Physical - laye r add r ess * / }; ᾇ https://man7.org/linux/man-pages/man7/packet.7.html ushort, ushort, intの順

Slide 34

Slide 34 text

Confidential © 2024 ANDPAD All Rights Reserved. unsigned short (2byte) sll_family unsigned short (2byte) sll_protocol int (4byte) sll_i fi ndex 12byte Not set 34 Cの構造体のように詰める方法 pack('SSa16') [Socket : : AF_PACKET, PACKED_ETH_P_ALL, m r _if i ndex]

Slide 35

Slide 35 text

Confidential © 2024 ANDPAD All Rights Reserved. 35 Cの構造体のように詰める方法 unsigned short (2byte) sll_family unsigned short (2byte) sll_protocol int (4byte) sll_i fi ndex 12byte Not set pack('SSa16') [Socket : : AF_PACKET, PACKED_ETH_P_ALL, m r _if i ndex] Arrayに設定したい値を詰める

Slide 36

Slide 36 text

Confidential © 2024 ANDPAD All Rights Reserved. 36 Cの構造体のように詰める方法 unsigned short (2byte) sll_family unsigned short (2byte) sll_protocol int (4byte) sll_i fi ndex 12byte Not set .pack('SSa16') [Socket : : AF_PACKET, PACKED_ETH_P_ALL, m r _if i ndex] バイナリとしてパックした文字列にする

Slide 37

Slide 37 text

Confidential © 2024 ANDPAD All Rights Reserved. 37 こうする PACKED_ETH_P_ALL = [ETH_P_ALL].pack('S').unpack1('S>') s = Socket.new(Socket : : AF_PACKET, Socket : : SOCK_RAW, ETH_P_ALL) sll = [Socket : : AF_PACKET, PACKED_ETH_P_ALL, m r _if i ndex] s.bind(sll.pack('SS>a16')) ソケットに割り当てる

Slide 38

Slide 38 text

Slide 39

Slide 39 text

Slide 40

Slide 40 text

Slide 41

Slide 41 text

Slide 42

Slide 42 text

Slide 43

Slide 43 text

Confidential © 2024 ANDPAD All Rights Reserved. 43 struct packet_mreqᾇ st r uct packet_m r eq { int m r _if i ndex; / * inte r face index * / unsigned sho r t m r _type; / * action * / unsigned sho r t m r _alen; / * add r ess length * / unsigned cha r m r _add r ess[8]; / * physical - laye r add r ess * / }; ᾇ https://man7.org/linux/man-pages/man7/packet.7.html

Slide 44

Slide 44 text

Confidential © 2024 ANDPAD All Rights Reserved. 44 それぞれはこう詰める def m r _if i ndex i = Socket.getifadd r s.f i nd { |ifadd r | ifadd r .name = = @ifname }&.if i ndex [[i].pack('c')].pack('a4') end def m r _type PACKET_MR_PROMISC = 0 x 0001 # NOTE : netpacket/packet.h [PACKET_MR_PROMISC].pack('S') end def m r _alen [0].pack('S') end def m r _add r ess [0].pack('C') * 8 end

Slide 45

Slide 45 text

Confidential © 2024 ANDPAD All Rights Reserved. 45 それぞれはこう詰める def m r _if i ndex i = Socket.getifadd r s.f i nd { |ifadd r | ifadd r .name = = @ifname }&.if i ndex [[i].pack('c')].pack('a4') end def m r _type PACKET_MR_PROMISC = 0 x 0001 # NOTE : netpacket/packet.h [PACKET_MR_PROMISC].pack('S') end def m r _alen [0].pack('S') end def m r _add r ess [0].pack('C') * 8 end Socket.getifaddrs でI/F名から indexを取得する

Slide 46

Slide 46 text

Confidential © 2024 ANDPAD All Rights Reserved. 46 それぞれはこう詰める def m r _if i ndex i = Socket.getifadd r s.f i nd { |ifadd r | ifadd r .name = = @ifname }&.if i ndex [[i].pack('c')].pack('a4') end def m r _type PACKET_MR_PROMISC = 0 x 0001 # NOTE : netpacket/packet.h [PACKET_MR_PROMISC].pack('S') end def m r _alen [0].pack('S') end def m r _add r ess [0].pack('C') * 8 end PACKET_MR_PROMISC を設定

Slide 47

Slide 47 text

Confidential © 2024 ANDPAD All Rights Reserved. 47 それぞれはこう詰める def m r _if i ndex i = Socket.getifadd r s.f i nd { |ifadd r | ifadd r .name = = @ifname }&.if i ndex [[i].pack('c')].pack('a4') end def m r _type PACKET_MR_PROMISC = 0 x 0001 # NOTE : netpacket/packet.h [PACKET_MR_PROMISC].pack('S') end def m r _alen [0].pack('S') end def m r _add r ess [0].pack('C') * 8 end mr_alen と mr_address は0埋め

Slide 48

Slide 48 text

Slide 49

Slide 49 text

Slide 50

Slide 50 text

Slide 51

Slide 51 text

Slide 52

Slide 52 text

Slide 53

Slide 53 text

Slide 54

Slide 54 text

Confidential © 2024 ANDPAD All Rights Reserved. 54 FCS データ L7 ヘッダ L4 ヘッダ L3 ヘッダ L2 ヘッダデータ L7 ヘッダ L4 ヘッダ L3 ヘッダデータ L7 ヘッダ L4 ヘッダデータ L7 ヘッダ L7: メッセージ L4: セグメント/データグラム L3: パケット L2: フレームヘッダを解析していく例：UDPぐらいまで FCS データ DNS UDP IP Ether データ DNS UDP IP データ DNS UDP データ DNS

Slide 55

Slide 55 text

Confidential © 2024 ANDPAD All Rights Reserved. 55 FCS データ DNS UDP IP Ether 0 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 宛先MACアドレス送信元MACアドレス λΠϓ L3ヘッダ含むデータイーサネットⅡヘッダ

Slide 56

Slide 56 text

Confidential © 2024 ANDPAD All Rights Reserved. 56 FCS データ DNS UDP IP Ether 0 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 宛先MACアドレス送信元MACアドレス λΠϓ L3ヘッダ含むデータイーサネットⅡヘッダタイプを見れば次のレイヤーのヘッダが決まる

Slide 57

Slide 57 text

Confidential © 2024 ANDPAD All Rights Reserved. 57 FCS データ L7 ヘッダ L4 ヘッダ L3 ヘッダ L2 ヘッダデータ L7 ヘッダ L4 ヘッダ L3 ヘッダデータ L7 ヘッダ L4 ヘッダデータ L7 ヘッダ L7: メッセージ L4: セグメント/データグラム L3: パケット L2: フレームヘッダを剥がしつつ出力するだけ FCS データ DNS UDP IP Ether データ DNS UDP IP データ DNS UDP データ DNS

Slide 58

Slide 58 text

Confidential © 2024 ANDPAD All Rights Reserved. 58 FCS データ DNS UDP IP Ether 0 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 バージョンヘッダ長サービス種別全長識別子フラグ断片位置生存時間プロトコルチェックサム送信元アドレス宛先アドレス拡張情報 L4ヘッダ含むデータ IPv4ヘッダ

Slide 59

Slide 59 text

Confidential © 2024 ANDPAD All Rights Reserved. 59 FCS データ DNS UDP IP Ether 0 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 バージョンヘッダ長サービス種別全長識別子フラグ断片位置生存時間プロトコルチェックサム送信元アドレス宛先アドレス拡張情報 L4ヘッダ含むデータ IPv4ヘッダプロトコルを見れば次のレイヤーのヘッダが決まる

Slide 60

Slide 60 text

Confidential © 2024 ANDPAD All Rights Reserved. 60 FCS データ L7 ヘッダ L4 ヘッダ L3 ヘッダ L2 ヘッダデータ L7 ヘッダ L4 ヘッダ L3 ヘッダデータ L7 ヘッダ L4 ヘッダデータ L7 ヘッダ L7: メッセージ L4: セグメント/データグラム L3: パケット L2: フレームヘッダを剥がしつつ出力するだけ FCS データ DNS UDP IP Ether データ DNS UDP IP データ DNS UDP データ DNS

Slide 61

Slide 61 text

Slide 62

Slide 62 text

Slide 63

Slide 63 text

Slide 64

Slide 64 text

Confidential © 2024 ANDPAD All Rights Reserved. 64 おわりにかえて •ソケット作って、I/Fへバインドして、プロミスキャスモードを設定して、あとはループ内で受信して解析していくだけでおk •解析も基本はヘッダをレイヤーごとに解析していけばおk •Macでは動作しないんや…すまんな… •Wiresharkで見れるpcap形式での出力も実装はある！が、発表時間はない… •みんなもやろうネットワークプログラミング！