我遇到了这个问题,如何在GNU / Linux中找到ICMP回复消息的IP地址?
答案 0 :(得分:4)
查看libpcap - 它是一个非常有效的网络嗅探库,它可以让您准确捕获您指定的数据包类型(可能会被源/目标地址等进一步过滤)。然后,您可以解析数据包并提取源和目标IP地址。链接页面包含文档和几个教程。
请注意,您需要在流量通过的计算机上进行捕获(源,目标或其间的任何内容),就像现代以太网网络(与交换机连接)一样,您通常看不到所有网络流量。来自Wireshark的See this Q&A(实际上是libpcap的GUI)可能的解决方法。
答案 1 :(得分:2)
您可以尝试IPTables logging。
答案 2 :(得分:1)
这是一个简单的循环(C Linux)来拦截所有ICMP REQUEST / REPLY:
#include <stdio.h>
#include <stdlib.h>
#include <string.h>
#include <sys/types.h>
#include <sys/socket.h>
#include <netinet/in.h>
int main(int argc, char **argv)
{
int sock;
int optval;
int ret;
int addrlen;
struct sockaddr_in sIn;
char *buffer;
char *sAddr;
char *dAddr;
int proto;
int type;
buffer = malloc(sizeof(char) * 32);
sAddr = malloc(sizeof(char) * 16);
dAddr = malloc(sizeof(char) * 16);
if ((sock = socket(AF_INET, SOCK_RAW, IPPROTO_ICMP)) != -1) {
setsockopt(sock, IPPROTO_IP, IP_HDRINCL, &optval, sizeof(int));
sIn.sin_family = AF_INET;
sIn.sin_addr.s_addr = INADDR_ANY;
addrlen = sizeof(sIn);
memset(buffer, 0, 32);
while ((ret = recvfrom(sock, buffer, 31, 0, (struct sockaddr *)&sIn, &addrlen)) != -1) {
if (ret > 20) {
proto = (unsigned char)buffer[9];
type = (unsigned char)buffer[20];
if (proto == 1 && (type == 8 || type == 0)) {
memset(sAddr, 0, 16);
memset(dAddr, 0, 16);
sprintf(sAddr, "%d.%d.%d.%d",
(unsigned char)buffer[12],
(unsigned char)buffer[13],
(unsigned char)buffer[14],
(unsigned char)buffer[15]);
sprintf(dAddr, "%d.%d.%d.%d",
(unsigned char)buffer[16],
(unsigned char)buffer[17],
(unsigned char)buffer[18],
(unsigned char)buffer[19]);
if (type == 8)
fprintf(stdout, "-> ICMP REQUEST FROM %s TO %s\n", sAddr, dAddr);
else
fprintf(stdout, "<- ICMP REPLY FROM %s TO %s\n", sAddr, dAddr);
}
}
memset(buffer, 0, 32);
}
close(sock);
}
free(buffer);
free(sAddr);
free(dAddr);
return 0;
}
享受;)
答案 3 :(得分:0)
你当然可以用
打开一个套接字socket(AF_INET, SOCK_RAW, IPPROTO_ICMP)
并记录到达的数据包的源地址。您需要知道ICMP数据报的结构才能使其正常工作。见man 7 raw