外贸网站关键词优化,东莞常平房价2023最新楼盘消息,阿里巴巴怎么做不花钱的网站,推广平台网站制作linux下USB抓包和分析流程
在windows下抓取usb包时可以通过wireshark安装时安装USBpcap来实现usb抓包#xff0c;linux下如何操作呢#xff1f; 是基于usbmon#xff0c;本博客简单描述基于usbmon在linux系统上对通过usb口进行发送和接收的数据的抓包流程#xff0c;分别描…linux下USB抓包和分析流程
在windows下抓取usb包时可以通过wireshark安装时安装USBpcap来实现usb抓包linux下如何操作呢 是基于usbmon本博客简单描述基于usbmon在linux系统上对通过usb口进行发送和接收的数据的抓包流程分别描述了tcpdump支持usbmon和不支持usbmon的场景下解析usb数据流的流程。部分系统环境中的tcpdump默认不支持usbmon而在一般的centos系统和debian系统中是可以支持的。 整体流程图如下 1. 挂载debugfs虚拟文件系统用于内核调试
默认情况下debugfs会被挂载在目录/sys/kernel/debug之下如果你的发行版里没有自动挂载可以用如下命令手动完成 sudo mount -t debugfs none /sys/kernel/debug
2. 加载usbmon内核模块
sudo modprobe usbmon
3. 查看usbmon监控可以识别到的设备号。如下图生成了几个usb设备号。
# ls /sys/kernel/debug/usb/usbmon
# 0s 0u 1s 1t 1u 2s 2t 2u 3s 3t 3u 4s 4t 4u说明: ①、数字后面的s/t/u表示抓包保存的数据格式我们使用u格式其他2项忽略即可 ②、数字1/2/3分别表示所在的当前平台所拥有的USB总线调试的usb设备挂在哪条总线下就用哪个; 那么0数字表示什么含义呢它表示抓所有总线上的包;
4. 找出你需要监控的总线编号
通过列举全部的usb/devices设备确认ManufacturerVendor和Product之类的信息中是否有对应的需要监控的设备这里Bus02就是我们需要监控的USB总线号Dev 20就是我们感兴趣的设备节点。
cat /sys/kernel/debug/usb/devices T: Bus02 Lev02 Prnt14 Port03 Cnt03 Dev# 20 Spd5000 MxCh 0
D: Ver 3.10 Cls00(ifc ) Sub00 Prot00 MxPS 9 #Cfgs 1
P: Vendor090c ProdID2000 Rev11.00
S: ManufacturerXXX Corporation
S: ProductUSB DISK
C:* #Ifs 1 Cfg# 1 Atr80 MxPwr504mA
I:* If# 0 Alt 0 #EPs 2 Cls08(stor.) Sub06 Prot50 Driverusb-storage
E: Ad01(O) Atr02(Bulk) MxPS1024 Ivl0ms
E: Ad82(I) Atr02(Bulk) MxPS1024 Ivl0ms
注意一个总线上可以有多个设备。
5. 使用usbmon抓取通讯数据包
# cat /sys/kernel/debug/usb/usbmon/2u可以将数据输出到终端持续抓包通过 CtrlC打断输出。 也可以通过如下方式将抓包结果输出到日志中
# cat /sys/kernel/debug/usb/usbmon/2u /tmp/usbmon_log.txt将抓取到的数据保存在 /tmp/usbmon_log.txt中也是通过 CtrlC打断输出
6. 这里抓取的是原始的usb包可以通过 tcpdump –D list interface列出所有接口来确认是否支持通过tcpdump抓取 usbmon的包。
如下输出则意味着可以通过tcpdump来抓取usbmon1/2的包抓包结果输出到 xxx.pcap中,可以再在wireshark中打开按照分析windows端抓取的usb包的方式进行解析。
# tcpdump -D
1.eth0
2.docker0
3.nflog (Linux netfilter log (NFLOG) interface)
4.nfqueue (Linux netfilter queue (NFQUEUE) interface)
5.usbmon1 (USB bus number 1)
6.usbmon2 (USB bus number 2)
7.veth7e7c164
8.any (Pseudo-device that captures on all interfaces)
9.lo [Loopback]通过如下命令进行抓包然后将 .pcap文件拷贝到windows上用wireshark打开即可进行解析。这里是暂存到 tmp目录下也可以暂存到其他目录下。
tcpdump -i usbmon2 -w /tmp/usbmon2_20230918.pcap7. 如何解析原始的 usbmon中输出的包格式
如果tcpdump中不支持 usbmon的接口那么就只能去解析上述usbmon中输出的包格式。
包格式的解析可以参考如下博客https://www.cnblogs.com/tzj-kernel/p/15256390.html
这里截取了一些关键字段的含义描述 ffffffb5e2467900 3265596625 S Bo:2:006:1 -115 1024 01121a00 02121a00 03121a00 04121a00 05121a00 06121a00 07121a00 08121a00
ffffffb5e2467900 3265596771 C Bo:2:006:1 0 1024
ffffffb5c3d66500 3265596867 S Bi:2:006:2 -115 13
ffffffb5c3d66500 3265596918 C Bi:2:006:2 0 13 55534253 f6352100 00000000 00这里针对一组输入和输出的数据做简单描述 Bi Bo分别表示批量输入和批量输出Bo:2:006 代表总线2上的006设备。”” 前面表示数据长度单位是字节这里即需要发出1024字节后面为实际待发出的数据。下一行 ”” 标记表示输出。下一行 “”标记表示数据输入再下一行的”” 后面是接收到的13字节的数据的内容。
所以这里的第1-2行是一个usb包的描述第3-4行是另一个usb包的描述前者是发送数据后者是接收数据。
8. 如何过滤原始的 usbmon 包
在查看usbmon的数据时存在较多的无效数据是我们不关心的一方面是同一总线上其他设备的数据一方面usb默认的test unit ready 包的请求和回应
可以通过如下的方式对总线上输出的内容进行过滤
cat /sys/kernel/debug/usb/usbmon/2u |grep 2:020 | grep -v [13][31] []1、2:020 过滤关心的Device在 cat /sys/kernel/debug/usb/devices中的 T: 栏 的Dev可以查看。 2、可以过滤掉长度为31,13,33,11 的默认持续发送的usb test unit ready 包的请求和回应。
参考
抓包流程介绍https://blog.csdn.net/hdmsfhfg1/article/details/106187648 抓包流程介绍https://blog.csdn.net/faithzzf/article/details/60958858 USBMON格式解析https://www.kernel.org/doc/Documentation/usb/usbmon.txt 包格式介绍https://www.cnblogs.com/tzj-kernel/p/15256390.html
