ジョブカン事業部のアドベントカレンダー5日目です!!
DONUTSの札幌オフィスでジョブカンの開発インターンとしてお世話になっています。
普段の業務でも使用しているRubyで簡易ネットワークルータを実装しようとしています。
今回は、簡易パケットキャプチャの実装が(ほぼ)できたので紹介してみます。
パケットキャプチャ概要
環境
- OS
- Ubuntu 22.04.2 LTS on WSL(Windows 10)
- 言語
- Ruby 3.3.6
ソースコード
githubに置いてあります(2024年12月現在、絶賛実装中なので後からいろいろ変わるかもしれません)
解析できるプロトコル
- Ethernet
- ARP
- IPv4
- ICMP
- TCP
- UDP
以上のプロトコルに対応しています。IPv6には非対応です。(あとから追加するかも)
動作の様子
現状こんな感じでインターフェースを指定してやるとパケットキャプチャが動きます。
RubyRouter::Capture.new("eth0").run
I, [2024-11-27T12:17:56.004345 #1964] INFO -- : ■■■■■ Ether Header ■■■■■
D, [2024-11-27T12:17:56.004477 #1964] DEBUG -- : dst_mac_address=> 00:15:5d:34:93:0e
D, [2024-11-27T12:17:56.004508 #1964] DEBUG -- : src_mac_address=> 00:15:5d:48:a3:47
D, [2024-11-27T12:17:56.004575 #1964] DEBUG -- : type=> IPv4
I, [2024-11-27T12:17:56.004787 #1964] INFO -- : ■■■■■ IP Header ■■■■■
D, [2024-11-27T12:17:56.005012 #1964] DEBUG -- : Version => 4
D, [2024-11-27T12:17:56.005142 #1964] DEBUG -- : Header Length => 5 (20 Byte)
D, [2024-11-27T12:17:56.005278 #1964] DEBUG -- : Type of Service => 0
D, [2024-11-27T12:17:56.005408 #1964] DEBUG -- : Total Length => 60 Byte
D, [2024-11-27T12:17:56.005541 #1964] DEBUG -- : Identifier => 1170
D, [2024-11-27T12:17:56.005641 #1964] DEBUG -- : Flags => 0b100
D, [2024-11-27T12:17:56.005721 #1964] DEBUG -- : Fragment offset => 0x0
D, [2024-11-27T12:17:56.005794 #1964] DEBUG -- : Time to Live => 64
D, [2024-11-27T12:17:56.005870 #1964] DEBUG -- : Protocol => TCP
D, [2024-11-27T12:17:56.005944 #1964] DEBUG -- : Checksum => 0x6924
D, [2024-11-27T12:17:56.006025 #1964] DEBUG -- : Source Address => 192.168.74.180
D, [2024-11-27T12:17:56.006101 #1964] DEBUG -- : Destination Address => 192.168.1.1
D, [2024-11-27T12:17:56.006176 #1964] DEBUG -- : Option => []
D, [2024-11-27T12:17:56.006244 #1964] DEBUG -- : Valid Checksum ? => true
I, [2024-11-27T12:17:56.006461 #1964] INFO -- : ■■■■■ TCP Header ■■■■■
D, [2024-11-27T12:17:56.006563 #1964] DEBUG -- : Source Port => 41408
D, [2024-11-27T12:17:56.006588 #1964] DEBUG -- : Destination Port => 80
D, [2024-11-27T12:17:56.006600 #1964] DEBUG -- : Sequence Number => 0x761d6069
D, [2024-11-27T12:17:56.006610 #1964] DEBUG -- : ACK Number => 0x00000000
D, [2024-11-27T12:17:56.006620 #1964] DEBUG -- : Data Offset => 10 (40 Byte)
D, [2024-11-27T12:17:56.006675 #1964] DEBUG -- : Flags => SYN
D, [2024-11-27T12:17:56.006752 #1964] DEBUG -- : WIndow Size => 64240 Byte
D, [2024-11-27T12:17:56.006784 #1964] DEBUG -- : Checksum => 0xcd34
D, [2024-11-27T12:17:56.006801 #1964] DEBUG -- : Emergency Pointer => 0
D, [2024-11-27T12:17:56.006858 #1964] DEBUG -- : --------------------------------------------
(インターネットから切断した状態でnc 192.168.1.1 80しています)
実装の説明
ある程度掻い摘んで説明します。
ソケット通信部分
# frozen_string_literal: true
# @note ref: https://github.com/kuredev/simple_capture/blob/fe1b043774045d677e7aca3321ceb12a40989558/lib/simple_capture/capture.rb
require "socket"
require_relative "analyzer/packet_analyzer"
module PacketCapture
class Capture
ETH_P_ALL = 768.freeze # htons(ETH_P_ALL) netinet/if_ethre.h Every packet
SIOCGIFINDEX = 0x8933.freeze # bits/ioctls.h
#
# @param [String] interface interface_name
#
def initialize(interface)
@interface = interface
end
def run
socket = generate_raw_socekt
bind_interface(socket, @interface)
capture_loop(socket)
end
private
#
# Socketの生成
#
# @param [String] interface interface_name
#
# @return [Socket] socket raw_socket
#
def generate_raw_socekt
Socket.new(Socket::AF_PACKET, Socket::SOCK_RAW, ETH_P_ALL)
end
#
# interfaceのバインド
# @note ref: https://github.com/prolaag/socket2/blob/master/lib/socket2.rb
# ref: https://github.com/kuredev/simple_capture/blob/fe1b043774045d677e7aca3321ceb12a40989558/lib/simple_capture/capture.rb#L35
#
# @param [<Type>] socket
# @param [<Type>] interface interface_name
#
def bind_interface(socket, interface)
interface_idx = interface_idx_str(socket, interface)
eth_p_all_hbo = [ ETH_P_ALL ].pack("S").unpack('S>').first # ホストバイトオーダーでパックしたものをビッグエンディアンに変換して整数にする
sockaddr_ll = [ Socket::AF_PACKET, eth_p_all_hbo, interface_idx ].pack("SS>a16") # [ホストバイトオーダー, ネットワークバイトオーダー, 16Byte固定長文字列]
socket.bind(sockaddr_ll)
end
#
# interfaceのindexを文字列で返す
#
# @param [String] interface interface_name
#
# @return [String] interface index
#
def interface_idx_str(socket, interface)
ifreq = [interface, ""].pack("a16a16") # 16 Byte string * 2
socket.ioctl(SIOCGIFINDEX, ifreq) # get ifreq struct
ifreq.slice!(16, 4)
end
#
# caputureのmain loop
#
# @param [Socket] socket
#
def capture_loop(socket)
logger = CustomLogger.new
logger.info("PacketCapture is running")
loop do
# @note https://www.cloudflare.com/ja-jp/learning/network-layer/what-is-mtu/
msg, _ = socket.recvfrom(1514) # MTU + MAC_ADDRESS * 2 + TYPE = 1514
PacketAnalyzer.new(msg.bytes).analyze
end
end
end
end
ソケット通信部分はこのようになっています。コメントも書いているので細かい説明は省略します。
socketライブラリ
Rubyではsocketライブラリが提供されています。汎用ソケットクラスを使用して、Socket.new(Socket::AF_INET, Socket::SOCK_STREAM, 0)をすることでsys/socket.hのsocket()と同等のことができるようです。SocketクラスはIO#ioctlも使用できるので、今回はioctl(SIOCGIFINDEX, ifreq)でinterface indexを取得しています。
TCPのソケットなども準備されていました。
- TCP のクライアントソケット Socket.tcp TCPSocket.open
- TCP のサーバソケット Socket.tcp_server_loop, Socket.tcp_server_sockets, TCPServer.open
- UNIX socket のクライアントソケット Socket.unix UNIXSocket.open
- UNIX socket のサーバソケット Socket.unix_server_loop, Socket.unix_server_socket, UNIXServer.open
データの受け取り
def capture_loop(socket)
logger = CustomLogger.new
logger.info("PacketCapture is running")
loop do
# @note https://www.cloudflare.com/ja-jp/learning/network-layer/what-is-mtu/
msg, _ = socket.recvfrom(1514) # MTU + MAC_ADDRESS * 2 + TYPE = 1514
PacketAnalyzer.new(msg.bytes).analyze
end
end
Socket#recvfromでデータを受け取ります。(いまのところSocket#recvで十分)
msgにはstringが入るのでString#bytesでIntegerのArrayに直したうえで、PacketAnalyzerに渡して解析してもらいます。
パケットの解析
パケットの解析はすべてPacketAnalyzer以下で行います。
class PacketAnalyzer < BaseAnalyzer
def analyze
ether_header = HeaderAnalyzer::Ether.new(@msg_bytes.clone)
ether_header.analyze
@msg_bytes.slice!(...14)
case ether_header.int_hex_type
when Constants::EtherTypes::ARP
HeaderAnalyzer::Arp.new(@msg_bytes.clone).analyze
when Constants::EtherTypes::IP
ip = HeaderAnalyzer::Ip.new(@msg_bytes.clone)
ip.analyze
@msg_bytes.slice!((ip.ihl * 4)..)
case ip.protocol
when "ICMP"
HeaderAnalyzer::Icmp.new(@msg_bytes.clone).analyze
when "TCP"
HeaderAnalyzer::Tcp.new(@msg_bytes.clone).analyze
when "UDP"
HeaderAnalyzer::Udp.new(@msg_bytes.clone).analyze
else
end
else
return
end
@logger.debug("--------------------------------------------")
end
end
見ての通り構造はそれなりにシンプルです。(2重case文だけちょっと良くない)
IPパケットだった場合は、プロトコルに応じて別のAnalyzerが呼ばれます。
BaseAnalyzer
Analyzer系は基本的にBaseAnalyzerもしくはBaseAnalyzerを継承した別のクラスを継承しています。
class BaseAnalyzer
#
# @param [Array] msg_bytes
#
def initialize(msg_bytes)
@msg_bytes = msg_bytes
@logger ||= CustomLogger.new
end
def analyze
# 子クラスでoverrideする
end
protected
#
# Int Arrayを16進数文字列にする
#
# @param [Array] array
#
# @return [String]
#
def to_hex_string(array, is_formated: false)
str = is_formated ? "0x" : ""
array.map{ |e| str << e.to_s(16).rjust(2, "0") }
str
end
#
# Int Arrayを16進数値(10進数)に直す
#
# @param [Array] array
#
# @return [Integer]
#
def to_hex_int(array)
str = ""
array.map{ |e| str << e.to_s(16).rjust(2, "0") }
str.to_i(16)
end
#
# MACアドレスを整形済み文字列にする
#
# @param [Array] mac_addr MACアドレスのbyte array
#
# @return [String] 整形済みMACアドレス
#
def macaddr_to_s(mac_addr)
mac_addr.map { |addr| addr.to_s(16).rjust(2, "0") }.join(":")
end
#
# 配列に格納されたメッセージをデバッガに出力する
#
# @param [Array] msg 出力する文字列を持つ配列
#
def out_msg_array(msg)
msg.map { |m| @logger.debug(m) }
end
#
# checksumを計算する
#
# @param [Array] data header
#
# @return [Array] bytes
#
def checksum(data)
sum = 0
data.each_slice(2) do |b|
sum += (b.first << 8) + b.last
end
while sum > 0xffff
sum = (sum & 0xffff) + (sum >> 16)
end
~sum & 0xffff
end
def valid_checksum?(c)
c == 0 || c == 0xffff
end
end
解析に必要そうなものをいろいろここで定義しています。
class Header < BaseAnalyzer
end
念のためヘッダ解析用にHeaderクラスを用意していますが、今のところBaseAnalyzerをただ継承しているだけです。
Headerクラス(BaseAnalyzer)を用意していたおかげで、新たに別のプロトコルの解析がしたい場合でもそこそこ楽に進めることができました。
IPパケットの解析
一例としてIPパケット解析のコードを見てみます。
module HeaderAnalyzer
class Ip < Header
attr_reader(
:version,
:ihl,
:tos,
:tot_len,
:id,
:frag_off,
:ttl,
:protocol,
:check,
:saddr,
:daddr,
:option
)
def analyze
@version = @msg_bytes.slice(0)[4..7] # IPv4 version: 4bit
@ihl = @msg_bytes.slice(0)[0..3] # Header length: 4bit
@tos = @msg_bytes.slice(1) # Type of Service: 1Byte
@tot_len = @msg_bytes.slice(2..3) # Total Length: 2Byte
@id = @msg_bytes.slice(4..5) # Identifier: 2Byte
@frag_off = @msg_bytes.slice(6..7) # Fragment Offset: 2Byte
@ttl = @msg_bytes.slice(8) # Time to Live: 1Byte
@protocol = @msg_bytes.slice(9) # Protocol: 1Byte
@check = @msg_bytes.slice(10..11) # Checksum: 2Byte
@saddr = @msg_bytes.slice(12..15) # Source Address: 4Byte
@daddr = @msg_bytes.slice(16..19) # Destination Address: 4Byte
@option = @ihl > 5 ? @msg_bytes.slice(20..@ihl * 4) : [] # Option
@tot_len = self.to_hex_int(@tot_len)
@id = self.to_hex_int(@id)
@frag_off = self.to_hex_int(@frag_off)
@protocol = Constants::Ip::PROTO[@protocol]
@check = self.to_hex_string(@check, is_formated: true)
print_ip
end
private
def print_ip
@logger.info("■■■■■ IP Header ■■■■■")
msg = [
"Version => #{@version}",
"Header Length => #{@ihl} (#{@ihl * 4} Byte)",
"Type of Service => #{@tos}",
"Total Length => #{@tot_len} Byte",
"Identifier => #{@id}",
"Flags => 0b#{(@frag_off & 0xe000).to_s(2).slice(0..2).rjust(3, "0")}",
"Fragment offset => 0x#{(@frag_off & 0x1fff).to_s(16)}",
"Time to Live => #{@ttl}",
"Protocol => #{@protocol}",
"Checksum => #{@check}",
"Source Address => #{@saddr.join(".")}",
"Destination Address => #{@daddr.join(".")}",
"Option => #{@option}",
"Valid Checksum ? => #{ip_checksum}"
]
out_msg_array(msg)
end
def ip_checksum
c = checksum(@msg_bytes.slice(...(@ihl * 4)))
valid_checksum?(c)
end
end
end
基本的にオクテット単位で情報を取れればよいので、フレームフォーマットに合わせてsliceしておけばよいです。@versionや@ihlのように4bit単位などで情報をとる必要がある場合は、Integer#[]をうまく使えば楽に値をとってこれます。
表示については、用意しておいたメソッドなどで少し手を加えて表示しているだけです。
まとめ
ソケット通信部分さえできてしまえば、後はフレームフォーマットに従うだけなので単純作業でした。ソースコードを貼りつけてばかりの記事になってしまいましたが、Rubyのネットワークプログラミング系の情報をあまり見かけないので、何かの役に立てば良いなと思います。
また、ネットワークルータを完成させることができたときは別途記事にしたいです。
参考
Rubyでルータを自作するにあたって、「ルーター自作でわかるパケットの流れ~ソースコードで体感するネットワークのしくみ」という書籍を主に参考にしています。
また、Rubyでのパケットキャプチャ実装については前例があったので、こちらも参考にさせていただきました。
さらに、Rubyでのソケットの扱い方については以下も参考にさせていただいています。
さいごに
DONUTSでは新卒中途問わず積極的に採用活動を行っています。
札幌での新卒やインターンの募集もあるので、ご興味あればぜひご覧ください 