今年度に入って艦これ始めました。楽しいです。
艦これをやってくうちに、2017夏イベントに突入したのもあってログを取りたいと思ったので自前でロガーを作ろうと思い立ったわけです。
知り合いにソフトを教えてもらったりもしたのですが、そのソフトはWindows用のバイナリを配布しているだけで、
主にLinuxを使ってる自分は使えなかったので(mono1とか使えばいけるのかも知れませんが)。
ログを取る手段は色々あります。既存のものではスクリーンショットを取って解析するのが主流なんですかね、あまり知りませんが。
画像解析はノウハウは持ってないし勉強するのもめんどくさそうだったので、自分はパケット解析をする手段を取ろうと思います。
なんせ、艦これの通信はSSL/TLSで暗号化してないので。
パケット解析ツール?
軽く調べてみたら、Linuxでパケット解析する手法としてはtcpdump2とWireshark3を使うのが一番お手頃らしいです。
tcpdumpで生パケットをファイルに保存して、Wiresharkでそのファイルに書き込まれたパケットを解析するという感じらしいです。
しかしこの方法だと一度ファイルに保存する必要があり、リアルタイムで解析するのは難しいように思えたので、個人的には腑に落ちませんでした。
ですので、tcpdumpで使われているlibpcapというライブラリを使って自分でプログラムを書くことにします
(tcpdumpで使われているというより、tcpdumpの副産物的なライブラリという方が正しいですかね)。
libpcap
libpcapを使うにあたり、適度に解説してくれてる日本語のページが見つからなかったため公式ホームページにある使い方4を参考にしました。
以下は、ここの内容を要約したものになると思います。
ではlibpcap
の関数をいくつか紹介していきましょう。
pcap_lookupdev
デフォルトのネットワークデバイス名を取得する関数です。
宣言
char *pcap_lookupdev(char *errbuf);
デフォルトのデバイス名を返します。
エラーが起きた場合は、errbuf
にエラー文字列を格納し、NULL
を返します。
サンプルコード
#include <stdio.h>
#include <pcap.h>
int main(int argc, char** argv) {
char *dev, errbuf[PCAP_ERRBUF_SIZE];
dev = pcap_lookupdev(errbuf);
if (dev == NULL) {
fprintf(stderr, "Couldn't find default device: %s\n", errbuf);
return 2;
}
printf("Device: %s\n", dev);
return 0;
}
このコードをコンパイルして実行すると、デフォルトのネットワークデバイス名を表示してくれます(環境によってはroot権限を要求されるかも)。
コンパイル時に-lpcap
でリンクするのをお忘れなく。
pcap_lookupnet
デバイスの属するネットワークのIPv4ネットワークアドレスとネットマスクを取得する関数です。
デバイスのIPv4アドレスを取得するわけではないので注意してください。
宣言
int
pcap_lookupnet(const char *device,
bpf_u_int32 *net,
bpf_u_int32 *mask,
char *errbuf);
dev
で渡された名前のデバイスのネットワークアドレスとネットマスクをそれぞれnet
とmask
に格納します。
エラーが起きた場合は、errbuf
にエラー文字列を格納し、-1
を返します。
サンプルコード
#include <stdio.h>
#include <pcap.h>
int main(int argc, char** argv) {
bpf_u_int32 net, mask;
if (pcap_lookupnet(dev, &net, &mask, errbuf) == -1) {
fprintf(stderr, "Can't get netmask for device %s: %s\n", dev, errbuf);
return 2;
}
printf("net: %d.%d.%d.%d\n",
net&0xff, (net>>8)&0xff, (net>>16)&0xff, (net>>24)&0xff);
printf("mask: %d.%d.%d.%d\n",
mask&0xff, (mask>>8)&0xff, (mask>>16)&0xff, (mask>>24)&0xff);
return 0;
}
これを実行すると、ネットワークアドレスとネットマスクが表示されます。
pcap_open_live
デバイスを扱うハンドルを開放する関数です(こんな日本語で良いのか?)。
宣言
pcap_t *
pcap_open_live(const char *device,
int snaplen,
int promisc,
int to_ms,
char *errbuf);
引数として、デバイス名(device
)、読み込む最大バイト数(snaplen
)、プロミスキャス・モードで開放するかどうかのフラグ(promisc
)、
タイムアウトの時間[ミリ秒](to_ms
)、エラー文字列を格納するポインタ(errbuf
)を取ります。
返り値はデバイスのハンドルです。
エラーが起きたときはerrbuf
にエラー文字列を格納し、NULL
を返します。
今後はここで返されるpcap_t*
型のハンドルを用いてパケット解析をしていくことになります。
サンプルコード
#include <stdio.h>
#include <pcap.h>
int main(int argc, char** argv) {
pcap_t *handle;
handle = pcap_open_live(dev, BUFSIZ, 1, 1000, errbuf);
if (handle == NULL) {
fprintf(stderr, "Couldn't open device %s: %s\n", dev, errbuf);
return 2;
}
return 0;
}
エラーが起きなければ、さっきと出力は同じです。
自分の環境ではroot権限で実行しないとOperation not permittedと怒られました。
pcap_datalink
この関数は渡されたデバイスの(OSI参照モデルでの)データリンク層の種類を返します。
宣言
int pcap_datalink(pcap_t *handle);
引数にハンドルのポインタを受け取り、データリンク層の種類をint
型で返します。
データリンク層の種類の一覧はこのページにあります。
サンプルコード
#include <stdio.h>
#include <pcap.h>
int main(int argc, char** argv) {
if (pcap_datalink(handle) == DLT_EN10MB) {
printf("Device %s provides Ethernet headers\n", dev);
} else {
printf("Device %s doesn't provide Ethernet headers\n", dev);
}
return 0;
}
これを実行すると、デフォルトのデバイスのデータリンク層がEthernetかどうかを表示します。
pcap_compile
この関数はハンドルで取得するパケットのフィルターを生成します。
宣言
int
pcap_compile(pcap_t *handle,
struct bpf_program *fp,
const char *filter_exp,
int optimize,
bpf_u_int32 netmask);
handle
で取得するパケットをfilter_exp
で表されるフィルターをコンパイルし、fp
に格納します。
optimize
は最適化するかどうかを示すフラグで、0
なら偽、1
なら真です。
netmask
はこのフィルターを適用するネットワーク範囲を指定します。
フィルターのコンパイルに失敗した場合は-1
を返します。
filter_exp
で渡す文字列はtcpdump
に渡すexpression
と同じものです。詳しくはman tcpdump
を参照してください。
pcap_setfilter
pcap_compile
で生成したフィルターをハンドルに設定します。
宣言
int pcap_setfilter(pcap_t *handle, struct bpf_program *fp);
フィルターfp
をハンドルhandle
に設定します。
失敗したときは-1
を返します。
pcap_geterr
ハンドルで起きた直近のエラー文字列を返します(たぶん)。
宣言
char *pcap_geterr(pcap_t *handle);
サンプルコード
#include <stdio.h>
#include <pcap.h>
int main(int argc, char** argv) {
char *dev, errbuf[PCAP_ERRBUF_SIZE];
bpf_u_int32 net, mask;
pcap_t *handle;
struct bpf_program fp;
char filter_exp[] = "tcp and host x.x.x.x";
dev = pcap_lookupdev(errbuf);
if (dev == NULL) {
fprintf(stderr, "Couldn't find default device: %s\n", errbuf);
return 2;
}
if (pcap_lookupnet(dev, &net, &mask, errbuf) == -1) {
fprintf(stderr, "Can't get netmask for device %s: %s\n", dev, errbuf);
return 2;
}
handle = pcap_open_live(dev, BUFSIZ, 1, 1000, errbuf);
if (handle == NULL) {
fprintf(stderr, "Couldn't open device %s: %s\n", dev, errbuf);
return 2;
}
if (pcap_compile(handle, &fp, filter_exp, 0, net) == -1) {
fprintf(stderr, "Couldn't parse filter %s: %s\n", filter_exp, pcap_geterr(handle));
return 2;
}
if (pcap_setfilter(handle, &fp) == -1) {
fprintf(stderr, "Couldn't install filter %s: %s\n", filter_exp, pcap_geterr(handle));
return 2;
}
return 0;
}
エラーが起きたときしか出力しませんが、フィルターをハンドルに設定しています。
フィルターを表す文字列"tcp and host x.x.x.x"
は適宜変更してください。
"x.x.x.x"
の部分を艦これサーバーのIPアドレスにすれば、艦これサーバーとのTCP通信を見ることができます。
つづく
今回はここまでにしたいと思います。
実際にパケットのデータを扱うのは次回。