21二/1223
udpip: 用UDP封装IP数据包建立VPN
原理
使用Linux内核提供的tun设备建立可以在脚本读写的虚拟网卡,然后通过UDP将两个网卡的数据连接。
此方法能够使用以下特殊环境下:
1、客户端所在网络的路由不支持ppp,或者网络受到限制
2、TCP数据包被劫持或者受到限制
3、服务器是OpenVZ等不支持建立pptp,像我的burst的VPS就是这样子。
使用
服务器:
# python udptun.py -s 86 -l 10.0.0.1/24
Configuring interface t0 with ip 10.0.0.1/24
客户端:
# python udptun.py -c xiaoxia.org,86 -l 10.0.0.2/24
Configuring interface t0 with ip 10.0.0.2/24
Setting up new gateway ...
Do login ...
Logged in server succefully!
脚本代码
udptun.py:
#!/usr/bin/python
'''
UDP Tunnel VPN
Xiaoxia (xiaoxia@xiaoxia.org)
Updated: 2012-2-21
'''
import os, sys
import hashlib
import getopt
import fcntl
import time
import struct
import socket, select
import traceback
import signal
import ctypes
import binascii
SHARED_PASSWORD = hashlib.sha1("xiaoxia").digest()
TUNSETIFF = 0x400454ca
IFF_TUN = 0x0001
BUFFER_SIZE = 8192
MODE = 0
DEBUG = 0
PORT = 0
IFACE_IP = "10.0.0.1/24"
MTU = 1500
TIMEOUT = 60*10 # seconds
class Tunnel():
def create(self):
try:
self.tfd = os.open("/dev/net/tun", os.O_RDWR)
except:
self.tfd = os.open("/dev/tun", os.O_RDWR)
ifs = fcntl.ioctl(self.tfd, TUNSETIFF, struct.pack("16sH", "t%d", IFF_TUN))
self.tname = ifs[:16].strip("\x00")
def close(self):
os.close(self.tfd)
def config(self, ip):
print "Configuring interface %s with ip %s" % (self.tname, ip)
os.system("ip link set %s up" % (self.tname))
os.system("ip link set %s mtu 1000" % (self.tname))
os.system("ip addr add %s dev %s" % (ip, self.tname))
def config_routes(self):
if MODE == 1: # Server
pass
else: # Client
print "Setting up new gateway ..."
# Look for default route
routes = os.popen("ip route show").readlines()
defaults = [x.rstrip() for x in routes if x.startswith("default")]
if not defaults:
raise Exception("Default route not found, maybe not connected!")
self.prev_gateway = defaults[0]
self.prev_gateway_metric = self.prev_gateway + " metric 2"
self.new_gateway = "default dev %s metric 1" % (self.tname)
self.tun_gateway = self.prev_gateway.replace("default", IP)
self.old_dns = file("/etc/resolv.conf", "rb").read()
# Remove default gateway
os.system("ip route del " + self.prev_gateway)
# Add default gateway with metric
os.system("ip route add " + self.prev_gateway_metric)
# Add exception for server
os.system("ip route add " + self.tun_gateway)
# Add new default gateway
os.system("ip route add " + self.new_gateway)
# Set new DNS to 8.8.8.8
file("/etc/resolv.conf", "wb").write("nameserver 8.8.8.8")
def restore_routes(self):
if MODE == 1: # Server
pass
else: # Client
print "Restoring previous gateway ..."
os.system("ip route del " + self.new_gateway)
os.system("ip route del " + self.prev_gateway_metric)
os.system("ip route del " + self.tun_gateway)
os.system("ip route add " + self.prev_gateway)
file("/etc/resolv.conf", "wb").write(self.old_dns)
def run(self):
global PORT
self.udpfd = socket.socket(socket.AF_INET, socket.SOCK_DGRAM)
if MODE == 1:
self.udpfd.bind(("", PORT))
else:
self.udpfd.bind(("", 0))
self.clients = {}
self.logged = False
self.try_logins = 5
self.log_time = 0
while True:
if MODE == 2 and not self.logged and time.time() - self.log_time > 2.:
print "Do login ..."
self.udpfd.sendto("LOGIN:" + SHARED_PASSWORD + ":" +
IFACE_IP.split("/")[0], (IP, PORT))
self.try_logins -= 1
if self.try_logins == 0:
raise Exception("Failed to log in server.")
self.log_time = time.time()
rset = select.select([self.udpfd, self.tfd], [], [], 1)[0]
for r in rset:
if r == self.tfd:
if DEBUG: os.write(1, ">")
data = os.read(self.tfd, MTU)
if MODE == 1: # Server
src, dst = data[16:20], data[20:24]
for key in self.clients:
if dst == self.clients[key]["localIPn"]:
self.udpfd.sendto(data, key)
# Remove timeout clients
curTime = time.time()
for key in self.clients.keys():
if curTime - self.clients[key]["aliveTime"] > TIMEOUT:
print "Remove timeout client", key
del self.clients[key]
else: # Client
self.udpfd.sendto(data, (IP, PORT))
elif r == self.udpfd:
if DEBUG: os.write(1, "<")
data, src = self.udpfd.recvfrom(BUFFER_SIZE)
if MODE == 1: # Server
key = src
if key not in self.clients:
# New client comes
try:
if data.startswith("LOGIN:") and data.split(":")[1]==SHARED_PASSWORD:
localIP = data.split(":")[2]
self.clients[key] = {"aliveTime": time.time(),
"localIPn": socket.inet_aton(localIP)}
print "New Client from", src, "request IP", localIP
self.udpfd.sendto("LOGIN:SUCCESS", src)
except:
print "Need valid password from", src
self.udpfd.sendto("LOGIN:PASSWORD", src)
else:
# Simply write the packet to local or forward them to other clients ???
os.write(self.tfd, data)
self.clients[key]["aliveTime"] = time.time()
else: # Client
if data.startswith("LOGIN"):
if data.endswith("PASSWORD"):
self.logged = False
print "Need password to login!"
elif data.endswith("SUCCESS"):
self.logged = True
self.try_logins = 5
print "Logged in server succefully!"
else:
os.write(self.tfd, data)
def usage(status = 0):
print "Usage: %s [-s port|-c serverip] [-hd] [-l localip]" % (sys.argv[0])
sys.exit(status)
def on_exit(no, info):
raise Exception("TERM signal caught!")
if __name__=="__main__":
opts = getopt.getopt(sys.argv[1:],"s:c:l:hd")
for opt,optarg in opts[0]:
if opt == "-h":
usage()
elif opt == "-d":
DEBUG += 1
elif opt == "-s":
MODE = 1
PORT = int(optarg)
elif opt == "-c":
MODE = 2
IP, PORT = optarg.split(",")
IP = socket.gethostbyname(IP)
PORT = int(PORT)
elif opt == "-l":
IFACE_IP = optarg
if MODE == 0 or PORT == 0:
usage(1)
tun = Tunnel()
tun.create()
tun.config(IFACE_IP)
signal.signal(signal.SIGTERM, on_exit)
tun.config_routes()
try:
tun.run()
except KeyboardInterrupt:
pass
except:
print traceback.format_exc()
finally:
tun.restore_routes()
tun.close()
喜欢这个文章吗?
你知道今天是几号?
关于我
小虾 14岁~21岁,还在长
操作系统开发爱好者
网络协议爱好者
影视制作爱好者(非高手)
业余魔方爱好者(非高手)
业余摄影爱好者(非高手)
Linux爱好者(非高手)
羽毛球爱好者(非高手)
Tomb Raider - Room 151 作者
xxftp 作者
xxfpm 作者
IceFox 作者
FC大战FB 作者
SGOS 作者
Home WebServer 作者
FileProtectionSystem 作者
WebQQ Server 作者
Terminal MyQQ 作者
MagicalOS 作者
FakeBasic 作者
集钻石小游戏 作者
FlashFTP 作者
电脑小管家 作者
网络文件同步系统 作者
《环保黑帮》 编导兼摄制
《不舍亚运情》 导演兼摄影
《初》 策划兼监制
《背影1990》 导演兼编剧
《梅汝璈-我的中国心》 导演兼摄影师
分类目录
- Android (3)
- Internet (101)
- Linux (65)
- OS Study (26)
- 我的代码 (77)
- 我的分享 (55)
- 我的影片 (23)
- 我的生活 (185)
- 摄影艺术 (46)
- 旧时原创 (21)
- 游戏开发 (6)
近期评论
- Xiaoxia 发表在《手动创建ICMP Tunnel实现VPN上网(附Python实现代码)》
- Lialosiu 发表在《手动创建ICMP Tunnel实现VPN上网(附Python实现代码)》
- Xiaoxia 发表在《手动创建ICMP Tunnel实现VPN上网(附Python实现代码)》
- Lialosiu 发表在《手动创建ICMP Tunnel实现VPN上网(附Python实现代码)》
- lesca 发表在《MySQL数据库优化的一些笔记》
- Caboo 发表在《MySQL数据库优化的一些笔记》
- kelvin 发表在《MySQL数据库优化的一些笔记》
- Xiaoxia 发表在《MySQL数据库优化的一些笔记》
- Xiaoxia 发表在《MySQL数据库优化的一些笔记》
- Xiaoxia 发表在《MySQL数据库优化的一些笔记》
链接表
- Caboo's Blog
- iceboy
- lijiejie
- neptune
- SXKDZ Laboratory
- Wandai Blog
- whitefirer
- whitefirer[PG]
- Xiaoxins
- yxleimeng.net
- 小兔博客
- 师妹Jessica
- 白 杨
- 科学空间BoJone
2012年02月21日 18:31
膜拜神级code
膜拜神级coder
2012年02月21日 22:38
新浪微博推广贴,鉴定完毕:D
2012年02月22日 15:56
小虾泡菜汤!!!
2012年02月22日 16:13
Hi您好,看了您的几篇文章,有个关于QQ2011协议的问题想请教一下:我用QQ2011正式版5074,wireshark抓包,其中有些包显示的协议是OICQ,Data部分前5位是这样的,02 27 35 00 17,02就不说了,27 35是版本,第4位和第5位00 17是所执行的操作,例如00 17后面给的注释就是 Command: Receive message (23),00 23 是Command: Get friend online (39)等等。问题来了。。OICQ的包里,command能看见,但是udp的就看不见了。。。我想问下您知不知道udp包里的data部分第四位和第五位到底是怎么个规律呢?比如发送视频可能是01 c0,00 15是查找好友之类的?想知道有没有全一点的关于这种特征的规律呢?
2012年02月22日 18:24
你可以上网看看别人分析的文章,应该会对你很有帮助。
对于登录协议的分析,应该有很多人都做过的。
2012年02月23日 08:24
3Q~
2012年02月22日 20:13
我研究QQ2011正式版(2425),登录也是采用udp方式,但是都有 command这个字段啊
2012年02月23日 08:25
真心没找到啊。。。。udp的包里找不到oicq的包里能找到。。。
2012年02月22日 22:19
微薄这名字。。。 很亮
2012年02月22日 23:10
网关是Linux的,用不了pptp vpn。。真麻烦,不知道怎么解决。
2012年02月22日 23:24
没试过openvpn么?
我是自己不会搭建openvpn,才自己写了个脚本来做vpn,o(∩∩)o…哈哈。
2012年02月23日 20:27
pptpd
2012年02月23日 20:31
openvz的vps用不了pptpd,xen的没问题。
2012年02月24日 19:34
哦哦
2012年02月23日 12:13
网球王子小虾!
2012年02月23日 17:26
我怎么又多了个王子称号呢?
这图是我用手机拍的
2012年02月24日 23:20
hi,看了你之前的ICMP Tunnel,在vps上运行脚本后都提示
tun.create()
File “udptun.py”, line 38, in create
self.tfd = os.open(“/dev/tun”, os.O_RDWR)
OSError: [Errno 2] No such file or directory: ‘/dev/tun’
我谁否缺了什么东西?
2012年02月24日 23:30
你的vps是openvz的吗?
如果是的话,需要有tun设备的权限的。如果是burst的vps,需要在VPS的管理面板的选项“Enable Tun/Tap”打开tun。
这个问题网上应该有很多解决方案。
2012年02月25日 12:25
能否把数据流进行一个简单的加密
比如最简单的XOR,复杂一点的AES什么的
2012年02月25日 13:15
可以呀,使用长密钥的XOR,可以保证数据的安全性
我想,以后增强这个VPN脚本的时候,会加入这个简单的加密功能。
目前G。F。W还不会窥探UDP的数据,除了DNS数据包。
2012年04月21日 12:17
犀利哥,高手在民间。。
2012年04月26日 02:02
调用一下crypto库把数据AES加密一下就行了
2012年04月26日 16:38
嗯,暂时还没有这个需求。还有没啥不见的光的
墙也不会嗅探UDP。