在windows下抓取usb包时可以通过wireshark安装时安装USBpcap来实现usb抓包,linux下如何操作呢?
是基于usbmon,本博客简单描述基于usbmon在linux系统上对通过usb口进行发送和接收的数据的抓包流程,分别描述了tcpdump支持usbmon和不支持usbmon的场景下,解析usb数据流的流程。部分系统环境中的tcpdump默认不支持usbmon,而在一般的centos系统和debian系统中是可以支持的。
整体流程图如下:
默认情况下,debugfs会被挂载在目录/sys/kernel/debug之下,如果你的发行版里没有自动挂载,可以用如下命令手动完成:
sudo mount -t debugfs none /sys/kernel/debug
sudo modprobe usbmon
# ls /sys/kernel/debug/usb/usbmon
# 0s 0u 1s 1t 1u 2s 2t 2u 3s 3t 3u 4s 4t 4u
说明:
①、数字后面的s/t/u表示抓包保存的数据格式;我们使用u格式,其他2项忽略即可;
②、数字1/2/3分别表示所在的当前平台所拥有的USB总线,调试的usb设备挂在哪条总线下,就用哪个; 那么0数字表示什么含义呢?它表示抓所有总线上的包;
通过列举全部的usb/devices设备,确认Manufacturer,Vendor和Product之类的信息中是否有对应的需要监控的设备,这里Bus=02就是我们需要监控的USB总线号,Dev 20就是我们感兴趣的设备节点。
cat /sys/kernel/debug/usb/devices
T: Bus=02 Lev=02 Prnt=14 Port=03 Cnt=03 Dev#= 20 Spd=5000 MxCh= 0
D: Ver= 3.10 Cls=00(>ifc ) Sub=00 Prot=00 MxPS= 9 #Cfgs= 1
P: Vendor=090c ProdID=2000 Rev=11.00
S: Manufacturer=XXX Corporation
S: Product=USB DISK
C:* #Ifs= 1 Cfg#= 1 Atr=80 MxPwr=504mA
I:* If#= 0 Alt= 0 #EPs= 2 Cls=08(stor.) Sub=06 Prot=50 Driver=usb-storage
E: Ad=01(O) Atr=02(Bulk) MxPS=1024 Ivl=0ms
E: Ad=82(I) Atr=02(Bulk) MxPS=1024 Ivl=0ms
注意一个总线上可以有多个设备。
# cat /sys/kernel/debug/usb/usbmon/2u
可以将数据输出到终端,持续抓包,通过 Ctrl+C打断输出。
也可以通过如下方式将抓包结果输出到日志中
# cat /sys/kernel/debug/usb/usbmon/2u > /tmp/usbmon_log.txt
(将抓取到的数据保存在 /tmp/usbmon_log.txt中,也是通过 Ctrl+C打断输出)
如下输出则意味着可以通过tcpdump来抓取usbmon1/2的包,抓包结果输出到 xxx.pcap中,可以再在wireshark中打开,按照分析windows端抓取的usb包的方式进行解析。
# tcpdump -D
1.eth0
2.docker0
3.nflog (Linux netfilter log (NFLOG) interface)
4.nfqueue (Linux netfilter queue (NFQUEUE) interface)
5.usbmon1 (USB bus number 1)
6.usbmon2 (USB bus number 2)
7.veth7e7c164
8.any (Pseudo-device that captures on all interfaces)
9.lo [Loopback]
通过如下命令进行抓包,然后将 .pcap文件拷贝到windows上,用wireshark打开即可进行解析。这里是暂存到 tmp目录下,也可以暂存到其他目录下。
tcpdump -i usbmon2 -w /tmp/usbmon2_20230918.pcap
如果tcpdump中不支持 usbmon的接口,那么就只能去解析上述usbmon中输出的包格式。
包格式的解析可以参考如下博客:https://www.cnblogs.com/tzj-kernel/p/15256390.html
这里截取了一些关键字段的含义描述
ffffffb5e2467900 3265596625 S Bo:2:006:1 -115 1024 = 01121a00 02121a00 03121a00 04121a00 05121a00 06121a00 07121a00 08121a00
ffffffb5e2467900 3265596771 C Bo:2:006:1 0 1024 >
ffffffb5c3d66500 3265596867 S Bi:2:006:2 -115 13 <
ffffffb5c3d66500 3265596918 C Bi:2:006:2 0 13 = 55534253 f6352100 00000000 00
这里针对一组输入和输出的数据做简单描述
Bi Bo分别表示批量输入和批量输出,Bo:2:006 代表总线2上的006设备。”=” 前面表示数据长度,单位是字节,这里即需要发出1024字节,后面为实际待发出的数据。下一行 ”>” 标记表示输出。下一行 “<”标记表示数据输入,再下一行的”=” 后面是接收到的13字节的数据的内容。
所以这里的第1-2行是一个usb包的描述,第3-4行是另一个usb包的描述,前者是发送数据,后者是接收数据。
在查看usbmon的数据时,存在较多的无效数据是我们不关心的,一方面是同一总线上其他设备的数据,一方面usb默认的test unit ready 包的请求和回应
可以通过如下的方式对总线上输出的内容进行过滤
cat /sys/kernel/debug/usb/usbmon/2u |grep "2:020" | grep -v " [13][31] [><=]"
1、2:020 过滤关心的Device,在 cat /sys/kernel/debug/usb/devices中的 T: 栏 的Dev可以查看。
2、可以过滤掉长度为31,13,33,11 的默认持续发送的usb test unit ready 包的请求和回应。
抓包流程介绍:https://blog.csdn.net/hdmsfhfg1/article/details/106187648
抓包流程介绍:https://blog.csdn.net/faithzzf/article/details/60958858
USBMON格式解析:https://www.kernel.org/doc/Documentation/usb/usbmon.txt
包格式介绍:https://www.cnblogs.com/tzj-kernel/p/15256390.html