AndroidNetMonitor
1.0.0
#Резюме AndroidNetMonitor — это система пассивного мониторинга, сбора и анализа мелкомасштабных измерений пакетов с устройств Android. Она используется для получения реальной информации приложений об источниках трафика и сбора краткой информации о пакетах, отправленных и полученных мобильными телефонами. (т. е. IP-адрес источника, порт источника, IP-адрес назначения, порт назначения и протокол транспортного уровня) и запишите, какому мобильному приложению соответствует каждое сообщение в соответствии с сокетом. Эти данные хранятся в файлах на SD-карте мобильного телефона.
Информация, которую необходимо записать в каждой строке файла, включает в себя: пятикратную информацию о каждом сетевом сокете (т. е. IP-адрес источника, порт источника, IP-адрес назначения, порт назначения и протокол транспортного уровня), время записи, имя приложения и соответствующий События (создание/уничтожение сокетов и т. д.).
#Технология 1. Перекомпилируйте tcpdump и lsof в двоичные файлы, подходящие для Android (arm-linux-androideabi-g++)
2. Используйте адаптер для привязки Listview, CheckBox и List<Program (пользовательский класс)>
3. Запустите одновременно для захвата сокета и пакета, используйте lsof +c 0 -i -F ctPnf 2>&1 и команду tcpdump -v -s -w pcap
4. Прочитайте и проанализируйте файлы /proc/net/tcp, tcp6,udp,udp6 и используйте индексный дескриптор сокета и идентификатор приложения, чтобы установить получение и соответствие между кортежем из пяти файлов и именем приложения.
#Implementation (1) Чтобы получить список приложений, используйте PackageManager для получения всех приложений и данных, затем используйте ActivityManager и PackagesInfo, чтобы получить все имена приложений и PID, полученные сверху, и отобразить их с использованием макета списка.
(2) Чтобы прочитать и проанализировать файл /proc/pid/fd в Android, используйте runTime.exec(cmd). Вы можете запустить команду cmd в Android, чтобы вы могли использовать ее для получения результата после запуска команды. Поскольку для чтения и анализа каталога /proc требуются права root, для извлечения прав root на Android используется runTime.exec("su"); Затем используйте ls -l /proc/(pid)/fd > /sdcard/fdres чтобы сохранить информацию в файл fdres, а затем используйте команду cat /sdcard/fdres для извлечения информации. Это компромиссный вариант. В полученной информации используйте регулярное выражение "socket:\S(\d+)\S" , чтобы извлечь все метки inode сокета и поместить их в ArrayList;
(3) Чтение и анализ файлов /proc/net/tcp, tcp6, udp, udp6 (или использование команды lsof +c 0 -i -F ctPnf 2>&1 ). Абстрактное чтение tcp, tcp6, udp, udp6 как PollData. Class, используйте класс Scanner, который поставляется с Java, для анализа и чтения /proc/net/tcp и т. д. Полученный результат выглядит следующим образом.
* sl local_address rem_address st tx_queue rx_queue tr tm->when retrnsmt uid ...
* 0: 0100007F:13AD 00000000:0000 0A 00000000:00000000 00:00000000 00000000 0 ...
* 1: 00000000:15B3 00000000:0000 0A 00000000:00000000 00:00000000 00000000 0 ...
* 2: 0F02000A:15B3 0202000A:CE8A 01 00000000:00000000 00:00000000 00000000 0 ...
*
Затем используйте полученный выше сокет_inode, чтобы найти соответствующую конкретную информацию в полученной информации. Конкретная информация о сокете, полученная путем преобразования ее в десятичное число, выглядит следующим образом:
1.
2. 46: 010310AC:9C4C 030310AC:1770 01
3. | | | | | |--> connection state
4. | | | | |------> remote TCP port number
5. | | | |-------------> remote IPv4 address
6. | | |--------------------> local TCP port number
7. | |---------------------------> local IPv4 address
8. |----------------------------------> number of entry
9. 00000150:00000000 01:00000019 00000000
10. | | | | |--> number of unrecovered RTO timeouts
11. | | | |----------> number of jiffies until timer expires
12. | | |----------------> timer_active (see below)
13. | |----------------------> receive-queue
14. |-------------------------------> transmit-queue
15. 1000 0 54165785 4 cd1e6040 25 4 27 3 -1
16. | | | | | | | | | |--> slow start size threshold,
17. | | | | | | | | | or -1 if the threshold
18. | | | | | | | | | is >= 0xFFFF
19. | | | | | | | | |----> sending congestion window
20. | | | | | | | |-------> (ack.quick<<1)|ack.pingpong
21. | | | | | | |---------> Predicted tick of soft clock
22. | | | | | | (delayed ACK control data)
23. | | | | | |------------> retransmit timeout
24. | | | | |------------------> location of socket in memory
25. | | | |-----------------------> socket reference count
26. | | |-----------------------------> inode
27. | |----------------------------------> unanswered 0-window probes
28. |---------------------------------------------> uid
(4) Установите получение и соответствующую связь между пятеркой и именем приложения. Индексный дескриптор сокета, общий для (2) и (3), и pid приложения используются для установления получения и соответствия между пятеркой и именем приложения. Полученная информация сохраняется в каталог по умолчанию /sdcard/Android/data/com.xx в формате.
"The application name is, pid is, and socket is:"
"number_of_entry "+fields[i+0] + "n";
"local_IPv4_address "+fields[i+1] + "n";
"local_IPv4_address "+hexconvert.hexa2decIpAndPort(fields[i+1]) + "n";
"remote_IPv4_address "+fields[i+2] + "n";
"remote_IPv4_address "+hexconvert.hexa2decIpAndPort(fields[i+2]) + "n";
"connection_state" + fields[i+3] + "n";
"transmit_receive_queue"+ fields[i+4]+ "n";
"timer_active"+fields[i+5]+ "n";
"number_of_unrecovered_RTO_timeouts:"+fields[i+6]+ "n";
"uid: "+fields[i+7]+ "n";
"unanswered_0-window_probes: "+fields[i+8]+ "n";
"inode : "+fields[i+9]+ "n";
"socket_reference_count: "+fields[i+10]+ "n";
"location_of_socket_in_memory: "+fields[i+11]+ "n";
"retransmit_timeout: "+fields[i+12]+ "n";
"predicted_tick_of_soft_clock: "+ fields[i+13]+ "n";
"ack"+ fields[i+14]+ "n";
"sending_congestion_window: "+ fields[i+15]+ "n";
"slowstart: "+ fields[i+16]+ "nn";
(5) Загрузите на сервер и проанализируйте с помощью скрипта GT ProgramPython.
