Ошибка «Operation not permitted» — почему?

Question

[Илья Казначеев]

Принимаю от клиента пакет с SYN-запросом на установление TCP сессии. Отвечаю пакетом SYN-ACK. При отправке через socket.sendto(string, address), где string - это IP и TCP заголовки. Реализовано через raw sockets на Python. Соединение происходит так:

host = "127.0.0.1"
port = 8000
act_socket = socket.socket(socket.AF_INET, socket.SOCK_RAW, socket.IPPROTO_TCP)
act_socket.setsockopt(socket.IPPROTO_IP, socket.IP_HDRINCL, 1)
act_socket.bind((host, port))

Вот что мне приходит:

IP header
  |-Version 		: 4
  |-IP Header Length 	: 5
  |-Type of Service 	: 0
  |-Identification 	: 9161
  |-TTL 		: 64
  |-Offset 		: 16384
  |-Protocol		: 6
  |-IP Chechsum		: 6385
  |-Source Address	: 127.0.0.1
  |-Dest. Address	: 127.0.0.1

TCP header
  |-Source Port		: 35509
  |-Dest Port		: 8000
  |-Sequence Number	: 4150096415
  |-Acknowledgement	: 0
  |-TCP header length	: 10
  |-TCP flag 		: 2
  |-Window 		: 43690
  |-Checksum 		: 65072
  |-Urgent Pointer 	: 0

Вот что я отправляю:

IP header
  |-Version 		: 4
  |-IP Header Length 	: 5
  |-Type of Service 	: 0
  |-Identification 	: 9161
  |-TTL			: 64
  |-Offset 		: 16384
  |-Protocol 		: 6
  |-IP Chechsum 	: 0
  |-Source Address 	: 127.0.0.1
  |-Dest. Address 	: 127.0.0.1

TCP header
  |-Source Port		: 8000
  |-Dest Port 		: 35509
  |-Sequence Number	: 4150096416
  |-Acknowledgement	: 0
  |-TCP header length	: 10
  |-TCP flag 		: 12
  |-Window 		: 43690
  |-Checksum 		: 0
  |-Urgent Pointer 	: 0

Насколько я читал (здесь, например), ядро Linux автоматически считает чексуммы для IP и TCP заголовков.

В итоге получаю ошибку:

sock.sendto(new_packet, addr)
socket.error: [Errno 1] Operation not permitted

В чем я ошибаюсь?

Answer 1

[jcmvbkbc]

Принимаю от клиента пакет с SYN-запросом на установление TCP сессии. Отвечаю пакетом SYN-ACK

|-Source Port : 35509
|-Dest Port : 8000
|-Sequence Number : 4150096415
|-Acknowledgement : 0

|-Source Port : 8000
|-Dest Port : 35509
|-Sequence Number : 4150096416
|-Acknowledgement : 0

Это не ответ на предыдущий запрос, в ответе Acknowledgement должен подтверждать Sequence Number от запроса + SYN, а Sequence Number должен бы быть случайным.

Вот что я отправляю:

IP header
|-Identification : 9161

Я бы на вашем месте это поле заполнять не стал, и уж точно не стал бы его копировать из пришедшего IP-пакета.

Comments

[Илья Казначеев]

Насколько я читал, Sequence Number в ответе должен быть увеличен на единицу, а SYN и SYN-ACK и потом ACK - это флаги, которые лежат в 14-м байте TCP заголовка. Про Acknowledgement не знаю.
Можете дать какую-то ссылку на источник информации об этом?

[jcmvbkbc]

Во-первых это следует из определения Acknowledgement number в RFC 793:

Acknowledgment Number: 32 bits

If the ACK control bit is set this field contains the value of the
next sequence number the sender of the segment is expecting to
receive. Once a connection is established this is always sent.

Во-вторых просто имейте в виду, что TCP симметричен для обоих участников, поэтому каждый из них шлёт в Sequence Number своё число, а в Acknowledge -- подтверждение Sequence Number другого участника.

[jcmvbkbc]

+ об этом написано на стр. 65 того же rfc: www.ietf.org/rfc/rfc793.txt

[Илья Казначеев]

@jcmvbkbc данке, сам уже начал rfc читать.
В данном контексте "value of the next sequence number" это инкремент Sequence Number из SYN-пакета?

[jcmvbkbc]

> В данном контексте "value of the next sequence number" это инкремент Sequence Number из SYN-пакета?
@Color да.

> сам уже начал rfc читать
Вас ещё масса чудных открытий ждёт впереди.

[Илья Казначеев]

@jcmvbkbc жил бы и жил без этих открытий))

[jcmvbkbc]

Так пользуйтесь обычными tcp-сокетами и не открывайте эту банку червей пока не припрёт совсем.

Answer 2

[Миша Кринкин]

Возьмите wireshark или tcpdump, сделайте dump пакетов при установлении соединения и сравните с вашими пакетами (их бинарный вид получить вы тоже сможете). А вообще ошибка "Operation not permitted", как я понимаю соответствует коду EPERM, может вам фаервол мешает?

Comments

[Илья Казначеев]

Да вроде не настраивал я фаервол, может по умолчанию что в убунте включено

[jcmvbkbc]

Думаю, что firewall не даст такого эффекта. По-нормальному можно включить ядерный ftrace и посмотреть, откуда эта ошибка возвращается.