pitón no privilegiado ICMP

Question

Al tratar de averiguar el mejor método para hacer ping a algo (ICMP) de pitón, me encontré con estas preguntas:

• How can I perform a ping or traceroute in python, accessing the output as it is produced?
• ping a site in python
• How can I perform a ping or traceroute using native python?

Las respuestas generalmente se reducen a "usar este módulo de terceros con privilegios de raíz" o "usar el comando de ping del sistema y analizar el resultado". De los métodos nativos, icmplib y M. Cowles and J. Diemer's ping.py mencionan explícitamente la necesidad de privilegios de root, al igual que el scapymanual.

Así que desde ese frente, el envío nativo de ping ICMP sin privilegios especiales parece imposible. El comando system ping funciona de alguna manera, pero su página man no arroja ninguna luz sobre cómo. El man page for icmp, por el contrario, parece que decir que es posible:

 
Non-privileged ICMP 
    ICMP sockets can be opened with the SOCK_DGRAM socket type without 
    requiring root privileges. The synopsis is the following: 

    socket(AF_INET, SOCK_DGRAM, IPPROTO_ICMP) 

    Datagram oriented ICMP sockets offer a subset of the functionality avail- 
    able to raw ICMP sockets. Only IMCP request messages of the following 
    types can be sent: ICMP_ECHO, ICMP_TSTAMP or ICMP_MASKREQ.

por lo que parece que, al menos según la ICMP, está permitido. Entonces, ¿por qué todas las herramientas de Python no pueden hacer esto? ¿Las herramientas de python son demasiado generales y se espera que se privilegie el trabajo en zócalos privilegiados? ¿Sería posible escribir una función de ping en C que pueda hacer ping sin privilegios de root y extender python con esto? ¿Alguien ha hecho esto? ¿Acabo de malinterpretar el problema?

Answer 1

El programa ping está instalado raíz setuid. Esto permite a cualquier usuario usar el programa y aún así poder abrir un socket sin formato.

Después de que abre el socket sin formato, normalmente deja caer privs de raíz.

Por lo general, necesita un socket sin formato para realizar ICMP correctamente, y los sockets sin formato suelen estar restringidos. Entonces realmente no es culpa de Python.

En cuanto al bit sobre ICMP anterior, aparentemente muchas implementaciones realmente no admiten bien esas combinaciones de banderas. Por lo tanto, es probable que la mayoría de las implementaciones utilicen la forma en que "saben" funciona en la mayoría de las arquitecturas.

Answer 2

Así es como/sbin/ping "de alguna manera se las arregla" (en la mayoría de los sistemas Unix y):

$ ls -l /sbin/ping 
-r-sr-xr-x 1 root wheel 68448 Jan 26 10:00 /sbin/ping 

Ver? Es propiedad de root y tiene ese bit crucial s en el permiso - setuserid. Por lo tanto, no importa qué usuario lo esté ejecutando, ping se ejecuta como root.

Si está utilizando un núcleo BSD con los nuevos "sockets ICMP no privilegiados", sería interesante ver qué se necesita para usar esa funcionalidad para hacer ping desde Python (pero eso no ayudará a ningún usuario que esté en núcleo menos avanzado, por supuesto).

Answer 3

No estoy seguro si está bien para publicar algo en una pregunta que parece que ya ha sido respondida hace un tiempo.

He estado buscando la misma implementación y he encontrado una manera de hacer ICMP vía Python con privilegios que no sean root.

python-ping utiliza de la misma manera 'necesidad-root' hacer un ping, pero se encontró con un informe de error cuando un usuario sugirió cambiar SOCK_RAW a SOCK_DGRAM al llamar sock:

http://hg.io/delroth/python-ping/issue/1/icmp-without-root-privilege

El dev explica este será una situación "WONT-FIX" porque en su lugar es un ping UDP.

ya que realmente no me importa si ICMP está saliendo a través de UDP, que siguió adelante y consiguió el código y hizo que la propuso cambiar.

ahora soy capaz de hacer un ping sin llamar subproceso o la necesidad de raíz!

Una vez más, no estoy seguro si publicar aquí después de tanto tiempo está bien, pero pensó que esto era algo mejor!

Answer 4

También estaba buscando una implementación de ping sin usar un subproceso o necesitando root a ping. Mi solución debe ser multiplataforma, es decir, Windows y Linux.

Cambiar el socket en Windows para SOCK_DGRAM resultados en un "protocolo no soportado 100043" excepción. Entonces parece que Windows verifica correctamente si icmp se está enviando en TCP en lugar de UDP. Sin embargo, a Windows no le importa si se ejecuta como "raíz", ya que es un concepto de Linux.

if os.name == 'nt': 
    #no root on windows 
    my_socket = socket.socket(socket.AF_INET, socket.SOCK_RAW, icmp) 
else: 
    #changed to UDP socket...gets around ROOT priv issue 
    my_socket = socket.socket(socket.AF_INET, socket.SOCK_DGRAM, icmp) 

Answer 5

En realidad, en Windows 7 y Vista sí es necesario 'Ejecutar como administrador' hacer:

my_socket = socket.socket(socket.AF_INET, socket.SOCK_RAW, icmp) 

y como señalas, haciéndolo sobre un socket de datagramas provoca un error.

Answer 6

Me postulo pitón bajo Windows 7, Desde que estoy editando y "compilar" el código bajo Eclipse plug-in pydev, Mi solución fue: Ejecución de la eclipse.exe como administrador: esto soluciona el problema,

Esta solución es similar a ejecutar el cmd como administrador.

Answer 7

La página del manual que está leyendo se trata de "BSD Kernel Interfaces Manual" y parece provenir de "Mac OS X 10.9". Yo no tengo una máquina Mac OS X para probar, pero bajo Linux, como root o como usuario me sale un error de permiso denegado cuando intento abrir un ICMP como:

$ strace -e trace=socket python 
Python 2.7.5+ (default, Sep 19 2013, 13:48:49) 
[GCC 4.8.1] on linux2 
Type "help", "copyright", "credits" or "license" for more information. 
>>> import socket 
>>> socket.socket(socket.AF_INET, socket.SOCK_DGRAM, socket.IPPROTO_ICMP) 
socket(PF_INET, SOCK_DGRAM, IPPROTO_ICMP) = -1 EACCES (Permission denied) 
Traceback (most recent call last): 
    File "<stdin>", line 1, in <module> 
    File "/usr/lib/python2.7/socket.py", line 187, in __init__ 
    _sock = _realsocket(family, type, proto) 
socket.error: [Errno 13] Permission denied 

En OpenBSD consigo un "Protocolo no compatible" error:

>>> import socket 
>>> socket.socket(socket.AF_INET, socket.SOCK_DGRAM, socket.IPPROTO_ICMP) 
Traceback (most recent call last): 
    File "<stdin>", line 1, in <module> 
    File "/usr/local/lib/python2.7/socket.py", line 187, in __init__ 
    _sock = _realsocket(family, type, proto) 
socket.error: [Errno 43] Protocol not supported 

puede ser alguien podría tratar en MacOS X o de otro tipo BSD, pero de todos modos este tipo de socket no parecerse portátil, por decir lo menos!

Answer 8

Ping Linuxes modernos usa libcap y le pide a libcap que haga el trabajo.Esto comprueba (funcitons capget/set) y gestionar permisos:

linux@jacax:~/WORK$ ldd /bin/ping 
    linux-gate.so.1 => (0xb77b6000) 
    libcap.so.2 => /lib/i386-linux-gnu/libcap.so.2 (0xb7796000) 
    libc.so.6 => /lib/i386-linux-gnu/libc.so.6 (0xb75e7000) 
    /lib/ld-linux.so.2 (0xb77b7000) 

Digamos que tiene un programa "myping":

linux@jacax:~/WORK$ getcap ./myping  
linux@jacax:~/WORK$ (-> nothing!) 
linux@jacax:~/WORK$ setcap cap_net_raw=ep ./myping 
unable to set CAP_SETFCAP effective capability: Operation not permitted 
linux@jacax:~/WORK$ sudo setcap cap_net_raw=ep ./myping 

Ahora hacer:

linux@jacax:~/WORK$ getcap ./myping 
./ping = cap_net_raw+ep 

Ahora, su " myping "funcionará sin raíz. Es decir, siempre que myping sea de hecho un programa binario. Si se trata de un script, esta capacidad debe configurarse en el intérprete del script.