linux下USB抓包和分析流程

在windows下抓取usb包时可以通过wireshark安装时安装USBpcap来实现usb抓包，linux下如何操作呢？
是基于usbmon，本博客简单描述基于usbmon在linux系统上对通过usb口进行发送和接收的数据的抓包流程，分别描述了tcpdump支持usbmon和不支持usbmon的场景下，解析usb数据流的流程。部分系统环境中的tcpdump默认不支持usbmon，而在一般的centos系统和debian系统中是可以支持的。
整体流程图如下：

1. 挂载debugfs虚拟文件系统用于内核调试

默认情况下，debugfs会被挂载在目录/sys/kernel/debug之下，如果你的发行版里没有自动挂载，可以用如下命令手动完成：
sudo mount -t debugfs none /sys/kernel/debug

2. 加载usbmon内核模块

sudo modprobe usbmon

3. 查看usbmon监控可以识别到的设备号。如下图，生成了几个usb设备号。

# ls /sys/kernel/debug/usb/usbmon
# 0s 0u 1s 1t 1u 2s 2t 2u 3s 3t 3u 4s 4t 4u

说明:
①、数字后面的s/t/u表示抓包保存的数据格式；我们使用u格式，其他2项忽略即可；
②、数字1/2/3分别表示所在的当前平台所拥有的USB总线，调试的usb设备挂在哪条总线下，就用哪个; 那么0数字表示什么含义呢？它表示抓所有总线上的包;

4. 找出你需要监控的总线编号

通过列举全部的usb/devices设备，确认Manufacturer，Vendor和Product之类的信息中是否有对应的需要监控的设备，这里Bus=02就是我们需要监控的USB总线号，Dev 20就是我们感兴趣的设备节点。

cat /sys/kernel/debug/usb/devices 
 
T:  Bus=02 Lev=02 Prnt=14 Port=03 Cnt=03 Dev#= 20 Spd=5000 MxCh= 0
D:  Ver= 3.10 Cls=00(>ifc ) Sub=00 Prot=00 MxPS= 9 #Cfgs=  1
P:  Vendor=090c ProdID=2000 Rev=11.00
S:  Manufacturer=XXX Corporation
S:  Product=USB DISK
C:* #Ifs= 1 Cfg#= 1 Atr=80 MxPwr=504mA
I:* If#= 0 Alt= 0 #EPs= 2 Cls=08(stor.) Sub=06 Prot=50 Driver=usb-storage
E:  Ad=01(O) Atr=02(Bulk) MxPS=1024 Ivl=0ms
E:  Ad=82(I) Atr=02(Bulk) MxPS=1024 Ivl=0ms 

注意一个总线上可以有多个设备。

5. 使用usbmon抓取通讯数据包

# cat /sys/kernel/debug/usb/usbmon/2u

可以将数据输出到终端，持续抓包，通过 Ctrl+C打断输出。
也可以通过如下方式将抓包结果输出到日志中

# cat /sys/kernel/debug/usb/usbmon/2u > /tmp/usbmon_log.txt

（将抓取到的数据保存在 /tmp/usbmon_log.txt中，也是通过 Ctrl+C打断输出）

6. 这里抓取的是原始的usb包，可以通过 tcpdump –D list interface列出所有接口，来确认是否支持通过tcpdump抓取 usbmon的包。

如下输出则意味着可以通过tcpdump来抓取usbmon1/2的包，抓包结果输出到 xxx.pcap中,可以再在wireshark中打开，按照分析windows端抓取的usb包的方式进行解析。

# tcpdump -D
1.eth0
2.docker0
3.nflog (Linux netfilter log (NFLOG) interface)
4.nfqueue (Linux netfilter queue (NFQUEUE) interface)
5.usbmon1 (USB bus number 1)
6.usbmon2 (USB bus number 2)
7.veth7e7c164
8.any (Pseudo-device that captures on all interfaces)
9.lo [Loopback]

通过如下命令进行抓包，然后将 .pcap文件拷贝到windows上，用wireshark打开即可进行解析。这里是暂存到 tmp目录下，也可以暂存到其他目录下。

tcpdump -i usbmon2 -w /tmp/usbmon2_20230918.pcap

7. 如何解析原始的 usbmon中输出的包格式

如果tcpdump中不支持 usbmon的接口，那么就只能去解析上述usbmon中输出的包格式。

包格式的解析可以参考如下博客：https://www.cnblogs.com/tzj-kernel/p/15256390.html

这里截取了一些关键字段的含义描述

ffffffb5e2467900 3265596625 S Bo:2:006:1 -115 1024 = 01121a00 02121a00 03121a00 04121a00 05121a00 06121a00 07121a00 08121a00
ffffffb5e2467900 3265596771 C Bo:2:006:1 0 1024 >
ffffffb5c3d66500 3265596867 S Bi:2:006:2 -115 13 <
ffffffb5c3d66500 3265596918 C Bi:2:006:2 0 13 = 55534253 f6352100 00000000 00

这里针对一组输入和输出的数据做简单描述
Bi Bo分别表示批量输入和批量输出，Bo:2:006 代表总线2上的006设备。”=” 前面表示数据长度，单位是字节，这里即需要发出1024字节，后面为实际待发出的数据。下一行 ”>” 标记表示输出。下一行 “<”标记表示数据输入，再下一行的”=” 后面是接收到的13字节的数据的内容。

所以这里的第1-2行是一个usb包的描述，第3-4行是另一个usb包的描述，前者是发送数据，后者是接收数据。

8. 如何过滤原始的 usbmon 包

在查看usbmon的数据时，存在较多的无效数据是我们不关心的，一方面是同一总线上其他设备的数据，一方面usb默认的test unit ready 包的请求和回应

可以通过如下的方式对总线上输出的内容进行过滤

cat /sys/kernel/debug/usb/usbmon/2u |grep "2:020" | grep -v " [13][31] [><=]"

1、2:020 过滤关心的Device，在 cat /sys/kernel/debug/usb/devices中的 T: 栏 的Dev可以查看。
2、可以过滤掉长度为31,13,33,11 的默认持续发送的usb test unit ready 包的请求和回应。

参考

抓包流程介绍：https://blog.csdn.net/hdmsfhfg1/article/details/106187648
抓包流程介绍：https://blog.csdn.net/faithzzf/article/details/60958858
USBMON格式解析：https://www.kernel.org/doc/Documentation/usb/usbmon.txt
包格式介绍：https://www.cnblogs.com/tzj-kernel/p/15256390.html