鏊
于
Wi
n
p
c
a
p
的
黢
瓣
饶
捕获和
协
议
分
析
系
统
的设计
与
实
现
李
延
会 岳
彩祥
徐
金
艳 李
亚
斐
长春
工
业
大
学
研
究
生
院
1 3 0 0 1
2
辩 黻
霉戮鬻g慧藏氍;避
;
鞣
慧
《漤
鼍薯
≮
介
绍
≯
w
in
p
c a
p
的
结构
组
成和
w jn
pc
鼬
的
包
捕
获
操作 的
重
要 部件 。 在
v is u a l
c + 牛
环
境
下
采用
多线
程
技
术 实
现
数
据
包
捕 获
的 方 法
; 并根
据
TCP
/
IP
协
议 簇
对捕 获
到 的 数据
包
进
行
分
析 ,
并
给
出
有
效
实
验
结
果
。
W
i n
P
c
a
p
;
包
捕
获
;
多
线
程
;
协 议
分
析
.几
t 阳 d
u c e d t h
e s t r u c t u r
e o f
t he Wi
ii
p
c a
p
a n d
a
p
a c
k
a
g
e o f
W
in
p
c a
p
o
p
e r a t io
i i
1;
o c
a
p
t u r
e t h
e
im
p
o r t
a ii t
p
a
r t
s
.
J
In t he v is
ua l
c
1
‘
-
4
.
,
-
e n v ir
o
nm
e n
钆
m u lt i
-
t hr e a di
n
g
t e c hn
o
l
o
g y
t 0
c a p t u
r e
p
a c k e t
s
.
A
n
d
j
n a
c
c
o r d & n c
8
w i曲 t
he
T CP
,
/
’
,
IP
.
p
r o t o c o l
OEI t h
e
c
l
u s t e
r
t o
c a
p
t u r e
】
p
a c k e t s f
o r a n a l
y
s is
,
a n d
g
i
v
e
s
研
f e c t iv e
re
s
ult s
.
Wln
p
c
a
p
~
c a
p
t
u
r e
p
a c
k
e t s : m
u
lt
l
-
t
h
r
e
a d
i
n
g
;
P r o
~
;
oc
o
l
A
n
a
l
y
s is
—
j
j
1
、
W i n
p
c a
p 概
述
1
. 1 W
i
n
p
c
a
p
简介
W
in
p
ca
p
(
w
in
d o w
s
p
a
c k e t
c a
p
t u r e
)
是 由
意大利
人
F u
l v i o
R i s s o
和
L o r
i
s
D e
g
i o a
n n i
提
出
并实
现 的
…
。 它
是
一
个
W in d
o w s
平台下
捕
包
和
网
络
分析
的
体系架
构。
它
具有访问底
层的
能
力 ,
提供
了捕获
原
始数据
包 ,
按
照
一
定规
则过
滤数据
包 ,
以
及
发送原是
数据
包
的
功能
.
W in P
c a
p
为
用
户级的
数据
包
提
供 了
W
in d o w s
下
的
一
个
平
台。
W
in
P c a
p
是
B P F
模
型
和
L
ib
p
c
a
p
函数
库在
W in d o w s
平 台
下
网
络数据
包
捕
获和
网
络状
态分
析
的
一
种
体 系结构
,
这 个体
系结
构
是
由
一
个
核
心 的包
过滤
驱
动程
序
,
一
个
底
层 的
动态
连接库
P a
c k e t . d u
和
一
个高
层的
独
立于 系统的函
数库
L i b
p
c
a
p
组
成
。 底
层的
包
捕获
驱
动程
序实
际
为
一
个
协
议
网
络
驱动
程 序 ,
通 过
对
N D I
S
中
函
数
的
调
用 为
W
i
n 9
5
、
W i
n 9 8
、
W i n N
T
和
W i
n 2
0 0 0
提
供
一
类似于
U N IX
系统下
B
e
r
k e le
y
P a c k
e t
F i l t e r
的
捕获和发送
原始
数据
包
的
能力。
P a c k
e t .
dll
是对这个
B P F
驱
动程序
进行访
问
的
A P I
接
口
, 同 时
它
有
一
套
符
合
L i b
p
c a
p 接
口
(
U
N I X
下
的
捕获
函数
库
)
的
函数库
。
W
i n P c a
p
的主
要
结构
图
如
图
图
1
W in P c a
p
结构
图
图
3
主
线程
流
程
图
图
4
子线
程
流程
图
l
。
1
. 2 w
in
p
c a
p 构 成
W i n P c a
p
主
要有
三
个模
块构
成
【2
,
。
I
第
一
个模
块
N P
F
(
N e
t
g
r
o u
p
P a c k e t F
i
l
t e r
)
,
是
一
个
虚
拟
设
备
驱
动程序
文件。
它
的
功能
是过滤数据
包
, 并把这
些
数据
包原封
不动
地传给
用
户
态
模
块 ,
这 个过程 中
包
括
了
一
些 操 作 系 统 特 有
的
代
码 。 第
二
个
模
块
p
a c k
e
t .
d U
为
w
i
n 3 2
平台
提供 了
一
个
公
共
的
接
口
。 不 同
版
本
的
W
in
d o w s
系统都有 自
己
的
内核模
块 和
用 户
层
模
块 。
P a
c
k
e t . d l l
用
于
解决这
些
不同
。 调用
P
a
c k e t . d ll
的
程序
可 以
运行在
不 同
版
本
的
W
in
d o w s
平台
上
,
而
无
需
重
新
编译 。 第
三
个
模
块
W
p
ca
p
. d u
是不
依赖于操
作系统
的
。
它
提
供
了
更
加高层
、 抽
象的函数。
p
a c k
e t .
dl l
和
W
p
c
a
p
.
d
ll
:
p
a c k e
t .
d ll
直
接
映
射
了内核
的
调
用
。
W
p
c
a
p
. d Ⅱ
提
供
了
更加 友
好 、
功 能
更加
强
大
的 函
数调
用 。
W in P
ca
p
的
优势
提
供 了
一
套
标
准
的
抓包
接
El
, 与
l
i
b
p
c
a
p 兼
容
,
可
使
得原来许多
U N I X
平 台下
的
网
络
分
析
工
具快速
移植
过
来便于
开 发各种
网
络
分
析
工
具
, 充分
考
虑 了
各
种
性能和
效
率
的
优化
, 包
括对于
N P F
内
核
层
次
上 的
过滤
器
支持 ,
支持内
核
态
的
统
计模
式 ,
‘
提供
了发
送
数据
包的
能
力。
图
2
显
示 了
W i n
p
c a
p
的
不 同组件 。
P a
c k e
ts
图
2 W in
P
c a
p
主
要
结
构
图
蓦
鲞
