循序渐进学习使用WINPCAP（四.rar

共2个文件

txt：2个

版权申诉

169 浏览量 2022-09-19 12:35:47 上传评论收藏 2KB RAR 举报

《循序渐进学习使用WINPCAP（四）》 WINPCAP，全称为Windows Packet Capture，是一款在Windows操作系统上广泛使用的开源网络数据包捕获和网络分析工具。它是网络监控、安全检测以及网络开发等领域不可或缺的软件库，提供底层网络访问能力。本教程将深入探讨WINPCAP的使用方法，帮助你逐步掌握这一强大的技术。一、WINPCAP的基本概念 WINPCAP主要由四个部分组成：驱动程序、动态链接库（libpcap）、捕获过滤器和API接口。驱动程序负责在操作系统内核层拦截网络数据包；libpcap库为用户提供了与硬件交互的接口；捕获过滤器允许用户指定需要捕获的数据包类型；API接口则用于编写应用程序，实现数据包的捕获、分析和发送。二、安装与配置在开始使用WINPCAP之前，需要先下载并安装。安装过程相对简单，只需按照向导提示进行即可。安装完毕后，开发者可以利用libpcap库提供的函数开始编写程序，实现数据包的捕获功能。三、API接口详解 1. `pcap_open_live()`: 这是创建一个网络接口描述符的主要函数，用于连接到网络设备，并设置捕获参数，如缓冲区大小和超时时间。 2. `pcap_loop()`: 定义了一个循环，持续捕获数据包，直到达到预设的捕获次数或者外部中断发生。 3. `pcap_next()`: 获取下一个数据包，返回包含数据包信息的结构体`pcap_pkthdr`和原始数据。 4. `pcap_compile()`: 编译过滤表达式，生成过滤器对象。 5. `pcap_setfilter()`: 将编译后的过滤器应用到网络接口，只有满足过滤条件的数据包才会被捕获。四、捕获过滤器 WINPCAP支持BPF（Berkeley Packet Filter）语言，用户可以通过这个语言定义需要捕获的数据包特征。例如，`tcp port 80`表示只捕获TCP协议且目标端口为80的数据包。五、数据包分析捕获到的数据包可以通过`pcap_pkthdr`结构体获取基本信息，如时间戳、长度等。原始数据部分可以解析成IP、TCP、UDP等协议的具体信息，进行更深入的网络分析。六、实战应用 WINPCAP常用于网络安全监控，如入侵检测系统（IDS）的开发；网络性能分析，如流量统计和网络诊断；以及网络编程，如开发自定义协议的客户端和服务器。七、注意事项使用WINPCAP时，需注意权限问题，通常需要管理员权限才能访问网络设备。另外，对数据包的大量捕获可能会消耗大量系统资源，因此在编写程序时要合理设置捕获参数，避免不必要的性能影响。总结，学习WINPCAP需要理解其基本架构，掌握API接口的使用，熟悉捕获过滤器的编写，以及如何将这些技术应用于实际场景。通过实践和不断探索，你将能够充分利用WINPCAP的强大功能，解决网络监控和分析中的各种问题。

资源推荐

资源详情

资源评论

收起资源包目录

循序渐进学习使用WINPCAP（四.rar （2个子文件）

循序渐进学习使用WINPCAP（四.txt 4KB

www.pudn.com.txt 218B

循序渐进学习使用WINPCAP（四） --------不用loopback捕获数据报这节的例子很象先前的一章（获得网卡的高级信息）但是这一节中是用pcap_next_ex()来代替pcap_loop()来捕获数据包。基于回调包捕获机制的pcap_loop()在某些情况下是不错的选择。但是在一些情况下处理回调并不特别好：这会使程序变的复杂并且在象多线程或C++类这些情况下它看起来到象一块绊脚石。在这些情况下pcap_next_ex()允许直接调用来接收包，它的参数和pcap_loop()相同：有一个网卡描述副，和两个指针，这两个指针会被初始化并返回给用户，一个是pcap_pkthdr结构，另一个是接收数据的缓冲区。下面的程序我门将循环调用前一节的例子中的回掉部分，只是把它移到了main里面了。 #include "pcap.h" main() { pcap_if_t *alldevs; pcap_if_t *d; int inum; int i=0; pcap_t *adhandle; int res; char errbuf[PCAP_ERRBUF_SIZE]; struct tm *ltime; char timestr[16]; struct pcap_pkthdr *header; u_char *pkt_data; /* Retrieve the device list */ if (pcap_findalldevs(&alldevs, errbuf) == -1) { fprintf(stderr,"Error in pcap_findalldevs: %s\n", errbuf); exit(1); } /* Print the list */ for(d=alldevs; d; d=d->next) { printf("%d. %s", ++i, d->name); if (d->description) printf(" (%s)\n", d->description); else printf(" (No description available)\n"); } if(i==0) { printf("\nNo interfaces found! Make sure WinPcap is installed.\n"); return -1; } printf("Enter the interface number (1-%d):",i); scanf("%d", &inum); if(inum < 1 || inum > i) { printf("\nInterface number out of range.\n"); /* Free the device list */ pcap_freealldevs(alldevs); return -1; } /* Jump to the selected adapter */ for(d=alldevs, i=0; i< inum-1 ;d=d->next, i++); /* Open the adapter */ if ( (adhandle= pcap_open_live(d->name, // name of the device 65536, // portion of the packet to capture. // 65536 grants that the whole packet will be captured on all the MACs. 1, // promiscuous mode 1000, // read timeout errbuf // error buffer ) ) == NULL) { fprintf(stderr,"\nUnable to open the adapter. %s is not supported by WinPcap\n"); /* Free the device list */ pcap_freealldevs(alldevs); return -1; } printf("\nlistening on %s...\n", d->description); /* At this point, we don't need any more the device list. Free it */ pcap_freealldevs(alldevs); /* 此处循环调用 pcap_next_ex来接受数据报*/ while((res = pcap_next_ex( adhandle, &header, &pkt_data)) >= 0){ if(res == 0) /* Timeout elapsed */ continue; /* convert the timestamp to readable format */ ltime=localtime(&header->ts.tv_sec); strftime( timestr, sizeof timestr, "%H:%M:%S", ltime); printf("%s,%.6d len:%d\n", timestr, header->ts.tv_usec, header->len); } if(res == -1){ printf("Error reading the packets: %s\n", pcap_geterr(adhandle)); return -1; } return 0; } 注：pcap_next_ex()只在Win32环境下才行因为它不是原始libpcap API中的一部分，这就意味着依赖于这个函数的代码不会在UNIX下工作。那么为什么我们用pcap_next_ex()而不用pcap_next()？因为pcap_next()有许多限制在很多情况下并不鼓励用它。首先它的效率很低因为它隐藏了回掉方法并且还依赖于pcap_dispatch()这个函数。再次它不能够识别文件结束标志EOF所以对来自文件的数据流它几乎无能为力。注意当pcap_next_ex()在成功，超时，出错和文件结束的情况下会返回不同的值。 -- 何妨笑看花开落，共君一赴山林幽。

评论收藏

内容反馈

版权申诉