网络编程课程设计基于WinPcap技术的网络数据包捕获过滤和分析技术

1、 网络编程论文学 号：4090220姓 名：雷诺提交日期：2011.12.10成 绩：东北大学秦皇岛分校目录1、 winpcap概述12、 winpcap驱动各项功能13、 winpcap的主要功能14、 winpcap网络编程21) winpcap获取与网络配置器绑定的设备列表2 2) 获取网络适配器的高级属性信息33) 打开网络适配器并实现抓包功能64) 不使用事件处理器进行抓包95) 过滤数据包12五、nic驱动器和ndis17 注：与4090225韩雪同学合作完成 基于winpcap技术的网络 数据包捕获，过滤和分析技术摘要：在当今的互联网时代里，网络中丰富多彩的各种应用已经彻底改变了

2、人们的工作和生活方式，internet在给人们带来方便的同时，也给网络管理员带了一些困扰。比如，一些单位的员工在工作期间炒股，玩网络游戏等，面对这些问题，基于winpcap技术的网络数据包捕获，过滤和分析技术。如果在网络的出口位置对网络中的数据包进行捕获和分析，就可以统计出流量是基于哪些应用的，有了流量便可以成功的进行管理。1、 winpcap概述：winpcap(windows packet capture)是windows平台下一个免费，公共的网络访问系统。开发winpcap这个项目的目的在于为win32应用程序提供访问网络底层的能力。它提供了以下的各项功能：1 捕获原始数据报，包括在共享

3、网络上各主机发送/接收的以及相互之间交换的数据报；2 在数据报发往应用程序之前，按照自定义的规则将某些特殊的数据报过滤掉；3 在网络上发送原始的数据报；4 收集网络通信过程中的统计信息。 2、 winpcap驱动各项功能1 捕获原始数据包：包括在共享网络上各主机发送/接收的以及相互之间交换的数据包； 2 在数据包发往应用程序之前，按照自定义的规则将某些特殊的数据包过滤掉； 3 在网络上发送原始的数据包； 4 收集网络通信过程中的统计信息。 3、 winpcap的主要功能 在于独立于主机协议（如tcp-ip)而发送和接收原始数据包。也就是说，winpcap不能阻塞，过滤或控制其他应用程序数据包的

4、发收，它仅仅只是监听共享网络上传送的数据包。因此，它不能用于qos调度程序或个人防火墙。目前，winpcap开发的主要对象是windows nt/2000/xp，这主要是因为在使用winpcap的用户中只有一小部分是仅使用windows 95/98/me，并且ms也已经放弃了对win9x的开发。因此本文相关的程序t-arp也是面向nt/2000/xp用户的。其实winpcap中的面向9x系统的概念和nt系统的非常相似，只是在某些实现上有点差异，比如说9x只支持ansi编码，而nt系统则提倡使用unicode编码。有个软件叫sniffer pro.可以作网管软件用，有很多功能，可监视网络运行情况

5、，每台网内机器的数据流量,实时反映每台机器所访问ip以及它们之间的数据流通情况，可以抓包，可对过滤器进行设置,以便只抓取想要的包，比如pop3包,smtp包，ftp包等，并可从中找到邮箱用户名和密码,还有ftp用户名和密码。它还可以在使用交换机的网络上监听，不过要在交换机上装它的一个软件。还有一个简单的监听软件叫passwordsniffer，可截获邮箱用户名和密码，还有ftp用户名和密码，它只能用在hub网络上。著名软件tcpdump及ids snort都是基于libpcap编写的，此外nmap扫描器也是基于libpcap来捕获目标主机返回的数据包的。 winpcap提供给用户两个不同级别的

6、编程接口：一个基于libpcap的wpcap.dll，另一个是较底层的packet.dll。对于一般的要与unix平台上libpcap兼容的开发来说，使用wpcap.dll是当然的选择。4、 winpcap网络编程1. winpcap获取与网络配置器绑定的设备列表在开始捕获数据包之前，通常需要获取与网络适配器绑定的设备列表。通俗的说，就是获取当前计算机中安装的网卡列表，这样用户就可以选择在哪块网块上捕获数据包了。代码:/ findalldevs.cpp : 定义控制台应用程序的入口点。/#include stdafx.h#include pcap.h#include remote-ext.h#

7、include stdlib.hint _tmain(int argc, _tchar* argv) pcap_if_t *alldevs; pcap_if_t *d; int i=0; char errbufpcap_errbuf_size; /* 获取本地机器设备列表*/ if (pcap_findalldevs_ex(pcap_src_if_string, null /* auth is not needed */, &alldevs, errbuf) = -1) fprintf(stderr,error in pcap_findalldevs_ex: %sn, errbuf); exi

8、t(1); /* 打印列表*/ for(d= alldevs; d != null; d= d-next) printf(n%d. %sn, +i, d-name); if (d-description) printf( (%s)n, d-description); else printf( (no description available)n); if (i = 0) printf(nno interfaces found! make sure winpcap is installed.n); return 1; /* 不再需要设备列表了，释放它*/ pcap_freealldevs(al

9、ldevs);system(pause);return 0;2. 获取网络适配器的高级属性信息除了网络适配的名称和描述信息外，pcap_if_t结构体中还应包含网络适配器上定义的地址列表，子网掩码列表，广播地址列表和目的地址列表。代码：/ findalldevs.cpp : 定义控制台应用程序的入口点。/#include stdafx.h#include pcap.h#include remote-ext.h#include stdlib.h/ 将数字ip地址转换为字符串#define iptosbuffers12char *iptos(u_long in)static char output

10、iptosbuffers3*4+3+1;static short which;u_char *p;p = (u_char *)∈which = (which + 1 = iptosbuffers ? 0 : which + 1);sprintf(outputwhich, %d.%d.%d.%d, p0, p1, p2, p3);return outputwhich;#ifndef _mingw32_ /* cygnus doesnt have ipv6 */char* ip6tos(struct sockaddr *sockaddr, char *address, int addrlen

11、)socklen_t sockaddrlen;#ifdef win32sockaddrlen = sizeof(struct sockaddr_in6);#elsesockaddrlen = sizeof(struct sockaddr_storage);#endifif(getnameinfo(sockaddr, sockaddrlen, address, addrlen, null, 0, ni_numerichost) != 0) address = null;return address;#endif /* _mingw32_ */ 打印指定接口的信息，参数d指定要打印的接口void

12、ifprint(pcap_if_t *d) pcap_addr_t *a; char ip6str128; / 打印名称 printf(%sn,d-name); / 打印描述信息 if (d-description) printf(tdescription: %sn,d-description); / 打印环回信息 printf(tloopback: %sn,(d-flags & pcap_if_loopback)?yes:no); / 打印地址信息 for(a=d-addresses;a;a=a-next) printf(taddress family: #%dn,a-addr-sa_fam

13、ily); switch(a-addr-sa_family) case af_inet: printf(taddress family name: af_inetn); if (a-addr) printf(taddress: %sn,iptos(struct sockaddr_in *)a-addr)-sin_addr.s_addr); if (a-netmask) printf(tnetmask: %sn,iptos(struct sockaddr_in *)a-netmask)-sin_addr.s_addr); if (a-broadaddr) printf(tbroadcast ad

14、dress: %sn,iptos(struct sockaddr_in *)a-broadaddr)-sin_addr.s_addr); if (a-dstaddr) printf(tdestination address: %sn,iptos(struct sockaddr_in *)a-dstaddr)-sin_addr.s_addr); break; case af_inet6:/ ipv6 printf(taddress family name: af_inet6n);#ifndef _mingw32_ /* cygnus doesnt have ipv6 */ if (a-addr)

15、 printf(taddress: %sn, ip6tos(a-addr, ip6str, sizeof(ip6str);#endifbreak; default: printf(taddress family name: unknownn); break; printf(n);int _tmain(int argc, _tchar* argv)pcap_if_t *alldevs;/ 获取的所有网络设备链表pcap_if_t *d;/ 指向一个网络设备char errbufpcap_errbuf_size+1;/ 错误缓冲区/ 获取网络设备列表if(pcap_findalldevs_ex(p

16、cap_src_if_string, null, &alldevs, errbuf) = -1)fprintf(stderr,error in pcap_findalldevs: %sn, errbuf);exit(1);/ 打印每个网络设备的信息for(d=alldevs;d;d=d-next)ifprint(d);/ 释放网络设备链表pcap_freealldevs(alldevs);system(pause);return 0;3. 打开网络适配器并实现抓包功能 要获得网络适配器绑定的设备列表后，可以要求用户选择一个设备用于捕获数据包。在捕获数据包之前，还需要打开设备。代码:/ pcap

17、_loop.cpp : 定义控制台应用程序的入口点。/#include stdafx.h#include pcap.h#include remote-ext.h#include stdlib.h/* packet handler 函数原型*/void packet_handler(u_char *param, const struct pcap_pkthdr *header, const u_char *pkt_data);int _tmain(int argc, _tchar* argv)pcap_if_t *alldevs;/ 获取到的设备列表int inum;int i=0;pcap_t

18、 *adhandle;char errbufpcap_errbuf_size; /* 获取本机设备列表*/ if (pcap_findalldevs_ex(pcap_src_if_string, null, &alldevs, errbuf) = -1) fprintf(stderr,error in pcap_findalldevs: %sn, errbuf); exit(1); /* 打印设备列表*/pcap_if_t *d; for(d=alldevs; d; d=d-next) printf(%d. %s, +i, d-name); if (d-description) printf(

19、 (%s)n, d-description); else printf( (没有有效的描述信息)n); / 如果没有找到网络适配器 if(i=0) printf(n未发现网络接口！请确定winpcap被正确安装。n); return -1; printf(请输入要捕获数据包的网络接口编号(1-%d):,i); scanf(%d, &inum); if(inum i) printf(n接口编号越界.n); /* 释放设备列表*/ pcap_freealldevs(alldevs); return -1; /* 跳转到选中的适配器*/ for(d=alldevs, i=0; inext, i+);

20、 /* 打开设备*/ if ( (adhandle= pcap_open(d-name,/ 设备名 65536,/ 65535保证能捕获到不同数据链路层上的每个数据包的全部内容 pcap_openflag_promiscuous, / 混杂模式 1000,/ 读取超时时间 null,/ 远程机器验证 errbuf/ 错误缓冲池 ) ) = null) fprintf(stderr,n无法打开网络适配器。winpcap不支持%s n, d-name); /* 释放设备列表*/ pcap_freealldevs(alldevs); return -1; printf(n在%s上启动监听.n, d-

21、description); /* 释放设备列表*/ pcap_freealldevs(alldevs); /* 开始捕获*/ pcap_loop(adhandle, 0, packet_handler, null); return 0;/* 每次捕获到数据包时，winpcap都会自动调用这个回调函数*/void packet_handler(u_char *param, const struct pcap_pkthdr *header, const u_char *pkt_data) struct tm *ltime; char timestr16; time_t local_tv_sec;

22、/* 将时间戳转换成可识别的格式*/ local_tv_sec = header-ts.tv_sec; ltime=localtime(&local_tv_sec); strftime( timestr, sizeof timestr, %h:%m:%s, ltime); / 打印接收到的数据 printf(%s,%.6d len:%dn, timestr, header-ts.tv_usec, header-len); 4. 不使用事件处理器进行抓包pacp_next_ex()函数是基于回调技术来捕获数据的，当数据到达时，系统会自动调用指定的回调函数，处理捕获的数据。但使用回调方式编写的程序

23、可读性不够好，不理解这种编程思想的人很难解程序的运行轨迹。代码：/ pcap_next_ex.cpp : 定义控制台应用程序的入口点。/#include stdafx.h#include pcap.h#include remote-ext.h#include stdlib.hint _tmain(int argc, _tchar* argv)pcap_if_t *alldevs;/ 获取的设备列表pcap_if_t *d;/ 用于遍历设备列表int inum;/ 用户选择的用于监听的int i=0;pcap_t *adhandle;/ 打开设备后返回的winpcap会话句柄char errbu

24、fpcap_errbuf_size;struct tm *ltime;/ 读取数据包的时间char timestr16;struct pcap_pkthdr *header;/ 数据包头const u_char *pkt_data;/ 数据包内容 /* 获取本机设备列表*/ if (pcap_findalldevs_ex(pcap_src_if_string, null, &alldevs, errbuf) = -1) fprintf(stderr,error in pcap_findalldevs: %sn, errbuf); exit(1); /* 打印列表*/ for(d=alldevs

25、; d; d=d-next) printf(%d. %s, +i, d-name); if (d-description) printf( (%s)n, d-description); else printf( (no description available)n); if(i=0) printf(nno interfaces found! make sure winpcap is installed.n); return -1; printf(enter the interface number (1-%d):,i); scanf(%d, &inum); if(inum i) printf

26、(ninterface number out of range.n); /* 释放设备列表*/ pcap_freealldevs(alldevs); return -1; /* 跳转到已选中的适配器*/ for(d=alldevs, i=0; inext, i+); /* 打开设备*/ if ( (adhandle= pcap_open(d-name, / 设备名 65536, / 要捕捉的数据包的部分 / 65535保证能捕获到不同数据链路层上的每个数据包的全部内容 pcap_openflag_promiscuous, / 混杂模式 1000, / 读取超时时间 null, / 远程机器验证

27、 errbuf / 错误缓冲池 ) ) = null) fprintf(stderr,nunable to open the adapter. %s is not supported by winpcapn, d-name); /* 释放设列表*/ pcap_freealldevs(alldevs); return -1; printf(nlistening on %s.n, d-description); /* 释放设备列表*/ pcap_freealldevs(alldevs); /* 获取数据包*/int res; while(res = pcap_next_ex( adhandle,

28、&header, &pkt_data) = 0) if(res = 0) /* 超时时间到*/ continue; /* 将时间戳转换成可识别的格式*/ time_t local_tv_sec = header-ts.tv_sec; ltime=localtime(&local_tv_sec); strftime( timestr, sizeof timestr, %h:%m:%s, ltime); printf(%s,%.6d len:%dn, timestr, header-ts.tv_usec, header-len); if(res = -1) printf(error reading

29、 the packets: %sn, pcap_geterr(adhandle); return -1; return 0;5. 过滤数据包nfs模块中德数据包过滤引擎是winpcap最强大的功能之一，它可以提供有效的方法获取网络中具有特性的数据包，这也是winpcap数据包捕获机制的一个组成部分。可以通过调用pcap_compile()和pcap_setfilter函数来实现过滤数据包的功能。代码：/ udpdump.cpp : 定义控制台应用程序的入口点。/#include stdafx.h#include pcap.h#include remote-ext.h/* 4字节的ip地址*/t

30、ypedef struct ip_address u_char byte1; u_char byte2; u_char byte3; u_char byte4;ip_address;/* ipv4 首部*/typedef struct ip_header u_char ver_ihl; / 版本(4 bits) + 首部长度(4 bits) u_char tos; / 服务类型(type of service) u_short tlen; / 总长(total length) u_short identification; / 标识(identification) u_short flags_

31、fo; / 标志位(flags) (3 bits) + 段偏移量(fragment offset) (13 bits) u_char ttl; / 存活时间(time to live) u_char proto; / 协议(protocol) u_short crc; / 首部校验和(header checksum) ip_address saddr; / 源地址(source address) ip_address daddr; / 目的地址(destination address) u_int op_pad; / 选项与填充(option + padding)ip_header;/* ud

32、p 首部*/typedef struct udp_header u_short sport; / 源端口(source port) u_short dport; / 目的端口(destination port) u_short len; / udp数据包长度(datagram length) u_short crc; / 校验和(checksum)udp_header;/* 回调函数原型*/void packet_handler(u_char *param, const struct pcap_pkthdr *header, const u_char *pkt_data);int _tmain

33、(int argc, _tchar* argv)pcap_if_t *alldevs;pcap_if_t *d;int inum;int i=0;pcap_t *adhandle;char errbufpcap_errbuf_size;u_int netmask;char packet_filter = ip and udp;struct bpf_program fcode; /* 获得设备列表*/ if (pcap_findalldevs_ex(pcap_src_if_string, null, &alldevs, errbuf) = -1) fprintf(stderr,error in

34、pcap_findalldevs: %sn, errbuf); exit(1); /* 打印列表*/ for(d=alldevs; d; d=d-next) printf(%d. %s, +i, d-name); if (d-description) printf( (%s)n, d-description); else printf( (no description available)n); if(i=0) printf(nno interfaces found! make sure winpcap is installed.n); return -1; printf(enter the

35、interface number (1-%d):,i); scanf(%d, &inum); if(inum i) printf(ninterface number out of range.n); /* 释放设备列表*/ pcap_freealldevs(alldevs); return -1; /* 跳转到已选设备*/ for(d=alldevs, i=0; inext, i+); /* 打开适配器*/ if ( (adhandle= pcap_open(d-name, / 设备名 65536, / 要捕捉的数据包的部分 / 65535保证能捕获到不同数据链路层上的每个数据包的全部内容 p

36、cap_openflag_promiscuous, / 混杂模式 1000, / 读取超时时间 null, / 远程机器验证 errbuf / 错误缓冲池 ) ) = null) fprintf(stderr,nunable to open the adapter. %s is not supported by winpcapn); /* 释放设备列表*/ pcap_freealldevs(alldevs); return -1; /* 检查数据链路层，为了简单，我们只考虑以太网*/ if(pcap_datalink(adhandle) != dlt_en10mb) fprintf(stder

37、r,nthis program works only on ethernet networks.n); /* 释放设备列表*/ pcap_freealldevs(alldevs); return -1; if(d-addresses != null) /* 获得接口第一个地址的掩码*/ netmask=(struct sockaddr_in *)(d-addresses-netmask)-sin_addr.s_un.s_addr; else /* 如果接口没有地址，那么我们假设一个c类的掩码*/ netmask=0xffffff; /编译过滤器 if (pcap_compile(adhandl

38、e, &fcode, packet_filter, 1, netmask) 0 ) fprintf(stderr,nunable to compile the packet filter. check the syntax.n); /* 释放设备列表*/ pcap_freealldevs(alldevs); return -1; /设置过滤器 if (pcap_setfilter(adhandle, &fcode)description); /* 释放设备列表*/ pcap_freealldevs(alldevs); /* 开始捕捉*/ pcap_loop(adhandle, 0, packe

39、t_handler, null); return 0;/* 回调函数，当收到每一个数据包时会被libpcap所调用*/void packet_handler(u_char *param, const struct pcap_pkthdr *header, const u_char *pkt_data) struct tm *ltime; char timestr16; ip_header *ih; udp_header *uh; u_int ip_len; u_short sport,dport; time_t local_tv_sec; /* 将时间戳转换成可识别的格式*/ local_tv

40、_sec = header-ts.tv_sec; ltime=localtime(&local_tv_sec); strftime( timestr, sizeof timestr, %h:%m:%s, ltime); /* 打印数据包的时间戳和长度*/ printf(%s.%.6d len:%d , timestr, header-ts.tv_usec, header-len); /* 获得ip数据包头部的位置*/ ih = (ip_header *) (pkt_data + 14); /以太网头部长度 /* 获得udp首部的位置*/ ip_len = (ih-ver_ihl & 0xf)

41、* 4; uh = (udp_header *) (u_char*)ih + ip_len); /* 将网络字节序列转换成主机字节序列*/ sport = ntohs( uh-sport ); dport = ntohs( uh-dport ); /* 打印ip地址和udp端口*/ printf(%d.%d.%d.%d.%d - %d.%d.%d.%d.%dn, ih-saddr.byte1, ih-saddr.byte2, ih-saddr.byte3, ih-saddr.byte4, sport, ih-daddr.byte1, ih-daddr.byte2, ih-daddr.byte3

42、, ih-daddr.byte4, dport);五、nic驱动器和ndis1) npf和ndisndis（network driver interface specification）是一个定义网络适配器（或者说成是管理网络适配器的驱动程序）与协议驱动（例如tcp/ip的实现）之间通信的规范。ndis最主要的目的是作为一个允许协议驱动发送和接收网络（lan或wan）上的数据包而不必关心特定的适配器或特定的win32操作系统的封装。 2) ndis支持三种类型的网络驱动： a. 网络接口卡或nic驱动（network interface card or nic drivers）。nic驱动直接管理着网络接口卡（nic）。nic驱动接下边与硬件连接，从上边表现为一个接口，该接口允许高层发送数据包到网络上，处理中断，重置nic，停止nic，查询和设置驱动的运行特征。nic驱动可以是小端口（miniport）或完全的