Winpcap的学习

转载 2007年09月18日 17:18:00
循序渐进学习使用WINPCAP(一)

一些需要知道的细节描述(前言):
这一部分展示了如何使用WINPCAP-API的不同的功能,它作为一个使用指南被划分为一系列的课时来带领读者循序渐进的体会PCAP的程序设计的

魅力:从简单的基本功能(如获取网卡的列表,数据包的捕获等)到统计和收集网络流量等高级功能。

在这里将提供一些简单但完整的代码作为参考:所有的这些原代码都有和它相关的详细信息的连接以便单击这些功能和数据结构时能够即使跳转到相关的文献。

这些例子是用C语言写的,所以在学习之前首先要有一定的C语言的基础,当然PCAP作为一个网络底层的驱动,要想学好它也必须具备一定的网络方面的知识。



(一)得到网络驱动列表

用PCAP写应用程序的第一件事往往就是要获得本地的网卡列表。PCAP提供了pcap_findalldevs()这个函数来实现此功能,这个API返回一个pcap_if结构的连表,连表的每项内容都含有全面的网卡信息:尤其是字段名字和含有名字的描述以及有关驱动器的易读信息。

得到网络驱动列表的程序如下:

#include "pcap.h"

main()
{
    pcap_if_t *alldevs;
    pcap_if_t *d;
    int i=0;
    char errbuf[PCAP_ERRBUF_SIZE];
  
    /* 这个API用来获得网卡 的列表 */
    if (pcap_findalldevs(&alldevs, errbuf) == -1)
    {
      fprintf(stderr,"Error in pcap_findalldevs: %s/n", errbuf);
      exit(1);
    }
  
    /* 显示列表的响应字段的内容 */
    for(d=alldevs;d;d=d->next)
    {
      printf("%d. %s", ++i, d->name);
      if (d->description)
          printf(" (%s)/n", d->description);
      else           printf(" (No description available)/n");
    }
  
    if(i==0)
    {
      printf("/nNo interfaces found! Make sure WinPcap is installed./n");
      return;
    }

    /* We don't need any more the device list. Free it */
    pcap_freealldevs(alldevs);
}



有关这段程序的一些说明:
首先pcap_findalldevs()同其他的libpca函数一样有一个errbuf参数,当有异常情况发生时,这个参数会被PCAP填充为某个特定的错误字串。

再次,UNIX也同样提供pcap_findalldevs()这个函数,但是请注意并非所有的系统都支持libpcap提供的网络程序接口。所以我门要想写出合适

的程序就必须考虑到这些情况(系统不能够返回一些字段的描述信息),在这种情况下我门应该给出类似"No description available"这样的

提示。

最后结束时别忘了用pcap_freealldevs()释放掉内存资源。


原文如下:

Obtaining the device list


The first thing that usually a WinPcap based application needs is a list of suitable network adapters. Libpcap provides the pcap_findalldevs() function for this purpose: this function returns a linked list of pcap_if structures, each of which contains comprehensive information about an adapter. In particular the fields name and description contain the name and a human readable description of the device.
The following code retrieves the adapter list and shows it on the screen, printing an error if no adapters are found.


#include "pcap.h"

main()
{
    pcap_if_t *alldevs;
    pcap_if_t *d;
    int i=0;
    char errbuf[PCAP_ERRBUF_SIZE];
  
    /* Retrieve the device list */
    if (pcap_findalldevs(&alldevs, errbuf) == -1)
    {
      fprintf(stderr,"Error in pcap_findalldevs: %s/n", errbuf);
      exit(1);
    }
  
    /* Print the list */
    for(d=alldevs;d;d=d->next)
    {
      printf("%d. %s", ++i, d->name);
      if (d->description)
          printf(" (%s)/n", d->description);
      else           printf(" (No description available)/n");
    }
  
    if(i==0)
    {
      printf("/nNo interfaces found! Make sure WinPcap is installed./n");
      return;
    }

    /* We don't need any more the device list. Free it */
    pcap_freealldevs(alldevs);
}


Some comments about this code.

First of all, pcap_findalldevs(), like other libpcap functions, has an errbuf parameter. This parameter points to a string filled by libpcap with a description of the error if something goes wrong.

Second, note that pcap_findalldevs() is provided by libpcap under Unix as well, but remember that not all the OSes supported by libpcap provide a description of the network interfaces, therefore if we want to write a portable application, we must consider the case in which description is null: we print the string "No description available" in that situation.

Note finally that we free the list with pcap_freealldevs() once when we have finished with it.

Let's try to compile and run the code of this first sample. In order to compile it under Unix or Cygwin, simply issue a:

gcc -o testaprog testprog.c -lpcap

On Windows, you will need to create a project, following the instructions in the "Using WinPcap in your programs " section of this manual. However, I suggest you to use the WinPcap developer's pack (available at the WinPcap website, http://winpcap.polito.it/ ), that provides a lot of properly configured example apps, all the code presented in this tutorial and all the projects, includes and libraries needed to compile and run the samples.

Assuming we have compiled the program, let's try to run it. On my WinXP workstation, the result is

1. {4E273621-5161-46C8-895A-48D0E52A0B83} (Realtek RTL8029(AS) Ethernet Adapter)
2. {5D24AE04-C486-4A96-83FB-8B5EC6C7F430} (3Com EtherLink PCI)

As you can see, the name of the network adapters (that will be passed to libpcap when opening the devices) under Windows are quite unreadable, so the description near them can be very useful to the user.

循序渐进学习使用WINPCAP(二)

在第一章中演示了如何获得已存在适配器的静态信息。实际上WinPcap同样也提供其他的高级信息,特别是 pcap_findalldevs()这个函数返回的每个 pcap_if结构体都同样包含一个pcap_addr结构的列表,他包含:
一个地址列表,一个掩码列表,一个广播地址列表和一个目的地址列表。
下面的例子通过一个ifprint()函数打印出了pcap_if结构的的所有字段信息,该程序对每一个pcap_findalldevs()所返回的pcap_if结构循环调用ifprint()来显示详细的字段信息。


#include "pcap.h"
#ifndef WIN32
#include <sys/socket.h>
#include <netinet/in.h>
#else
#include <winsock.h>
#endif

void ifprint(pcap_if_t *d);
char *iptos(u_long in);

int main()
{
pcap_if_t *alldevs;
pcap_if_t *d;
char errbuf[PCAP_ERRBUF_SIZE+1];

/* 获得网卡的列表 */
if (pcap_findalldevs(&alldevs, errbuf) == -1)
{
    fprintf(stderr,"Error in pcap_findalldevs: %s/n",errbuf);
    exit(1);
}

/* 循环调用ifprint() 来显示pcap_if结构的信息*/
for(d=alldevs;d;d=d->next)
{
    ifprint(d);
}

return 1;
}

/* Print all the available information on the given interface */
void ifprint(pcap_if_t *d)
{
pcap_addr_t *a;

/* Name */
printf("%s/n",d->name);

/* Description */
if (d->description)
    printf("/tDescription: %s/n",d->description);

/* Loopback Address*/
printf("/tLoopback: %s/n",(d->flags & PCAP_IF_LOOPBACK)?"yes":"no");

/* IP addresses */
for(a=d->addresses;a;a=a->next) {
    printf("/tAddress Family: #%d/n",a->addr->sa_family);

/*关于 sockaddr_in 结构请参考其他的网络编程书*/
    switch(a->addr->sa_family)
    {
      case AF_INET:
      printf("/tAddress Family Name: AF_INET/n");//打印网络地址类型
      if (a->addr)//打印IP地址
        printf("/tAddress: %s/n",iptos(((struct sockaddr_in *)a->addr)->sin_addr.s_addr));
      if (a->netmask)//打印掩码
        printf("/tNetmask: %s/n",iptos(((struct sockaddr_in *)a->netmask)->sin_addr.s_addr));
      if (a->broadaddr)//打印广播地址
        printf("/tBroadcast Address: %s/n",iptos(((struct sockaddr_in *)a->broadaddr)->sin_addr.s_addr));
      if (a->dstaddr)//目的地址
        printf("/tDestination Address: %s/n",iptos(((struct sockaddr_in *)a->dstaddr)->sin_addr.s_addr));
      break;
      default:
      printf("/tAddress Family Name: Unknown/n");
      break;
    }
}
printf("/n");
}

/* 将一个unsigned long 型的IP转换为字符串类型的IP */
#define IPTOSBUFFERS     12
char *iptos(u_long in)
{
    static char output[IPTOSBUFFERS][3*4+3+1];
    static short which;
    u_char *p;

    p = (u_char *)&in;
    which = (which + 1 == IPTOSBUFFERS ? 0 : which + 1);
    sprintf(output[which], "%d.%d.%d.%d", p[0], p[1], p[2], p[3]);
    return output[which];
}

循序渐进学习使用WINPCAP(三)

现在我门已经知道了如何去获得网卡的信息现在就让我们开始真正的工作:打开网卡并捕获数据流。在这一节

里我们将写一个打印流经网络的每个数据包信息的程序。打开网卡的功能是通过pcap_open_live()来实现的它

有三个参数snaplen promisc to_ms。

    snaplen用于指定所捕获包的特定部分,在一些系统上(象xBSD and Win32等)驱动只给出所捕获数据包

的一部分而不是全部,这样就减少了拷贝数据的数量从而提高了包捕获的效率。

      promisc指明网卡处于混杂模式,在正常情况下网卡只接受去往它的包而去往其他主机的数据包则被忽略

。相反当网卡处于混杂 模式时他将接收所有的流经它的数据包:这就意味着在共享介质的情况下我门可以捕获

到其它主机的数据包。大部分的包捕获程序都将混杂模式设为默认,所有我们在下面的例子里也将网卡设为混杂模式。

    to_ms 参数指定读数据的超时控制,超时以毫秒计算。当在超时时间内网卡上没有数据到来时对网卡的读

操作将返回(如pcap_dispatch() or pcap_next_ex()等函数)。还有,如果网卡处于统计模式下(请查看“统计和收集网络数据流一节”)to_ms还定义了统计的时间间隔。如果该参数为0那么意味着没有超时控制,对网卡的读操作在没有数据到来是将永远堵塞。如果为-1那么对网卡的读操作将立即返回不管有没有数据可读。



#include "pcap.h"

/* prototype of the packet handler */
void packet_handler(u_char *param, const struct pcap_pkthdr *header, const u_char *pkt_data);

main()
{
    pcap_if_t *alldevs;
    pcap_if_t *d;
    int inum;
    int i=0;
    pcap_t *adhandle;
    char errbuf[PCAP_ERRBUF_SIZE];
  
    /* 获得网卡的列表 */
    if (pcap_findalldevs(&alldevs, errbuf) == -1)
    {
      fprintf(stderr,"Error in pcap_findalldevs: %s/n", errbuf);
      exit(1);
    }
  
    /* 打印网卡信息 */
    for(d=alldevs; d; d=d->next)
    {
      printf("%d. %s", ++i, d->name);
      if (d->description)
          printf(" (%s)/n", d->description);
      else
          printf(" (No description available)/n");
    }
  
    if(i==0)
    {
      printf("/nNo interfaces found! Make sure WinPcap is installed./n");
      return -1;
    }
  
    printf("Enter the interface number (1-%d):",i);
    scanf("%d", &inum);                 //输入要选择打开的网卡号
  
    if(inum < 1 || inum > i) //判断号的合法性
    {
      printf("/nInterface number out of range./n");
      /* Free the device list */
      pcap_freealldevs(alldevs);
      return -1;
    }
  
    /* 找到要选择的网卡结构 */
    for(d=alldevs, i=0; i< inum-1 ;d=d->next, i++);
  
    /* 打开选择的网卡 */
    if ( (adhandle= pcap_open_live(d->name, // 设备名称
                    65536,     // portion of the packet to capture.
                    // 65536 grants that the whole packet will be captured on all the

MACs.
                    1,         // 混杂模式
                    1000,       // 读超时为1秒
                    errbuf     // error buffer
                    ) ) == NULL)
    {
      fprintf(stderr,"/nUnable to open the adapter. %s is not supported by WinPcap/n");
      /* Free the device list */
      pcap_freealldevs(alldevs);
      return -1;
    }
  
    printf("/nlistening on %s.../n", d->description);
  
    /* At this point, we don't need any more the device list. Free it */
    pcap_freealldevs(alldevs);
  
    /* 开始捕获包 */
    pcap_loop(adhandle, 0, packet_handler, NULL);
  
    return 0;
}


/* 对每一个到来的数据包调用该函数 */
void packet_handler(u_char *param, const struct pcap_pkthdr *header, const u_char *pkt_data)
{
    struct tm *ltime;
    char timestr[16];
  
    /* 将时间戳转变为易读的标准格式*/
    ltime=localtime(&header->ts.tv_sec);
    strftime( timestr, sizeof timestr, "%H:%M:%S", ltime);
  
    printf("%s,%.6d len:%d/n", timestr, header->ts.tv_usec, header->len);
  
}

一旦网卡被打开,旧可以调用pcap_dispatch() 或pcap_loop()进行数据的捕获,这两个函数的功能十分相似不

同的是pcap_ dispatch()可以不被阻塞,而pcap_loop()在没有数据流到达时将阻塞。在这个简单的例子里用

pcap_loop()就足够了,而在一些复杂的程序里往往用pcap_dispatch()。
Once the adapter is opened, the capture can be started with pcap_dispatch() or pcap_loop(). These

two functions are very similar, the difference is that pcap_ dispatch() is granted to return when

the expires while pcap_loop() doesn't return until cnt packets have been captured, so it can

block for an arbitrary period on a few utilized network. pcap_loop() is enough for the purpose of

this sample, while pcap_dispatch() is normally used in more complex program.
这两个函数都有返回的参数,一个指向某个函数(该函数用来接受数据如该程序中的packet_handler)的指针
,libpcap调用该函数对每个从网上到来的数据包进行处理和接收数据包。另一个参数是带有时间戳和包长等信

息的头部,最后一个是含有所有协议头部数据报的实际数据。注意MAC的冗余校验码一般不出现,因为当一个桢

到达并被确认后网卡就把它删除了,同样需要注意的是大多数网卡会丢掉冗余码出错的数据包,所以WinPcap一

般不能够捕获这些出错的数据报。

刚才的例子里从pcap_pkthdr中提取出了每个数据报的时间戳和长度并在显示器上打印出了他们。

循序渐进学习使用WINPCAP(四)

这节的例子很象先前的一章(获得网卡的高级信息)但是这一节中是用pcap_next_ex()来代替pcap_loop()来捕

获数据包。基于回调包捕获机制的pcap_loop()在某些情况下是不错的选择。但是在一些情况下处理回调并不特

别好:这会使程序变的复杂并且在象多线程或C++类这些情况下它看起来到象一块绊脚石。

在这些情况下pcap_next_ex()允许直接调用来接收包,它的参数和pcap_loop()相同:有一个网卡描述副,和两

个指针,这两个指针会被初始化并返回给用户,一个是pcap_pkthdr结构,另一个是接收数据的缓冲区。

下面的程序我门将循环调用前一节的例子中的回掉部分,只是把它移到了main里面了。



#include "pcap.h"


main()
{
    pcap_if_t *alldevs;
    pcap_if_t *d;
    int inum;
    int i=0;
    pcap_t *adhandle;
    int res;
    char errbuf[PCAP_ERRBUF_SIZE];
    struct tm *ltime;
    char timestr[16];
    struct pcap_pkthdr *header;
    u_char *pkt_data;
  
  
    /* Retrieve the device list */
    if (pcap_findalldevs(&alldevs, errbuf) == -1)
    {
      fprintf(stderr,"Error in pcap_findalldevs: %s/n", errbuf);
      exit(1);
    }
  
    /* Print the list */
    for(d=alldevs; d; d=d->next)
    {
      printf("%d. %s", ++i, d->name);
      if (d->description)
          printf(" (%s)/n", d->description);
      else
          printf(" (No description available)/n");
    }
  
    if(i==0)
    {
      printf("/nNo interfaces found! Make sure WinPcap is installed./n");
      return -1;
    }
  
    printf("Enter the interface number (1-%d):",i);
    scanf("%d", &inum);
  
    if(inum < 1 || inum > i)
    {
      printf("/nInterface number out of range./n");
      /* Free the device list */
      pcap_freealldevs(alldevs);
      return -1;
    }
  
    /* Jump to the selected adapter */
    for(d=alldevs, i=0; i< inum-1 ;d=d->next, i++);
  
    /* Open the adapter */
    if ( (adhandle= pcap_open_live(d->name, // name of the device
      65536,     // portion of the packet to capture.
      // 65536 grants that the whole packet will be captured on all the MACs.
      1,         // promiscuous mode
      1000,       // read timeout
      errbuf     // error buffer
      ) ) == NULL)
    {
      fprintf(stderr,"/nUnable to open the adapter. %s is not supported by WinPcap/n");
      /* Free the device list */
      pcap_freealldevs(alldevs);
      return -1;
    }
  
    printf("/nlistening on %s.../n", d->description);
  
    /* At this point, we don't need any more the device list. Free it */
    pcap_freealldevs(alldevs);
  
    /* 此处循环调用 pcap_next_ex来接受数据报*/
    while((res = pcap_next_ex( adhandle, &header, &pkt_data)) >= 0){
    
      if(res == 0)
          /* Timeout elapsed */
          continue;
    
      /* convert the timestamp to readable format */
      ltime=localtime(&header->ts.tv_sec);
      strftime( timestr, sizeof timestr, "%H:%M:%S", ltime);
    
      printf("%s,%.6d len:%d/n", timestr, header->ts.tv_usec, header->len);
    }
  
    if(res == -1){
      printf("Error reading the packets: %s/n", pcap_geterr(adhandle));
      return -1;
    }
  
    return 0;
}


注:pcap_next_ex()只在Win32环境下才行因为它不是原始libpcap API中的一部分,这就意味着依赖于这个函

数的代码不会在UNIX下工作。那么为什么我们用pcap_next_ex()而不用pcap_next()?因为pcap_next()有许多

限制在很多情况下并不鼓励用它。首先它的效率很低因为它隐藏了回掉方法并且还依赖于pcap_dispatch()这个

函数。再次它不能够识别文件结束标志EOF所以对来自文件的数据流它几乎无能为力。
注意当pcap_next_ex()在成功,超时,出错和文件结束的情况下会返回不同的值。

循序渐进学习使用WINPCAP(五)

WinPcap或libpca最强大的特点之一就是数据流的过滤引擎。它提供一种高效的方法来只捕获网络数据流的某些数据而且常常和系统的捕获机制相集成。过滤数据的函数是pcap_compile() 和 pcap_setfilter()来实现的。


pcap_compile()来编译一个过滤设备,它通过一个高层的boolean型变量和字串产生一系列的能够被底层驱动所解释的二进制编码。boolean表示语法能够在这个文件的过滤表示语法中找到。

pcap_setfilter() 用来联系一个在内核驱动上过滤的过滤器,这时所有网络数据包都将流经过滤器,并拷贝到应用程序中。

下面的代码展示了如何编译并社定一个过滤设备。注意我们必须从pcap_if结构中获得掩码,因为一些过滤器的创建需要这个参数。

下面的代码段中的pcap_compile()的"ip and tcp"参数说明只有IPV4和TCP数据才会被内核保存并被传递到应用程序。



    if(d->addresses != NULL)
      /* 获得第一个接口地址的掩码 */
      netmask=((struct sockaddr_in *)(d->addresses->netmask))->sin_addr.S_un.S_addr;
    else
      /* 如果这个接口没有地址那么我们假设他为C类地址 */
      netmask=0xffffff;


    //compile the filter
    if(pcap_compile(adhandle, &fcode, "ip and tcp", 1, netmask) <0 ){
      fprintf(stderr,"/nUnable to compile the packet filter. Check the syntax./n");
      /* Free the device list */
      pcap_freealldevs(alldevs);
      return -1;
    }
  
    //set the filter
    if(pcap_setfilter(adhandle, &fcode)<0){
      fprintf(stderr,"/nError setting the filter./n");
      /* Free the device list */
      pcap_freealldevs(alldevs);
      return -1;
    }

如何你想进一步查看本节中用过滤器过滤数据流的例子可以查看下一节《数据的解包》。
 

Winpcap学习

下载好了WpdPack_3_2_alpha1.zip(下载地址:http://www.winpcap.org/install/bin/WpdPack_3_2_alpha1.zip),解压后除了有文档,...
  • ksrsoft
  • ksrsoft
  • 2013年11月09日 19:51
  • 1345

循序渐进学习使用WINPCAP

(一)得到网络驱动列表 用 PCAP 写应用程序的第一件事往往就是要获得本地的网卡列表。PCAP 提供了 pcap_findalldevs()这个函数来实现此功能,这个API 返回一个pcap_i...

Winpcap学习

下载好了WpdPack_3_2_alpha1.zip(下载地址:http://www.winpcap.org/install/bin/WpdPack_3_2_alpha1.zip),解压后除了有文档,...

winpcap学习(1)基本介绍

http://www.winpcap.org/ WinPcap是Windows中用于网络链接层访问的工具:它允许程序通过协议栈捕获和发送网络包,及其他一些有用的特性,包括内核级的包过滤、网络统计并支...

Winpcap学习总结(三)

1: int pcap_loop ( pcap_t *  p,     int  cnt,     pca...

Winpcap学习笔记(一):VS2017+wpdpcap环境配置

//

Winpcap学习第二天

今天在阅读Winpcap Manual的时候发现一句话:        “This means that on shared media (like non-switched Ethernet), W...
  • waxic
  • waxic
  • 2006年06月08日 16:03
  • 2353

循序渐进学习使用WINPCAP(二)

获得已安装网络驱动器的高级信息 在第一章中演示了如何获得已存在适配器的基本信息(名字和描述)。事实上,WinPcap同样也提供其他的高级信息,特别是 pcap_findalldevs_ex()这个函...

循序渐进学习使用WINPCAP(四)

不用callback捕获数据报 这节的例子很像先前的一章(获得网卡的高级信息),但是这一节中使用的是pcap_next_ex()而非pcap_loop()。 pcap_loop()函数的基于回调包...

循序渐进学习使用WinPcap(一)

转载自安全焦点(翻译者yiedu),本文部分有修改。 一些需要知道的细节描述(前言):       这一部分展示了如何使用WinPcap-API的不同的功能,它作为一个使用指南被划分为一系列的课时...
内容举报
返回顶部
收藏助手
不良信息举报
您举报文章:Winpcap的学习
举报原因:
原因补充:

(最多只允许输入30个字)