一步一步开发sniffer(Winpcap+MFC)(五)莫道无人能识君,其实我懂你的心——解析数据包

最新推荐文章于 2019-12-15 11:52:06 发布
最新推荐文章于 2019-12-15 11:52:06 发布
阅读量1.4w 收藏 32
点赞数 5
文章标签: mfc struct 网络 tcp null network
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/litingli/article/details/7315914
版权

前文已经讲过,解析数据包主要通过analyze_frame()这个函数实现的,实际上并非这个函数完成了所有的功能,其实从名字就可以看出,它只是完成了对“帧”的解析,也就是链路层数据的解析,还有analyze_arp()、analyze_ip()、analyze_ip6()、analyze_icmp()……等来完成其他协议层的解析工作。

为什么会这样定义?熟悉协议栈工作流程的都知道,数据是由应用层把数据加上应用层协议头后给传输层,传输层在最外面加上它的头部后给网络层,网络层在外面加上它的头部后再给链路层……所以当数据包被捕获到之后最外面的就是链路层的协议头,因此首先要解析的就是链路层协议,这也就是为什么首先要调用analyze_frame()这个函数了,然后再一层一层把它“剥开”,最终获得里面的数据。

每一层的上层可能有多种协议在工作,比如IP上层就有TCP和UDP等之分,所以在解析数据包的时候需要根据不同的特征来判断上层协议到底是什么,然后再来调用相关的函数对其进行解析,下面将列出一些主要的判断特征:

1、  链路层--网络层

网络层可能会有arp、ipv4、ipv6这三种不同的情况,在链路层定义了一个type字段,专门用于指示网络层数据包是什么类型。

type == 0x0806 表示这是一个arp包

type == 0x0800 表示这是一个ipv4包

type == 0x86dd 表示这是一个ipv6包

2、  网络层(IP层)--传输层

IP层之上可能会有tcp、udp、icmp等

IPv4协议定义了proto字段来指示传输层协议是什么。还记得上一章的Protocol.h文件中的这段定义不?proto什么值对应什么协议很明白了吧?

#definePROTO_ICMP 1

#define PROTO_TCP 6                                          

#define PROTO_UDP 17 

IPv6使用nh字段来标明传输层协议,如下:

nh== 0x3a 表示上层是icmpv6

nh== 0x06 表示上层是tcp

nh== 0x11 表示上层是udp

3、  传输层之上就是应用层了,这里我们的应用层只支持http协议,判断方法很简单,就是看目的或源端口是不是80。

余下的工作就是一个字段一个字段地获取数据包的值了。函数的整体调用关系如下图:


需要特别说明的一点是,网络中的字节顺序跟主机中的字节顺序是完全不一样的,所以特别是要获得数字的值的时候,一定要先调用ntohs()函数(network to host short)或ntohl()函数(network to host long)将数据包的网络字节顺转换为主机字节序,这样在做一些判断的时候才是准确的。

下一章:千呼万唤始出来,不抱琵琶也露面——将解析数据写到GUI上


解析函数的代码如下:

/*pkt为网络中捕获的包,data为要存为本机上的数据*/

/*分析链路层*/
int analyze_frame(const u_char * pkt,struct datapkt * data,struct pktcount *npacket)
{
		int i;
		struct ethhdr *ethh = (struct ethhdr*)pkt;
		data->ethh = (struct ethhdr*)malloc(sizeof(struct ethhdr));
		if(NULL == data->ethh)
			return -1;
	
		for(i=0;i<6;i++)
		{
			data->ethh->dest[i] = ethh->dest[i];
			data->ethh->src[i] = ethh->src[i];
		}
	
		npacket->n_sum++;

		/*由于网络字节顺序原因,需要对齐*/
		data->ethh->type = ntohs(ethh->type);

		//处理ARP还是IP包?
		switch(data->ethh->type)
		{
			case 0x0806:
				return analyze_arp((u_char*)pkt+14,data,npacket);      //mac 头大小为14
				break;
			case 0x0800:				
				return analyze_ip((u_char*)pkt+14,data,npacket);
				break;
			case 0x86dd:		
				return analyze_ip6((u_char*)pkt+14,data,npacket);			
				return -1;
				break;
			default:
				npacket->n_other++;
				return -1;
				break;
		}
		return 1;
}

/*分析网络层:ARP*/
int analyze_arp(const u_char* pkt,datapkt *data,struct pktcount *npacket)
{
	int i;
	struct arphdr *arph = (struct arphdr*)pkt;
	data->arph = (struct arphdr*)malloc(sizeof(struct arphdr));
	
	if(NULL == data->arph )
		return -1;
	
	//复制IP及MAC
	for(i=0;i<6;i++)
	{
		if(i<4)
		{
			data->arph->ar_destip[i] = arph->ar_destip[i];
			data->arph->ar_srcip[i] = arph->ar_srcip[i];
		}
		data->arph->ar_destmac[i] = arph->ar_destmac[i];
		data->arph->ar_srcmac[i]= arph->ar_srcmac[i];
	}

	data->arph->ar_hln = arph->ar_hln;
	data->arph->ar_hrd = ntohs(arph->ar_hrd);
	data->arph->ar_op = ntohs(arph->ar_op);
	data->arph->ar_pln = arph->ar_pln;
	data->arph->ar_pro = ntohs(arph->ar_pro);

	strcpy(data->pktType,"ARP");
	npacket->n_arp++;
	return 1;
}

/*分析网络层:IP*/
int analyze_ip(const u_char* pkt,datapkt *data,struct pktcount *npacket)
{
	int i;
	struct iphdr *iph = (struct iphdr*)pkt;
	data->iph = (struct iphdr*)malloc(sizeof(struct iphdr));
	
	if(NULL == data->iph)
		return -1;
	data->iph->check = iph->check;
	npacket->n_ip++;
	
	/*for(i = 0;i<4;i++)
	{
		data->iph->daddr[i] = iph->daddr[i];
		data->iph->saddr[i] = iph->saddr[i];
	}*/
	data->iph->saddr = iph->saddr;
	data->iph->daddr = iph->daddr;

	data->iph->frag_off = iph->frag_off;
	data->iph->id = iph->id;
	data->iph->proto = iph->proto;
	data->iph->tlen = ntohs(iph->tlen);
	data->iph->tos = iph->tos;
	data->iph->ttl = iph->ttl;
	data->iph->ihl = iph->ihl;
	data->iph->version = iph->version;
	//data->iph->ver_ihl= iph->ver_ihl;
	data->iph->op_pad = iph->op_pad;

	int iplen = iph->ihl*4;							//ip头长度
	switch(iph->proto)
	{
		case PROTO_ICMP:
			return analyze_icmp((u_char*)iph+iplen,data,npacket);
			break;
		case PROTO_TCP:
			return analyze_tcp((u_char*)iph+iplen,data,npacket);
			break;
		case PROTO_UDP:
			return analyze_udp((u_char*)iph+iplen,data,npacket);
			break;
		default :
			return-1;
			break;
	}
	return 1;
}

/*分析网络层:IPV6*/
int analyze_ip6(const u_char* pkt,datapkt *data,struct pktcount *npacket)
{
	int i;
	struct iphdr6 *iph6 = (struct iphdr6*)pkt;
	data->iph6 = (struct iphdr6*)malloc(sizeof(struct iphdr6));
	
	if(NULL == data->iph6)
		return -1;

	npacket->n_ip6++;
	
	data->iph6->version = iph6->version;
	data->iph6->flowtype = iph6->flowtype;
	data->iph6->flowid = iph6->flowid;
	data->iph6->plen = ntohs(iph6->plen);
	data->iph6->nh = iph6->nh;
	data->iph6->hlim =iph6->hlim;

	for(i=0;i<16;i++)
	{
		data->iph6->saddr[i] = iph6->saddr[i];
		data->iph6->daddr[i] = iph6->daddr[i];
	}
	
	switch(iph6->nh)
	{
		case 0x3a:					
			return analyze_icmp6((u_char*)iph6+40,data,npacket);
			break;
		case 0x06:
			return analyze_tcp((u_char*)iph6+40,data,npacket);
			break;
		case 0x11:
			return analyze_udp((u_char*)iph6+40,data,npacket);
			break;
		default :
			return-1;
			break;
	}
	//npacket->n_ip6++;
	//strcpy(data->pktType,"IPV6");
	return 1;
}
	
/*分析传输层:ICMP*/
int analyze_icmp(const u_char* pkt,datapkt *data,struct pktcount *npacket)
{
	struct icmphdr* icmph = (struct icmphdr*)pkt;
	data->icmph = (struct icmphdr*)malloc(sizeof(struct icmphdr));
	
	if(NULL == data->icmph)
		return -1;

	data->icmph->chksum = icmph->chksum;
	data->icmph->code = icmph->code;
	data->icmph->seq =icmph->seq;
	data->icmph->type = icmph->type;
	strcpy(data->pktType,"ICMP");
	npacket->n_icmp++;
	return 1;
}

/*分析传输层:ICMPv6*/
int analyze_icmp6(const u_char* pkt,datapkt *data,struct pktcount *npacket)
{
	int i;
	struct icmphdr6* icmph6 = (struct icmphdr6*)pkt;
	data->icmph6 = (struct icmphdr6*)malloc(sizeof(struct icmphdr6));
	
	if(NULL == data->icmph6)
		return -1;

	data->icmph6->chksum = icmph6->chksum;
	data->icmph6->code = icmph6->code;
	data->icmph6->seq =icmph6->seq;
	data->icmph6->type = icmph6->type;
	data->icmph6->op_len = icmph6->op_len;
	data->icmph6->op_type = icmph6->op_type;
	for(i=0;i<6;i++)
	{
		data->icmph6->op_ethaddr[i] = icmph6->op_ethaddr[i];
	}
	strcpy(data->pktType,"ICMPv6");
	npacket->n_icmp6++;
	return 1;
}

/*分析传输层:TCP*/
int analyze_tcp(const u_char* pkt,datapkt *data,struct pktcount *npacket)
{
	struct tcphdr *tcph = (struct tcphdr*)pkt;
	data->tcph = (struct tcphdr*)malloc(sizeof(struct tcphdr));
	if(NULL == data->tcph)
		return -1;
	
	data->tcph->ack_seq = tcph->ack_seq;
	data->tcph->check = tcph->check;
	
	data->tcph->doff = tcph->doff;
	data->tcph->res1 = tcph->res1;
	data->tcph->cwr = tcph->cwr;
	data->tcph->ece = tcph->ece;
	data->tcph->urg = tcph->urg;
	data->tcph->ack = tcph->ack;
	data->tcph->psh = tcph->psh;
	data->tcph->rst = tcph->rst;
	data->tcph->syn = tcph->syn;
	data->tcph->fin = tcph->fin;
	//data->tcph->doff_flag = tcph->doff_flag;

	data->tcph->dport = ntohs(tcph->dport);
	data->tcph->seq = tcph->seq;
	data->tcph->sport = ntohs(tcph->sport);
	data->tcph->urg_ptr = tcph->urg_ptr;
	data->tcph->window= tcph->window;
	data->tcph->opt = tcph->opt;
	
	/*不要忘记http分支*/
	if(ntohs(tcph->dport) == 80 || ntohs(tcph->sport)==80)
	{
		npacket->n_http++;
		strcpy(data->pktType,"HTTP");
	}
	else{
		npacket->n_tcp++;
		strcpy(data->pktType,"TCP");	
	}
	return 1;
}

/*分析传输层:UDP*/
int analyze_udp(const u_char* pkt,datapkt *data,struct pktcount *npacket)
{
	struct udphdr* udph = (struct udphdr*)pkt;
	data->udph = (struct udphdr*)malloc(sizeof(struct udphdr));
	if(NULL == data->udph )
		return -1;

	data->udph->check = udph->check;
	data->udph->dport = ntohs(udph->dport);
	data->udph->len = ntohs(udph->len);
	data->udph->sport = ntohs(udph->sport);

	strcpy(data->pktType,"UDP");
	npacket->n_udp++;
	return 1;
}


litingli
关注
  • 5
    点赞
  • 32
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
sniffer网络数据包抓取(Winpcap+MFC+vs)
wkd_ywf的博客
03-03 4771
主要分为以下几个步骤:  一:vs对于Winpcap的相关配置:              所需文件:http://pan.baidu.com/s/1i4DAvcx              配置步骤   http://blog.csdn.net/gaohuaid/article/details/8851169  二:画出显示的界面。  三:获取本地网卡设备列表。 1.
一步一步开发snifferWinpcap+MFC)(三)安得广厦千万间,先画蓝图再砌砖——搭建winpcap抓包框架
litingli的专栏
03-03 2万+
采用天朝流行的话,“由于种种原因”本人已接近一年半没有写博客了,最近回想起来,很多东西即便再小也得慢慢积累,更何况前两章之后就没有了,很多网友表示比较期待后面的文字,不能做一个太监了事,打算还是继续写完,给被吊了胃口这么久的朋友表示深深地歉意。 这一章要讲的是winpcap编程,首先来看一下sniffer程序的整体框架,程序主要由三个部分构成,其示意图如下: 其中,winpcap
原创MFC+WinpCap网络嗅探器(sniffer
03-17
原创MFC+WinpCap网络嗅探器,界面友好,支持协议包括:IPv4、IPv6、ARP、ICMP、TCP、UDP、HTTP,可至此网址预览效果http://blog.csdn.net/litingli/article/details/5950962
一步一步开发Game服务器(一)
weixin_30740295的博客
04-09 77
什么是服务器?对于很多人来说也许只是简单成为在服务器端运行的程序的确如此,服务器通常意义就是说在服务器端运行的程序而已。那么我们怎么理解和分析游戏服务器哪? 传统意义上来说,程序运行后,正常流程, 启动 -> 加载必要数据->分析必要数据->接受连接-> 登陆系统-> 交换数据-> 退出登陆。 这样单线程服务器的思路就算完成。有经验的同...
一步一步开发snifferWinpcap+MFC)(二)掀起你的盖头来,让我来画你的脸——用MFC开发GUI
蚕豆儿
04-12 4106
书接上回,由于前段时间较忙,都没思来写这个了,两章之间的间隔有点久了,后来……*&&……%*&……发生了很多事,又重装了系统,还重装了VS,现在是VS2010,前面说的是基于VS2008的,但是没关系,二者大同小异,没太大差别,不影响理解,有不便的请原谅(不想再装VS2008了,装一次要好久- -!)          扯多了,进入正题,本节主题是写GUI,下面开始。           第
一步一步开发snifferWinpcap+MFC)(四)要想从此过,留下协议头——各层网络协议头的实现
蚕豆儿
04-12 3192
这一章实际上没什么讲的,就是把协议的标准搞,然后用数据结构将其实现就行。直接上代码吧,由底层到高层逐步实现。这些协议头是怎么使用的,将在下一章做出解释。 [cpp] view plaincopy #ifndef PROTOCOL_H   #define PROTOCOL_H      #define PROTO_ICMP 1   #de
基于MFC+WinpCap网络嗅探器(sniffer
05-27
**基于MFC+WinpCap网络嗅探器(Sniffer)详解** MFC(Microsoft Foundation Classes)是微软提供的一套C++库,用于构建Windows应用程序。它为开发者提供了丰富的类和函数,简化了Windows API的使用。在本项目中,...
MFC+WinpCap网络解析器(sniffer
04-27
MFC+WinpCap网络嗅探器,界面友好,支持协议包括:IPv4、IPv6、ARP、ICMP、TCP、UDP、HTTP,可至此网址预览效果http://blog.csdn.net/litingli/article/details/5950962
编写自己的网络嗅探器WinPcap+MFC
10-22
在IT领域,网络嗅探器是一种非常重要的工具,它...通过这个项目,你不仅能掌握WinPcap的使用,还能深入理解网络数据包的结构和MFCWindows应用开发中的作用。同时,这也是一种实践网络监控和安全分析技能的好方法。
Sniffer抓包工具
11-03
数据包软件,配合wireshark可以对蓝牙设备进行抓包。
使用WinPcap编写Sniffer程序
03-30
嗅探器原理 Winpcap介绍 Winpcap安装 Winpcap应用程序结构
一步一步开发snifferWinpcap+MFC)(一)工欲善其事,必先配环境——配置winpcap开发环境
litingli的专栏
10-19 4万+
0、说在前面的话 1) 本文将以一个初学者的角度,一步一步几乎是从0开始讲述如何完成一个基于winpcap+MFCsniffer(嗅探器)当然我指的“0”并不是指连编程都不会,如果C/C++不知为何物那么还是别看这篇文章了,本文只有那么几点小小要求:          a.基本的编程语法,只会java的没关系,语言这东西语法差别不大,看着看着就了          b.一点点网络知识
ARP 原理以及 ARP 攻击与欺骗
supermouse的博客
12-15 1923
文章目录前言ARP 攻击的原理ARP 协议ARP 攻击ARP 攻击实战前期准备环境搭建ARP 报文格式编写代码测试攻击者接收数据结语参考链接 前言 前段时间在学网络协议的时候,知道了有 ARP 攻击这么个东西,但是当时对 Linux 环境下的 C 语言编程不是很了解,一直没有机会实践一下。终于在最近学习了网络编程之后,才算是入门了一点点 Linux C 语言编程。于是乎,经过两天的研究,终于亲自试...
基于QT的网络嗅探器实现(网络安全课程设计)
Ray的博客
05-23 1万+
在这学期的网络安全课程设计中,我们需要自己实现一个基于WinPcap编程接口的网络嗅探器,历时两周完成,主要参考资料: 1、WinPcap 中文技术文档(http://www.ferrisxu.com/WinPcap/html/index.html) 2、一步一步开发snifferWinpcap+MFC) (https://blog.csdn.net/litingli/a...
FFmpeg源代码简单分析:avformat_find_stream_info()
热门推荐
雷霄骅(leixiaohua1020)的专栏
03-06 6万+
本文简单分析FFmpeg中一个常用的函数:avformat_find_stream_info()。该函数可以读取一部分视音频数据并且获得一些相关的信息。
Analyze问题解决
weixin_34032779的博客
05-07 384
最近公司的项目接近尾声了,用Analyze来检测一下,结果发现了些问题,自己顺便记录一下。1、Value stored to '' during its initialization is never read这个值并没有被使用,注释或者删除即可;还有一种情况就是,初始化了两次2、Passed-by-value struct argument contains uninitialized data...
以Visual Studio 2012为例,实现基于MFC+WinpCap网络嗅探器(sniffer)具体实现代码和步骤
最新发布
05-26
以下是基于MFC+WinPcap网络嗅探器的实现步骤: 1. 创建MFC对话框应用程序。 2. 下载和安装WinPcap库,并将其添加到项目中。 3. 在对话框中添加一个列表框控件,用于显示捕获到的数据包。 4. 在对话框头文件中...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值