IP数据报捕获及数据分析

1. JPCAP环境的安装

（1）下载并安装WinPcap(http://winpcap.polito.it/);

 

 

（2）下载Jpcap最新版本；

链接：https://pan.baidu.com/s/163HOWuq4bfNHLnLhQeV3_Q 
提取码：tzbm

 

（3）复制Jpcap.dll到C:\WINDOWS\system32目录下；

 

（4）在Intellij IDEA新建工程IPPackets，导入 jpcap.jar

 jpcap.jar 导入后，工程目录如下

 

 

2.构建简单的抓包程序，进行抓包测试；

构建简单的Java程序进行抓包，检测WinCap与JPCAP工具是否都正确起作用。以抓取IP数据包为例，JPCAP抓包基本步骤为：绑定网络设备、抓包、分析。代码如下。

import jpcap.JpcapCaptor;
import jpcap.NetworkInterface;
import jpcap.packet.IPPacket;
import jpcap.packet.Packet;
import java.io.IOException;

public class IPPacketTest {
    public static void main(String[] args) throws IOException {
        //第一步绑定网卡设备
        //返回一个网络设备列表
        NetworkInterface[] devices = JpcapCaptor.getDeviceList();
        for(NetworkInterface n:devices) {
            System.out.println(n.name+"   |   "+n.description);
        }
        System.out.println("-------------------------");
        JpcapCaptor jpcap = null;
        int caplen = 1514;
        boolean promiseCheck = true;
        //caplen限制每一次收到一个数据，只提取该数据包中前多少字节
        //Promise:设置是否混杂模式。处于混杂模式将接受所有数据包，若之后又调用了包过滤函数setFilter（）将不在起任何作用
        //50这个参数主要用于processPacket（）方法，指定超时的时间
        jpcap = JpcapCaptor.openDevice(devices[0],caplen, promiseCheck,50);

        //第二步抓包
        int i=0;
        while(i<3) {
            //System.out.println("123");
            Packet packet = jpcap.getPacket();
            if(packet instanceof IPPacket && ((IPPacket)packet).version==4) {
                i++;
                //将包强制转为IP包
                IPPacket ip = (IPPacket)packet;

                System.out.println("版本：IPv4");
                System.out.println("优先权：" + ip.priority);
                System.out.println("区分服务：最大的吞吐量：" + ip.t_flag);
                System.out.println("区分服务：最高的可靠性：" + ip.r_flag);
                System.out.println("长度：" + ip.length);
                System.out.println("标识：" + ip.ident);
                System.out.println("DF:Don't Fragment:" + ip.dont_frag);
                System.out.println("MF:More Fragment:" + ip.more_frag);
                System.out.println("片偏移：" + ip.offset);
                System.out.println("生存时间：" + ip.hop_limit);

                String protocol = "";
                switch (ip.protocol) {
                    case 1:protocol = "ICMP";break;
                    case 2:protocol = "IGMP";break;
                    case 6:protocol = "TCP";break;
                    case 8:protocol = "EGP";break;
                    case 9:protocol = "IGP";break;
                    case 17:protocol = "UDP";break;
                    case 41:protocol = "IPv6";break;
                    case 89:protocol = "OSPF";break;
                    default:break;
                }

                System.out.println("协议："+protocol);
                System.out.println("源IP：" + ip.src_ip.getHostAddress());
                System.out.println("目的IP:" + ip.dst_ip.getHostAddress());
                System.out.println("源主机名：" + ip.src_ip);
                System.out.println("目的主机名：" + ip.dst_ip);
                System.out.println("----------------------------------------------");

            }
        }
    }
}

3.运行JpcapDumper演示Jpcap功能；

4.问题记录 

解决方法：一开始以为是Jpcap环境配置或者版本的问题，但最终确定我所使用的确实是最新版Jpcap.jar，环境配置也没有问题。将依赖包删除再重新导入，它就好了，我不是很懂，为何要如此折磨我。

• 访问devices[0]产生数组越界异常。

 
解决方法： 产生数组越界是因为JpcapCaptor.getDeviceList()抓取不到数据包，其根本原因是没有运行WinPcap程序，这导致jpcap获取不到端口也抓不到数据包。由于这个问题，查了一整个下午的资料，这也是一个辛酸的故事。在命令行输入net start npf启动WinPcap程序即可。