C. 截获数据包并保存为文件:------------------------------------------------------
当然,不把数据包保存为文件也可以,不过如果不保存的话,只能在截获到数据包的那一瞬间进行分析,转眼就没了^_^
所以,为了便于日后分析,所以高手以及我个人经常是把数据包保存下来的慢慢分析的。
但是注意网络流量,在流量非常大的时候注意硬盘空间呵呵,常常几秒中就有好几兆是很正常的事情。
下面首先来详细讲解一下,这个步骤中需要用到的winpcap函数:
/**************************************************************
pcap_dumper_t* pcap_dump_open ( pcap_t * p,
const char * fname
)
功能:
建立或者打开存储数据包内容的文件,并返回其句柄
参数:
pcap_t * p :前面打开的网卡句柄;
const char * fname :要保存的文件名字
返回值:
pcap_dumper_t* : 保存文件的描述句柄,具体细节我们不用关心
***************************************************************/
/***************************************************************
int pcap_next_ex ( pcap_t * p,
struct pcap_pkthdr ** pkt_header,
u_char ** pkt_data
)
功能:
从网卡或者数据包文件中读取数据内容
参数:
pcap_t * p: 网卡句柄
struct pcap_pkthdr ** pkt_header: 并非是数据包的指针,
只是与数据包捕获驱动有关的一个Header
u_char ** pkt_data:指向数据包内容的指针 ,包括了协议头
返回值:
1 : 如果成功读取数据包
0 :pcap_open_live()设定的超时时间之内没有读取到内容
-1: 出现错误
-2: 读文件时读到了末尾
***************************************************************/
/***************************************************************
void pcap_dump ( u_char * user,
const struct pcap_pkthdr * h,
const u_char * sp
)
功能:
将数据包内容依次写入pcap_dump_open()指定的文件中
参数:
u_char * user : 网卡句柄
const struct pcap_pkthdr * h: 并非是数据包的指针,
只是与数据包捕获驱动有关的一个Header
const u_char * sp: 数据包内容指针
返回值:
Void
****************************************************************/
下面给出一段完整的捕获数据包的代码,是在线程中写的,为了程序清晰,我去掉了错误处理代码以及线程退出的代码,完整代码可下载文后的示例源码,老规矩,重要的步骤用粗体字标出。
我们实际在捕获数据包的时候也最好是把代码放到另外的线程中。
/*********************************************************
* 进程:
* 这个是程序的核心部分,完成数据包的截获
* 参数:
* pParam: 用户选择的用来捕获数据的网卡的名字
*********************************************************/
UINT CaptureThread(LPVOID pParam)
{
const char* pCardName=(char*)pParam; // 转换参数,获得网卡名字
pcap_t* adhandle;
char errbuf[PCAP_ERRBUF_SIZE];
// 打开网卡,并且设置为混杂模式
adhandle=pcap_open_live(pCardName,65535,1,1000,errbuf); {
pcap_dumper_t* dumpfile;
// 建立存储截获数据包的文件
dumpfile=pcap_dump_open(adhandle, "Packet.dat");
int re;
pcap_pkthdr* header; // Header
u_char* pkt_data; // 数据包内容指针
// 从网卡或者文件中不停读取数据包信息
while((re=pcap_next_ex
(adhandle,&header,(const u_char**)&pkt_data))>=0)
{
// 将捕获的数据包存入文件
pcap_dump((unsigned char*)dumpfile,header,pkt_data);
}
return 0;
}
将个线程加入到程序里面启动以后。。。等等,如何来启动这个线程就不用我说了吧,类似这样的代码就可以
::AfxBeginThread(CaptureThread,chNIC); // chNIC是网卡的名字,char* 类型
启动线程一段时间以后(几秒中就有效果了),可以看到数据包已经被成功的截获下来,并存储到程序目录下的Packet.dat文件中。
=====================================================
至此,数据包的截获方法就讲完了,大家看了这篇文章,其实你就一定也明白了,无论是raw socket的方法还是winpcap的方法,其实都很简单的,真的没有什么东西,只是会让不明白原理的人看起来很神秘而已,isn’t it?
呵呵,不过也不要高兴的太早,这个保存下来的数据包文件,你可以试着用UltraEdit打开这个文件看看,是不是大部分都是乱码?基本上没有什么可读性,这是因为:
此时捕获到的数据包并不仅仅是单纯的数据信息,而是包含有 IP头、 TCP头等信息头的最原始的数据信息,这些信息保留了它在网络传输时的原貌。通过对这些在低层传输的原始信息的分析可以得到有关网络的一些信息。由于这些数据经过了网络层和传输层的打包,因此需要根据其附加的帧头对数据包进行分析。
呵呵,所以我们要走的路还很长,这只是刚刚入门而已^_^
当然,不把数据包保存为文件也可以,不过如果不保存的话,只能在截获到数据包的那一瞬间进行分析,转眼就没了^_^
所以,为了便于日后分析,所以高手以及我个人经常是把数据包保存下来的慢慢分析的。
但是注意网络流量,在流量非常大的时候注意硬盘空间呵呵,常常几秒中就有好几兆是很正常的事情。
下面首先来详细讲解一下,这个步骤中需要用到的winpcap函数:
/**************************************************************
pcap_dumper_t* pcap_dump_open ( pcap_t * p,
const char * fname
)
功能:
建立或者打开存储数据包内容的文件,并返回其句柄
参数:
pcap_t * p :前面打开的网卡句柄;
const char * fname :要保存的文件名字
返回值:
pcap_dumper_t* : 保存文件的描述句柄,具体细节我们不用关心
***************************************************************/
/***************************************************************
int pcap_next_ex ( pcap_t * p,
struct pcap_pkthdr ** pkt_header,
u_char ** pkt_data
)
功能:
从网卡或者数据包文件中读取数据内容
参数:
pcap_t * p: 网卡句柄
struct pcap_pkthdr ** pkt_header: 并非是数据包的指针,
只是与数据包捕获驱动有关的一个Header
u_char ** pkt_data:指向数据包内容的指针 ,包括了协议头
返回值:
1 : 如果成功读取数据包
0 :pcap_open_live()设定的超时时间之内没有读取到内容
-1: 出现错误
-2: 读文件时读到了末尾
***************************************************************/
/***************************************************************
void pcap_dump ( u_char * user,
const struct pcap_pkthdr * h,
const u_char * sp
)
功能:
将数据包内容依次写入pcap_dump_open()指定的文件中
参数:
u_char * user : 网卡句柄
const struct pcap_pkthdr * h: 并非是数据包的指针,
只是与数据包捕获驱动有关的一个Header
const u_char * sp: 数据包内容指针
返回值:
Void
****************************************************************/
下面给出一段完整的捕获数据包的代码,是在线程中写的,为了程序清晰,我去掉了错误处理代码以及线程退出的代码,完整代码可下载文后的示例源码,老规矩,重要的步骤用粗体字标出。
我们实际在捕获数据包的时候也最好是把代码放到另外的线程中。
/*********************************************************
* 进程:
* 这个是程序的核心部分,完成数据包的截获
* 参数:
* pParam: 用户选择的用来捕获数据的网卡的名字
*********************************************************/
UINT CaptureThread(LPVOID pParam)
{
const char* pCardName=(char*)pParam; // 转换参数,获得网卡名字
pcap_t* adhandle;
char errbuf[PCAP_ERRBUF_SIZE];
// 打开网卡,并且设置为混杂模式
adhandle=pcap_open_live(pCardName,65535,1,1000,errbuf); {
pcap_dumper_t* dumpfile;
// 建立存储截获数据包的文件
dumpfile=pcap_dump_open(adhandle, "Packet.dat");
int re;
pcap_pkthdr* header; // Header
u_char* pkt_data; // 数据包内容指针
// 从网卡或者文件中不停读取数据包信息
while((re=pcap_next_ex
(adhandle,&header,(const u_char**)&pkt_data))>=0)
{
// 将捕获的数据包存入文件
pcap_dump((unsigned char*)dumpfile,header,pkt_data);
}
return 0;
}
将个线程加入到程序里面启动以后。。。等等,如何来启动这个线程就不用我说了吧,类似这样的代码就可以
::AfxBeginThread(CaptureThread,chNIC); // chNIC是网卡的名字,char* 类型
启动线程一段时间以后(几秒中就有效果了),可以看到数据包已经被成功的截获下来,并存储到程序目录下的Packet.dat文件中。
=====================================================
至此,数据包的截获方法就讲完了,大家看了这篇文章,其实你就一定也明白了,无论是raw socket的方法还是winpcap的方法,其实都很简单的,真的没有什么东西,只是会让不明白原理的人看起来很神秘而已,isn’t it?
呵呵,不过也不要高兴的太早,这个保存下来的数据包文件,你可以试着用UltraEdit打开这个文件看看,是不是大部分都是乱码?基本上没有什么可读性,这是因为:
此时捕获到的数据包并不仅仅是单纯的数据信息,而是包含有 IP头、 TCP头等信息头的最原始的数据信息,这些信息保留了它在网络传输时的原貌。通过对这些在低层传输的原始信息的分析可以得到有关网络的一些信息。由于这些数据经过了网络层和传输层的打包,因此需要根据其附加的帧头对数据包进行分析。
呵呵,所以我们要走的路还很长,这只是刚刚入门而已^_^
3513
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
