windows下使用winpcap解析网络数据包

最新推荐文章于 2024-05-26 21:17:11 发布
最新推荐文章于 2024-05-26 21:17:11 发布
阅读量6.3k 收藏 62
点赞数 8
分类专栏: 网络协议 Windows C
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xiadeliang1111/article/details/106383321
版权
C 同时被 3 个专栏收录
33 篇文章 3 订阅
订阅专栏
网络协议
21 篇文章 6 订阅
订阅专栏
Windows
9 篇文章 0 订阅
订阅专栏

windows下库文件,可以读取windows网卡中数据包,并进行解析。

操作如下:

vs2019添加winpcap库

1、https://www.winpcap.org/devel.htm下载winpcap SDK包

2、winpcap SDK包解压出来之后,有lib跟include目录

3、将include、lib添加到vs2019项目环境下

4、vs项目中增加头文件与lib库路径

 

 

5、上代码

 

#define WIN32
#define HAVE_REMOTE
#include "pcap.h"
#include<winsock2.h>
#pragma comment(lib,"wpcap.lib")   
#pragma comment(lib,"packet.lib")   
#pragma comment(lib,"ws2_32.lib")   

/* 4字节的IP地址 */
typedef struct ip_address {
	u_char byte1;
	u_char byte2;
	u_char byte3;
	u_char byte4;
}ip_address;

/* IPv4 首部 */
typedef struct ip_header {
	u_char  ver_ihl;        // 版本 (4 bits) + 首部长度 (4 bits)
	u_char  tos;            // 服务类型(Type of service) 
	u_short tlen;           // 总长(Total length) 
	u_short identification; // 标识(Identification)
	u_short flags_fo;       // 标志位(Flags) (3 bits) + 段偏移量(Fragment offset) (13 bits)
	u_char  ttl;            // 存活时间(Time to live)
	u_char  proto;          // 协议(Protocol)
	u_short crc;            // 首部校验和(Header checksum)
	ip_address  saddr;      // 源地址(Source address)
	ip_address  daddr;      // 目的地址(Destination address)
	u_int   op_pad;         // 选项与填充(Option + Padding)
}ip_header;

// UDP 首部 
typedef struct udp_header 
{
	u_short sport;          // 源端口(Source port)
	u_short dport;          // 目的端口(Destination port)
	u_short len;            // UDP数据包长度(Datagram length)
	u_short crc;            // 校验和(Checksum)
}udp_header;

//TCP首部
typedef struct tcp_header
{
	unsigned short src_port;    //源端口号   
	unsigned short dst_port;    //目的端口号   
	unsigned int seq_no;        //序列号   
	unsigned int ack_no;        //确认号   
#if LITTLE_ENDIAN   
	unsigned char reserved_1 : 4; //保留6位中的4位首部长度   
	unsigned char thl : 4;        //tcp头部长度   
	unsigned char flag : 6;       //6位标志   
	unsigned char reseverd_2 : 2; //保留6位中的2位   
#else   
	unsigned char thl : 4;        //tcp头部长度   
	unsigned char reserved_1 : 4; //保留6位中的4位首部长度   
	unsigned char reseverd_2 : 2; //保留6位中的2位   
	unsigned char flag : 6;       //6位标志    
#endif   
	unsigned short wnd_size;    //16位窗口大小   
	unsigned short chk_sum;     //16位TCP检验和   
	unsigned short urgt_p;      //16为紧急指针   
}tcp_hdr;


/* 回调函数原型 */
void packet_handler(u_char* param, const struct pcap_pkthdr* header, const u_char* pkt_data);


int main()
{
	pcap_if_t* alldevs;
	pcap_if_t* d;
	int inum;
	int i = 0;
	pcap_t* adhandle;
	char errbuf[PCAP_ERRBUF_SIZE];
	u_int netmask;
	//char packet_filter[] = "ip and udp";
	char packet_filter[] = "ip";
	struct bpf_program fcode;

	/* 获得设备列表 */
	if (pcap_findalldevs_ex(PCAP_SRC_IF_STRING, NULL, &alldevs, errbuf) == -1)
	{
		fprintf(stderr, "Error in pcap_findalldevs: %s\n", errbuf);
		exit(1);
	}

	/* 打印列表 */
	for (d = alldevs; d; d = d->next)
	{
		printf("%d. %s", ++i, d->name);
		if (d->description)
			printf(" (%s)\n", d->description);
		else
			printf(" (No description available)\n");
	}

	if (i == 0)
	{
		printf("\nNo interfaces found! Make sure WinPcap is installed.\n");
		return -1;
	}

	printf("Enter the interface number (1-%d):", i);
	scanf("%d", &inum);

	if (inum < 1 || inum > i)
	{
		printf("\nInterface number out of range.\n");
		/* 释放设备列表 */
		pcap_freealldevs(alldevs);
		return -1;
	}

	/* 跳转到已选设备 */
	for (d = alldevs, i = 0; i < inum - 1; d = d->next, i++);

	/* 打开适配器 */
	if ((adhandle = pcap_open(d->name,  // 设备名
		65536,     // 要捕捉的数据包的部分 
				   // 65535保证能捕获到不同数据链路层上的每个数据包的全部内容
		PCAP_OPENFLAG_PROMISCUOUS,         // 混杂模式
		1000,      // 读取超时时间
		NULL,      // 远程机器验证
		errbuf     // 错误缓冲池
	)) == NULL)
	{
		fprintf(stderr, "\nUnable to open the adapter. %s is not supported by WinPcap\n");
		/* 释放设备列表 */
		pcap_freealldevs(alldevs);
		return -1;
	}

	/* 检查数据链路层,为了简单,我们只考虑以太网 */
	if (pcap_datalink(adhandle) != DLT_EN10MB)
	{
		fprintf(stderr, "\nThis program works only on Ethernet networks.\n");
		/* 释放设备列表 */
		pcap_freealldevs(alldevs);
		return -1;
	}

	if (d->addresses != NULL)
		/* 获得接口第一个地址的掩码 */
		netmask = ((struct sockaddr_in*)(d->addresses->netmask))->sin_addr.S_un.S_addr;
	else
		/* 如果接口没有地址,那么我们假设一个C类的掩码 */
		netmask = 0xffffff;


	//编译过滤器
	if (pcap_compile(adhandle, &fcode, packet_filter, 1, netmask) < 0)
	{
		fprintf(stderr, "\nUnable to compile the packet filter. Check the syntax.\n");
		/* 释放设备列表 */
		pcap_freealldevs(alldevs);
		return -1;
	}

	//设置过滤器
	if (pcap_setfilter(adhandle, &fcode) < 0)
	{
		fprintf(stderr, "\nError setting the filter.\n");
		/* 释放设备列表 */
		pcap_freealldevs(alldevs);
		return -1;
	}

	printf("\nlistening on %s...\n", d->name);

	/* 释放设备列表 */
	pcap_freealldevs(alldevs);

	/* 开始捕捉 */
	pcap_loop(adhandle, 0, packet_handler, NULL);

	return 0;
}

/* 回调函数,当收到每一个数据包时会被libpcap所调用 */
void packet_handler(u_char* param, const struct pcap_pkthdr* header, const u_char* pkt_data)
{
	struct tm* ltime;
	char timestr[16];
	ip_header* ih;
	udp_header* uh;
	tcp_header* th;

	u_int ip_len;
	u_short sport, dport;
	time_t local_tv_sec;

	/* 将时间戳转换成可识别的格式 */
	local_tv_sec = header->ts.tv_sec;
	ltime = localtime(&local_tv_sec);
	strftime(timestr, sizeof timestr, "%H:%M:%S", ltime);

	/* 打印数据包的时间戳和长度 */
	printf("%s.%.6d len:%d ", timestr, header->ts.tv_usec, header->len);

	/* 获得IP数据包头部的位置 */
	ih = (ip_header*)(pkt_data + 14); //以太网头部长度  14字节为mac头长度
	//printf("proto:%d\n", ih->proto);
	
	printf(" src : %d.%d.%d.%d, dst : %d.%d.%d.%d",
		ih->saddr.byte1,
		ih->saddr.byte2,
		ih->saddr.byte3,
		ih->saddr.byte4,
		ih->daddr.byte1,
		ih->daddr.byte2,
		ih->daddr.byte3,
		ih->daddr.byte4);

	if (IPPROTO_TCP == ih->proto)
	{
		ip_len = (ih->ver_ihl & 0xf) * 4;
		
		u_short tlen = ntohs(ih->tlen);
		printf("tlen:%d\n", tlen);
		th = (tcp_header*)((u_char*)ih + ip_len);

		sport = ntohs(th->src_port);
		dport = ntohs(th->dst_port);
		printf(" tcp sport:%d, dport:%d\n", sport, dport);
	}

	if (IPPROTO_UDP == ih->proto)
	{
		ip_len = (ih->ver_ihl & 0xf) * 4;
		uh = (udp_header*)((u_char*)ih + ip_len);

		sport = ntohs(uh->sport);
		dport = ntohs(uh->dport);
		printf(" udp sport:%d, dport:%d\n", sport, dport);
	}
}

 

6、执行结果:需要先手动选择网卡,然后会打印经过此网卡的tcp、udp数据包

 

 

int pcap_findalldevs_ex(char* source,  struct pcap_rmtauth *auth,  
pcap_if_t** alldevs,   char* errbuf );
功能:查询所有网络设备
返回值:0表示查找成功,-1表示查找失败
参数说明:
source:
指定是本地适配器或者远程适配器
本地适配器:'rpcap://'
远程适配器:'rpcap://host:port'
抓包文件。'file://c:/myfolder/'.

ip首部长度 ip_len = (ih->ver_ihl & 0xf) * 4;

 

参考:

winpcap技术文档:http://www.ferrisxu.com/WinPcap/html/index.html

IP首部长度:https://blog.csdn.net/fl_dream/article/details/78761713

 

 

soulsoul_god
关注
  • 8
    点赞
  • 62
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
C++ 捕获与解析IP数据包winpcap
Fuguir™的博客
12-28 2万+
源代码链接:https://download.csdn.net/download/chd_lcj/10891420 (不知道为什么积分涨到4积分了。。。原先只是单纯的想分享下的,结果最低只能设置1积分) //网络编程学习经验记录贴 winpcap简介 WinPcap 是由伯克利分组捕获库派生而来的分组捕获库,它是在Windows 操作平台上来实现对底层包的截取过滤。 WinPcap...
Winpcap抓包主要函数解析
zhang1806618的博客
03-20 2413
pcap.h函数功能及示例介绍: 1.pcap_findalldevs(&alldevs, errbuf),检索本机设备接口列表,存储至alldevs; 2.pcap_freealldevs(alldevs),释放接口列表; 3.adhandle=pcap_open_live(d->name, // name of the device 65536, // portion of the packe...
(原创)WinpCap的详解(一)
weixin_30379911的博客
11-27 864
  首先来百科一下Winpcap是一个什么东东。Winpcap(windows packet capture)是windows平台下一个免费,公共的网络访问系统。   它有如下几个功能:   1、捕获原始数据包,包括在共享网络上各主机发送/接收的以及相互之间交换的数据;   2、在数据包发往应用程序之前,按照自定义的规则将某些特殊的数据包过滤掉;   3、在网络上发送原始的数据包; ...
Winpcap进行抓包,分析数据包结构并统计IP流量
include的博客
07-01 1万+
计算机网络实验,直接把电饭锅塞嘴里 一.实验目的 随着计算机网络技术的飞速发展,网络为社会经济做出越来越多的贡献,可以说计算机网络的发展已经成为现代社会进步的一个重要标志。但同时,计算机犯罪、黑客攻击、病毒入侵等恶性事件也频频发生。网络数据包捕获、监听与分析技术是网络安全维护的一个基本技术同时也是网络入侵的核心手段。通过基于网络数据包的截获和协议分析,对网络上传输的数据包进行捕获,可以获取网络上传输的非法信息,对维护网络安全起到重大作用。 本次实验的主要目的有: 理解协议在通信中的作用; 掌握抓包软件的开
pcap文件理解
最新发布
qq_54122067的博客
05-26 1611
Pcap文件中是二进制,使用winhex软件,打开是十六进制数,winhex是只有十六进制数,而wireshake自动将pcap中的数据包按照时间顺序将分开并赋予一个No.标号(标号是时间顺序)。:32位,一个UNIX格式的精确到秒时间值,用来记录数据包抓获的时间,记录方式是记录从格林尼治时间的1970年1月1日 00:00:00 到抓包时经过的秒数;ttl: 占据一个字节(8位),表示生存时间(Time to Live),用于限制数据包网络中的生存时间,每经过一个路由器,TTL减1,直到为0时被丢弃。
解析Winpcap截获的数据包
HTTP 404
07-01 5043
解析Winpcap截获的数据包2009-04-28 16:38现在Winpcap库已经被广泛应用于网络程序,特别是用于网络分析,而多数初学者对于如何分析所截获的数据包还不太清楚。现在就以我的经验来介绍一下,希望能对大家有所帮助。首先要清楚的是,Winpcap截获的数据包Windows Raw socket截获的数据包不同的是,raw socket截获的数据包只局限于传输层(请参考有关OSI模型知识),也就是所只能够截获tcp,udp,icmp等高层协议,而Winpcap截获的数据包是从数据链路层开始的,它
Windows使用winpcap-2.2arp探测局域网内主机(接收并解析arp数据包
dyplm123的博客
04-06 2356
上篇文章我们成功发送了arp请求,这里我们就需要等待并看看能不能收到来自我们需探测ip的arp回复,如果收到,则该主机为活动的,因为这个等待arp返回需要等待一段时间,这里我之间写出来,实际用的时候,你们需要写成线程,并在发送arp请求之前调用。 定义需要的变量 pcap_if_t * alldevs; pcap_if_t *d; pcap_t * adhandle;//定义包捕捉句柄
winpcap编程 解析数据包
yangxiaochun318的专栏
01-22 2933
WinPcap和Libpcap的最强大的特性之一,是拥有过滤数据包的引擎。 它提供了有效的方法去获取网络中的某些数据包,这也是WinPcap捕获机制中的一个组成部分。 用来过滤数据包的函数是 pcap_compile() 和pcap_setfilter() 。 pcap_compile() 它将一个高层的布尔过滤表达式编译成一个能够被过滤引擎所解释的低层的字节码。有关布尔过滤表达式的语法可以
winpcap编程捕获数据包
11-05
WinPcap是一个开源库,它为Windows操作系统提供了底层网络访问能力,允许程序直接与网络适配器交互,实时捕获和发送网络数据包。 在WinPcap编程中,首先需要打开本地网卡,这是通过调用`pcap_open_live()`函数实现...
WinPcap捕获网络数据包
05-17
WinPcapWindows平台上的一个开源库,它允许程序员直接访问网络接口层,实现对网络数据包的捕获和发送,提供了一个强大而灵活的工具集。 WinPcap的工作原理主要是通过驱动程序级的接口来获取网络接口卡(NIC)的...
winpcap获取网络数据包
04-25
WinPcap是一个强大的网络数据包捕获和网络分析工具,主要在Windows操作系统环境下使用。它提供了底层访问网络接口的能力,允许应用程序直接与网络接口通信,从而实现数据包的捕获、过滤、发送等功能。在本例中,我们...
CapturePacketDlg.rar_winpcap 解析ip
09-23
通常,此类代码会包含初始化WinPCAP,打开网络接口,设置过滤器,接收和解析数据包的函数。 2. www.pudn.com.txt:这可能是一个文本文件,可能包含了获取该项目或资源的来源信息,或者可能是开发者在解决问题时参考...
winpcap截取指定ip网络数据包并保存
09-07
WinPCAP,全称为Windows Packet Capture,是一款强大的网络数据包捕获和分析工具,由Microsoft和Lucent Technologies共同开发。它是Windows系统上的一个系统级库,允许应用程序访问网络接口的底层,实现对网络数据包...
C语言读写文件
热门推荐
背着行囊去远方的博客
04-21 5万+
一:打开文件句柄 //参数1:文件路径 //参数2:文件打开模式 函数执行成功返回文件流指针,错误返回NULL。 FILE *fopen(const char *path, const char *mode); 模式 操作 区别 文件要求 r 读 ...
cJSON构造与解析json
背着行囊去远方的博客
06-11 9974
参考: http://blog.sina.com.cn/s/blog_a6fb6cc90101ffme.html
C语言解析pcap数据包格式
背着行囊去远方的博客
02-25 9807
通过tcpdump命令或者wireshark抓取数据包。 如下图所示: pcap文件格式: 24字节pcap文件头+(16字节pcap数据包头+数据包)*n 解析源码如下: #include<stdio.h> #include<string.h> #include<stdlib.h> #include<netinet/in.h> ...
socket通信(ipv4,ipv6)
背着行囊去远方的博客
12-22 7395
实现socket通信,IPV4地址与IPV6地址。   服务:server.c #include &lt;sys/types.h&gt; #include &lt;sys/socket.h&gt; #include &lt;stdio.h&gt; #include &lt;stdlib.h&gt; #include &lt;errno.h&gt; #include &lt;string....
tcpdump简单抓包分析
背着行囊去远方的博客
05-20 3809
socket传输数据时,如果不采用加密的方式,使用tcpdump抓包可获取传输数据,这里简单记录一下,用于以后深入分析。 socket通信可以参考之前写的博客: https://blog.csdn.net/xiadeliang1111/article/details/85210205 服务启动之后: 客户发送: ./client 127.0.0.1 "welc...
winpcap实现TCP数据包解析。要求至少在屏幕上打印出源目的地址,源目的口和标志位
06-02
好的,我可以给你提供一些思路和代码示例。 首先,你需要安装 WinPcap 库,并且用 C/C++ 编写代码。WinPcap 库可以让你在 Windows 操作系统上捕获和分析网络数据包。 接下来,你需要创建一个 WinPcap 句柄并打开一个网络接口,例如: ``` pcap_t *handle; char errbuf[PCAP_ERRBUF_SIZE]; struct bpf_program fp; char filter_exp[] = "tcp"; bpf_u_int32 net; bpf_u_int32 mask; // 打开网络接口 handle = pcap_open_live("eth0", BUFSIZ, 1, 1000, errbuf); // 编译过滤器表达式 pcap_compile(handle, &fp, filter_exp, 0, net); // 设置过滤器 pcap_setfilter(handle, &fp); ``` 其中,"eth0" 是你要监听的网络接口名字,BUFSIZ 是缓冲区大小,1 是混杂模式,1000 是超时时间,"tcp" 是过滤器表达式,表示只捕获 TCP 数据包。 接下来,你需要定义一个回调函数,用于处理捕获到的数据包。例如: ``` void packet_handler(u_char *param, const struct pcap_pkthdr *header, const u_char *pkt_data) { struct ip_header *ih; struct tcp_header *th; u_int ip_len; // 解析 IP 头部 ih = (struct ip_header *)(pkt_data + 14); // 偏移 14 个字节,跳过以太网头部 ip_len = (ih->ver_ihl & 0xf) * 4; // 解析 TCP 头部 th = (struct tcp_header *)((u_char*)ih + ip_len); printf("Source: %s:%d\n", inet_ntoa(ih->saddr), ntohs(th->sport)); printf("Destination: %s:%d\n", inet_ntoa(ih->daddr), ntohs(th->dport)); printf("Flags: 0x%x\n", th->flags); } ``` 其中,ip_header 和 tcp_header 是自定义的结构体,用于解析 IP 和 TCP 头部。inet_ntoa 函数可以将一个 IP 地址转换为字符串格式。 最后,你需要调用 pcap_loop 函数开始捕获数据包,并且传入回调函数进行处理。例如: ``` pcap_loop(handle, 0, packet_handler, NULL); ``` 完整的代码示例可以参考以下链接: https://www.winpcap.org/docs/docs_412/html/group__wpcap__tut6.html
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值