WinPcap读书笔记

最新推荐文章于 2019-05-28 15:37:55 发布
最新推荐文章于 2019-05-28 15:37:55 发布
阅读量2.2k 收藏 1
点赞数
分类专栏: winpcap
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xkjcf/article/details/8754803
版权

WinPcap是一个开源的,运行于Win32平台下的体系结构,它的主要功能时进行数据包捕获和网络分析。它允许应用程序进行协议栈捕获和传输网络数据包,也包括内核级别的数据包过滤、网络静态引擎和支持远程数据包捕获等有用的功能。

 

WinPcap提供了以下强大的功能:

1.捕获原始的数据包。

2.设置filter,只捕获自己感兴趣的数据包。

3.方便的把捕获的数据包输出到文件和从文件中输入。

4.发送原始的数据包。

5.统计网络流量。

 

WinPcap的一些基本的功能的实现:

1.捕获数据包

a)枚举所有可用的设备[pcap_findalldevs_ex];

b)通过名字打开一个设备[pcap_open()];

在这里可以打开一个文件,只是再打开这个文件前需要通过pcap_createsrcstr创建相应的name string。

c)设置Filter[pcap_compile,pcap_setfilter];

d)捕获数据。

有几种捕获数据的方法,捕获的数据都是最原始的数据包,即包含数据链路层的数据头。

(1)是以回调的方式[pcap_loop,pcap_dispatch()]

这两会总方法基本相同,底层收集数据包,当满足一定的条件(timeout或者缓冲区满),就会调用回调函数,把收集到的原始数据包S交给用户。他们返回的数据缓冲区包含多个包。

(2)pcap_next_ex()的方式

当一个包到达以后,pcap_next_ex就会返回,返回的数据缓冲区里包含一个包。

 

2.发送数据包

WinPcap中有发送单个包和发送多个包的方法。

a)通过名字打开设备[pcap_open];

b)自己构造一个原始数据包(这个数据包会不经过任何处理就发送出去,所以必须把保重的各个字段设置好。另外这个数据包是包含数据链路层报头的)。

c)使用pcap_sendpacket()发送数据包。

3.统计网络流量

a)通过名字打开一个设备[pcap_open];

通过read_timeout来设置统计的时间间隔。

b)设置filter[pcap_compile,pcap_setfilter];

c)设置设备为统计模式[pcap_setmode(MODE_STAT)];

d)开始统计,pcap_loop/pcap_dispatch();

e)在回调函数的参数中就报刊了统计信息。

 WinPcap由3个模块组成,一个是工作在内核级的NPF包过滤器;另外两个在用户级,即用户级的wpcap.dll模块以及一个动态链接库packet.dll。

NPF的构架的核心,它主要功能是过滤数据包,在包上附加时间戳,数据包长度等信息。第二个模块packet.dll在Win32平台上提供了与NPF的一个通用接口,基于packet.dll的应用程序可以在没有重新编译的情况下运行于不同的Win32平台。Packet.dll还有几个附加功能,他可以用来获得适配器名称,动态驱动加载以及获得主机验码及以太网冲突次数等。第三个模块wpcap.dll是通过调用packet.dll提供的函数生成的,它包括了过滤器生成的一系列可以被用户调用的高级函数,另外还有诸如数据包统计及发送功能。

整个包捕获结构的饿基础是NDIS(网络驱动器接口规范),它是windows中最低端的与联网有关的软件,主要是为各种应用协议与网卡之间提供的一套接口函数,包驱动器的tap函数就是通过调用这些函数实现其数据采集功能的。

Wpcap.dll中的一些函数:

Pcap_setbuff:该函数用来设置包驱动器缓冲区的大小,一个适当大小的缓冲器不仅可以减少丢包率,还可以提高包捕获的速度。

Pcap_setmode:该函数可把网络适配器设置为统计模式。

Pcap_stats:这个函数用于获得包捕获过程的统计数据。

Pcap_open_live:这是最重要的一个函数,首先,他打开网络适配器,把网卡设置为“混杂模式”,使它能够接收来自网络的所有数据包;其次,他为应用程序设置一个缺省大小为256kB的缓冲器;最后,它为包捕获驱动器分配一个缺省为1MB的内核缓冲器,用户以后可以根据需要,改变该缓冲器的大小。

Pcap_read:这个函数从包捕获驱动器中读取一组数据包并针对每个包运行包过滤程序,然后把过滤后的数据送到应用程序缓冲器。

Pcap_setfilter:该函数在包捕获驱动器中设置一个新的包过滤器。过滤器程序则在一个名为bpf_program的结构中定义。

Pcap_loop:该函数可以连续读取并处理指定数目的包,对每个包进行相关处理,处理程序名有所带参数指定,如果指定的数目为0,则处理到包捕获过程的结束或者遇到了某个错误。

 注:在项目属性爷>配置属性>链接器>输入>附加依赖项中加入:wpcap.lib;packet.lib;

 

/* 流量监控程序 */ 

#include<pcap.h>
#define HAVE_REMOTE
#include<remote-ext.h>
#include<iostream>
using namespace std;
//------------------------------------------------------------------------
void dispatcher_handler(u_char*user_data,const struct pcap_pkthdr* pkthdr,const u_char*pktdata);
//------------------------------------------------------------------------
int main(int argc,char* argv[])
{
	int i;
	pcap_if_t* alldevs;
	pcap_if_t* dev;
	char errorbuf[PCAP_ERRBUF_SIZE];
	int choice;
	pcap_t* stathandle;
	WSADATA wsadata;
	struct timeval timestamp;

	//enum alld evice
	if(pcap_findalldevs_ex(PCAP_SRC_IF_STRING,NULL,&alldevs,errorbuf)==-1)
	{
		cerr<<"pcap_findalldevs_exfailed!("<<errorbuf<<""<<endl;
		return(-1);
	}
	for(i=0,dev=alldevs;dev!=NULL;dev=dev->next)
	{
		cout<<++i<<'\t'<<dev->name<<endl;
	}
	if(i==0)
	{
		cerr<<"no device found!"<<endl;
		return(-2);
	}
	//choose a device
	while(1)
	{
		cout<<"please choice adevice:";
		cin>>choice;
		if(choice>=1&& choice<=i)
			break;
		cerr<<"input error,you shall choose a device from list"<<endl;
	}
	//move to the chosen device
	for(i=0,dev=alldevs;i<choice-1;i++,dev=dev->next);
	if((stathandle=pcap_open(dev->name,100,PCAP_OPENFLAG_PROMISCUOUS,500, NULL,errorbuf))==NULL)
	{
		cerr<<"opendevicefailed![device:"<<dev->name<<"]"<<errorbuf<<endl;
		pcap_freealldevs(alldevs);
		return(-3);
	}
	cout<<"is Stat "<<dev->name<<"..."<<endl;
	pcap_freealldevs(alldevs);
	pcap_setmode(stathandle,MODE_STAT);
	timestamp.tv_sec=0;
	timestamp.tv_usec=0;
	pcap_loop(stathandle,0,dispatcher_handler,(unsigned char*)×tamp);
	pcap_close(stathandle);
	return 0;
}
//------------------------------------------------------------------------
void dispatcher_handler(u_char*user_data,const struct pcap_pkthdr* pkthdr,const u_char* pktdata)
{
	static struct timeval tstamp=*((struct timeval*)user_data);
	LARGE_INTEGER Bps,Pps;
	unsigned long delay;
	char strtime[32];
	delay=(pkthdr->ts.tv_sec-tstamp.tv_sec)*1000000-tstamp.tv_usec+pkthdr->ts.tv_usec;
	Pps.QuadPart=((*(LONGLONG*)(pktdata))*1000000)/delay;
	Bps.QuadPart=((*(LONGLONG*)(pktdata+8))*1000000)/delay;
	time_t time_=pkthdr->ts.tv_sec;
	struct tm* ltime=localtime(&time_);
	strftime(strtime,sizeof(strtime),"%H:%M:%S",ltime);
	printf("%s:",strtime);
	printf("\tPps=%I64u\tBps=%I64u\r\n",Pps.QuadPart,Bps.QuadPart);
	tstamp=pkthdr->ts;
}


 

 

xkjcf
关注
专栏目录
循序渐进学习使用WinPcap(PDF版)
08-23
winpcap使用系列-循序渐进学习使用WINPCAP
循序渐进学习使用WINPCAP(四)
zhbzljxw的专栏
01-29 2110
不用callback捕获数据报 这节的例子很像先前的一章(获得网卡的高级信息),但是这一节中使用的是pcap_next_ex()而非pcap_loop()。 pcap_loop()函数的基于回调包捕获机制是一流的,在某些情况下是不错的选择。但是在一些情况下处理回调并不特别好:这会使程序变的复杂并且在象多线程或C++类这些情况下它看起来到象一块绊脚石。 在这些情况下,pcap_next_ex()允许直接调用来接收包。使用pcap_next_ex()可以仅仅在程序员需要接受的时候接受包。 它的参数和回调
winpcap资料(源代码和讲解等等)
04-23
包含有关winpcap的PPT讲解,使用WinPCap编写Sniffer程序,利用WinPcap技术捕获数据包,有关winpcap的说明书和相关的网络编程的源代码等等。。。。。
WinPcap权威指南(一)
rocklee的专栏
03-30 1404
WinPcap是一个开源的网络抓包模块,顾名思义,它只能工作在Windows下,但本文介绍的知识并不局限于任何操作系统和开发语言,因为网络协议本身是没有这些区别的。阅读本指南之前,请先下载WinPcap安装到自己的电脑上,目前WinPcap的最新版本是4.1.3,支持基于NT核心的所有操作系统(从NT4一直到Win8),读者可以从官方网站http://www.winpcap.org/install/
Winpcap学习笔记.pdf
11-16
本篇学习笔记主要涵盖了Winpcap的使用和配置,以及如何通过编程接口进行设备列举。 首先,为了进行Winpcap的开发,你需要下载WpdPack_3_2_alpha1.zip,这是一个包含文档、示例代码、Include和lib目录的压缩包。解压...
Winpcap学习笔记
11-07
Winpcap学习笔记 Winpcap,全称为Windows Packet Capture,是Windows平台上的一款开源网络数据包捕获和分析库。它是开发网络监控工具的基础,广泛应用于网络安全、数据分析、网络调试等多个领域。本学习笔记旨在...
winpcap 4.1.3
08-16
wireshark工具首页不显示本地网络,win10环境即可下载安装此软件,
庖丁解牛-----winpcap源码彻底解密(四)
smilestone322的专栏
12-19 6366
<br /><br /><br />庖丁解牛-----winpcap源码彻底解密(四)<br /><br /><br />版权申明: 原创文章,转贴请注明出处!!!!!!!!<br /><br /><br />(1)       如何设置内核缓冲区的大小,前面已经谈过设置内核缓冲区的函数是pcap_setbuff,查看winpcap的开发文档,pcap_setbuff的定义如下:<br />int pcap_setbuff(pcap_t *p,int dim);<br />Set the size of t
winpcap源代码
12-09
winpcap源代码 学习winpcap的好东西。
winpcap包使用问题总结
03-06
关于winpcap使用中的出现的问题的总结
抓包程序丢包的问题
hnzwx888的专栏
05-28 2096
转载自:https://blog.csdn.net/wjatchd/article/details/8702427 出现丢包的原因可能是缓冲区太小了: 1、调用pcap_set_buffer_size调整应用程序缓冲区的大小。 2、如果使用wincap,还可以调用pcap_setbuff设置内核缓冲区的大小。 一般的,程序设置对抓包效率影响有限,关键因素还是回调函数的处理速度,...
庖丁解牛-----winpcap源码彻底解密
热门推荐
wjeson的专栏
02-24 1万+
庖丁解牛-----winpcap源码彻底解密(一) 本文系转载:原文出处为:http://blog.csdn.net/smilestone322/article/details/6084620 庖丁解牛-----winpcap源码彻底解密          最近忙一个项目,需要使用winpcap抓取网络数据包,调用winpcap提供的api进行抓包后,发现丢包情况比较严重,
pcap的用法
Wait for 的专栏
11-21 9304
1 #include    2    3 char errbuf[PCAP_ERRBUF_SIZE];   4    5 pcap_t *pcap_open_live(const char *device, int snaplen,int promisc, int to_ms, char *errbuf)   6 pcap_t *pcap_open_dead(int linktype,
如何用winpcap二次开发(自定义wireshark)
dong_beijing的博客
05-06 1724
1 在winpcap官网上,下载WpdPack的二次开发包 2 配置include和lib的路径,引用wpcap.lib和packet.lib,定义WPCAP和HAVE_REMOTE的宏 3 以抓TCP包,并打印源IP和目的IP为例子,做简单分析。 #include <iostream> #include "pcap.h" using namespace std; void p...
libpcap中<pcap.h>中定义的函数
liujingjun的专栏
08-28 2031
char *pcap_lookupdev(char *); int pcap_lookupnet(const char *, bpf_u_int32 *, bpf_u_int32 *, char *); pcap_t *pcap_create(const char *, char *); int pcap_set_snaplen(pcap_t *, int); int pcap_set_prom
winpcap初学者笔记:设备抓包与开发环境设置
本文档是一篇关于学习Windows Packet Capture (WinPCap)的教程笔记,适合计算机网络和IT初学者阅读。WinPCap是一个流行的网络数据包捕获库,它允许开发者在Windows平台上获取和分析网络流量。作者分享了自己在学习...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值