【文章內(nèi)容簡介】 //時間戳 Bpf_u_int32 caplen； //捕獲長度 Bpf_u_int32 len； //數(shù)據(jù)包長度 ｝； 此數(shù)據(jù)結(jié)構(gòu)用來描述每個捕獲到的數(shù)據(jù)包的一些基本信息，每個數(shù)據(jù)包都有此數(shù)據(jù)結(jié)構(gòu)。 Winpcap 函數(shù) Winpcap 提供的輸出函數(shù)與 Libpcap 的函數(shù)完全一樣，使用方法也一樣，呵呵，也就是說掌握了其中任何一種那么恭喜你不論是 windows 下的還是 linux 下的你都已經(jīng)邁出了堅實的 一大步，至少我個人是這么認為的。下面介紹一些主要的函數(shù)。 a) int pcap_findalldevs（ pcap_if_t **alldevsp,char *errbuf）； 函數(shù)返回值：如果操作成功，就返回 0；失敗就返回 1。 參數(shù)描述：參數(shù) alldevsp 表示網(wǎng)絡接口鏈表，參數(shù) errbuf 用來儲存錯誤信息。 此函數(shù)的功能是查找機器的所有可用網(wǎng)絡接口，用一個鏈表返回。 b) void pcap_freealldevs(pcap_if_t *alldevs)； 函數(shù)返回值：無。 參數(shù)描述：參數(shù) alldevs 表示一個網(wǎng)絡接口鏈表。 此函數(shù)的功能是釋放網(wǎng)絡接口鏈表中的所有網(wǎng)絡接口。 c) pcap_t *pcap_open_live(const char *device,int snaplen,int promisc,int to_ms,char *ebuf)； 函數(shù)返回值：返回一個 Libpcap 句柄。 參數(shù)描述：參數(shù) device 表示網(wǎng)絡接口的名字；參數(shù) snaplen 表示捕獲數(shù)據(jù)包的長度；參數(shù) promisc 表示是否設置混雜模式，如果賦值 1，就表示設置混雜模式；參數(shù) to_ms 表示等待時間；參數(shù) ebuf 表示儲存錯誤 信息。 此函數(shù)的功能是打開一個網(wǎng)絡接口進行數(shù)據(jù)包捕獲打開的模式有promisc 表示，如果是 1 就表示以混雜模式把接口打開。 a) int pcap_setfilter(pcap_t *p,struct bpf_program *fp) 第 9 頁 共 27 頁 //此函數(shù)設置 BPF 過濾規(guī)則 ,由參數(shù) fp確定 b) int pcap_pile(pcap_t *p,struct bpf_program *program,char *buf,int optimize,bpf_u_int32 mask) //此函數(shù)的功能是編譯 BPF 過濾規(guī)則。 說明： 此處的過濾規(guī)則只是在內(nèi)核中過濾顯示協(xié)議信息，并非過濾數(shù)據(jù)包，并不能做到對數(shù)據(jù)包的阻塞功能，要想過濾數(shù)據(jù)包可以采用 NDIS 網(wǎng)絡驅(qū)動在更底層來實現(xiàn)，所以我并沒由添加這部分功能，這里只是提出來說明下有這些功能。 a) int pcap_loop(pcap_t *p,int t,pcap_handler callback,u_char *user) 函數(shù)返回值：操作成功返回 0，失敗返回負數(shù)。 參數(shù)描述：參數(shù) p 表示 winpcap 的句柄；參數(shù) t為捕獲數(shù)據(jù)包的個數(shù)如果為 1 則表示無限個；參數(shù) callback 表示回調(diào)函數(shù)；參數(shù) user 表示回調(diào)函數(shù)中傳輸?shù)膮?shù)。 此函數(shù)是循環(huán)捕獲網(wǎng)絡數(shù)據(jù)包，直到遇到錯誤或者滿足退出條件。每捕獲一個數(shù)據(jù)包就調(diào)用 callback 指示的回調(diào)函數(shù)，所以可以在回調(diào)函數(shù)中對捕獲到的數(shù)據(jù)包進行操作。 說明 : 由于 pcap_loop（）這個函數(shù)在沒有數(shù)據(jù)包進出時會可能阻塞掉，而且用 loop 會造成程序代碼更加復雜，所以我采用的下面一個pcap_next_ex（）來循環(huán)抓包。 b) int pcap_next_ex(pcap_t *p,struct pcap_pkthdr **pkt_header,const u_char **pkt_data) 函數(shù)返回值：函數(shù)操作成功返回 1，如果超時就返回 0，失敗則返回 1或 2。 參數(shù)描述：參數(shù) p 表示 Winpcap 句柄；參數(shù) pkt_header 寶石數(shù)據(jù)包頭；參數(shù) pkt_data 表示數(shù)據(jù)包。 此函數(shù)的功能時捕獲一個網(wǎng)絡數(shù)據(jù)包。 說明： winpcap_next_ex() 從 winpcap_next() 發(fā)展 的， 更加 簡單 好用 ，winpcap_next() 還要配合 pcap_dispatch() 來 使 用 才 能 達 到Winpcap_next_ex（）的效 果。 c) void pcap_close(pcap_t *p) 函數(shù)返回值：無。 參數(shù)描述：參數(shù) p 為 Winpcap 句柄。 第 10 頁 共 27 頁 此函數(shù)的功能是關(guān)閉 winpcap 操作，并銷毀相應資源。 a) pcap_dumper_t *pcap_dump_open(pcap_t *p,const char *fname) 此函數(shù)的功能是打開一個文件，并準備向其寫入網(wǎng)絡數(shù)據(jù)包數(shù)據(jù)。 b) void pcap_dump(u_char *user,const struct pcap_pkthdr *h,const u_char *sp) 此函數(shù)的功能是向文件中寫入網(wǎng)絡數(shù)據(jù)包內(nèi)容。 3 設計方案與系統(tǒng)功能描述 設計方案 在多方參考的情況下打算采用 Winpcap和 Winsock中的一種來實現(xiàn)抓包等相應的功能。參考了《網(wǎng)絡安全開發(fā)包詳解》和《 Windows 防火墻和網(wǎng)絡封包截獲技術(shù)》這兩本書后決定采用 Winpcap 來實現(xiàn)代碼。 Winpcap 中封裝了許多的功能，只需要直接調(diào)用，就像 java 中封裝好的類一樣，使用起來非常方便。 通過 Microsoft Visual C++ MFC 來實現(xiàn)可視化編程，通過一個簡單的界面來實現(xiàn)對于捕獲網(wǎng)卡信息 、本機 IP 地址、廣播地址和子網(wǎng)掩碼等信息的獲取顯示。設置開始 /停止按鈕來實現(xiàn)對于抓包函數(shù)的調(diào)用的控制。在界面上獲取并顯示系統(tǒng)當前時間，通過設置定時器每隔一秒鐘觸發(fā)一次獲取當前系統(tǒng)時間來實現(xiàn)一個時間顯示。在開始 /停止按鈕中添加循環(huán)判斷語句，并且設置一個 bool 型變量來控制是否開啟抓包函數(shù)的調(diào)用。如果執(zhí)行抓包函數(shù)，那么將捕獲到的數(shù)據(jù)包的信息保存并解析處里面的信息返回到 list 表中插入顯示出來。如果點擊停止按鈕則調(diào)用 pcap_close()函數(shù)來實現(xiàn)關(guān)閉 winpcap 操作。大體的一個設計思路就是這樣子的，具體的各 個功能實現(xiàn)在軟件編碼部分會詳細講解。 下面部分，為了方便大家形象的理解其中的一些東西，會適當?shù)慕Y(jié)合一些圖片和代碼來分類詳細描述。 下面的圖 4是開發(fā)初期的大體界面框架。 第 11 頁 共 27 頁 圖 4 MFC控制界面 功能描述 制作的這個軟件的最主要也是最核心的功能就是對于網(wǎng)絡數(shù)據(jù)包的捕獲，對于捕獲到的網(wǎng)絡數(shù)據(jù)包顯示和簡單的分析，分析數(shù)據(jù)包的協(xié)議類型（是 TCP、UDP 還是 ICMP 等），還有數(shù)據(jù)包的源 IP、目的 IP 還有端口號、時間戳和包長等最后并將這些信息顯示出來。實質(zhì)是主要實現(xiàn)一個網(wǎng)絡實時監(jiān)聽的功能，然后將 捕捉到的數(shù)據(jù)包保存下來以便進一步的分析使用。圖 5 中為系統(tǒng)初始化后加載各個模塊的流程圖。具體功能在后面章節(jié)中會分別詳細說明。 圖 5 功能模塊圖 第 12 頁 共 27 頁 系統(tǒng)流程圖 下圖 6 是程序流程圖 圖 6 程序流程圖 根據(jù)流程圖可以清楚明白的看到每一步的流程，程序是怎么樣執(zhí)行下去的，有助于理解程序。 4 編碼實現(xiàn) Winpcap環(huán)境設置 配置環(huán)境首先需要安裝 Winpcap，所使用的是 ，這個是必須安裝的，它是所有基于 Winpcap 的應用程序運行所必須的。還有就是 文件的解壓了放在 D： \畢業(yè)設計－ KNIGHTG\WPDPACK 中，它是Winpcap 開發(fā)包文件，是設計基于 Winpcap 的應用程序的開發(fā)文件。該文件包括開發(fā)用的頭文件和靜態(tài)鏈接庫文件，是開發(fā)者要用到的。解壓后會有幾個文件夾。其中， Include 文件夾中的是 Winpcap 的一些頭文件，編程時必須把此文件夾的路徑包含到 Visual C++的包含頭文件的路徑中；文件夾 Lib 中是開發(fā)程序時用刀的靜態(tài)鏈接庫，編程時此文件夾也必須包含到 Visual C++庫文件路徑中。 VC 環(huán)境下安裝配置過程如下： 第 13 頁 共 27 頁 添加路 徑： 工具（ Tools） 選擇（ Options） 目錄（ Directories） 同下圖圖 7 進行設置 。 圖 7 Winpcap環(huán)境配置 1 這里添加路徑要注意自己 Winpcap 安裝時的 WPCAP 和 Include 的文件夾的位置 ,要不然在代碼編譯和連接的時候都會報： Cannot open include file: 39。39。: No such file or directory。剛開始寫代碼的時候就吃了這方面的虧，對于這個 Winpcap 的環(huán)境配置不來，教程和相應的參考書籍里面寫的非常的模糊，當 時配置起來選項和欄目又多不知道該要填在哪兒，對于一個 Winpcap 的初學者來說實在時有一定的難度，后來在 MSDN 論壇上面求教后才明白該怎么弄，所以在論文中特別將這點加入進來。 添加路徑時要注意這里不僅要添加頭文件相關(guān)的路徑，還要加入 Libpcap 的的路徑。否則編譯過了，連接時也會報錯： cannot open file 。 圖 8 Winpcap環(huán)境設置 2 設置工程參數(shù) 新建一個工程后， 第 14 頁 共 27 頁 工程（ Project） 設置（ Settings） 選擇 C/C++；在預處理程序定義 （ Preprocessor definition）里面添加 圖 9 Winpcap環(huán)境設置 3 WPCAP 即可。 同理設置 link，如下圖圖 10： 圖 10 Winpcap環(huán)境配置 4 MFC控件相關(guān) 通過設置不同的按鈕來實現(xiàn)不同的控制功能，還可以通過設置 list 表來顯示信息。其中這里主要說下關(guān)于 list 表的問題。其他的控件都比較簡單就不在這里多說了。 將 list 的屬性中的 style 里查看選項改成了 report 格式，然后通過插入語 第 15 頁 共 27 頁 句來實現(xiàn)對表項中每一列顯示信息種類的設置。 //設置監(jiān)聽狀況表項 ( 0, _T(協(xié)議類型 ), LVCFMT_LEFT, 60)。 ( 1, _T(時間 ), LVCFMT_LEFT, 70)。 ( 2, _T(包頭長 ), LVCFMT_LEFT, 60)。 ( 3, _T(源 IP地址 ), LVCFMT_LEFT, 125)。 ( 4, _T(目的 IP地址 ), LVCFMT_LEFT, 125)。 ( 5, _T(源端口號 ), LVCFMT_LEFT, 60)。 ( 6, _T(目的端口號 ), LVCFMT_LEFT, 80)。 設置第一列為協(xié)議類型，然后第二到七列分別為捕獲到數(shù)據(jù)包的時間戳、包頭長度、源 IP、目的 IP、源端口號和目的端口號。 然后在抓包函數(shù)執(zhí)行后得到我們需要的信息后執(zhí)行和列的插入來將數(shù)據(jù)返回界面并顯示出來。 row=()。 row=(row,ip_header_proto)。 //協(xié)議類型 (row,1,time1)。 //捕獲數(shù)據(jù)包的時間戳 (row,2,bag_header_len)。 //包頭長度 (row,3,sourceip)。 //源 IP (row,4,desip)。 //目的 IP (row,5,sourceport)。 //源端口號 (row,6,desport)。 //目的端口號 其中數(shù)據(jù)包的顯示是通過定時器每隔一秒鐘觸發(fā)調(diào)用一次將捕捉到的數(shù)據(jù)包信息返回插入到 list 表中 定時器和系統(tǒng)時間的獲得 SetTimer(1,1000,NULL)； //設置定時器 ,1000ms觸發(fā)一次 ? ? CDialog::OnTimer(nIDEvent)。 // 獲得系統(tǒng)當前時間 SYSTEMTIME tNow。 GetLocalTime(amp。tNow)。 第 16 頁 共 27 頁 (%2d:%2d:%2d,)。 UpdateData(false)。 其中設置定時器放在程序的初始化里邊，通過控件顯示定時器每個一秒觸發(fā)一次獲取當前時間函數(shù)所得到的 時間。定時器的設置在捕獲網(wǎng)絡數(shù)據(jù)包函數(shù)還將會使用到，后面會詳細說明。 捕獲并顯示本機信息 int getworkcardinfo() //捕獲網(wǎng)卡信息函數(shù) pcap_findalldevs(amp。alldevs, errbuf)； //