【正文】 環(huán)境下 ,只有 Windows2021 提供了原始套接字 ,而且非常有限 .因此在 Windows環(huán)境下 ,WinPcap就成為首選的構造數(shù)據(jù)包的函數(shù)庫 ,它提供了一套標準穩(wěn)定的函數(shù) .另外 ,NPF 增加了一些新的函數(shù) ,這些函數(shù)可以使數(shù)據(jù)包通過一次用戶和內核模式之間的轉換就發(fā)送幾次 .數(shù)據(jù)復制到內核中 ,然后通過調用一次 NDIS 將包發(fā)送到網絡中 . 盡管 WinPcap 提供了一套新的函數(shù)來開發(fā)這些特性 ,但它沒有提供那些強大的創(chuàng)建數(shù)據(jù)包的抽象函數(shù) ,這需要通過其它現(xiàn)有的工具來實現(xiàn) .程序員可以利用著名的 Lib Packet Assembly Library 的 Windows 版本實現(xiàn) ,這個函數(shù)庫增加了數(shù)據(jù)包結構層并在WinPcap 上構造數(shù)據(jù)包 . 系統(tǒng)開發(fā)環(huán)境 本系統(tǒng)開發(fā)和運行環(huán)境為 Windows XP 操作系統(tǒng) ，開發(fā)過程中使用的工具是 Visual C++,驅動和驅動開發(fā)包為最新版 WinPcap_4_1_2,WinPcap 驅動在 VC++ 環(huán)境中的設置 方法如下： 1. 到 下載安裝包 和 Developer39。s Pack. 。 ，解壓 Developer39。s Pack,分別找到 LIB 和 Include 目錄。打開VC++，首先在 Tools=Options=Directories,分別配置 lib 和 Include 目錄。當中 Show Directories for 可以指定相應的文件目錄 ++環(huán)境配置。 Project=Settings=Link=Object/Library Modules 里面添加需要的 LIB. ( ) 系統(tǒng)實現(xiàn)界面 網卡選擇界面 雙擊網卡名稱顯示每個網卡的具體信息，點擊確定綁定網卡。 如圖 13 所示： XXXX 大學 2021 屆畢業(yè)論文（設計） 25 圖 13 網卡綁定 示范圖 系統(tǒng)主界面 系統(tǒng)主界面分成五部分， 如圖 14 所示 ，分別是數(shù)據(jù)包列表、協(xié)議樹顯示、數(shù)據(jù)包內容顯示、數(shù)據(jù)包統(tǒng)計、過濾規(guī)則設定模塊。 其中數(shù)據(jù)包列表顯示捕獲到的數(shù)據(jù)包的基本信息，包括編號、時間戳、源網卡地址、目的網卡地址、長度、協(xié)議、 源端口、源 IP 地址、目的地址、目的地址等；協(xié)議樹顯示的是協(xié)議樹視圖，展示了捕獲數(shù)據(jù)包協(xié)議解析后的結構；數(shù)據(jù)包內容顯示模塊顯示數(shù)據(jù)包的 16 進制表示及數(shù)據(jù)的 ASCII 編碼表示。 數(shù)據(jù)包統(tǒng)計模塊顯示數(shù)據(jù)包的統(tǒng)計結果，這樣可以很方便的顯示在整個包捕獲過程中捕獲的 TCP、 UDP、ARP 及其他包的數(shù)量及其變化 ；過濾規(guī)則可以設定你想得到的數(shù)據(jù)包，如 TCP 或 UDP 等 。 XXXX 大學 2021 屆畢業(yè)論文（設計） 26 圖 14 系統(tǒng)主界面 示范圖 系統(tǒng)數(shù)據(jù)包捕獲流程設計 首先，調用 pcap_findalldevs()函數(shù)查找可用的網卡并通過它來獲得網卡的詳細信息，用 pcap_open_live()函數(shù)打開網絡設備，建立捕獲會話，然后用 pcap_pile()編譯過濾器，編譯過濾規(guī)則形成內核過濾碼，傳遞給 pcap_setfilter()使過濾器生效，調用pcap_loop()捕獲數(shù)據(jù)包并進行協(xié)議分析，最后調用 pcap_close()釋放資源， 關 閉并返回，這就是基于 WinPcap 的數(shù)據(jù) 包 捕獲流程。 如圖 15 所示： XXXX 大學 2021 屆畢業(yè)論文（設計） 27 圖 15 數(shù)據(jù)包捕獲流程 示范圖 系統(tǒng)詳細設計 網卡捕獲模塊 我們用 WinPcap 來開發(fā)應用程序，首先就要獲得這臺計算機上所有的網卡信息，此功能 通過 pcap_findalldevs()函數(shù)來實現(xiàn)，它返回一個 pcap_if 結構的鏈表，每個 pcap_if結構含有一個網卡適配器的信息。包括本機 IP 地址、子網掩碼、廣播地址和一個目的地XXXX 大學 2021 屆畢業(yè)論文（設計） 28 址，還有網卡描述信息。其中 name 和 description 這兩欺項分別包含了相應網卡的名稱和描述，使我們更清楚的了解網卡的信息，增加了易讀性。 然后就要通過 pcap_open_live()函數(shù)來打開網絡適配器。 pcap_t * pcap_open_live(const char * device,//網卡的描述名字 int snaplen,//指定捕獲的網絡數(shù)據(jù)包長度最大值 int promisc,//決定網卡是否工作在混雜模式 int to_ms,//超時控制的時間設置 char *ebuf//存儲出錯信息） 此模塊實現(xiàn)的部分主要代碼： //獲得計算機網卡列表及網卡信息 //初始化樹形選擇 HTREEITEM root = (_T(網絡適配器 ))。 if(pcap_findalldevs(amp。m_pAllDevs, m_strErrorBuf) == 1) return FALSE。 for(m_pDev = m_pAllDevs。m_pDev != NULL。m_pDev = m_pDevnext) { char temp[400]。 CString strText。 HTREEITEM hSubItem = (m_pDevname,root)。 if(m_pDevdescription != NULL) { (網卡描述信息 : %s,m_pDevdescription)。 (strText,hSubItem)。 } else { (網卡描述信息 : 空 ,hSubItem)。 } if(m_pDevaddresses != NULL amp。amp。 m_pDevaddressesaddr != NULL) { iptos(((struct sockaddr_in *)m_pDevaddressesaddr),temp)。 (IP 地址 : %s,temp)。 (strText,hSubItem)。 XXXX 大學 2021 屆畢業(yè)論文（設計） 29 } else { (IP 地址 : 空 ,hSubItem)。 } if(m_pDevaddresses != NULL amp。amp。 m_pDevaddressesbroadaddr != NULL) { iptos(((struct sockaddr_in *)m_pDevaddressesbroadaddr),temp)。 (廣播地址 : %s,temp)。 (strText,hSubItem)。 } else { (廣播地址 : 無 ,hSubItem)。 } if(m_pDevaddresses!=NULL amp。amp。 m_pDevaddressesmask!=NULL) { iptos(((struct sockaddr_in *)m_pDevaddressesmask),temp)。 (子網掩碼 : %s,temp)。 (strText,hSubItem)。 } else { (子網掩碼 : 空 ,hSubItem)。 } if(m_pDevaddresses!=NULL amp。amp。 m_pDevaddressesdstaddr!=NULL) { iptos(((struct sockaddr_in *)m_pDevaddressesdstaddr),temp)。 (目地地址 : %s,temp)。 (strText,hSubItem)。 } XXXX 大學 2021 屆畢業(yè)論文（設計） 30 else { (目地地址 : 無 ,hSubItem)。 } } m_pDev = NULL。 (root,TVE_EXPAND)。 return TRUE。 // return TRUE unless you set the focus to a control // EXCEPTION: OCX Property Pages should return FALSE } void CAdapaterSelection::OnOK() { // TODO: Add extra validation here if(m_pDev == NULL) { MessageBox(請雙擊選擇網卡 !)。 return。 } if(m_pDevaddresses == NULL) { MessageBox(網卡不可用 !)。 return。 } MessageBox(網卡綁定成功 !)。 數(shù)據(jù)包過濾模塊 經過以上的工作，我們已經捕獲到了數(shù)據(jù)包，但是捕獲到的數(shù)據(jù)包的數(shù)量是很大的。我們只是對一些特定的服務或端口的通信感興趣，如我們想監(jiān)聽 FTP 服務的 21 端口，或Http 服務的 80端口，這就需要我們設定一定的過濾規(guī)則，把一些價值不大的包都過濾掉，只留下我們想看到的數(shù)據(jù)包，這就是數(shù)據(jù)包過濾模塊的作用。此處使用了 WinPcap 的兩個關鍵函數(shù) pcap_pile()和 pcap_setfilter()。 pcap_pile()接收一個高層布爾過濾表達式字符串，并翻譯成能被過濾引擎讀懂的低級二進抽碼。如果沒有指定表達式，就存儲網絡全部數(shù)據(jù)包，否則就存儲表達式為 真的包。操作失敗會返回 1，返回其他值表示成功。 int pcap_pile(pcap_t* p,//表示已經建立的捕獲會話句柄 XXXX 大學 2021 屆畢業(yè)論文（設計） 31 struct bpf_program * fp,//存放編譯以后的 NPF 過濾規(guī)則 char * str,//規(guī)則表達式格式的過濾規(guī)則 int optimize， //制定優(yōu)化選項 bpf_u_int32 mask//網絡掩碼 ) pcap_setfilter()把編譯好的過濾規(guī)則與 NPF 核心驅動進行綁定，使捕獲和內核驅動相并聯(lián)。一旦 pcap_setfilter()被調用，相關的過濾器能夠用于網絡上到來的所有數(shù)據(jù)包，應用程序只接受那些符合條件數(shù)據(jù)包。返回值 1表示操作失敗，其他值表示成功。 int pcap_setfilter(pcap_t *p,//表示已經建立的捕獲會話包柄 struct bpf_program *fp//編譯后的 NPF 能識別的過濾規(guī)則 ) 一些基礎的過濾規(guī)則如下： (1)站過濾：只允許來自一臺主機或者服務器的數(shù)據(jù)。 (2)協(xié)議過濾：根據(jù)不同的協(xié)議來過濾數(shù)據(jù)，如：選擇 TCP 數(shù)據(jù)而非 UDP 數(shù)據(jù)；或者既選擇 TCP又選擇 UDP 數(shù)據(jù)。 (3)服務過濾：根據(jù)端口號來選擇特定數(shù)據(jù)包。 (4)通用過濾：從數(shù)據(jù)包中某一特定位置開始，選擇具有某些共同數(shù)據(jù)特征的數(shù)據(jù)包。 大多數(shù)情況下，過濾規(guī)則是上面基本規(guī)則的組合。 該系統(tǒng) 的過濾模塊可以同時對站、協(xié)議和服務端口進行設置過濾，如： Src host and udp and port 8000。 過濾表達式由一個或多個原主（ primitive）組成。原主通常由標識和標識前的多個修飾詞組成。修飾詞有 3種不同的類型，分別為類型、方向和協(xié)議。類型修飾詞表示標識的種類： host 代表主機類型， 代表網絡類型， port 代表端口類型。方向修飾詞表示數(shù)據(jù)的傳輸方向：有 src、 dst,可以根據(jù)需要進行組合。 src 表示源地址， dst 表示目的地址，src or dst 表示無方向， src and dst 表示源地址和目的地址都要滿足。協(xié)議修飾詞表示數(shù)據(jù) 使用的協(xié)議類型：有 ether、 ip、 arp、 rarp、 tcp 和 udp 等。另外還有一些特殊的原主關鍵字，如 gateway、 broadcast、 less 等和數(shù)學表達式，我們可能通過 and、 or 和 not連接原語來組建更復雜的過濾表達式。 數(shù)據(jù)包捕獲模塊 上面 我們 已經設置好了數(shù)據(jù)的過濾規(guī)則，然后就要使用 pcap_dispatch()或pcap_loop()函數(shù)進行捕獲。這兩個函數(shù)功能非常相似，區(qū)別是 pcap_dispatch()當超時時間到了會返回，而 pcap_loop()直到數(shù)據(jù)包被捕獲才會返回。所以 pcap_loop()會在一段時間內，阻塞網絡的利用。這兩個函數(shù)都有一個回調參數(shù)， packet_hangler 指向一個可以接收數(shù)據(jù)包的函數(shù)。每收到一個新的數(shù)據(jù)包就會去調用這個函數(shù)實現(xiàn)特定的功能。對于這個 模 塊 本 文選 用 的 是 pcap_loop() 函 數(shù)， 而 沒 有選 用 pcap_dispatch()函數(shù)，pcap_dispatch()函數(shù)一般用于比較復雜的程序中，對于此模塊來說， pcap_loop()就可以滿足需求了。捕獲到數(shù)據(jù)包，先將其存