数据包的获与分析.ppt

网络安全编程技术 第3讲：数据包的捕获与分析 任德斌 本讲编程训练目标 编程实现一个协议分析器。该协议分析器将包含以下几部分功能 ： 数据采集——捕捉Ethernet网络数据包； 解析Ethernet网数据帧头部的全部信息； 解析IP数据包的头部信息； 解析TCP和UDP包的头部信息； 主要内容 用原始Socket抓包 进行协议分析 使用开发工具包WinPcap抓包 1. 用原始Socket抓包流程 创建原始Socket 获取一个需要监听网络接口的ip地址，并绑定（必须要显示绑定） 设置网卡为混杂模式 开始循环接收数据 关闭Socket 关键代码1：创建原始Socket SnifferSocket = socket(AF_INET, SOCK_RAW, IPPROTO_IP); if (Result == SOCKET_ERROR) { printf(socket failed with error %d\n, WSAGetLastError()); return 0; } 原始socket的特点 应用程序可以收到目标是其它主机的包 应用程序会收到ip包 如果设置IP_HDRINCL 选项，可以手动设置发送的ip包的头部 不能拦截数据，因为系统采用的是拷贝的方式 由于安全原因，在xp-sp2，windows 7