使用WinPCap编写Sniffer程序.ppt

使用WinPcap编写Sniffer程序 内容介绍 嗅探器原理 Winpcap介绍 Winpcap安装 Winpcap应用程序结构 Sniffer（嗅探器）设计原理 通常的套接字程序只能响应与自己硬件地址相匹配的或是以广播形 式发出的数据帧，对于其他形式的数据帧，比如已到达网络接口但 却不是发给此地址的数据帧，网络接口在验证投递地址并非自身地 址之后将不引起响应，也就是说应用程序无法收取到达的数据包。 网络嗅探器的目的恰恰在于从网卡接收所有经过它的数据包，这些 数据包既可以是发给本机的也可以是发往别处的。通过将网络接口 设置为混杂模式可以使它接收所有经过它的数据包（例如以太网帧 将会到达同一局域网的所有网络接口）。 但是，此时操作系统不再 行底层的细节操作（协议处理，流量均衡等） ，而是将拆封解释处 理接收到的数据帧（frame）的任务交给应用程序完成，这样应用程 序就可以灵活的获取各类信息。 什么是 Winpcap 网络数据包捕获库函数 直接访问网络，免费、公用 工作于驱动层，网络操作高效 为应用程序提供了一组API接口 编程容易，源码级移植方便 WinPcap主要功能 捕获原始数据包 将数据包发送给应用程序之前，按照用户规定的规范过滤数据包 将捕获到的数据包输出到文件中，并可以对这些文件进行再分析 向网络发送原始数据包 搜集网络传输统计数据 哪些应用适合使用 WinPca