【个人总结系列-50】应用层协议分析原理与过程-WinPcap-抓包程序.docxVIP

应用层协议分析要对应用层协议进行分析，首先必须抓取网络数据包，根据数据包的格式对其进行一层一层的剥离头部信息，最后得到应用层的数据，然后再根据获得的数据进行应用层行为的分析。因此必须对各层的数据包格式特别清楚，并且熟悉怎么编制抓包程序。抓包程序在编写抓包程序时，一般借助winpcap或libpcap提供的API对网络数据包进行抓取。winpcap是为windows开发环境提供的库函数，而libpcap则是为Linux开发环境提供的库函数。它们都是一个强大的网络开发库，可以实现许多功能，如获取可用的网络适配器、获取指定适配器信息（比如名称和描述信息）、捕获指定网卡的数据封包、发送数据封包、过滤捕获的包以获取特定包等。两者提供的接口基本一致，只是某些函数名略有不同。在使用前必须将winpcap或libpcap安装在系统上，在使用时必须在工程中加入对应的开发包并在程序中声明。安装和部署winpcap由于在Linux下安装和部署libpcap非常简单，将libpcap安装到Linux系统中，在程序编译时加上-l pcap即可。本段主要介绍在windows中安装和使用winpcap，具体的部署过程如下所示：下载安装winpcap驱动和DLL组件，即一个winpcap的安装程序，和普通安装程序一样，点击下一步进行安装，直至完毕下载winpcap的开发包（如WpdPack_4_0_2），将其解压