51CTO局域网监控系统研究.docVIP

局域网监控系统研究 用VC++实现基Winpcap的网络数据包捕获与分析 1,数据包的捕获原理 在正常的情况下,一个网络接口应该只响应以下两种数据帧 : (1)与自己硬件地址相匹配的数据帧。 (2)发向所有机器的广播数据帧。其实在一个实际的系统中 ,数据的收发由网卡完成 ,网卡接收到传输来的数据帧 ,网卡内的单片程序接收数据帧的目的 MAC地址,根据计算机上的网卡驱动程序设置的接收模式判断是否接收。而对于合法的网卡来说应该只接收以下数据帧有以下 4种模式 :①广播方式。 ②组播方式。 ③单播方式。 ④混杂模式。 数据包捕获作为一种网络通讯程序,也是通过对网卡的编程来实现网络通讯。因此 ,网络数据包捕获的基本原理是让网卡接收一切它所能接收的数据。 2，基于winpcap库的网络数据包捕捉方法 WinPcap是应用于Win32平台的数据包捕获与网络分析的一种体系结构 ,为Win32应用程序提供访问网络底层的能力,其主要思想来源于 Unix系统BSD包捕获构架.WinPcap基本体系结构如图 1所示,由3个模块组成 : (1)NPF包过滤器 ,数据包监听设备驱动程序 ,是架构的核心 ,它工作在内核级,主要功能是过滤数据包。它直接从数据链路层取得网络数据包 ,不加修改地传给运行在用户层的应用程序,也允许用户发送原始数据包。 (2)Packet.dll是