基于WinPcap库的通用程序设计模型.pdf

引用:尼龙过滤网/nilong/ 耐高温初效过滤器/naigaowen/ 活性炭初效过滤器/huoxingtan/ 板式中效过滤器/banshi/ 2007年 第 2期 计 算 机 系 统 应 用 基于WinPcap库的通用程序设计模型 GeneralPr0gram System DesignModelBasedOnW inPcap 简清明 (四川I理工学院网管中心643000) 摘要 ：大多数的Unix系统都提供一组称为 Libpcap的系统调用，为用户空间的数据包捕获提供便利．WlnPcap将这 些功能移植到Win32平台下并增加了一些新的特性。本文描述 WlnPcap体系结构的细节并给 出基于WinPcap程 序的一般设计 。 关键词 ：BSD数据包过滤器(BPF)WinPcap库 1 WinPcap概述 中区作为核心缓 中区，可以一次复制一组数据包。数 WinPcap是PolltecnicodlTorlno的NetGroup小组 据复制也不在使用固定长度(1ibpcap的核心和用户层 开发的基于Win32平台的包捕获和网络分析的基础构 使用同样的缓 中区大小32KB)．这种实现允许所有的 架，由UNIX下的libpcap库移植而来，用于用户层次的 存储空间都可用于存储数据，大大提高了缓中区的利 数据包截获工作。它为底层网络监控编程提供了一个 用率。 易于移植的应用框架。WlnPcap库和Libpcap一样，采 Winpcap为应用程序提供了与数据包截获有关的 用内核过滤机制，并且只支持 BPF(Berkeley分帧过滤 两个不同层次的编程接121：底层的packet．dll，高层的 器，WinPcap下称为NPF)接 口的内核过滤。如果主机 wpcap．dlI以及一个虚拟设备驱动程序npf．vxd，应用 上没有BPF机制．则所有的效据包都必须读取到用户 程序可以自由选用。Npf．vxd工作在内核级，与操作系 空间后，再在WlnPcap库中进行过滤处理，这样就会增 统和硬件是相关的；packet．dll和wpcap．dll工作于用 加额外的处理负担，导致性能的下降。 户级，与具体的硬件无关，其中packet．dll属于底层的 APl，与操作系统是相关的，在Win9x(95，98，me)和 2 WinPcap网络数据捕获体系 WInNT(NT4，2000，XP)系列中有所不同。Wpcap．dll是 高层的APl，他是与操作系统无关的。因此基于pack- WinPcap的数据捕获体系称为NPF，源于著名的 et．dll和wpcap．dll编写的应用程序各有其不同的优 BPF。BPF产生于 1992年，由两个组件组成：BPF网络 阀和数据包过滤器Biter。通常在数据报到达网络适配 点，前者能够直接访问到驱动程序，便于实现一些底层 的功能，而后者与Unix系统中使用的libpcap兼容，基 器时，设备驱动程序会将数据报传递给协议栈的其它 于它所编写的程序在windows系统和Unix系统中都 部分。网络阀实际上是个回调函数，从网络设备驱动 程序处收集数据，并将它们传递给正在监听的应用程 可 以运行。 序。收集的数据报若满足Filter的条件，那么将它们保 存在缓冲区内，在应用程序读取时，将它们拷贝到用户 3 WinPcap主要编程接口 层的缓冲区中。BPF经使用证明是一个功能强大的和 WlnPcap为用户编程提供了一系列功能强大的函 性能稳定的体系结构，WinPcap保留了BPF绝大部分 数调用，其中几个重要函数如下：