网络编程基于WinPcap技术的网络--数据包捕获，过滤和分析技术精选.docVIP

网络编程论文 学 号： 姓 名： 雷诺 提交日期： 2011.12.10 成 绩： 东北大学秦皇岛分校 目录 WinPcap概述…………………………………………………………1 Winpcap驱动各项功能………………………………………………1 Winpcap的主要功能…………………………………………………… Winpcap网络编程…………………………………………………………2 WinPcap获取与网络配置器绑定的设备列表…………………2 获取网络适配器的高级属性信息………………………………3 打开网络适配器并实现抓包功能………………………………6 不使用事件处理器进行抓包……………………………………9 过滤数据包………………………………………………………12 五、NIC驱动器和NDIS…………………………………………………………17 注：与韩雪同学合作完成 基于WinPcap技术的网络 ——数据包捕获，过滤和分析技术 [摘要]：在当今的互联网时代里，网络中丰富多彩的各种应用已经彻底改变了人们的工作和生活方式，Internet在给人们带来方便的同时，也给网络管理员带了一些困扰。比如，一些单位的员工在工作期间炒股，玩网络游戏等，面对这些问题，基于WinPcap技术的网络数据包捕获，过滤和分析技术。如果在网络的出口位置对网络中的数据包进行捕获和分析，就可以统计出流量是基于哪些应用的，有了流量便可以成功的进行管理。 WinPcap概述： winpcap(windows packet capture)是windows平台下一个免费，公共的网络访问系统。开发winpcap这个项目的目的在于为win32应用程序提供访问网络底层的能力。它提供了以下的各项功能：1 捕获原始数据报，包括在共享网络上各主机发送/接收的以及相互之间交换的数据报；2 在数据报发往应用程序之前，按照自定义的规则将某些特殊的数据报过滤掉；3 在网络上发送原始的数据报；4 收集网络通信过程中的统计信息。 1 捕获原始数据包包括在共享网络上各主机发送/接收的以及相互之间交换的数据包； 　　 2 在数据包发往应用程序之前，按照自定义的规则将某些特殊的数据包过滤掉； 　　 3 在网络上发送原始的数据包； 　　 4 收集网络通信过程中的统计信息。 　　 winpcap的主要功能 在于独立于主机协议（如TCP-IP)而发送和接收原始数据包。也就是说，winpcap不能阻塞，过滤或控制其他应用程序数据包的发收，它仅仅只是监听共享网络上传送的数据包。因此，它不能用于QoS调度程序或个人防火墙。目前，winpcap开发的主要对象是windows NT/2000/XP，这主要是因为在使用winpcap的用户中只有一小部分是仅使用windows 95/98/Me，并且MS也已经放弃了对win9x的开发。因此本文相关的程序T-ARP也是面向NT/2000/XP用户的。其实winpcap中的面向9x系统的概念和NT系统的非常相似，只是在某些实现上有点差异，比如说9x只支持ANSI编码，而NT系统则提倡使用Unicode编码。有个软件叫sniffer pro.可以作网管软件用，有很多功能，可监视网络运行情况，每台网内机器的数据流量,实时反映每台机器所访问IP以及它们之间的数据流通情况，可以抓包，可对过滤器进行设置,以便只抓取想要的包，比如POP3包,smtp包，ftp包等，并可从中找到邮箱用户名和密码,还有ftp用户名和密码。它还可以在使用交换机的网络上监听，不过要在交换机上装它的一个软件。还有一个简单的监听软件叫Passwordsniffer，可截获邮箱用户名和密码，还有ftp用户名和密码，它只能用在HUB网络上。著名软件tcpdump及ids snort都是基于libpcap编写的，此外Nmap扫描器也是基于libpcap来捕获目标主机返回的数据包的。 　　winpcap提供给用户两个不同级别的编程接口：一个基于libpcap的wpcap.dll，另一个是较底层的packet.dll。对于一般的要与unix平台上libpcap兼容的开发来说，使用wpcap.dll是当然的选择。// FindAllDevs.cpp : 定义控制台应用程序的入口点。 // #include stdafx.h #include pcap.h #include remote-ext.h #include stdlib.h int _tmain(int argc, _TCHAR* argv[]) { pcap_if_t *alldevs; pcap_if_t *d; i