基于WinPcap的网络分析研究与实现

１、Ｗｉｎｐｃａｐ概述１．１　Ｗｉｎｐｃａｐ简介Ｗｉｎｐｃａｐ（ｗｉｎｄｏｗｓ　ｐａｃｋｅｔ　ｃａｐｔｕｒｅ）是由意大利人Ｆｕｌｖｉｏ　Ｒｉｓｓｏ和ＬｏｒｉｓＤｅｇｉｏａｎｎｉ提出并实现的［１］。

它是一个Ｗｉｎｄｏｗｓ平台下捕包和网络分析的体系架基于Ｗｉｎｐｃａｐ的数据包捕获和协议分析系统的设计与实现李延会　岳彩祥　徐金艳　李亚斐　长春工业大学研究生院　１３００１２构。

它具有访问底层的能力，提供了捕获原始数据包，按照一定规则过滤数据包，以及发送原是数据包的功能．　ＷｉｎＰｃａｐ　为用户级的数据包提供了Ｗｉｎｄｏｗｓ下的一个平台。

ＷｉｎＰｃａｐ是ＢＰＦ模型和Ｌｉｂｐｃａｐ函数库在Ｗｉｎｄｏｗｓ平台下网络数据包捕获和网络状态分析的一种体系结构，这个体系结构是由一个核心的包过滤驱动程序，一个底层的动态连接库Ｐａｃｋｅｔ．ｄｌｌ和一个高层的独立于系统的函数库Ｌｉｂｐｃａｐ组成。

底层的包捕获驱动程序实际为一个协议网络驱动程序，通过对ＮＤＩＳ中函数的调用为Ｗｉｎ９５、Ｗｉｎ９８、ＷｉｎＮＴ和Ｗｉｎ２０００提供一类似于　ＵＮＩＸ　系统下　Ｂｅｒｋｅｌｅｙ　ＰａｃｋｅｔＦｉｌｔｅｒ　的捕获和发送原始数据包的能力。

Ｐａｃｋｅｔ．ｄｌｌ　是对这个　ＢＰＦ　驱动程序进行访问的ＡＰＩ接口，同时它有一套符合Ｌｉｂｐｃａｐ接口（ＵＮＩＸ下的捕获函数库）的函数库。

ＷｉｎＰｃａｐ的主要结构图如图１。

１．２　ｗｉｎｐｃａｐ构成ＷｉｎＰｃａｐ　主要有三个模块构成［２，３］：第一个模块ＮＰＦ（Ｎｅｔｇｒｏｕｐ　Ｐａｃｋｅｔ　Ｆｉｌｔｅｒ），是一个虚拟设备驱动程序文件。

它的功能是过滤数据包，并把这些数据包原封不动地传给用户态模块，这个过程中包括了一些操作系统特有的代码。

第二个模块ｐａｃｋｅｔ．ｄｌｌ为ｗｉｎ３２平台提供了一个公共的接口。

不同版本的Ｗｉｎｄｏｗｓ系统都有自己的内核模块和用户层模块。

Ｐａｃｋｅｔ．ｄｌｌ用于解决这些不同。

调用Ｐａｃｋｅｔ．ｄｌｌ的程序可以运行在不同版本的Ｗｉｎｄｏｗｓ平台上，而无需重新编译。

基于WinPcap的网络分析的研究与实现
徐波;张勤慧
【期刊名称】《电脑编程技巧与维护》
【年(卷),期】2012(000)014
【摘要】主要讨论利用WinPcap开发包实现Windows下网络数据包的捕获技术,分析了IP、TCP等协议的解析过程,利用MS-Sql数据库来存储网络数据,建立了系统硬件运行环境.通过测试,实现了对局域网的监控功能.
【总页数】3页(P88-89,105)
【作者】徐波;张勤慧
【作者单位】南京林业大学信息(网络)中心,南京210037;南京林业大学信息(网络)中心,南京210037
【正文语种】中文
【相关文献】
1.基于WinPcap的旁路IP阻断方法研究与实现 [J], 陈小文;胡文飞;和应民
2.基于WinPcap的路由功能的研究与实现 [J], 陈景强;翁正秋
3.基于服务式GIS的昆明市区交通网络分析信息查询系统研究与实现 [J], 李泽城;杨昆;袁磊
4.基于Winpcap的网络流媒体识别算法研究与实现 [J], 宋雪;蔡一兵;金伟信;王蒙
5.基于WinPcap的电子监考系统的研究与实现 [J], 武伟;魏晓;魏仕民
因版权原因，仅展示原文概要，查看原文内容请购买。

上机1：基于WinPcap的网络嗅探器设计1、目的与要求掌握基于WinPcap的网络编程模式。

理解并能应用WinPcap设计并实现网络数据包的捕获与解析。

2、设备与上机环境连网PC机（至少一台）。

计算机硬件要求：Intel Pentium5 处理器、256MB以上内存，Ethernet网卡，网线若干。

计算机软件要求：MS Windows 9x/2000/XP操作系统，TCP/IP协议，WinPcap430，Visual c++6.0/.net系统。

3、上机内容与步骤：在程序设计之前，请参照提供的软件安装WinPcap。

之后，按照如下步骤操作：步骤1：在VC++ 6.0下创建一个DOS命令行程序，工程名：自己的学号-PacketDump步骤2：打开main(函数，在主程序中增加如下头文件和常量定义：#include#define LINE_LEN 16pcap_if_t *alldevs, *d;pcap_t *fp;u_int inum, i=0;char errbuf[PCAP_ERRBUF_SIZE];int res;struct pcap_pkthdr *header;const u_char *pkt_data;printf("pktdump_ex: prints the packets of the network using WinPcap.\n"; printf(" Usage: pktdump_ex [-s source]\n\n"" Examples:\n"" pktdump_ex -s file.acp\n"" pktdump_ex -s \\Device\\NPF_{C8736017-F3C3-4373-94AC-9A34B7DAD998}\n\n"; if(argc < 3{printf("\nNo adapter selected: printing the device list:\n";/* The user didn't provide a packet source: Retrieve the local device list */if(pcap_findalldevs(&alldevs, errbuf == -1{fprintf(stderr,"Error in pcap_findalldevs_ex: %s\n", errbuf;exit(1;}/* Print the list */for(d=alldevs; d; d=d->next{printf("%d. %s\n ", ++i, d->name;if (d->descriptionprintf(" (%s\n", d->description;elseprintf(" (No description available\n";}if (i==0{printf("\nNo interfaces found! Make sure WinPcap is installed.\n"; return -1;}printf("Enter the interface number (1-%d:",i;scanf("%d", &inum;if (inum < 1 || inum > i{printf("\nInterface number out of range.\n";/* Free the device list */pcap_freealldevs(alldevs;return -1;}/* Jump to the selected adapter */for (d=alldevs, i=0; i< inum-1 ;d=d->next, i++;/* Open the adapter */if ((fp = pcap_open_live(d->name, // name of the device65536, // portion of the packet to capture.// 65536 grants that the whole packet will be captured on all the MACs. 1, // promiscuous mode (nonzero means promiscuous1000, // read timeouterrbuf // error buffer== NULL{fprintf(stderr,"\nError opening adapter\n";return -1;}}else{/* Do not check for the switch type ('-s' */if ((fp = pcap_open_live(argv[2], // name of the device65536, // portion of the packet to capture.// 65536 grants that the whole packet will be captured on all the MACs. 1, // promiscuous mode (nonzero means promiscuous1000, // read timeouterrbuf // error buffer== NULL{fprintf(stderr,"\nError opening adapter\n";return -1;}}/* Read the packets */while((res = pcap_next_ex( fp, &header, &pkt_data >= 0{if(res == 0/* Timeout elapsed */continue;/* print pkt timestamp and pkt len */printf("%ld:%ld (%ld\n", header->_sec, header->_usec, header->len; /* Print the packet */for (i=1; (i < header->caplen + 1 ; i++{printf("%.2x ", pkt_data[i-1];if ( (i % LINE_LEN == 0 printf("\n";}printf("\n\n";}if(res == -1{printf("Error reading the packets: %s\n", pcap_geterr(fp;return -1;}pcap_close(fp;return 0;步骤3：为编译器指定包含文件和库文件搜索目录。

基于WinPcap的网络数据包捕获与分析一、WinPcap介绍1.WinPcap简介WinPcap是一个在Windows操作系统下的免费、公开的用于直接访问网络的开发工具包（编程API）。

大多数Windows网络应用程序都是通过Winsock API（Windows套接口）这类高级编程接口访问网络的。

这种方法允许在网络上进行简单的数据传送，因为操作系统的TCP/IP协议栈实现软件会处理底层细节（协议操作、流程重组等等），并提供一个类似于读写文件的函数接口。

然而，有时候“简便方法”并不能满足实际需要。

有些程序希望绕过TCP/IP协议栈，直接处理底层网络中的通信数据，它们需要对网络进行底层进行直接访问，即在没有类似协议栈（TCP/IP协议栈）的实体介入条件下对网络进行原始访问。

基于Winsock API编程，应用程序是通过调用操作系统提供的编程接口访问TCP/IP协议栈实现网络通信的。

基于WinPcap编程，网络程序实际上是绕开操作系统的TCP/IP协议栈直接通过底层网络发送数据，因此，网络程序可以实现一些更低级、更灵活的功能。

2.WinPcap的组成与结构如图1.1，WinPcap由一个数据包监听设备驱动程序（NPF）、一个底层的动态连接库（）和一个高层的不依赖于操作系统的静态库（）共三个部分构成。

这里，NPF在操作系统的内核级，、在用户级。

1）数据包监听设备驱动程序Array技术实现上，为了实现抓包，系统必须绕过操作系统的协议栈来访问在网络上传输的原始数据包（rawpacket）。

这就要求WinPcap的一部分运行在操作系统核心内部，直接与网络接口驱动交互。

由于这个部分是系统依赖（system dependent）的，在Winpcap的解决方案中它被视为是一个设备驱动，称作NPF（Netgroup Packet Filter）。

图1.1 WinPcap的组成和结构2）底层的动态连接库（）和高层静态库（）为了方便编程，WinPcap必须提供一个编程接口（API），这就是WinPcap的底层的动态连接库（）和高层静态库（）。

基于WinPcap的网络协议分析系统的设计与实现
鲁晓帆;孙卫佳;付双胜
【期刊名称】《沈阳师范大学学报（自然科学版）》
【年(卷),期】2010(28)4
【摘要】概述了WinPcap的组成结构,介绍了以太网数据包捕获原理.基于WinPcap利用多线程技术实现对网络底层数据包的捕获.系统考虑到数据包捕获性能的问题,极大的降低了丢包率,对系统整体进行优化.对数据链路层捕获的数据包进行细致分析(即对以太网帧净载荷的十六进制数据分析).将捕获的数据包按照各层网络协议格式对数据内容进行分析,为防止黑客攻击、网络安全以及入侵检测技术等提供理论依据.
【总页数】3页(P514-516)
【作者】鲁晓帆;孙卫佳;付双胜
【作者单位】长春工业大学,计算机科学与工程学院,长春,130012;长春工业大学,计算机科学与工程学院,长春,130012;长春工业大学,计算机科学与工程学院,长
春,130012
【正文语种】中文
【中图分类】TP393
【相关文献】
1.基于WinPcap的网络数据包捕获系统设计与实现 [J], 黄培花;宋科
2.基于Winpcap的网络封包软件设计与实现 [J], 钱素娟;赵晓宇
3.基于WinPcap的网络安全监控系统的设计与实现 [J], 伍丽华;张莉;曾致远
4.基于WinPcap的网络监测系统设计及协议分析 [J], 周灵;丁伟雄;杨文茵
5.基于Winpcap的数据包捕获和协议分析系统的设计与实现 [J], 李延会;岳彩祥;徐金艳;李亚斐
因版权原因，仅展示原文概要，查看原文内容请购买。

实验一 wireshark抓包工具使用[实验目的]学习wireshark抓包工具的使用了解wireshark抓包工具的功能通过学习，进一步理解协议及网络体系结构思想[实验原理]Wireshark是网络包分析工具。

网络包分析工具的主要作用是尝试捕获网络包，并尝试显示包的尽可能详细的情况。

主要应用：网络管理员用来解决网络问题网络安全工程师用来检测安全隐患开发人员用来测试协议执行情况用来学习网络协议[实验内容]下载WIRESHARK，学习工具的使用和功能。

[习题与思考题]1、网络工程师能通过WIRESHARK做哪些工作？2书名实验二 WINPCWP编程[实验目的]了解WINPCAP的架构学习WINPCAP编程[实验原理]WinPcap是一个基于Win32平台的，用于捕获网络数据包并进行分析的开源库.大多数网络应用程序通过被广泛使用的操作系统元件来访问网络，比如sockets。

这是一种简单的实现方式，因为操作系统已经妥善处理了底层具体实现细节（比如协议处理，封装数据包等等），并且提供了一个与读写文件类似的，令人熟悉的接口。

然而，有些时候，这种“简单的方式”并不能满足任务的需求，因为有些应用程序需要直接访问网络中的数据包。

也就是说，那些应用程序需要访问原始数据包，即没有被操作系统利用网络协议处理过的数据包。

WinPcap产生的目的，就是为Win32应用程序提供这种访问方式；WinPcap提供了以下功能1.捕获原始数据包，无论它是发往某台机器的，还是在其他设备（共享媒介）上进行交换的2.在数据包发送给某应用程序前，根据用户指定的规则过滤数据包3.将原始数据包通过网络发送出去4.收集并统计网络流量信息章名 3以上这些功能需要借助安装在Win32内核中的网络设备驱动程序才能实现，再加上几个动态链接库DLL。

所有这些功能都能通过一个强大的编程接口来表现出来,易于开发，并能在不同的操作系统上使用。

这本手册的主要目标是在一些程序范例的帮助下，叙述这些编程接口的使用。

基于Winpcap的网络包捕获和分析_通信工程Winpcap是一种Windows平台下的网络包捕获库，它能够拦截网络传输的数据包，分析其内容并提供给程序使用。

在通信工程领域，Winpcap常用于网络协议分析、网络安全检测等方面。

Winpcap的工作原理是通过抓取操作系统内核与网卡之间的输入/输出数据包，从而捕获并分析网络包。

Winpcap将网络接口抽象成一个数据源（即抓包器），并提供一系列API供应用程序进行操作。

这些API包括：1. pcap_open_live()：打开网络接口并设置过滤器。

2. pcap_setfilter()：设置抓包过滤规则。

3. pcap_next_ex()：从网络接口中捕获下一个数据包。

4. pcap_sendpacket()：发送数据包到网络。

5. pcap_stats()：返回接口的统计信息。

通过调用上述API，可以在应用程序中达到获取、分析网络包的目的，从而实现网络协议的协议分析、网络安全检测等通信工程任务。

在使用Winpcap时需要注意，由于其需要操作系统内核与网卡之间的数据包，因此在使用时需要获得管理员权限。

在基于Winpcap的网络包捕获和分析中，通常需要进行以下步骤：1. 打开网络接口并设置过滤器，过滤掉不必要的数据包。

2. 捕获数据包。

3. 解析数据包的协议头，分离出数据部分。

4. 对数据部分进行处理，如提取HTTP请求、检测网络攻击等。

5. 将处理结果保存或发送到其他模块进行处理。

Winpcap的优势在于其能够让用户获得更加细致的网络数据，通过协议分析和安全检测等手段更好地保障网络安全。

同时，由于其跨平台特性，可应用于多种不同的通信工程场景中。

实验一 wireshark抓包工具使用[实验目的]学习wireshark抓包工具的使用了解wireshark抓包工具的功能通过学习，进一步理解协议及网络体系结构思想[实验原理]Wireshark是网络包分析工具。

网络包分析工具的主要作用是尝试捕获网络包，并尝试显示包的尽可能详细的情况。

主要应用：网络管理员用来解决网络问题网络安全工程师用来检测安全隐患开发人员用来测试协议执行情况用来学习网络协议[实验内容]下载WIRESHARK，学习工具的使用和功能。

[习题与思考题]1、网络工程师能通过WIRESHARK做哪些工作？书名2实验二 WINPCWP编程[实验目的]了解WINPCAP的架构学习WINPCAP编程[实验原理]WinPcap是一个基于Win32平台的，用于捕获网络数据包并进行分析的开源库.大多数网络应用程序通过被广泛使用的操作系统元件来访问网络，比如sockets。

这是一种简单的实现方式，因为操作系统已经妥善处理了底层具体实现细节（比如协议处理，封装数据包等等），并且提供了一个与读写文件类似的，令人熟悉的接口。

然而，有些时候，这种“简单的方式”并不能满足任务的需求，因为有些应用程序需要直接访问网络中的数据包。

也就是说，那些应用程序需要访问原始数据包，即没有被操作系统利用网络协议处理过的数据包。

WinPcap产生的目的，就是为Win32应用程序提供这种访问方式；WinPcap提供了以下功能1.捕获原始数据包，无论它是发往某台机器的，还是在其他设备（共享媒介）上进行交换的2.在数据包发送给某应用程序前，根据用户指定的规则过滤数据包3.将原始数据包通过网络发送出去4.收集并统计网络流量信息章名3以上这些功能需要借助安装在Win32内核中的网络设备驱动程序才能实现，再加上几个动态链接库DLL。

所有这些功能都能通过一个强大的编程接口来表现出来,易于开发，并能在不同的操作系统上使用。

这本手册的主要目标是在一些程序范例的帮助下，叙述这些编程接口的使用。

2009年第11期，第42卷 通 信 技 术 Vol.42，No.11,2009 总第215期Communications Technology No.215,Totally基于winpcap的网络监控系统的设计与实现费绍敏， 龚晓峰， 李 宾， 卢海峰（四川大学 电气信息学院，四川 成都 610065）【摘 要】为了提高公司网络利用率，约束公司员工在上班时间的上网情况，提高工作效率，文中提出了一种基于Winpcap 的网络数据包的获取方法，并对捕获到的网络数据包进行了网络协议分析，对常见的字符编码格式进行了描述，解决了在获取网络行为中的中文乱码问题，设计并实现了一套以监控员工上网情况为目的的网络监控系统，该系统目前在成都德柯信息技术公司成功运行。

【关键词】Winpcap；协议分析；网络监控【中图分类号】TP3.31 【文献标识码】A【文章编号】1002-0802(2009)11-0206-02 Design and Implementation of Network Monitoring Based on WinpcapFEI Shao-min, GONG Xiao-feng， LI Bin, LU Hai-feng(College of Electrical Information, Sichuan University, Chengdu Sichuan 610065, China)【Abstract】In order to raise the network utilization, constrain the private network action in working time and improve the work effect, a Winpcpe-based method of network packet acquisition is proposed. In addition, the protocal of the packet is analyzed, the code format of characters is described, and the problem of garbled Chinese acquiring the network action is solved. Thus a network monitoring system is designed and developed, which is now successfully applied in Chengdu Decony Information Technology Company.【Key words】Winpcap; protocol analysis; network monitoring0 引言随着计算机网络技术的快速发展，Internet凭借其方便、快捷、廉价等特点成为人们日常办公必不可少的工具，很多公司都组建了自己的局域网，并通过固定的IP地址和外界通信。

收稿日期:2008-11-053基金项目:黄石理工学院2008年科研项目(08yjz18B )作者简介:成俊(1980—　),男,湖北大冶人,助教,本科。

文章编号:1008-8245(2008)06-0022-04基于W inpcap 的网络嗅探器的设计与实现3成　俊　李　芳(黄石理工学院计算机学院,湖北黄石435003)摘　要:针对网络管理中的安全问题,以W inpcap 为开发平台,使用V isual C ++为开发工具,设计了一个网络嗅探器。

分析了网络嗅探器的基本工作原理,描述了W inpcap 捕获数据包的程序流程,最后给出具体实现的关键函数。

结果表明,这种网络嗅探器结构简单,捕获数据快,对网络的安全管理具有重要意义。

关键词:数据包捕获;嗅探;W inpcap 中图分类号:TP393.09 文献标识码:ADesi gn and I mple ment ati on ofNetwork Sn i ffer Based on W i n pcapCHENG Jun L I Fang(School of Computer Science,Huangshi I nstitute of Technol ogy,Huangshi Hubei 435003)Abstract:A i m ing at the security p r oble m s of net w ork management,the paper p r oposes a net w ork sniffer with W inpcap as devel opment p latfor m and V isual C++as devel opment t oolW inpcap and visual C++.The funda mental p rinci p le ofthe net w ork sniffer is analyzed and the p r ocedure during which W inpcap cap tures the packet is intr oduced .The key functi on is finally given.The results show that the net w ork sniffer has such advantages as si m p le structure and fast data cap ture,which is signifant t o the net w ork security and manage ment .Key words:packet cap ture;sniffer;W inpcap 随着I nternet 的迅猛发展,网络已日益成为工作和生活中不可或缺的工具。