基于Winsock的以太网数据包采集方法及实现

提供者加割 ｌ序链的最低端，而分层服务提供者 发送 的数据进 行 检查 。 顶 则根据需求分布在顺序链的中间。在对 网络封包 在 定 义工 程时 把其 定 义 为 Ｗｉ３ ｙａ ｉ— ｎ ２ Ｄ ｎ ｍｃ ｉ ｉ ａｙ生成 ｎ ｂ ｌ的文件 。 了满足 程序 为 的载取中所要用到的 Ｓ １ Ｐ 的结构信息 ，主要有 ｌ ｋｌ ｒｒ， 后缀 为Ａｌ ＷＳ Ｐ Ｔ Ｃ Ａ ＲＯ Ｏ ＯＬ Ｉ Ｏ 和 ＷＳ Ｐ ＯＣ Ｔ Ｂ Ｅ 编译和操作上的要求 ，我们把它与创建的安装文 ＮＦ Ｗ ＰＲ Ａ Ｌ 两种结构 ， 它们分另 存在不同的注册表分支下。 件工程放在同—个工作区内 ，把生成的可执行文 蜾 因 为 Ｓ １ 为 Ａ Ｉ 供 服 务 的接 口 ，所 以 件 和 Ｄ Ｌ文件 也 放在 同 一 目录 下 ， 于 以后 的调 Ｐ是 Ｐ提 Ｌ 便 Ｗｉｓ ｋ的 Ｓ Ｉ ｎｏ ｃ Ｐ 中都有 与之相 对应 该 的函 数 ， 而它 试 。网络封 包 截取 程序 ． 要就 是对 Ｓ Ｉ 的网络 主 Ｐ中 们相 对应 的 函数 的用 途 和用法 上基 本相 同 。 协议和地址等结构进行查找和输出，同时还要 打 在对 Ｓ Ｉ 口的编程工作 可以采用 多种语 断封包的正常传输，在 Ｓｃ ｅ连接为我们提供了 Ｐ接 ｏｋ ｔ 言完成， 但在对接 口的编程中 Ｖ Ｃ的操作是最简单 两 种连 接 方 式 ： 向连 接 服 务 、 面 无连 接 服 务 ． 两 这 的 ，因此在 Ｗｉｄｗ Ｐ环境下使用 ｖｃ Ｏ ＋ ｎ ｏ ｓＸ ６ ＋ 的 种 服务 在 Ｓ １ Ｐ 中有 相 类 似 的 定义 和 调 用 函 数 ． 因 Ｗｉ３ ｎ ２对 Ｓ Ｉ Ｐ 进行 编 程 。 由于 Ｓ １ 以动 态链 接 此我们在程序中就需要对不同类型的服务进行分 Ｐ只 库的形式存在， ＤＬ 而 Ｌ不能够单独在程序 中使用 类处理， 调用不同的连接函数， 以保证在数据包截 并且该组件将对注册表进行修改 ，因此就必须定 取 中做到 不少 包 。 Ｗｉｄｗ ｏ ｋｔ 用 程序 中 在 ｎ ｏ ｓＳｃ ｅ应 义—个 Ｄ Ｌ的安装程序 ， Ｌ 该程序可以完成安装及 要使用 Ｓ Ｉ Ｐ 必须对其进行初始化，导 出 Ｄ Ｌ的入 Ｌ 卸 载功 能 ， 并能 够 对注 册表 进行 保存 和 恢复 ． 以便 口， 才可以进行 Ｓ Ｉ Ｐ 的编程。同时还要注意， 在多 程序进行结束 后， 系统的注册表可以正常工作。 个进程同时访问—个 网络资源时，可能会使我们 在 安 装 程 序 （ｎｔＬｘ ） 该 能 够 完 成 如下 采集的数据包发生错误 ，因此我们在数据包的采 Ｉｓ ｌｅｅ应 ａ 功能 ： 集中要加 入互斥操作 ， 以避免冲突（ 最常采用的是 查找出当前进行网络通信程序的具体路径 ； Ｐ Ｖ操作 。还要考虑在数据传输中可能出现 的阻 安 装 和卸 载 ＤＬ ，并 应 该 可 以显 示 安装 信 规 象， Ｓｃ ｅ 中是采用 Ｉ Ｌ 在 ｏｋ ｔ Ｏ重叠操作来解决阻 息； 塞问题的，而重叠操作就可能对我们所要做 的数 对注册表的原来各项值进行保存 ． 并在程序 据包采集产生干扰 ， 使采集到的数据封包为重包。 运行结束后恢复注册表 ，在数据包载取程序中可 因此我们必须要对 Ｉ Ｏ的重叠进行必要 的处理． 以 以通过 Ｓ Ｉ 口得到 网络通信程序交换 的数据 比较实 际上 我们 收 到 的数 据包 数 和我们 在 网络 上 Ｐ接 包 ， 显示 ， 储和转 发这 些数 据包 的信 息。 并 存 采集到的数据包数之间的差别 ，并要求能够知道 在 定 义 工 程 时 把 其 定 义 为 Ｗ ｉ３ ｏ ｓｌ 哪 些 Ｓｃ ｅ 已经 接 收完 毕 ， 调 出这 些 Ｓ ｃ ｅ的 ｎ２ Ｃ ｎｏｅ ｏｋ ｔ 去 ｏ ｋｔ Ａ ｐｉ ｔ ｎ生 成 后缀 为 ． ｃ的 文件 ． 于 程 序 中 信息，这样才能够得到完整的数据包。我们将Ａ ｐ ｌ ａｉ ， ｃ ｏ ｅ ｘ 收 ｌ 理 。Ｗｉｓｃ Ｐ 的结构 如下 ： ｎｏｋ２Ｓ Ｉ 需 要使用到 Ｗｉｓ ｋ２ Ｓ Ｉ ｎｏ Ｐ 的服务提供者 ， ｃ 所以 文件也用三个函数来实现 ， 分别实现的功能为： 数 ｗ ０ｋ ４，ｃ 啪 Ｊ ２压 手 在开始必须首先检测本地机是否安装 了 Ｗｉｓ ｋ 据包的截取和存储 ； Ｓ ｋｔ Ｉ ｎｏ ｃ 对 ｏ ｅ 中 Ｏ重叠操作的处 ｃ ２ 版本 ， 并且进一步判断是否安装有 Ｓ Ｉ Ｐ。这些工 理 ；定义宏来完成对调试信息的输出。 由于我 骨 田 盘 乇 事 ｇ 日要 ： 藏 作都在安装程序中完成， ｎｏｋ２的相关配置信 们在程序中采用 Ｄ Ｓ Ｗｉｓ ｃ Ｏ 命令行对 Ｄ Ｌ进行调用 ． Ｌ 为 息保 存在注 册表 ： 了操作方便可以考虑把 Ｄ Ｌ和安装 程序封装合 Ｌ ＨＫＥＹ ＬＯＣＡＬ ＭＡＣＨＩ ｋ ＹＳ ＥＭ＼ ｒ ＮＥ Ｓ Ｔ Ｃｕ － 成 为— 个 Ｅ Ｅ可执 行文 件 。 Ｘ ｄ ＇ ０ｋ Ｃ ￣ 慨 务 挺 苔 撸口 ｍｉ ｆｃ ｊ 手空间 置夸提 块苔皤 ］ 。ｋ ｛ ｒ ｔｏ ｔ ｌｅｋｅｖ ｓ ｎｏｋ ２中 ．在 其 中 的 ｅ Ｃ ｎｒ Ｓｔ ｒｉ 、 ｓ ｎ ｏ Ｓ ｃ Ｗｉ ｃ 在进行网络数据包采集的时候 ， 我们首先要 Ｐｒｍｅｅｓ ａａ ｔ 子项 中保 存 着 Ｗｉｓｃ Ｐ 的相 关 运行相应的网络通信软件 ， Ｉ Ｑ等 ， ｒ ｎ ｋ ２Ｓ Ｉ ｏ 如 ＥＱ 还必须说 传 输报 务提供 者 名 字 空间服 务提 供 者 信 息 ，所 以我 们 只需要 对 注册 表项 作 很小 的改 动 明的是 ，该程序在 网络通信软件运行前就加载入 信． 传输数 就可以完成对 Ｓ Ｉ Ｐ 的配置操作了。 我们将． ｅ ｅ 用三 系统，这样才能保证采集到的数据包是我们正在 ｘ 据包 ， 流量控 制 和错 误控制等 服务 。 个函数来实现， 分别实现的功能为： Ｌ安装和卸 网段上传输交互的。由于该程序在通信的底层加 ＤＬ 传输服务提供者（ｒｖｄｒ３分为基础服务 载；Ｐ 的注册表操作 ；定义宏来完成对调试信息 载 了—个层面，该层面在采集包时代替了原有的 Ｐｏｉｅ）Ｌ ＳＩ 提供者和分层服务提供者， 它们的关系图如图： 的输 出 。 系统对通信进行控制 ，并且程序采用调试信息的 Ａ ． … … …一 ．…… … ． Ｐ１ … … 一 ．… … ． 一 在 Ｄ Ｌ文 件 中应 该 完成 如下 的功能 ： Ｌ 方式来输出数据封包 ，所 以执行程序时有可能会 ｗ �
无 用 包 和有 害 包 ， 高 网络 吞 吐 量 ， 护 网络 安 全 的 目的 。 提 保
关 键 词 ： ｎｏｋ 以 太 网数 据 包 ； 集 方 法 Ｗｉｓ ； ｃ 采
以太 网数 据 包 采集 主 要 目的 是对 已经 封 装 好的数据本 身所携带 的标志信息进行分析和处 理，并通过对每个数据包的监控来达到清除无用 包和有害包 ， 提高网络吞吐量 ， 保护网络安全的目 的。以太 网数 据包采 集可 以采用 多种 截取 方式 ， 可 以使用 在传输层编写过滤驱动程序或采用 Ｎ Ｉ ＤＳ 中间驱 动程序 来载 取 ， 以及 ＷＩ Ｓ Ｃ Ｎ Ｏ Ｋ编程 。我们 推荐使用 Ｖ Ｃ语言的 ＷＩ Ｓ Ｃ Ｎ Ｏ Ｋ编程方法 ，因为 ｖｃ ＋ ＋ 比其 它类 的语 言更 具有 可 塑性 ， 码 具有 更 代 好 封 装 性 ， 承性 ， 及不 可 替代 的可 移 植性 ， 继 以 并 且 为 我 们提 供 了 Ｗｉｓ ｋ方 法 及其 相 关 的 函数 ， ｎｏ ｃ 由此我们可以选用 ｗｎ ｏ ｓ２Ｓ １ ｉｄｗ Ｐ 方法编程． 使用 ｓ ｋｔ ， ｃ ｏ ｅ 类 自定义函数对注册表进行读写， 输出接 口的调试信息。截取数据包的程序放在 Ｄ Ｌ文件 Ｌ 中， 编写安装文件用于调用读取动态链接库 ， 来完 成对于数据包的采集和分析。 Ｗｉｄｗ ２ 术 引入 了新 的 编程 接 口，利用 ｎｏｓ技 这种 技术 可以 在 Ｓ ｋｔ ｃ ｏ ｅ 中插 入一层 ．从 而可 以完 成扩 展 Ｔ Ｐ Ｐ协议 ， Ｒ ＣＡ Ｕ Ｌ过滤 网络 安 全控 制 等功 能。Ｗｉｓ ｋ是为上层应用 程序提供一种标准网 ｎｏ ｃ 络接 口。Ｗｉｓ ｋ２引 入 的—个新 功 能 就是 打破 ｎｏ ｃ 服务提供者的透明，可以编写 自己的服务提供者 程序 Ｓ ＩＳ Ｉ Ｐ。Ｐ 以动态链接库的形式存在 ， 它工作在 应用层， 为上层 Ａ Ｉ Ｐ 调用提供接 口函数。当自己编 写的 Ｓ Ｉ Ｐ 程序安装到系统之后， 所有的 ＷＩ Ｓ Ｋ Ｎ ＯＣ 请求都会先发送到这个程序并由它完成 网络调 用， 因为系统提供的 Ｓ Ｉ Ｐ 已经完成网络传输功能 ． 因此可以 自己编写 的程序不必对这部分 再进处
维普资讯
信Ｉ 科 学 息
科 黑江— 技信总 — 龙— —
基于 Ｗｉ ｏｋ的以太网数据包采集方法及实现 ｎｃ ｓ
中心 ， 龙 江 哈 尔滨 １０ ０ ） 黑 黑 ５ ０ ０
摘 要： 以太网数据包采集主要 目的是 对 已经封装好 的数据 本身所携带的标志信息进行分析和 处理 ， 并通 过对每个数据 包的监控 来达到 清除