WinpCap 编写抓包程序

利用WinpCap 编写抓包程序

网友：yeahilly 发布于：2008.05.20 11:12(共有条评论) 查看评论| 我要评论

WinpCap是一个公开的免费的抓包驱动加开发包，利用它，可以大大缩短我们的开发周期。

首先，先枚举系统中的所有网卡：

/* 获取设备列表*/

if (pcap_findalldevs(&alldevs, errbuf) == -1)

{

fprintf(stderr,"Error in pcap_findalldevs: %s\n", errbuf);

exit(1);

}

/* 数据列表*/

for(d=alldevs; d; d=d->next)

{

printf("%d. %s", ++i, d->name);

if (d->description)

printf(" (%s)\n", d->description);

else

printf(" (No description available)\n");

}

然后选择网卡，然后设备。

if ( (adhandle= pcap_open_live(d->name, //设备名

65536, // 捕捉完整的数据包

1 , // 混在模式

1, // 读入超时

errbuf // 错误缓冲

) ) == NULL)

{

printf("Unable to open the adapter");

pcap_freealldevs(alldevs);

return;

}

打开设备之后，我们就可以利用adhandle句柄来正式抓包了，先新建一个回调函数，形如

void packet_handler(u_char* packets,const struct pcap_pkthdr *header,const u_char *data)

{

}

然

后调用pcap_loop(adhandle, 0, packet_handler,

NULL);pcap_loop的最后一个参数和packet_handler的packets参数是对应的，用于在函数间传递数据。WinpCap每收

到一个包就自动调用packet_handler函数，将包的内容作为data参数，我们对data作强制类型转化就可以得到数据包各部分的内容。

事实上，WinpCap开发包除了可以用回调函数抓包外，还可以用非回调的方法。在得到adhandle后不调用pcap_loop，而用下面的方法：while(1)

{

res = pcap_next_ex(adhandle,&header,&data);

if(res==0)

{

Sleep(100);

continue;

}

}

用pcap_next_ex读取数据包内容，至于if(res==0)这一段是为了防止没数据包到达时重复循环。

不多讲了全部源程序可看附件。附件中有两个抓包程序，一个是GUI的，一个是CUI的。CUI程序的运行结果如下：

附件下载：

WinpCap开发包：

WinPcap_4_0_beta3.rar

CUI抓包源程序：

CapPack.rar

GUI抓包源程序（MFC）：

MFCCapPack.rar