编写自己的网络嗅探器讲解
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
20
WinPcap架构之packet.dll
packet.dll是一个提供了一系列底层函数的 动态链接库,功能包括:
安装、启动和停止NPF驱动设备 对网络数据包进行嗅探 发送原始的数据报 获取网卡列表和每一个网络的相关信息 对网卡查询和设置底层参数
21
WinPcap架构之wpcap.dll
据包
17
WinPcap架构
NPF,Netgroup Packet Filter,内核 级的数据报过滤器
packet.dll,底层的动态连接库 wpcap.dll,架构在packet.dll之上,提
供了更方便、更直接的编程方法
18
架构图
19
WinPcap架构之NPF
NPF是WinPcap的核心部件,它处理网络 传输的数据包,并向应用层提供捕捉、发送 和分析数据包的服务
添加头文件目录 添加库文件目录 增加与WinPcap有关的预处理定义 添加pcap.h头文件 添加wpcap.lib库文件 编译并运行测试代码 在此我们用VC 6.0所建的工程为例进行讲解
14
不可或缺的环境
WinPcap V4.1.2: http://www.winpcap.org/install/bi n/WinPcap_4_1_2.exe
驱动程序、Dll文件
WinPcap V4.1.2 Developer’s Pack: http://www.winpcap.org/install/bi n/WpdPack_4_1_2.zip
当前的版本
Stable release WinPcap 4.1.2 Latest release WinPcap 4.1.2
16
WinPcap的功能
获得网卡设备列表及其高级信息 打开一个网卡适配器并将其设置成混杂模式 捕获数据包 设置过滤器 将数据包存储为文件并处理离线文件 发送数据包 收集网络通信流量的统计信息 但是,WinPcap不能修改数据包或者拦截数
编写自己的网络嗅探器
国家计算机网络入侵防范中心
陈深龙、刘奇旭
1
主要内容
实验介绍 开发前准备工作 配置开发环境 用WinPcap捕获数据包 分析数据包 实验过程中可能遇到的问题 实验要求
2
一、实验介绍
实验目的 实验内容 当前流行的嗅探器 以前学生开发的嗅探器
库文件、头文件、简单的示例程序代码和帮助文件
15
WinPcap简介
WinPcap(Windows Packet Capture)是Windows平台下的链路层网 络访问工具,其目的在于为Windows应用 程序提供访问网络底层的能力。
官方网站: http://www.winpcap.org
[2] Loris Degioanni, Mario Baldi, Fulvio Risso, and Gianluca Varenn . Profiling and Optimization of Software-Based Network Analysis Applications
24
三、配置开发环境
3
实验目的
通过开发基于WinPcap的嗅探器,掌握嗅 探器的工作原理,熟悉WinPcap的使用, 掌握基于WinPcap网络嗅探器的开发过程。
4
实验内容
开发出一个Windows平台上的Sniffer工具, 能显示所捕获的数据包并能做相应的分析和统 计。主要内容如下:
列出监测主机的所有网卡,选择一个网卡,设置为 混杂模式进行监听。
数据包 分析
十六进 制码
数据包统 计信息
12
二、开发前准备工作
开发工具 不可或缺的环境 WinPcap简介 WinPcap功能 WinPcap架构 WinPcap入门参考资源 WinPcap经典论文
13
开发工具
开发语言:C++ 集成开发环境
vc 6.0 vs.net 2003 ~ 2010
http://www.ferrisxu.com/WinPc ap/
23
Winpcap经典论文
[1] FulvioRisso, Loris Degioanni, An Architecture for High Performance Network Analysis. Proceeding for the 6th IEEE Symposium on Computers and Communications (ISCC 2001) . Hammmamet July 2001
Wpcap.dll是一个含有WinPcap公共API 的动态链接库,它导出一系列函数供捕获网 络数据包和分析网络,功能包括:
对网络数据包进行嗅探 发送原始的数据报 获取网卡列表和每一个网络的相关信息 将数据包信息保存到磁盘 在更高层上创建包过滤规则并应用到底层
22
WinPcap入门参考资源
WinPcap技术手册 V4.1.2 (an offline version can be found in the developer's pack) :
http://www.winpcap.org/docs/d ocs_412/index.html
WinPcap中文技术手册 V4.01(翻译版):
捕获所有流经网卡的数据包,并利用WinPcap函数 库设置过滤规则。
分析捕获到的数据包的包头和数据,按照各种协议 的格式进行格式化显示。
将所开发工具的捕获和分析结果与常用的Sniffer进 行比较,完善程序代码。
5
当前流行的嗅探器
当前公认的比较好的嗅探器有
Wireshark Sniffer Pro
6
Wireshark主界面
控 制 列
封 包 总 览
封 包 内 容
十六进
制码
7
Sniffer Pro主界面
控 制 列
封 包 总 览
封 包 内 容
十六进
制码
8
以前学生的嗅探器
优秀作品1
主界面 设置过滤器
优秀作品2
9ห้องสมุดไป่ตู้
优秀作品1—主界面
10
优秀作品1—设置过滤器
11
作秀作品2
数据包 列表
WinPcap架构之packet.dll
packet.dll是一个提供了一系列底层函数的 动态链接库,功能包括:
安装、启动和停止NPF驱动设备 对网络数据包进行嗅探 发送原始的数据报 获取网卡列表和每一个网络的相关信息 对网卡查询和设置底层参数
21
WinPcap架构之wpcap.dll
据包
17
WinPcap架构
NPF,Netgroup Packet Filter,内核 级的数据报过滤器
packet.dll,底层的动态连接库 wpcap.dll,架构在packet.dll之上,提
供了更方便、更直接的编程方法
18
架构图
19
WinPcap架构之NPF
NPF是WinPcap的核心部件,它处理网络 传输的数据包,并向应用层提供捕捉、发送 和分析数据包的服务
添加头文件目录 添加库文件目录 增加与WinPcap有关的预处理定义 添加pcap.h头文件 添加wpcap.lib库文件 编译并运行测试代码 在此我们用VC 6.0所建的工程为例进行讲解
14
不可或缺的环境
WinPcap V4.1.2: http://www.winpcap.org/install/bi n/WinPcap_4_1_2.exe
驱动程序、Dll文件
WinPcap V4.1.2 Developer’s Pack: http://www.winpcap.org/install/bi n/WpdPack_4_1_2.zip
当前的版本
Stable release WinPcap 4.1.2 Latest release WinPcap 4.1.2
16
WinPcap的功能
获得网卡设备列表及其高级信息 打开一个网卡适配器并将其设置成混杂模式 捕获数据包 设置过滤器 将数据包存储为文件并处理离线文件 发送数据包 收集网络通信流量的统计信息 但是,WinPcap不能修改数据包或者拦截数
编写自己的网络嗅探器
国家计算机网络入侵防范中心
陈深龙、刘奇旭
1
主要内容
实验介绍 开发前准备工作 配置开发环境 用WinPcap捕获数据包 分析数据包 实验过程中可能遇到的问题 实验要求
2
一、实验介绍
实验目的 实验内容 当前流行的嗅探器 以前学生开发的嗅探器
库文件、头文件、简单的示例程序代码和帮助文件
15
WinPcap简介
WinPcap(Windows Packet Capture)是Windows平台下的链路层网 络访问工具,其目的在于为Windows应用 程序提供访问网络底层的能力。
官方网站: http://www.winpcap.org
[2] Loris Degioanni, Mario Baldi, Fulvio Risso, and Gianluca Varenn . Profiling and Optimization of Software-Based Network Analysis Applications
24
三、配置开发环境
3
实验目的
通过开发基于WinPcap的嗅探器,掌握嗅 探器的工作原理,熟悉WinPcap的使用, 掌握基于WinPcap网络嗅探器的开发过程。
4
实验内容
开发出一个Windows平台上的Sniffer工具, 能显示所捕获的数据包并能做相应的分析和统 计。主要内容如下:
列出监测主机的所有网卡,选择一个网卡,设置为 混杂模式进行监听。
数据包 分析
十六进 制码
数据包统 计信息
12
二、开发前准备工作
开发工具 不可或缺的环境 WinPcap简介 WinPcap功能 WinPcap架构 WinPcap入门参考资源 WinPcap经典论文
13
开发工具
开发语言:C++ 集成开发环境
vc 6.0 vs.net 2003 ~ 2010
http://www.ferrisxu.com/WinPc ap/
23
Winpcap经典论文
[1] FulvioRisso, Loris Degioanni, An Architecture for High Performance Network Analysis. Proceeding for the 6th IEEE Symposium on Computers and Communications (ISCC 2001) . Hammmamet July 2001
Wpcap.dll是一个含有WinPcap公共API 的动态链接库,它导出一系列函数供捕获网 络数据包和分析网络,功能包括:
对网络数据包进行嗅探 发送原始的数据报 获取网卡列表和每一个网络的相关信息 将数据包信息保存到磁盘 在更高层上创建包过滤规则并应用到底层
22
WinPcap入门参考资源
WinPcap技术手册 V4.1.2 (an offline version can be found in the developer's pack) :
http://www.winpcap.org/docs/d ocs_412/index.html
WinPcap中文技术手册 V4.01(翻译版):
捕获所有流经网卡的数据包,并利用WinPcap函数 库设置过滤规则。
分析捕获到的数据包的包头和数据,按照各种协议 的格式进行格式化显示。
将所开发工具的捕获和分析结果与常用的Sniffer进 行比较,完善程序代码。
5
当前流行的嗅探器
当前公认的比较好的嗅探器有
Wireshark Sniffer Pro
6
Wireshark主界面
控 制 列
封 包 总 览
封 包 内 容
十六进
制码
7
Sniffer Pro主界面
控 制 列
封 包 总 览
封 包 内 容
十六进
制码
8
以前学生的嗅探器
优秀作品1
主界面 设置过滤器
优秀作品2
9ห้องสมุดไป่ตู้
优秀作品1—主界面
10
优秀作品1—设置过滤器
11
作秀作品2
数据包 列表