编写自己的网络嗅探器讲解

《网络与信息安全》课程设计报告班级学号：姓名：题目：评阅：成绩：2011年1月目录一、开发背景1、网络安全现状。

2、开发意义。

二、设计分析1、实现目标。

2、开发技术简介。

三、详细设计1、嗅探原理。

2、代码设计。

四、测试运行五、总结六、参考文献摘要网络嗅探器是作用在网络上的一种监听程序，它是系统管理员的一个得力助手，管理员可以用它来分析网络。

例如当网络繁忙时可利用它来查找是哪一段网络繁忙，数据报文是属于哪一种协议，这样可以计算出哪种业务受欢迎。

但是当有黑客使用它时，它又变得很可怕。

它可以非法获取一些保密性信息，如帐号、密码等，它带来的负面破坏是非常大的。

作为从事网络安全技术方面的人员来说，要想有效地利用它、防范它就得深入地学习、分析网络嗅探技术。

1、本设计的基本任务是设计一个嗅探软件，实现对常用网络数据包抓取、分析。

2、软件所要完成对本机在网络中的通信数据,比如协议类型，源、目的地址和端口、数据包的大小等加以分析的功能。

3、本设计用到的开发工具为Microsoft Visual Studio 2010 开发环境为Windows 7。

4、程序由韩瑞彬同学和我共同完成，本人主要负责主界面的设计和网络数据包的抓取，韩瑞彬同学负责对数据包的解析设计。

关键字：嗅探器，安全，黑客，数据报文一、开发背景1、网络安全现状随着各种新的网络技术的不断出现、应用和发展，计算机网络的应用越来越广泛，其作用也越来越重要。

但是由于计算机系统中软硬件的脆弱性和计算机网络的脆弱性以及地理分布的位置、自然环境、自然破坏以及人为因素的影响，不仅增加了信息存储、处理的风险，也给信息传送带来了新的问题。

计算机网络安全问题越来越严重，网络破坏所造成的损失越来越大。

Internet 的安全已经成为亟待解决的问题。

多数黑客入侵成功并植入后门后的第一件事就是选择一个合适当前网络的嗅探器，以获得更多的受侵者的信息。

嗅探器是一种常用的收集有用数据的方法，可以作为分析网络数据包的设备。

网络与信息安全课程设计网络嗅探器的设计和实现学院：计算机科学与技术班级：网络工程08-1班姓名：学号：指导老师：目录一、什么是嗅探器--------------------------------------------1二、嗅探器的作用---------------------------------------------1三、网络嗅探器的原理-----------------------------------------1四、反嗅探技术----------------------------------------------7五、网络嗅探器的设计-----------------------------------------8六、结语---------------------------------------------------14参考书目--------------------------------------------------14网络嗅探器的实际与实现一、什么是嗅探器嗅探器，可以理解为一个安装在计算机上的窃听设备它可以用来窃听计算机在网络上所产生的众多的信息。

简单一点解释：一部电话的窃听装置, 可以用来窃听双方通话的内容，而计算机网络嗅探器则可以窃听计算机程序在网络上发送和接收到的数据。

可是，计算机直接所传送的数据，事实上是大量的二进制数据。

因此, 一个网络窃听程序必须也使用特定的网络协议来分解嗅探到的数据，嗅探器也就必须能够识别出那个协议对应于这个数据片断，只有这样才能够进行正确的解码。

计算机的嗅探器比起电话窃听器，有他独特的优势：很多的计算机网络采用的是“共享媒体"。

也就是说，你不必中断他的通讯，并且配置特别的线路，再安装嗅探器，你几乎可以在任何连接着的网络上直接窃听到你同一掩码范围内的计算机网络数据。

我们称这种窃听方式为“基于混杂模式的嗅探”（promiscuous mode）。

网络攻击与防御技术实验报告实验目的：本实验通过研究Winpcap中常用的库函数的使用方式来实现了一个小型的网络数据包抓包器，并通过对原始包文的分析来展示当前网络的运行状况。

实验内容：1.实现对网络基本数据包的捕获2.分析捕获到的数据包的详细信息实验环境：1.WpdPack_4_0_1支持库2.VC++6.0开发环境3.Windows操作系统实验设计：系统在设计过程中按照MVC的设计模式，整体分为三层。

第一层为Control层即控制层，这里为简化设计，将Control层分为两个部分，一部分为网络报文输入，另一部分为用户输入；第二层是Model层即模型层；第三层为View层即显示层。

系统的整体运行过程为：从Control层得到数据，交到Model层进行处理，将处理完的结果交View层进行显示。

Control层主要用于网络数据包的捕获以及获得用户的输入；Model层主要用于分析数据包，处理用户的输入；View层主要用于对处理后的结果进行显示。

详细过程：程序在执行过程中有两个核心的工作，一是调用Winpcap函数库实现下层抓包。

二是对抓到的包文进行分析。

下面分别列出两个核心过程的基本算法与相关的实现代码。

抓包算法：第一：初始化Winpcap开发库第二：获得当前的网卡列表，同时要求用户指定要操作的网卡第三：获得当前的过滤规则，可为空第四：调用库函数，pcap_loop（），同时并指定其回调函数，其中其回调函数为数据包分析过程。

对应的相应核心代码为：I f((pCap=pcap_open_live(getDevice()->name,65536,1,1000,strErrorBuf))==NULL){ return -1; }If(pcap_compile(pCap, &fcode, filter, 1, NetMask) < 0){ return -1; }if(pcap_setfilter(pCap, &fcode)<0){ return -1; }do{pcap_loop(pCap,1,pcap_handle,NULL);}while(nFlag);分析算法：第一：得到数据包，先将其转存到内存里，以备以后再用。

计算机科学与技术学院课程设计报告2012— 2013学年第二学期课程名称计算机网络设计题目简单的网络嗅探器姓名学号专业班级指导教师2013年 6 月17日目录摘要 (2)关键词 (2)1 网络嗅探概述 (3)1.1 网络嗅探的简介 (3)1.2 相关的网络知识 (3)1.2.1 交换基础 (3)1.2.2 路由基础 (4)1.2.3网卡的工作原理 (5)1.3 基于网卡混杂模式的嗅探原理 (6)1.4 基于arp欺骗的嗅探原理 (6)1.5 网络嗅探的安全威胁 (7)1.6 网络嗅探的防范 (8)1.6.1 检测嗅探器 (8)1.6.2 将数据隐藏，使嗅探器无法发现 (8)2 基于原始套接字的嗅探程序 (9)2.1 嗅探实现 (9)2.2 嗅探运行结果 (26)2.2.1 嗅探普通数据包 (26)2.2.2 嗅探HTTP敏感信息 (26)2.2.3 嗅探FTP敏感信息 (27)小结 (29)参考资料 (29)网络嗅探器的设计与实现Design and implementation of network sniffer摘要近年来，伴随着网络技术的发展和网络应用的普及，互联网已经成为信息资源的重要载体和主要传布途径，从而使得网络的安全性和可靠性越来越受到关注和重视。

因此，对于能够很好的分析与诊断网络，测试网络性能与安全性的工具软件的需求越发迫切。

网络嗅探器作为分析与诊断网络，测试网络性能与安全性的工具软件之一，具有两面性。

攻击者可以通过使用它来监听网络中数据，达到非法截取信息的目的，网络管理者可以通过使用嗅探器捕获网络中传输的数据包并对其进行分析，分析结果可供网络安全分析之用。

本文对网络嗅探技术进行了简要分析，研究了网络数据包的捕获机制，如winpcap、原始套接字。

文中首先分析了嗅探的原理和危害,并介绍了几种常见的嗅探器，然后研究了入侵检测系统中使用的包捕获技术。

本文利用原始套接字在windows平台下实现了一个网络嗅探器程序，完成了对数据包进行解包、分析数据包的功能。

毕业论文题目：网络嗅探器的设计与实现学院：数学与信息工程学院专业：计算机科学与技术此毕业设计还包括以下文件，需要的下载后留下邮箱方便发给大家网络嗅探器的设计与实现摘要：嗅探器，英文可以翻译为Sniffer，是一种基于被动侦听原理的网络分析方式。

使用这种技术方式，可以监视网络的状态、数据流动情况以及网络上传输的信息。

实际上Sniffer技术被广泛地应用于网络故障诊断、协议分析、应用性能分析和网络安全保障等各个领域。

本次设计完成了一个较为简单的嗅探器，它实现了对本机的网络监控的作用，对IP包进行了分析，获得其运行的信息。

信息包括了源IP地址，目标IP地址，协议，时间，吞吐量，识别码，校验码，长度等等。

也可以保存所需要的包信息，也可选择所要嗅探的协议类型，以便获得要想的信息。

同时，通过POP3服务器设置端口的值来获取数据包，得到登入邮箱的帐号和密码。

关键词：嗅探器；协议；数据包；监听；吞吐量Design and Implementation of snifferZhang yin(College of Mathematics and Information Engineering, Jinxing University)Abstract：Sniffer, can be translated into English Sniffer,is a passive network analysis method based on the principle of listener. The use of such technology, can monitor the status of networks, data flows and information of network transmission. In fact Sniffer technology is widely used in network diagnosis, analysis of the agreement, performance analysis of the application and network security, and other fields.The design complete a relatively simple sniffer, it realized that the local network monitoring role, analysis the information of IP packet and get their information about the running system. Information includes the source address,destination address, protocol, time, throughput, identification, checking code, length and so on. It can save the information of required packet, and can choose the type of protocol to be sniffing, in order to get to the information.Meanwhile,it can get the Email’s log-mail account and password by analysis the port valu of the POP3 Server.Keywords：Sniffer; Protocol; Data packet; Monitor; Throughput目录1 绪论 (5)1.1 课题背景 (5)1.2 网络嗅探器的概述 (6)1.2.1 网络嗅探器的概念与原理 (6)1.2.2 网络嗅探的检测和防范 (7)1.2.3 网络嗅探器软件需要解决的问题 (8)2 网络嗅探器设计相关技术简述 (8)2.1 在交错环境下的嗅探技术 (8)2.1.1 ARP欺骗 (8)2.1.2 交换机MAC地址表溢出 (9)2.1.3 MAC地址伪造 (9)2.1.4 ICMP路由器发现协议欺骗 (9)2.1.5 ICMP重定向攻击 (9)2.2 C#语言编程 (10)2.3 网络协议 (10)2.3.1 IP (10)2.3.2 TCP (11)2.3.3 UDP (11)3 系统需求分析 (12)3.1 系统性能要求 (12)3.2 软件实现的功能 (12)4 网络嗅探器的相关拓展 (14)总结 (16)致谢 (16)参考文献 (17)附件 (18)1 绪论嗅探器，Sniffer是一种常用的收集有用数据方法，这些数据可以是用户的帐号和密码，可以是一些商用机密数据等等。

1实验名称网络嗅探实验2实验目的掌握网络嗅探工具的使用，捕获FTP数据包并进行分析，捕获HTTP数据包并分析，通过实验了解FTP、HTTP等协议明文传输的特性，以建立安全意识。

3实验内容实验原理网络嗅探器Sniffer的原理：1）Sniffer即网络嗅探器，用于监听网络中的数据包，分析网络性能和故障。

Sniffer 主要用于网络管理和网络维护，系统管理员通过Sniffer可以诊断出通过常规工具难以解决的网络疑难问题，包括计算机之间的异常通信、不同网络协议的通信流量、每个数据包的源地址和目的地址等，它将提供非常详细的信息。

2）网卡有几种接收数据帧的状态：unicast（接收目的地址是本级硬件地址的数据帧），Broadcast（接收所有类型为广播报文的数据帧），multicast（接收特定的组播报文），promiscuous（目的硬件地址不检查，全部接收）3）以太网逻辑上是采用总线拓扑结构，采用广播通信方式，数据传输是依靠帧中的MAC地址来寻找目的主机。

4）每个网络接口都有一个互不相同的硬件地址（MAC地址），同时，每个网段有一个在此网段中广播数据包的广播地址5）一个网络接口只响应目的地址是自己硬件地址或者自己所处网段的广播地址的数据帧，丢弃不是发给自己的数据帧。

但网卡工作在混杂模式下，则无论帧中的目标物理地址是什么，主机都将接收6）通过Sniffer工具，将网络接口设置为“混杂”模式。

可以监听此网络中传输的所有数据帧。

从而可以截获数据帧，进而实现实时分析数据帧的内容。

实验步骤说明和截图1）熟悉Sniffer 工具的使用Sniffer 主界面从文件菜单中选择适配器，标题栏将显示激活的探测器选择适配器文件菜单----选择网络探测器/适配器（N）----显示所有在Windows中配置的适配器菜单与工具栏状态栏网络监控面板Dashboard红色显示统计数据的阀值使用Dashboard作为网络状况快速浏览Host table（主机列表）Detail（协议列表）Matrix （网络连接）2）捕获FTP数据包并进行分析分组角色：学生A进行FTP连接，学生B使用Sniffer监视A的连接。

网络嗅探器网络嗅探器是一种网络安全工具，可以监听、捕捉和分析网络数据包，用于发现网络中的漏洞和安全问题。

本文将从网络嗅探器的原理、使用方法和应用场景三个方面来介绍网络嗅探器。

一、网络嗅探器的原理网络嗅探器的原理是通过监听网络通信，捕捉网络数据包，并对其进行分析。

其基本工作原理可以概括为以下几点：1. 网络嗅探器通过网络接口卡（NIC）来读取网络数据包。

2. 当数据包到达网卡时，嗅探器会复制一份数据包，然后将其传输到嗅探器中。

3. 嗅探器将捕获到的数据包分解成协议层次，以便更好的分析。

4. 嗅探器将分析数据包的内容，并记录下其中的关键信息。

5. 最后，嗅探器会将分析结果返回给用户，以帮助他们识别网络漏洞和安全问题。

网络嗅探器的工作原理虽然简单，但其使用需要一定的技能和知识。

因此，用户需要花费一些时间学习并掌握网络嗅探器的使用方法。

二、网络嗅探器的使用方法1. 安装网络嗅探器首先，需要下载并安装网络嗅探器。

常见的网络嗅探器有Wireshark和Tcpdump等，这些工具都可从官方网站上免费下载。

2. 选择需要监听的网卡安装完成后，需要选择要监听的网络接口卡（NIC）。

用户可以在嗅探器界面上选择需要监听的网卡。

一般来说，用户需要选择与其所使用的网络环境相对应的网卡。

3. 分析网络数据包成功选择网卡后，用户可以开始分析网络数据包了。

为了提高分析效率，用户可以根据需要进行过滤，比如只监控某个IP地址或端口等信息。

4. 查找网络漏洞当找到一个网络包时，网络嗅探器会对其进行分析，并提供相关的信息。

用户可以利用这些信息来查找网络漏洞，并采取相应的措施。

5. 提高嗅探器的可用性为了提高嗅探器的可用性，用户可以在嗅探器界面上设置相关的参数，比如数据包缓冲区大小、捕获窗口大小等。

这些参数可以帮助用户找到更多的网络漏洞和安全问题。

三、网络嗅探器的应用场景网络嗅探器在网络安全领域中有着广泛的应用场景。

以下是几个常见的应用场景：1. 监听网络流量网络嗅探器可以帮助管理员监控网络流量，了解网络使用情况，并识别潜在的网络攻击。

网络嗅探器的工作原理随着网络技术的不断进化和普及，人们使用网络的频率越来越高。

网络安全问题也日益受到重视，为了保障网络安全，网络嗅探器应运而生。

网络嗅探器是一种被广泛应用于网络管理、网络安全等领域的工具，它可以对网络数据包进行抓取、分析和查询，从而帮助管理员监控网络、检测网络中的安全隐患。

本文就是要介绍网络嗅探器的工作原理。

一、网络嗅探器的基本原理网络嗅探器是一种软件工具，主要用于抓取和分析网络数据包。

网络数据包是在网络中流动的载体，其中包含了各种信息，比如网址、IP、端口和数据等。

网络嗅探器利用网络适配器（网卡）和操作系统提供的底层 API，通过监听网络传输的原始数据包，并对数据包进行分析，从而提取出其中的重要信息。

网络嗅探器的基本工作流程如下：1. 打开网络适配器并指定分析的数据包类型（例如，IP、TCP、UDP、ICMP等）和过滤规则：网络嗅探器首先需要打开一个适配器，并且指定要分析的数据包类型。

根据实际需要，管理员可以选择不同的适配器和分析模式。

例如，在 Windows 系统中，可以通过 WinPCap 库实现网络嗅探功能，WinPCap 提供了捕获和处理网络数据包的 API 接口，用户可以通过这些接口实现对数据包的分析。

通过设置过滤规则，可以帮助用户只抓取指定类型的网络数据包，并排除无关的数据包，从而减少抓包数据量，提高分析效率。

2. 监听网络数据包并进行抓取和分析：网络嗅探器的第二个重要任务是监听网络数据流，并抓取要分析的数据包。

当数据包被捕获后，嗅探器会对其进行解码和解析，还原出 IP 头、TCP 头或 UDP 头等数据内容，从而得到数据包中包含的重要信息，如 IP 地址、源目标端口、协议类型等。

对于加密或压缩过的数据包，网络嗅探器无法直接处理，需要对其进行解密和解压缩处理后才能进行分析。

3. 分析抓包数据、生成统计信息并输出结果：网络嗅探器的第三个任务是对抓包数据进行分析并输出结果。

简易网络嗅探器网络嗅探器在网路安全方面扮演很重要的角色。

使用网络嗅探器可以把网卡设置为混杂模式，并可实现对网络上传输的数据包的捕获与分析。

次分析结果可供网络安全分析之用，更有可能被用来做一些黑客行为。

本文将详细介绍嗅探器的实现原理，并给出一个简单的实例。

嗅探器设计原理通常的套接字程序只能响应与自己MAC地址相匹配的或是一广播形式发出的数据帧，对于其他形式的数据帧网络接口采取的动作是直接丢弃。

为了使网卡接受所有经过他的封包，要将其设置为混杂模式。

在用户模式下，对网卡混杂模式的设置是通过原始套接字来实现的。

原始套接字创建之后，将它绑定到一个明确的本地地址，然后向套接字发送SIO_RCVALL 控制命令，让他接收所有的IP包，这样网卡便进入了混杂模式。

设置SIO_RCV ALL ioctl之后，在原始套接字上对recv/WSARecvDE 的调用将返回IP数据报，其中包含了完整的IP头，IP头后面可能是UDP头，也可能是TCP头，这要看发送封包用户说使用的协议了。

以前的杂志中已经详细的介绍过IP头、UDP头和TCP头了。

这里我就不再赘述了，详细内容请查看以前的杂志。

详细结构代码如下：IP头typedef struct _IPHeader // 20字节的IP头{UCHAR iphVerLen; // 版本号和头长度（各占4位）UCHAR ipTOS; // 服务类型USHORT ipLength; // 封包总长度，即整个IP报的长度USHORT ipID; // 封包标识，惟一标识发送的每一个数据报USHORT文章出处：飞诺网(/course/3_program/c++/cppxl/2008912/142325.html) ; ipFlags; // 标志UCHAR ipTTL; // 生存时间，就是TTLUCHAR ipProtocol; // 协议，可能是TCP、UDP、ICMP等USHORT ipChecksum; // 校验和ULONG ipSource; // 源IP地址ULONG ipDestination; // 目标IP地址} IPHeader, *PIPHeader;UDP头typedef struct _UDPHeader{USHORT sourcePort; // 源端口号USHORT destinationPort;// 目的端口号USHORT len; // 封包长度USHORT checksum; // 校验和} UDPHeader, *PUDPHeader;TCP头// 定义TCP/index.php/Main_Page-->文章出处：飞诺网(/course/3_program/c++/cppxl/2008912/142325_2.html) es New Roman'; mso-hansi-font-family: 'Times New Roman'">标志#define TCP_FIN 0x01#define TCP_SYN 0x02#define TCP_RST 0x04#define TCP_PSH 0x08#define TCP_ACK 0x10#define TCP_URG 0x20#define TCP_ACE 0x40#define TCP_CWR 0x80typedef struct _TCPHeader // 20字节的TCP头{USHORT sourcePort; // 16位源端口号USHORT destinationPort; // 16位目的端口号ULONG sequenceNumber; // 32位序列号ULONG acknowledgeNumber; // 32位确认号UCHAR dataoffset; // 高4位表示数据偏移UCHAR flags; // 6位标志位//FIN - 0x01//SYN - 0x02//RST - 0x04//PUSH- 0x08文章出处：飞诺网(/course/3_program/c++/cppxl/2008912/142325_3.html) USHORT windows; // 16位窗口大小USHORT checksum; // 16位校验和USHORT urgentPointer; // 16位紧急数据偏移量} TCPHeader, *PTCPHeader;具体实现跟据前面的设计思路，不难写出网络嗅探器的实现代码，下面给出一个间的的示例，它可以捕获到所有经过本地网卡的数据报，并可以从中分析出协议、IP源地址、IP目标地址、TCP 源端口号和TCP目标端口号等信息。

网络嗅探实验报告网络嗅探实验报告近年来，随着互联网的普及和发展，人们对网络安全的关注也日益增加。

网络嗅探作为一种常见的网络安全技术，被广泛应用于网络管理、数据分析等领域。

本文将通过一个网络嗅探实验，探讨其原理、应用以及对个人隐私的影响。

一、网络嗅探的原理和技术网络嗅探是一种通过监听网络通信流量并分析其中的数据包，获取有关网络活动的信息的技术。

它基于网络数据包的捕获和解析，可以实时监测网络中的数据传输，并提取出关键信息。

在实验中，我们使用了一款常见的网络嗅探工具Wireshark。

Wireshark能够捕获网络数据包，并以图形化的方式展示捕获到的数据。

通过对捕获到的数据包进行分析，我们可以了解网络中的通信行为、协议使用情况等。

二、网络嗅探的应用领域网络嗅探技术在许多领域都有广泛的应用。

首先，它在网络管理和故障排除方面发挥着重要作用。

通过对网络数据包的捕获和分析，网络管理员可以监测网络中的流量、识别异常活动，并及时采取相应措施。

其次，网络嗅探技术在网络安全领域也有重要应用。

通过分析网络数据包，可以发现潜在的安全威胁、检测入侵行为，并提供相应的安全防护措施。

此外，网络嗅探还可以用于网络性能优化、网络流量分析等方面。

三、网络嗅探对个人隐私的影响然而，网络嗅探技术的广泛应用也引发了对个人隐私的担忧。

在网络嗅探过程中，个人的通信数据可能被捕获并分析。

这涉及到个人隐私的泄露问题。

尽管网络嗅探通常是为了网络管理和安全目的进行，但滥用网络嗅探技术可能导致个人隐私受到侵犯。

为了解决这一问题，一方面，网络嗅探的使用应受到法律和道德的限制。

相关的法律法规应当明确规定网络嗅探的范围和条件，以保护个人隐私。

另一方面，个人在使用互联网时也应加强自身的网络安全意识，采取相应的隐私保护措施，如使用加密协议、定期更换密码等。

四、网络嗅探实验的结果与反思通过实验，我们成功捕获了网络数据包，并对其进行了分析。

我们发现了许多有趣的现象，比如不同协议的使用情况、网络流量的分布等。

摘要：本文介绍一个用C语言和网络数据包分析开发工具实现的简易网络Sniffer。

要害词：网络；数据包；Sniffer引言目前，已经有不少的Sniff工具软件，如Windows环境下，最富盛名的工具是Netxray和Sniffer pro，用它们在Windows环境下抓包来分析，非常方便。

在UNIX环境下如Sniffit，Snoop，Tcpdump，Dsniff 等都是比较常见的。

这里介绍一个用C语言和网络数据包和分析开发工具libpcap及winpcap实现的简易网络Sniffer。

网络嗅探器程序框图首先给出流程如图1所示。

图1 流程图网络嗅探器程序实现在c环境下编程，源码如下：/* June 2nd，2002* Project for graduation qualification By Bby Team 19 */ #include ＜stdio.h＞#include ＜conio.h＞//必须加路径，必须把头文件packet32.h包含进去#include "..\..\Include\packet32.h"#include "..\..\Include\ntddndis.h"#define Max_Num_Adapter 10// Prototypes原形//发包void PrintPackets(LPPACKET lpPacket);//设备列表char AdapterList[Max_Num_Adapter][1024];// 主程序开始int main(){//define a pointer to an ADAPTER strUCture设备指针LPADAPTER lpAdapter = 0;//define a pointer to a PACKET structure包指针LPPACKET lpPacket;int i;DWord dwErrorCode;DWORD dwVersion;DWORD dwWindowsMajorVersion;//Unicode strings (WinNT)WCHAR AdapterName[8192]; //网络适配器设备列表WCHAR *temp,*temp1;//ASCII strings (Win9x)char AdapterNamea[8192]; //网络适配器设备列表char *tempa,*temp1a;int AdapterNum=0,Open;ULONG AdapterLength;char buffer[256000]; // 容纳来自驱动器的数据的缓冲区struct bpf_stat stat;// 获得本机网卡名AdapterLength=4096;printf("Packet.dll test application. Library version:%s\n", PacketGetVersion());printf("Adapters installed:\n");i=0;下面这段代码是用来在不同版本下得到网络适配器名：Win9x 和WinNT中的网卡名称是分别用ASCII和UNICODE实现的，所以首先要得到本地操作系统的版本号：dwVersion=GetVersion();dwWindowsMajorVersion= (DWORD)(LOBYTE(LOWORD(dwVersion)));这里首先用到的Packet.dll函数是PacketGetAdapterNames（PTSTR pStr，PULONG BufferSize,通常它是与驱动程序通信并被调用的第一个函数，它将返回的用户本地系统中安装的网络适配器的名字放在缓冲区pStr中；BufferSize是缓冲区的长度：if (!(dwVersion ＞= 0x80000000 && dwWindowsMajorVersion ＞= 4)){//是Windows NT// 找不到设备列表if(PacketGetAdapterNames(AdapterName,&AdapterLength)==FALSE){printf("Unable to retrieve the list of the adapters!\n");return -1;}// 找到设备列表temp=AdapterName;temp1=AdapterName;while ((*temp!='\0')(*(temp-1)!='\0')){if (*temp=='\0'){memcpy(AdapterList[i],temp1,(temp-temp1)*2);temp1=temp+1;i++;}temp++;}// 显示适配器列表AdapterNum=i;for (i=0;i＜AdapterNum;i++)wprintf(L"\n%d- %s\n",i+1,AdapterList[i]);printf("\n");}else //否则就是windows 9x，获取适配器名的方法同WinNT下{if(PacketGetAdapterNames(AdapterNamea,&AdapterLength)==FALSE){ printf("Unable to retrieve the list of the adapters!\n");return -1;}tempa=AdapterNamea;temp1a=AdapterNamea;while ((*tempa!='\0')(*(tempa-1)!='\0')){if (*tempa=='\0'){memcpy(AdapterList[i],temp1a,tempa-temp1a);temp1a=tempa+1;i++;}tempa++;}AdapterNum=i;for (i=0;i＜AdapterNum;i++)printf("\n%d- %s\n",i+1,AdapterList[i]);printf("\n");}下面这段代码就是让用户选择监听的网络适配器号：// 选择设备do{printf("Select the number of the adapter to open : ");scanf("%d",&Open);if (Open＞AdapterNum)printf("\nThe number must be smaller than %d",AdapterNum);} while (Open＞AdapterNum);然后，将所选择的设备打开，这里可以设置为“混杂”模式打开，也可以是“直接”模式打开。

一个网络嗅探工具的开发摘要随着网络技术的飞速发展，网络安全问题越来越被人重视。

嗅探技术作为网络安全攻防中最基础的技术，既可以用于获取网络中传输的大量敏感信息，也可用于网络管理。

通过获取网络数据包的流向和内容等信息，可以进行网络安全分析和网络威胁应对。

因此对网络嗅探器的研究具有重要意义。

本毕业设计通过分析网络上常用的嗅探软件，在了解其功能和原理的基础上，以VC 为开发平台，使用Windows环境下的网络数据包捕获开发库WinPcap，按照软件工程的思想进行设计并实现了一个网络嗅探工具。

该嗅探工具的总体架构划分为5个部分，分别是最底层的数据缓存和数据访问、中间层的数据捕获、协议过滤、协议分析和最顶层的图形化用户界面。

本嗅探工具完成了数据包捕获及分析、协议过滤的主要功能，实现了对网络协议、源IP地址、目标IP地址及端口号等信息的显示，使得该程序能够比较全面地分析出相关信息以供用户参考决策。

关键词：网络嗅探；WinPcap编程接口；数据包；网络协议；多线程THE DEVELOPMENT OF A NETWORK SNIFFER TOOLABSTRACTNetwork security is increasingly being seriously with the rapid development of computer technologies. Sniffer technology, as the most basic technology in network attack and defense, can be used to access amounts of sensitive network information in the network transmission, and also be used for network management. We can analysis network security and deal with network threats with information of captured packet. Therefore, it is of significance to study network sniffer technology.This Graduation Project implemented a network sniffer tool by analysising commonly used network sniffer software, in the base of understanding their functions and principle. This project is developed under the Windows environment, and using VC as development platform, WinPcap as network packet capture Development Library, according to the idea of software engineering design. The general framework of the sniffer tool has five parts, namely, the lowest level of data caching and data access, the middle layer of data capture、protocol filtering、protocol analysis, and the most top-level graphical user interface.The program completed the main functions of packet capture, analysis and protocol filtering. Information displayed in network protocol, source and target IP address and port number, can be more comprehensive analysized by users to refer and make decision.Key words：network sniffer; WinPcap API; data packet; network protocol; multi-threading目录1 绪论 (1)背景及意义 (1)任务与目标 (2)章节安排 (2)2 技术背景 (3)嗅探原理 (3)捕获机制 (4)Winpcap功能介绍 (5)Winpcap体系结构 (5)3 需求分析 (8)用户需求 (8)功能需求 (8)性能需求 (9)运行环境 (9)4 设计概要 (10)系统结构 (10)设计思路 (10)程序流程 (11)5 详细设计与实现 (12)WinPcap设计步骤 (12)WinPcap的安装 (12)相关函数 (13)数据结构 (13)与Windows相关函数 (15)网络接口函数 (15)网络适配器的设计 (16)函数调用关系 (16)适配器的获取与释放 (18)适配器的打开与关闭 (19)多线程设计 (19)过滤模块设计 (22)捕获模块设计 (24)分析模块设计 (25)其它模块设计 (27)6 程序调试及测试 (28)程序调试 (28)程序测试 (29)7 总结 (34)成果 (34)展望 (35)参考文献 (36)致谢 (36)附录主要代码 (38)1 绪论嗅探器是一种利用计算机网络接口监视网络数据运行、截获网络数据的工具，可用于网络管理[1]、网络协议分析[2]以及网络安全等众多方面。

网络嗅探器的设计与实现Design and implementation of network sniffer摘要网络嗅探器无论是在网络安全还是在黑客攻击方面均扮演了很重要的角色。

通过使用网络嗅探器可以把网卡设置于混杂模式，并可实现对网络上传输的数据包的捕获与分析。

此分析结果可供网络安全分析之用，但如为黑客所利用也可以为其发动进一步的攻击提供有价值的信息。

可见，嗅探器实际是一把双刃剑。

虽然网络嗅探器技术被黑客利用后会对网络安全构成一定的威胁，但嗅探器本身的危害并不是很大，主要是用来为其他黑客软件提供网络情报，真正的攻击主要是由其他黑软来完成的。

而在网络安全方面，网络嗅探手段可以有效地探测在网络上传输的数据包信息，通过对这些信息的分析利用是有助于网络安全维护的。

本设计是网络嗅探器的设计与实现，介绍一种在Visual C++下用C语言和网络数据包分析开发工具来实现捕获并分析在网络上传输的数据包的简单方法。

本程序实现的基本功能：指定局域网内的任一ip地址，能分析包的类型，结构，流量的大小。

附加功能：输出目的ip地址，目的端口，udp数据地址，ip头部长度，udp头部长度，数据包大小。

关键词：网络嗅探器数据包捕获分析网络协议WinPcap编程接口多线程目录摘要 (2)关键词 (2)1 网络嗅探概述 (4)1.1 网络嗅探的背景 (4)1.2 相关的网络知识 (4)1.3 嗅探器设计原理 (5)1.4 嗅探器的具体实现 (9)2 附录（源代码） (13)小结 (16)参考资料 (16)网络嗅探概述1.1 网络嗅探的背景网络嗅探是指利用计算机的网络接口截获目的地为其它计算机的数据报文的一种手段。

网络嗅探需要用到网络嗅探器，其最早是为网络管理人员配备的工具，有了嗅探器网络管理员可以随时掌握网络的实际情况，查找网络漏洞和检测网络性能，当网络性能急剧下降的时候，可以通过嗅探器分析网络流量，找出网络阻塞的来源。

嗅探器也是很多程序人员在编写网络程序时抓包测试的工具，因为我们知道网络程序都是以数据包的形式在网络中进行传输的，因此难免有协议头定义不对的。