基于WinPcap的网络数据包捕获与分析

利用WIPCAP捕捉IP数据包分析局域网流量1、背景知识1.1、IP协议IP（Internet Protocol，互联网协议）协议是TCP/IP协议族中最为核心的协议，所有的TCP、UDP、ICMP及IGMP数据都以IP数据报格式传输。

IP协议把传输层送来的消息封装成IP数据包，并把IP数据包传递给数据链路层。

IP协议制定了统一的IP数据报格式，向传输层屏蔽了通信子网的差异，从而为消息的收发双方提供了一条透明的传输通道。

IP数据包结构如图1-1：图1-1 IP包结构1.版本IP数据报的第一个域是版本域，其长度为4bit，表示所使用的IP协议的版本。

通信双方使用的IP协议的版本必须一致。

版本域值为4则表示IPv4；版本域值为6则表示IPv6。

当前的版本为IPv4。

2.报头长度报头长度域长度为4bit，它以4个字节为计算单位表示报头的长度，该长度不包含数据部分。

报头中除了IP选项域与填充域之外，其他各项是定长的。

因为很少使用IP选项功能，所以，该域的值一般为5，意味着报头的长度是5个4字节，也就是20个字节。

协议规定：IP数据报的报头长度必须是4字节的整数倍。

当IP报头长度不是4字节的整数倍时，必须利用最后一个填充域“添0”来加以填充。

3.服务类型如图1-2所示，该字段占8bit，包括3bit的优先级字段，4bit的服务类型（type of service，TOS）字段和1bit的保留位，保留位必须置0。

该字段用于指示路由器如何处理该数据报。

图1-2 服务类型字段结构3bit的优先级表示数据报的重要性，共分8级，数值越大等级越高，优先级越高则表示数据报越重要（该字段值现在已被忽略）。

4bit的TOS字段分别表示：最小时延（D）、最大吞吐量（T）、最高可靠性（R）和最小费用（C）。

每个位都有0或1两个值，但4bit中最多只能有一个位的值为1。

如果所有4 bit均为0，那么就意味着是一般服务。

4.总长度总长度域占16 bit，它以字节为单位具体说明包括报头在内的整个IP数据包的总长度。

１、Ｗｉｎｐｃａｐ概述１．１　Ｗｉｎｐｃａｐ简介Ｗｉｎｐｃａｐ（ｗｉｎｄｏｗｓ　ｐａｃｋｅｔ　ｃａｐｔｕｒｅ）是由意大利人Ｆｕｌｖｉｏ　Ｒｉｓｓｏ和ＬｏｒｉｓＤｅｇｉｏａｎｎｉ提出并实现的［１］。

它是一个Ｗｉｎｄｏｗｓ平台下捕包和网络分析的体系架基于Ｗｉｎｐｃａｐ的数据包捕获和协议分析系统的设计与实现李延会　岳彩祥　徐金艳　李亚斐　长春工业大学研究生院　１３００１２构。

它具有访问底层的能力，提供了捕获原始数据包，按照一定规则过滤数据包，以及发送原是数据包的功能．　ＷｉｎＰｃａｐ　为用户级的数据包提供了Ｗｉｎｄｏｗｓ下的一个平台。

ＷｉｎＰｃａｐ是ＢＰＦ模型和Ｌｉｂｐｃａｐ函数库在Ｗｉｎｄｏｗｓ平台下网络数据包捕获和网络状态分析的一种体系结构，这个体系结构是由一个核心的包过滤驱动程序，一个底层的动态连接库Ｐａｃｋｅｔ．ｄｌｌ和一个高层的独立于系统的函数库Ｌｉｂｐｃａｐ组成。

底层的包捕获驱动程序实际为一个协议网络驱动程序，通过对ＮＤＩＳ中函数的调用为Ｗｉｎ９５、Ｗｉｎ９８、ＷｉｎＮＴ和Ｗｉｎ２０００提供一类似于　ＵＮＩＸ　系统下　Ｂｅｒｋｅｌｅｙ　ＰａｃｋｅｔＦｉｌｔｅｒ　的捕获和发送原始数据包的能力。

Ｐａｃｋｅｔ．ｄｌｌ　是对这个　ＢＰＦ　驱动程序进行访问的ＡＰＩ接口，同时它有一套符合Ｌｉｂｐｃａｐ接口（ＵＮＩＸ下的捕获函数库）的函数库。

ＷｉｎＰｃａｐ的主要结构图如图１。

１．２　ｗｉｎｐｃａｐ构成ＷｉｎＰｃａｐ　主要有三个模块构成［２，３］：第一个模块ＮＰＦ（Ｎｅｔｇｒｏｕｐ　Ｐａｃｋｅｔ　Ｆｉｌｔｅｒ），是一个虚拟设备驱动程序文件。

它的功能是过滤数据包，并把这些数据包原封不动地传给用户态模块，这个过程中包括了一些操作系统特有的代码。

第二个模块ｐａｃｋｅｔ．ｄｌｌ为ｗｉｎ３２平台提供了一个公共的接口。

不同版本的Ｗｉｎｄｏｗｓ系统都有自己的内核模块和用户层模块。

Ｐａｃｋｅｔ．ｄｌｌ用于解决这些不同。

调用Ｐａｃｋｅｔ．ｄｌｌ的程序可以运行在不同版本的Ｗｉｎｄｏｗｓ平台上，而无需重新编译。

－1649－0引言Internet 的飞速发展使网络用户及规模骤然增大，对网络管理和网络安全提出了更大的挑战，因此对网络分析需求越来越迫切。

网络分析程序依赖于一套捕获数据包的原函数，这就是所谓的包捕获软件，许多单位或组织都投人了对捕获技术的研究，并推出了各自的成果。

1993年初，S.McCanne and V.Jacobson 等人推出了著名的BSD 包过滤器(BPF )，它可以免费获得，目前己被许多版本的Unix 系统所采用，另外在Win-dows 平台上，近几年也陆续有多种捕获工具面世，如Netmon API ，PCAUSA 等，与BPF 不同的是，这些产品是商业性质的。

而WinPcap (作者也称之为NPF )则是Windows 平台上为数不多的功能强大且可免费获得的包捕获接口软件之一，它是由意大利人Fulvio Risso 和Loris Degioanni 等人提出并实现的[1]，它对于广大的Windows 平台下的网络分析程序开发人员提供了一条便捷的途径。

1网络数据包捕获原理以太网具有共享介质的特征，信息是以明文的形式在以太网络上传输的，当网卡被设置为混杂模式时，可以捕获任何一个在同一冲突域上传输的数据包。

运用这一原理使网络数据包捕获系统能够拦截到我们所要的信息，这是捕获数据包的物理基础。

网卡具有4种工作模式：广播模式，多播传送模式，直接模式，混杂模式[2]。

网卡的缺省工作模式包含广播模式和直接模式，即它只接收广播帧和发给自己的帧。

如果采用混杂模式，网卡将接受同一网络内所有主机所发送的数据包，这样就可以到达对所有数据包进行捕获的目的。

2Windows 平台下数据包捕获机制(1)Winsock2提供了一种机制，允许用户编写服务提供者接口程序SPI (service provider interface )。

Winsock2的运行需要SPI 的支持，所有对Winsock2的请求都会先发送到SPI 程序中，利用SPI 找到相应的服务提供者完成网络通信。

计算机⽹络技术与实验——数据包的捕获与分析计算机⽹络技术与实验——数据包的捕获与分析1. 实验介绍本次实验的⽬的在于学习WinPcap的使⽤⽅法，利⽤它捕获以太⽹中的数据包并进⾏简单的解析，最终使⽤MFC画界⾯，展⽰捕获后解析出来的信息。

2. 使⽤WinPcap + MFC进⾏数据包的捕获与分析2.1 WinPcap简单介绍WinPcap是⼀个开源的数据包捕获体系结构，它的主要功能是进⾏数据包捕获和⽹络分析。

它包括了内核级别的包过滤、低层次的动态链接库(packet.dll)、⾼级别系统⽆关的函数库(wpcap.dll)等。

在编写程序之前我们先按以下步骤配置好WinPcap的开发环境。

下载WinPcap并安装打开VS2015,新建->项⽬->MFC应⽤程序（基于对话框，经典菜单）在项⽬上，右键->属性⼯具->属性->项⽬和解决⽅案-> VC++⽬录->包含⽂件->添加WinPcap开发包中的Include⽬录⼯具->属性->项⽬和解决⽅案-> VC++⽬录->库⽂件->添加WinPcap开发包中的lib⽬录项⽬->项⽬属性->配置属性->预处理定义->添加WPCAP和HAVE_REMOTE项⽬->项⽬属性->配置属性->连接器->命令⾏->附加选项框中加⼊wpcap.lib在程序中要加⼊pcap.h头⽂件#include pcap.h2.2 WinPcap程序设计思路使⽤WinPcap捕获数据包⼀般有三个步骤：获取设备列表打开⽹络适配器在打开的⽹络适配器上捕获⽹络数据包2.2.1 获取设备列表在开发以WinPcap为基础的应⽤程序时，第⼀步要求的就是获取⽹络接⼝设备（⽹卡）列表。

这可以调⽤WinPcap提供的pcap_findalldevs_ex()函数，该函数原型如下：int pcap_findalldevs_ex(char * source; //指定从哪⼉获取⽹络接⼝列表struct pcap_rmauth auth; //⽤于验证，由于是本机，置为NULLpcap_if_t ** alldevs; //当该函数成功返回时，alldevs指向获取的列表数组的第⼀个//列表中每⼀个元素都是⼀个pcap_if_t结构char * errbuf //错误信息缓冲区);在上⾯注释中提到的pcap_if_t结构定义如下：struct pcap_if{struct pcap_if *next; //指向链表中下⼀个元素char *name; //代表WinPcap为该⽹络接⼝卡分配的名字char *description; //代表WinPcap对该⽹络接⼝卡的描述struct pcap_addr* addresses; //addresses指向的链表中包含了这块⽹卡的所有IP地址u_int flags; //标识这块⽹卡是不是回送⽹卡}2.2.2 打开⽹卡在获取设备列表之后，可以选择感兴趣的⽹卡打开并对其上的⽹络流量进⾏监听。

实验3：WinPcap技术的使用1实验目的和要求学习使用WinPcap开发包实现网络数据包的捕获、过滤和分析的功能，具体要求如下：1）WinPcap开发包的下载和安装；2）使用WinPcap获取与网络适配器绑定的设备列表;3）使用WinPcap获取网络适配器的高级属性信息;4）使用WinPcap打开网络适配器并实现抓包功能5）使用WinPcap过滤数据包、分析数据包。

2实验设备及材料1）Windows主机2）Visual Studio 2005或Visual Studio 20083实验内容本实验学习WinPcap开发包的使用，利用WinPcap实现网络数据包捕获、过滤和分析的功能，实验内容如下。

3.1 WinPcap开发包的下载和安装下载并安装WinPcap开发包，下载地址：/archive/。

1）4.1.1-WinPcap.exe的安装；2）4.1.1-WpdPack.zip的下载和使用。

3.2获取与网络适配器绑定的设备列表信息pcap_findalldevs_ex()函数的使用。

调用pcap_findalldevs_ex()函数，获取的网络设备信息将存储在结构体pcap_if_t中，然后打印网卡设备列表信息，包括网络适配器名称和描述。

3.3获取网络适配器的高级属性信息在3.2的基础上，除打印本地主机所有网络适配器的名称、描述外，还打印是否回环地址、协议簇类型、协议簇名称、IP地址、子网掩码、广播地址和目标地址等信息。

3.4打开网络适配器并通过事件处理器来捕获数据包pcap_open()函数和pcap_loop()函数的使用。

程序的运行过程如下：1）调用pcap_findalldevs_ex()函数获取并打印本机的网络设备列表。

2）要求用户选择用于捕获数据包的网络设备。

3）使用for语句跳转到选中的网络设备，以便在后面的程序中打开该设备，并在该设备上捕获数据。

4）调用pcap_open()函数打开选择的网络设备。

WINPCAP网络开发包是一个免费、基于Windows平台、访问网络链路层的工具，它允许各种应用程序绕过协议栈捕捉并传送网络数据包，同时还包括一些其他功能，如包过滤、网络流量统计以及远程捕获等。

基于这一开发包，可以方便地开发出面向通用对象的变电站事件（GOOSE）报文的捕捉工具，进而根据ASN.1/BER对报文进行解码并分析。

文中介绍了如何基于WINPCAP开发包开发一个完整的GOOSE报文捕获工具，以及整个的设计思路和实现过程，并提出了一些可能的应用。

0 引言当前，国内厂商对IEC 61850的开发工作已经从以制造报文规范（MMS）为核心的客户/服务器（C/S）服务实现转到面向通用对象的变电站事件（GOOSE）和IEC 61850-9-1/2的实现上来。

GOOSE通信及其应用是IEC 61850的一个亮点，其出发点是功能的分布式实现口]，GOOSE应用的建立需要多方面配合，同时也是一个较为烦琐的工程。

在工程的调试过程中，对GOOSE报文的分析是一个必不可少的步骤，即检查数据发送是否正确及其时间特性。

因此，如果有一个简捷的工具来捕捉与分析IEC 61850报文，将会有助于工程调试的顺利进行。

WINPCAP（Windows packet capture）网络开发包是一个免费、基于Windows 平台、访问网络链路层的工业标准工具，它允许各种应用程序绕过协议栈捕捉并传送网络数据包，同时还包括一些其他功能，如包过滤、网络流量统计以及远程捕获等。

基于这一开发包，可以方便地开发出GOOSE报文的捕捉工具，进而根据ASN.1/BER对报文进行解码并分析。

本文介绍了如何基于WINPCAP开发包开发一个完整的GOOSE报文捕获工具，以及整个设计思路和实现过程，并提出了一些可能的应用。

希望能够为IEC 61850标准在中国的推广做出一些贡献。

1 WINPCAP简介1.1 内部结构WINPCAP是一个Win32平台下用于抓包和分析的系统，其基本构成如图1所示。

基于WinPcap的网络数据包捕获与分析一、WinPcap介绍1.WinPcap简介WinPcap是一个在Windows操作系统下的免费、公开的用于直接访问网络的开发工具包（编程API）。

大多数Windows网络应用程序都是通过Winsock API（Windows套接口）这类高级编程接口访问网络的。

这种方法允许在网络上进行简单的数据传送，因为操作系统的TCP/IP协议栈实现软件会处理底层细节（协议操作、流程重组等等），并提供一个类似于读写文件的函数接口。

然而，有时候“简便方法”并不能满足实际需要。

有些程序希望绕过TCP/IP协议栈，直接处理底层网络中的通信数据，它们需要对网络进行底层进行直接访问，即在没有类似协议栈（TCP/IP协议栈）的实体介入条件下对网络进行原始访问。

基于Winsock API编程，应用程序是通过调用操作系统提供的编程接口访问TCP/IP协议栈实现网络通信的。

基于WinPcap编程，网络程序实际上是绕开操作系统的TCP/IP协议栈直接通过底层网络发送数据，因此，网络程序可以实现一些更低级、更灵活的功能。

2.WinPcap的组成与结构如图，WinPcap由一个数据包监听设备驱动程序（NPF）、一个底层的动态连接库（）和一个高层的不依赖于操作系统的静态库（）共三个部分构成。

这里，NPF在操作系统的内核级，、在用户级。

1）数据包监听设备驱动程序Array技术实现上，为了实现抓包，系统必须绕过操作系统的协议栈来访问在网络上传输的原始数据包（rawpacket）。

这就要求WinPcap的一部分运行在操作系统核心内部，直接与网络接口驱动交互。

由于这个部分是系统依赖（system dependent）的，在Winpcap的解决方案中它被视为是一个设备驱动，称作NPF（Netgroup Packet图 WinPcap的组成和结构Filter）。

2）底层的动态连接库（）和高层静态库（）为了方便编程，WinPcap必须提供一个编程接口（API），这就是WinPcap的底层的动态连接库（）和高层静态库（）。

基于WinPcap的网络分析研究与实现摘要近几年，我国经济发展迅速，各个领域的事业都趋于完善。

在网络信息技术的不断发展下，通过对WinPcap的应用，真正实现了Windows下网络数据包的捕获技术，下文将详细阐述IP、Tcp等等协议的解析过程。

网络数据的储存通过msspl来实现，进而建立系统硬件运行环境。

对局域网，通过测试实现了全局监控。

关键词信息技术；网络分析；分析与研究；运行环境；数据包；源代码1 应用环境网络监控系统承载介质中，硬件与软件监控系统共同构成网络监控。

网络监控系统标准功能是对局域网中的违规行为进行记录与监控。

在国外一些发达国家，有两款软件Ethereal与Sniffer，后者主要任务就是给网管及时提供网络监视情况与数据包捕以及故障分析等内容，这样能方便网管对现场进行迅速的故障处理以及诊断能力。

与此同时，还能使用户得到更好的网络管理以及故障分析功能。

前者作为一种可以捕获数据包，并且将这个数据包的信息显示出来，这样的一款网络数据包分析软件，在通用许可证的保障范围内，其数据包分析软件用户能免费得到。

除此之外，还可以得到其源代码，并且也能够根据自身的需要来将其源代码进行修改。

现阶段，Wireshark是全球应用最多的一种网络数据包分析软件[1]。

2 Win Pcap研究抓包的过程，是通过用户级的程序接口来完成的。

在这些接口中，用户程序能够利用内核驱动提供的高级特性。

作为WinPcap所提供的2个库，PACKET 提供一个底层api，应用这个库能够访问驱动的函数。

这些函数能够实现来抓包时，网络硬件与操作系统独立。

NDIS作为一种管理网络适配器的驱动程序和协议驱动之间的规范。

其还是一个可以让协议驱动发生与接收数据包并且不用看特定的适配器或者特定的Win32操作系统的封装。

捕获数据包是通过NPF来实现的。

在进行数据包的捕获时，数据包的监控任务是一个网络接口，进而应用程序才能够完整抹除这部分数据包。

基于Winpcap的网络包捕获和分析_通信工程Winpcap是一种Windows平台下的网络包捕获库，它能够拦截网络传输的数据包，分析其内容并提供给程序使用。

在通信工程领域，Winpcap常用于网络协议分析、网络安全检测等方面。

Winpcap的工作原理是通过抓取操作系统内核与网卡之间的输入/输出数据包，从而捕获并分析网络包。

Winpcap将网络接口抽象成一个数据源（即抓包器），并提供一系列API供应用程序进行操作。

这些API包括：1. pcap_open_live()：打开网络接口并设置过滤器。

2. pcap_setfilter()：设置抓包过滤规则。

3. pcap_next_ex()：从网络接口中捕获下一个数据包。

4. pcap_sendpacket()：发送数据包到网络。

5. pcap_stats()：返回接口的统计信息。

通过调用上述API，可以在应用程序中达到获取、分析网络包的目的，从而实现网络协议的协议分析、网络安全检测等通信工程任务。

在使用Winpcap时需要注意，由于其需要操作系统内核与网卡之间的数据包，因此在使用时需要获得管理员权限。

在基于Winpcap的网络包捕获和分析中，通常需要进行以下步骤：1. 打开网络接口并设置过滤器，过滤掉不必要的数据包。

2. 捕获数据包。

3. 解析数据包的协议头，分离出数据部分。

4. 对数据部分进行处理，如提取HTTP请求、检测网络攻击等。

5. 将处理结果保存或发送到其他模块进行处理。

Winpcap的优势在于其能够让用户获得更加细致的网络数据，通过协议分析和安全检测等手段更好地保障网络安全。

同时，由于其跨平台特性，可应用于多种不同的通信工程场景中。

网络数据包的捕获与分析王行(陕西理工学院数学与计算机科学学院网络工程专业1101班，陕西汉中 723003)指导教师：贾伟【摘要】网络数据包的捕获对于网络安全有着巨大的作用，为我们更好的分析网络中的数据流提供了帮助。

本论文是基于Windows下开发一个网络监听工具，侧重点在于实现网络数据包的捕获，然后分析并显示捕获到的数据包信息这部分功能的实现，如分析：IP首部协议类型、源IP、目的IP和端口号等。

采用的是Winpcap（Windows Packet Capture）来实现的抓包功能。

通过VC++6.0中MFC编程实现通过一个完整界面来控制调用Winpcap中的函数来实现对网卡信息的捕获和循环捕获数据包，然后通过预先对于IP、TCP、UDP等数据包的定义和TCP/IP等协议来解析其中包含的内容并返回显示捕获到数据包的信息，当然也可以保存捕获到的数据包到指定地点以便进一步分析。

【关键词】Winpcap；数据包；捕获；分析The Capture and Analysis of Network Data PacketsWang Hang(Grade 11,Class 1, Major Network Engineering, Scho ol of Mathematics andComputer Science Dept, Shaanxi University of Technology, Hanzhong 723003, Shaanxi)Tutor: Jia WeiAbstract: The capture of network data packets plays an important part in network security, which is helpful for our better analysis of network data flow.This paper is about a network monitoring tool based on Windows system, which emphasizes particularly on realizing the capture and analysis of network data packets and then displays them. Take analysis as an example, it will check the type of the IP protocol, the source address of IP, the destination address of IP and the port e the Winpcap（Windows Packet Capture）to capture of data packets. In MFC programming of VC++6.0, the capture of network data packets can be realized via the invoking and control of the functions through a full control panel, and then the analysis of IP ,TCP,UDP and TCP/IP will be done before they are displayed. Certainly the information captured can be saved to the appointed destination in order to go through an advanced analysis.Key words:Winpcap；Data Packets；Capture；Analysis目录引言 (1)1概述 (2)1.1课题背景 (2)1.2国内外研究现状 (2)1.3课题研究的意义 (2)1.4课题研究的内容 (2)2相关知识介绍 (3)2.1TCP/IP协议简介 (3)2.1.1什么是 TCP/IP (3)2.1.2TCP/IP整体构架概述 (3)2.1.3TCP/IP中的协议 (3)2.2W IN P CAP开发技术详解 (5)2.2.1Winpcap介绍 (5)2.2.2Winpcap 的组成 (6)2.2.3Winpcap 数据结构 (7)2.2.4Winpcap 函数 (7)3系统设计方案及功能描述 (9)3.1系统设计方案 (9)3.2系统功能描述 (9)4系统编码实现 (11)4.1网络数据包捕获模块的实现 (11)4.1.1网络数据包捕获程序的编写过程 (11)4.1.2在程序中用到的WinPcap内核函数详细介绍 (12)4.1.3网络数据包捕获的应用 (13)4.2网络数据包分析模块的实现 (14)4.2.1网络数据包分析模块主要建立的类 (14)4.2.2IP协议分析类的设计 (14)4.2.3TCP协议分析类的设计 (15)4.2.4UDP协议分析类的设计 (17)4.2.5系统中变量函数的设计 (17)4.3主界面构造 (17)5软件测试 (19)总结 (21)参考文献 (22)致谢 (23)科技外文文献 (24)外文文献翻译 (36)附录A：软件开发源代码 (47)附录B：软件使用说明书 (65)引言随着网络技术的不断发展，通过网络将人与人的距离拉近，因此网络为来自世界各地不同的人、团体、机构构建了一个网络村。

上海电力学院计算机网络安全（1）课程实验报告实验名称：winpcap编程实验基于Winpcap 编程实现抓包实验一. 本设计要达到的目标基于winpcap编程实现对网络数据的捕获，并分析数据类型，对于IP，ICMP，ARP，UDP 等，能够自动识别其协议类型并分析帧的构成。

二.实现步骤（1）需要通过资料来了解winpcap抓包的工作原理，熟悉其运行过程Winpcap的内部结构Wincap有三部分组成：一个数据包监听设备驱动程序，一个低级的动态连接库和一个高级的静态连接库。

底层动态链接库运行在用户层，它将应用程序和数据包监听设备驱动程序隔离开来，使得应用程序可以不加修改地在不同的WINDOWS系统上运行。

高级的静态链接库和应用程序编译在一起，它使用低级动态链接库提供的服务，向应用程序提供完善的监听接口。

抓包是WinPcap的基本功能，也是NPF最重要的操作。

在抓包的时候，驱动（例如NIC Driver）使用一个网络接口监视着数据包，并将这些数据包完整无缺地投递给用户级应用程序。

（2）进一步了解winpcap编程所需要的编译环境，下载WpdPack,了解编译环境所需要的库文件.在编译时需要把wpdpack中的include与lib添加进vc的库文件里。

（3）明确整个编程的步骤与具体函数。

刚开始要定义，在主函数中获取设备接口信息，获得网络地址与掩码地址，打开网络接口，还要设置过滤规则。

使用loop函数来回调循环捕获数据包，以便一层一层解析。

（4）还要定义几个以太网，ARP，IP，UDP，TCP，ICMP协议的格式。

需要注意在存储空间中，在存储空间中才能更好的逐层分析，不然很容易出错（5）定义分析协议的函数，定义方式与回调函数相同. 常用的函数有：用于获取本机设备列表的pcap_findalldevs_ex函数用于打开设备的pcap_open函数，可以指定为混杂模式打开用于编译数据包过滤器的pcap_compile 函数用于设置数据包过滤器的pcap_setfilter 函数用于从设备读取数据包的pcap_netx_ex 函数用于关闭设备的pcap_close 函数（参数为pcap_open 返回值）用于释放设备列表的pcap_freealldevs 函数（对应pcap_findalldevs_ex）三.系统流程图主函数以太网协议分析函数分析ARP协议函数分析Ip协议函数分析ICMP协议函数判断下层函数分析TCP协议函数分析UDP协议函数16进制数据四.关键代码及其分析主函数void main(){pcap_t *pcap_handle; /* Winpcap句柄 */char error_content[PCAP_ERRBUF_SIZE]; /* 存储错误信息 */char *net_interface; /* 网络接口 */bpf_program bpf_filter; /* BPF过滤规则 */char bpf_filter_string[] = ""; /* 过滤规则字符串 */ bpf_u_int32 net_mask; /* 掩码 */bpf_u_int32 net_ip; /* 网路地址 */net_interface = pcap_lookupdev(error_content); /* 获得可用的网络接口 */ pcap_lookupnet(net_interface, &net_ip, &net_mask, error_content);/* 获得网络地址和掩码地址 */pcap_handle = pcap_open_live(net_interface, BUFSIZ, 1, 1, error_content);/* 打开网路接口 */pcap_compile(pcap_handle, &bpf_filter, bpf_filter_string, 0, net_ip); /*编译BPF过滤规则 */pcap_setfilter(pcap_handle, &bpf_filter); /* 设置过滤规则 */对IP协议的定义class ip_header{ public:#if defined(WORDS_BIGENDIAN)u_int8_t ip_version: 4, /* 版本 */ip_header_length: 4; /* 首部长度 */#elseu_int8_t ip_header_length: 4, ip_version: 4;#endifu_int8_t ip_tos; /* 服务质量 */u_int16_t ip_length; /* 长度 */u_int16_t ip_id; /* 标识 */u_int16_t ip_off; /* 偏移 */u_int8_t ip_ttl; /* 生存时间 */u_int8_t ip_protocol; /* 协议类型 */u_int16_t ip_checksum; /* 校验和 */in_addr ip_souce_address; /* 源IP地址 */in_addr ip_destination_address; /* 目的IP地址 */pcap_loop(pcap_handle, n, ethernet_protocol_packet_callback, NULL); /* 注册回调函数，循环捕获网络数据包，利用回调函数来处理每个数据包 */分析UDP协议的函数代码void udp_protocol_packet_callback(u_char *argument, const pcap_pkthdr *packet_header, const u_char *packet_content){class udp_header *udp_protocol; /* UDP协议变量 */u_short source_port; /* 源端口 */u_short destination_port; /* 目的端口号 */u_short length; //长度udp_protocol = (class udp_header*)(packet_content + 14+20);/* 获得UDP协议内容 */source_port = ntohs(udp_protocol->udp_source_port); /* 获得源端口 */ destination_port = ntohs(udp_protocol->udp_destination_port); /* 获得目的端口 */length = ntohs(udp_protocol->udp_length); /* 获得长度 */cout<<"---------- UDP协议 ----------"<<endl;cout<<"源端口号:"<<dec<<source_port<<endl;cout<<"目的端口号:"<<dec<<destination_port<<endl;switch (destination_port){case 138:cout<<"上层协议为NETBIOS数据报服务"<<endl;break;case 137:cout<<"上层协议为NETBIOS名字服务"<<endl;break;case 139:cout<<"上层协议为NETBIOS会话服务"<<endl;break;case 53:cout<<"上层协议为域名服务"<<endl;break;default:break;}cout<<"长度:"<<length<<endl;cout<<"校验和:"<<setw(4)<<setfill('0')<<hex<<ntohs(udp_protocol->udp_checksum)<<endl;}五.参考文献(1) Winpcap中文文档(2) 网络资料/view/d64047d676eeaeaad1f330c7.html?from=search/winpcap-sniffer.html完整源程序#include "pcap.h"#include <iostream>#include <iomanip>#include<string>using namespace std;/*以下是以太网协议格式的定义*/class ether_header{public:u_int8_t ether_dhost[6]; /* 目的以太网地址 */u_int8_t ether_shost[6]; /* 源以太网地址 */u_int16_t ether_type; /* 以太网类型 */};/* 下面是ARP协议格式的定义*/class arp_header{public:u_int16_t arp_hardware_type; /* 硬件类型 */u_int16_t arp_protocol_type; /* 协议类型 */u_int8_t arp_hardware_length; /* 硬件地址长度 */u_int8_t arp_protocol_length; /* 协议地址长度 */u_int16_t arp_operation_code; /* 操作码 */u_int8_t arp_source_ethernet_address[6]; /* 源以太网地址 */u_int8_t arp_source_ip_address[4]; /* 源IP地址 */u_int8_t arp_destination_ethernet_address[6]; /* 目的以太网地址 */ u_int8_t arp_destination_ip_address[4]; /* 目的IP地址 */};/*下面是IP协议格式的定义 */class ip_header{ public:#if defined(WORDS_BIGENDIAN)u_int8_t ip_version: 4, /* 版本 */ip_header_length: 4; /* 首部长度 */#elseu_int8_t ip_header_length: 4, ip_version: 4;#endifu_int8_t ip_tos; /* 服务质量 */u_int16_t ip_length; /* 长度 */u_int16_t ip_id; /* 标识 */u_int16_t ip_off; /* 偏移 */u_int8_t ip_ttl; /* 生存时间 */u_int8_t ip_protocol; /* 协议类型 */u_int16_t ip_checksum; /* 校验和 */in_addr ip_souce_address; /* 源IP地址 */in_addr ip_destination_address; /* 目的IP地址 */};/*下面是UDP协议格式定义*/class udp_header{ public:u_int16_t udp_source_port; /* 源端口号 */u_int16_t udp_destination_port; /* 目的端口号 */u_int16_t udp_length; /* 长度 */u_int16_t udp_checksum; /* 校验和 */};/* 下面是TCP协议格式的定义*/class tcp_header{ public:u_int16_t tcp_source_port; /* 源端口号 */u_int16_t tcp_destination_port; /* 目的端口号 */u_int32_t tcp_sequence_lliiuuwweennttaaoo; /* 序列号 */u_int32_t tcp_acknowledgement; /* 确认序列号 */#ifdef WORDS_BIGENDIANu_int8_t tcp_offset: 4, /* 偏移 */tcp_reserved: 4; /* 未用 */#elseu_int8_t tcp_reserved: 4, /* 未用 */tcp_offset: 4; /* 偏移 */#endifu_int8_t tcp_flags; /* 标记 */u_int16_t tcp_windows; /* 窗口大小 */u_int16_t tcp_checksum; /* 校验和 */u_int16_t tcp_urgent_pointer; /* 紧急指针 */};/* 下面是ICMP协议格式的定义*/class icmp_header{ public:u_int8_t icmp_type; /* ICMP类型 */u_int8_t icmp_code; /* ICMP代码 */u_int16_t icmp_checksum; /* 校验和 */u_int16_t icmp_id; /* 标识符 */u_int16_t icmp_sequence; /* 序列码 */};/* 下面是分析TCP协议的函数,其定义方式与回调函数相同 */void tcp_protocol_packet_callback(u_char *argument, const pcap_pkthdr*packet_header, const u_char *packet_content){class tcp_header *tcp_protocol;/* TCP协议变量 */u_char flags; /* 标记 */int header_length; /* 长度 */u_short source_port; /* 源端口 */u_short destination_port; /* 目的端口 */u_short windows; /* 窗口大小 */u_short urgent_pointer;/* 紧急指针 */u_int sequence; /* 序列号 */u_int acknowledgement; /* 确认号 */u_int16_t checksum; /* 校验和 */tcp_protocol = ( tcp_header*)(packet_content + 14+20); /* 获得TCP协议内容 */source_port = ntohs(tcp_protocol->tcp_source_port); /* 获得源端口 */ destination_port = ntohs(tcp_protocol->tcp_destination_port); /* 获得目的端口 */header_length = tcp_protocol->tcp_offset *4; /* 长度 */sequence = ntohl(tcp_protocol->tcp_sequence_lliiuuwweennttaaoo); /* 序列码 */acknowledgement = ntohl(tcp_protocol->tcp_acknowledgement); /* 确认序列码 */windows = ntohs(tcp_protocol->tcp_windows); /* 窗口大小 */urgent_pointer = ntohs(tcp_protocol->tcp_urgent_pointer); /* 紧急指针*/flags = tcp_protocol->tcp_flags; /* 标识 */checksum = ntohs(tcp_protocol->tcp_checksum); /* 校验和 */cout<<" TCP协议 "<<endl;cout<<"源端口号:"<<dec<< source_port<< endl;cout<<"目的端口号:"<<dec<< destination_port<<endl;switch (destination_port){case 80:cout<<"上层协议为HTTP协议:"<<endl;break;case 21:cout<<"上层协议为FTP协议"<<endl;break;case 23:cout<<"上层协议为TELNET协议"<<endl;break;case 25:cout<<"上层协议为SMTP协议"<<endl;break;case 110:cout<<"上层协议为POP3协议"<<endl;break;default:break;}cout<<"序列码"<<sequence<<endl;cout<<"确认号:"<<acknowledgement<<endl;cout<<"首部长度:"<<dec<<header_length<<endl;cout<<"保留:"<< int(tcp_protocol->tcp_reserved)<<endl;cout<<"标记:";if (flags &0x08)cout<<"PSH "<<endl;if (flags &0x10)cout<<"ACK "<<endl;if (flags &0x02)cout<<"SYN "<<endl;if (flags &0x20)cout<<"URG "<<endl;if (flags &0x01)cout<<"FIN "<<endl;if (flags &0x04)cout<<"RST "<<endl;cout<<endl;cout<<"窗口大小:"<<windows<<endl;cout<<"校验和:"<< setw(4) << setfill('0') << hex <<checksum<<endl;cout<<"紧急指针:"<<urgent_pointer<<endl;}/* 下面是实现UDP协议分析的函数，函数类型与回调函数相同 */void udp_protocol_packet_callback(u_char *argument, const pcap_pkthdr *packet_header, const u_char *packet_content){class udp_header *udp_protocol; /* UDP协议变量 */u_short source_port; /* 源端口 */u_short destination_port; /* 目的端口号 */u_short length; //长度udp_protocol = (class udp_header*)(packet_content + 14+20);/* 获得UDP协议内容 */source_port = ntohs(udp_protocol->udp_source_port); /* 获得源端口 */ destination_port = ntohs(udp_protocol->udp_destination_port); /* 获得目的端口 */length = ntohs(udp_protocol->udp_length); /* 获得长度 */cout<<" UDP协议 "<<endl;cout<<"源端口号:"<<dec<<source_port<<endl;cout<<"目的端口号:"<<dec<<destination_port<<endl;switch (destination_port){case 138:cout<<"上层协议为NETBIOS数据报服务"<<endl;break;case 137:cout<<"上层协议为NETBIOS名字服务"<<endl;break;case 139:cout<<"上层协议为NETBIOS会话服务"<<endl;break;case 53:cout<<"上层协议为域名服务"<<endl;break;default:break;}cout<<"长度:"<<length<<endl;cout<<"校验和:"<<setw(4)<<setfill('0')<<hex<<ntohs(udp_protocol->udp_checksum)<<endl;}/* 下面是实现分析ICMP协议的函数，函数类型与回调函数相同 */void icmp_protocol_packet_callback(u_char *argument, const pcap_pkthdr *packet_header, const u_char *packet_content){class icmp_header *icmp_protocol; /* ICMP协议变量 */icmp_protocol = (icmp_header*)(packet_content + 14+20); /* 获得ICMP协议内容 */cout<<" ICMP协议 "<<endl;cout<<"ICMP类型:"<<icmp_protocol->icmp_type<<endl; /* 获得ICMP类型*/switch (icmp_protocol->icmp_type){case 8:cout<<"ICMP回显请求协议"<<endl;cout<<"ICMP代码:"<<icmp_protocol->icmp_code<<endl;cout<<"标识符:"<<icmp_protocol->icmp_id<<endl;cout<<"序列码:"<<icmp_protocol->icmp_sequence<<endl;break;case 0:cout<<"ICMP回显应答协议"<<endl;cout<<"ICMP代码: "<< icmp_protocol->icmp_code<<endl;cout<<"标识符: "<< setw(4) << setfill('0') << hex<<int(icmp_protocol->icmp_id) << endl;cout<<"序列码: "<< icmp_protocol->icmp_sequence<<endl;break;default:break;}cout<<"ICMP校验和:"<<setw(4) << setfill('0') << hex << ntohs(icmp_protocol->icmp_checksum) << endl; /* 获得ICMP校验和 */ return ;}/*下面是实现ARP协议分析的函数，函数类型与回调函数相同 */void arp_protocol_packet_callback(u_char *argument, const pcap_pkthdr *packet_header, const u_char *packet_content){arp_header *arp_protocol;u_short protocol_type;u_short hardware_type;u_short operation_code;u_char *mac_string;in_addr source_ip_address;in_addr destination_ip_address;u_char hardware_length;u_char protocol_length;cout<<" ARP协议 "<<endl;arp_protocol = (class arp_header*)(packet_content + 14);hardware_type = ntohs(arp_protocol->arp_hardware_type);protocol_type = ntohs(arp_protocol->arp_protocol_type);operation_code = ntohs(arp_protocol->arp_operation_code);hardware_length = arp_protocol->arp_hardware_length;protocol_length = arp_protocol->arp_protocol_length;cout<<"硬件类型: "<<ntohs(arp_protocol->arp_hardware_type)<<endl;cout<<"协议类型: "<< setw(4)<<setfill('0')<<ntohs(arp_protocol->arp_protocol_type)<<endl;cout<<"硬件地址长度: "<< int(arp_protocol->arp_hardware_length)<<endl;cout<<"协议地址长度: "<< int(arp_protocol->arp_protocol_length)<<endl;cout<<"ARP 操作: "<< ntohs(arp_protocol->arp_operation_code)<<endl;switch (operation_code){case 1:cout<<"ARP请求协议"<<endl;break;case 2:cout<<"ARP应答协议"<<endl;break;case 3:cout<<"RARP请求协议"<<endl;break;case 4:cout<<"RARP应答协议"<<endl;break;default:break;}cout<<"源以太网地址: "<<endl;mac_string = arp_protocol->arp_source_ethernet_address;cout<< setw(2) << setfill('0') << hex << int(*mac_string) << "." << setw(2) << setfill('0') << hex << int(*(mac_string + 1)) << "." << setw(2) << setfill('0') << hex << int(*(mac_string + 2)) << "." << setw(2) << setfill('0') << hex << int(*(mac_string + 3)) << "." << setw(2) << setfill('0') << hex << int(*(mac_string + 4)) << "." << setw(2) << setfill('0') << hex << int(*(mac_string + 5)) << endl;memcpy((void*) &source_ip_address, (void*)&arp_protocol->arp_source_ip_address, sizeof( in_addr));cout<<"源IP地址:"<<inet_ntoa(source_ip_address)<<endl;cout<<"目的以太网地址:"<<endl;mac_string = arp_protocol->arp_destination_ethernet_address;cout<< setw(2) << setfill('0') << hex << int(*mac_string) << "." << setw(2)<< setfill('0') << hex << int(*(mac_string + 1)) << "." << setw(2) << setfill('0')<< hex << int(*(mac_string + 2)) << "." << setw(2) << setfill('0') << hex <<int(*(mac_string + 3)) << "." << setw(2) << setfill('0') << hex << int(*(mac_string+ 4)) << "." << setw(2) << setfill('0') << hex << int(*(mac_string + 5)) << endl;memcpy((void*) &destination_ip_address, (void*)&arp_protocol->arp_destination_ip_address, sizeof( in_addr));cout<<"目的IP地址:"<<inet_ntoa(destination_ip_address)<<endl;}/*下面是实现IP协议分析的函数，其函数类型与回调函数相同 */void ip_protocol_packet_callback(u_char *argument, const pcap_pkthdr*packet_header, const u_char *packet_content){ip_header *ip_protocol; /* IP协议变量 */u_int header_length; /* 长度 */u_int offset; /* 偏移 */u_char tos; /* 服务质量 */u_int16_t checksum; /* 校验和 */ip_protocol = ( ip_header*)(packet_content + 14); /* 获得IP协议内容 */ checksum = ntohs(ip_protocol->ip_checksum); /* 获得校验和 */header_length = ip_protocol->ip_header_length *4; /* 获得长度 */tos = ip_protocol->ip_tos; /* 获得服务质量 */offset = ntohs(ip_protocol->ip_off); /* 获得偏移 */cout<<" IP协议 "<<endl;cout<<"版本号:"<<int(ip_protocol->ip_version)<<endl;cout<<"首部长度: "<< header_length<<endl;cout<<"服务质量: "<< int(ip_protocol->ip_tos) <<endl;cout<<"总长度: "<< ntohs(ip_protocol->ip_length)<<endl;cout<<"标识: "<< setw(4)<<setfill('0')<<hex<<ntohs(ip_protocol->ip_id) << endl;cout<<"偏移: "<< (offset &0x1fff) *8<<endl;cout<<"生存时间: "<< int(ip_protocol->ip_ttl)<<endl;cout<<"协议类型: "<<int( ip_protocol->ip_protocol)<<endl;switch (ip_protocol->ip_protocol){case 6:cout<<"上层协议为TCP协议"<<endl;break;case 17:cout<<"上层协议为UDP协议"<<endl;break;case 1:cout<<"上层协议为ICMP协议ICMP"<<endl;break;default:break;}cout<<"校验和:"<<checksum<<endl;cout<<"源IP地址:"<<inet_ntoa(ip_protocol->ip_souce_address)<<endl; /*获得源IP地址 */cout<<"目的IP地址:"<<inet_ntoa(ip_protocol->ip_destination_address)<<endl; /* 获得目的IP地址 */switch (ip_protocol->ip_protocol) /* 根据IP协议判断上层协议 */{case 6:tcp_protocol_packet_callback(argument, packet_header, packet_content); /* 上层协议是TCP协议，调用分析TCP协议的函数，注意参数的传递 */ break;case 17:udp_protocol_packet_callback(argument, packet_header, packet_content); /* 上层协议是UDP协议，调用分析UDP协议的函数，注意参数的传递 */ break;case 1:icmp_protocol_packet_callback(argument, packet_header, packet_content); /* 上层协议是ICMP协议，调用分析ICMP协议的函数，注意参数的传递 */break;default:break;}}/* 下面是分析以太网协议的函数，也是回调函数 */void ethernet_protocol_packet_callback(u_char *argument, const pcap_pkthdr*packet_header, const u_char *packet_content){u_short ethernet_type; /* 以太网类型 */ether_header *ethernet_protocol; /* 以太网协议变量 */u_char *mac_string; /* 以太网地址 */static int packet_number = 1; /* 数据包个数，静态变量 */cout<<" "<<endl;cout<<"捕获第"<< packet_number<<"个网络数据包"<<endl;cout<<"捕获时间:"<<endl;cout<<ctime((const time_t*) &packet_header->_sec)<<endl; /* 获得捕获数据包的时间 */cout<<"数据包长度:"<<endl;cout<<packet_header->len<<endl;cout<<" 以太网协议 "<<endl;ethernet_protocol = (class ether_header*)packet_content; /* 获得以太网协议内容 */ethernet_type = ntohs(ethernet_protocol->ether_type); /* 获得以太网类型 */cout << "以太网类型:" << setw(4) << setfill('0') << hex << ethernet_type << endl;switch (ethernet_type) /* 根据以太网类型判断 */{case 0x0800:cout<<"上层协议为IP协议"<<endl;break;case 0x0806:cout<<"上层协议为ARP协议"<<endl;break;case 0x8035:cout<<"上层协议为RARP协议"<<endl;break;default:break;}mac_string = ethernet_protocol->ether_shost;//****cout << "mac_string帧源地址:" << setw(2) << setfill('0') << hex <<int(*mac_string) << "." << setw(2) << setfill('0') << hex << int(*(mac_string + 1))<< "." << setw(2) << setfill('0') << hex << int(*(mac_string + 2)) << "." << setw(2)<< setfill('0') << hex << int(*(mac_string + 3)) << "." << setw(2) << setfill('0')<< hex << int(*(mac_string + 4)) << "." << setw(2) << setfill('0') << hex <<int(*(mac_string + 5)) << endl;mac_string = ethernet_protocol->ether_dhost;cout << "mac_string帧目的地址:" << setw(2) << setfill('0') << hex <<int(*mac_string) << "." << setw(2) << setfill('0') << hex << int(*(mac_string + 1))<< "." << setw(2) << setfill('0') << hex << int(*(mac_string + 2)) << "." << setw(2)<< setfill('0') << hex << int(*(mac_string + 3)) << "." << setw(2) << setfill('0')<< hex << int(*(mac_string + 4)) << "." << setw(2) << setfill('0') << hex <<int(*(mac_string + 5)) << endl;switch (ethernet_type){case 0x0806:arp_protocol_packet_callback(argument, packet_header, packet_content);/* 上层协议为ARP协议，调用分析ARP协议的函数，注意参数的传递 */break;case 0x0800:ip_protocol_packet_callback(argument, packet_header, packet_content);/* 上层协议为IP协议，调用分析IP协议的函数，注意参数的传递 */ break;default:break;}cout<<" "<<endl;packet_number++;}/*主函数 */void main(){pcap_t *pcap_handle; /* Winpcap句柄 */char error_content[PCAP_ERRBUF_SIZE]; /* 存储错误信息 */char *net_interface; /* 网络接口 */bpf_program bpf_filter; /* BPF过滤规则 */char bpf_filter_string[] = ""; /* 过滤规则字符串 */bpf_u_int32 net_mask; /* 掩码 */bpf_u_int32 net_ip; /* 网路地址 */net_interface = pcap_lookupdev(error_content); /* 获得可用的网络接口 */ pcap_lookupnet(net_interface, &net_ip, &net_mask, error_content);/* 获得网络地址和掩码地址 */pcap_handle = pcap_open_live(net_interface, BUFSIZ, 1, 1, error_content);/* 打开网路接口 */pcap_compile(pcap_handle, &bpf_filter, bpf_filter_string, 0, net_ip); /*编译BPF过滤规则 */pcap_setfilter(pcap_handle, &bpf_filter); /* 设置过滤规则 */if (pcap_datalink(pcap_handle) != DLT_EN10MB)return ;cout<<"请输入抓包数量:"<<endl;int n;cin>>n;pcap_loop(pcap_handle, n, ethernet_protocol_packet_callback, NULL); /*注册回调函数，循环捕获网络数据包，利用回调函数来处理每个数据包 */ pcap_close(pcap_handle); /* 关闭Winpcap操作 */}。

实验一：TCP数据包捕获及分析实验学时：4实验类型：设计实验要求：必做一、实验目的理解网络数据包的捕获原理及一般分析方法。

二、实验内容1. 根据参考程序编写一段基于Winpcap的TCP数据包捕获并分析的程序。

2. 要求再给定程序的基础上完成相关功能：1）提示用户对要嗅探的网卡进行选择，并在所选择的网卡上进行数据包捕获。

2）完成数据输出功能，输入以下内容，但不限于：✓输出数据包到达的时间，数据包大小等信息。

✓输出对数据包的以太网帧头进行解析，输出其源MAC地址、目的MAC地址、上层协议类型等信息。

✓输出IP协议报头的相关内容。

✓输出TCP报头的相关内容。

三、实验原理、方法和手段以太网（Ethernet）具有共享介质的特征，信息是以明文的形式在网络上传输，当网络适配器设置为监听模式（混杂模式，Promiscuous）时，由于采用以太网广播信道争用的方式，使得监听系统与正常通信的网络能够并联连接，并可以捕获任何一个在同一冲突域上传输的数据包。

IEEE802.3 标准的以太网采用的是持续CSMA 的方式，正是由于以太网采用这种广播信道争用的方式，使得各个站点可以获得其他站点发送的数据。

运用这一原理使信息捕获系统能够拦截的我们所要的信息，这是捕获数据包的物理基础。

Winpcap是针对Win32平台上的抓包和网络分析的一个架构。

它包括一个核心态的包过滤器，一个底层的动态链接库（packet.dll）和一个高层的不依赖于系统的库（wpcap.dll）。

抓包是NPF最重要的操作。

在抓包的时候，驱动使用一个网络接口监视着数据包，并将这些数据包完整无缺地投递给用户级应用程序。

实验可根据Winpcap提供WinPcap Documentation（参考\WpdPack\doc\目录，或下载Winpcap中文手册）的样例程序进行修改和设计。

四、实验组织运行要求1.安装Winpcap驱动及开发库。

2.实验程序需演示和答辩，并记录期末考查成绩中，同时要求最终完成的TCP 包分析器，有较友好的界面和提示，并且在实验程序中设计者的相关信息。