winpcap捕捉网络数据包

winpcap编程解析数据包WinPcap和Libpcap的最强⼤的特性之⼀，是拥有过滤数据包的引擎。

它提供了有效的⽅法去获取⽹络中的某些数据包，这也是WinPcap捕获机制中的⼀个组成部分。

⽤来过滤数据包的函数是和。

它将⼀个⾼层的布尔过滤表达式编译成⼀个能够被过滤引擎所解释的低层的字节码。

有关布尔过滤表达式的语法可以参见这⼀节的内容。

将⼀个过滤器与内核捕获会话向关联。

当被调⽤时，这个过滤器将被应⽤到来⾃⽹络的所有数据包，并且，所有的符合要求的数据包 (即那些经过过滤器以后，布尔表达式为真的包) ，将会⽴即复制给应⽤程序。

现在，我们可以捕捉并过滤⽹络流量了，那就让我们学以致⽤，来做⼀个简单使⽤的程序吧。

在本讲中，我们将会利⽤上⼀讲的⼀些代码，来建⽴⼀个更实⽤的程序。

本程序的主要⽬标是展⽰如何解析所捕获的数据包的协议⾸部。

这个程序可以称为UDPdump，打印⼀些⽹络上传输的UDP数据的信息。

我们选择分析和现实UDP协议⽽不是TCP等其它协议，是因为它⽐其它的协议更简单，作为⼀个⼊门程序范例，是很不错的选择。

让我们看看代码：[cpp]01. #include "pcap.h"02.03. /* 4字节的IP地址 */04. typedef struct ip_address{05. u_char byte1;06. u_char byte2;07. u_char byte3;08. u_char byte4;09. }ip_address;10.11. /* IPv4 ⾸部 */12. typedef struct ip_header{13. u_char ver_ihl; // 版本 (4 bits) + ⾸部长度 (4 bits)14. u_char tos; // 服务类型(Type of service)15. u_short tlen; // 总长(Total length)16. u_short identification; // 标识(Identification)17. u_short flags_fo; // 标志位(Flags) (3 bits) + 段偏移量(Fragment offset) (13 bits)18. u_char ttl; // 存活时间(Time to live)19. u_char proto; // 协议(Protocol)20. u_short crc; // ⾸部校验和(Header checksum)21. ip_address saddr; // 源地址(Source address)22. ip_address daddr; // ⽬的地址(Destination address)23. u_int op_pad; // 选项与填充(Option + Padding)24. }ip_header;25.26. /* UDP ⾸部*/27. typedef struct udp_header{28. u_short sport; // 源端⼝(Source port)29. u_short dport; // ⽬的端⼝(Destination port)30. u_short len; // UDP数据包长度(Datagram length)31. u_short crc; // 校验和(Checksum)32. }udp_header;33.34. /* 回调函数原型 */35. void packet_handler(u_char *param, const struct pcap_pkthdr *header, const u_char *pkt_data);36.37.38. int main()39. {40. pcap_if_t *alldevs;41. pcap_if_t *d;42. int inum;43. int i=0;44. pcap_t *adhandle;45. char errbuf[PCAP_ERRBUF_SIZE];46. u_int netmask;47. char packet_filter[] = "ip and udp";48. struct bpf_program fcode;49.50. /* 获得设备列表 */51. if (pcap_findalldevs_ex(PCAP_SRC_IF_STRING, NULL, &alldevs, errbuf) == -1)52. {53. fprintf(stderr,"Error in pcap_findalldevs: %s/n", errbuf);54. exit(1);55. }55. }56.57. /* 打印列表 */58. for(d=alldevs; d; d=d->next)59. {60. printf("%d. %s", ++i, d->name);61. if (d->description)62. printf(" (%s)/n", d->description);63. else64. printf(" (No description available)/n");65. }66.67. if(i==0)68. {69. printf("/nNo interfaces found! Make sure WinPcap is installed./n");70. return -1;71. }72.73. printf("Enter the interface number (1-%d):",i);74. scanf("%d", &inum);75.76. if(inum < 1 || inum > i)77. {78. printf("/nInterface number out of range./n");79. /* 释放设备列表 */80. pcap_freealldevs(alldevs);81. return -1;82. }83.84. /* 跳转到已选设备 */85. for(d=alldevs, i=0; i< inum-1 ;d=d->next, i++);86.87. /* 打开适配器 */88. if ( (adhandle= pcap_open(d->name, // 设备名89. 65536, // 要捕捉的数据包的部分90. // 65535保证能捕获到不同数据链路层上的每个数据包的全部内容91. PCAP_OPENFLAG_PROMISCUOUS, // 混杂模式92. 1000, // 读取超时时间93. NULL, // 远程机器验证94. errbuf // 错误缓冲池95. ) ) == NULL)96. {97. fprintf(stderr,"/nUnable to open the adapter. %s is not supported by WinPcap/n");98. /* 释放设备列表 */99. pcap_freealldevs(alldevs);100. return -1;101. }102.103. /* 检查数据链路层，为了简单，我们只考虑以太⽹ */104. if(pcap_datalink(adhandle) != DLT_EN10MB)105. {106. fprintf(stderr,"/nThis program works only on Ethernet networks./n");107. /* 释放设备列表 */108. pcap_freealldevs(alldevs);109. return -1;110. }111.112. if(d->addresses != NULL)113. /* 获得接⼝第⼀个地址的掩码 */114. netmask=((struct sockaddr_in *)(d->addresses->netmask))->sin_addr.S_un.S_addr; 115. else116. /* 如果接⼝没有地址，那么我们假设⼀个C类的掩码 */117. netmask=0xffffff;118.119.120. //编译过滤器121. if (pcap_compile(adhandle, &fcode, packet_filter, 1, netmask) <0 )122. {123. fprintf(stderr,"/nUnable to compile the packet filter. Check the syntax./n");124. /* 释放设备列表 */125. pcap_freealldevs(alldevs);126. return -1;127. }128.129. //设置过滤器130. if (pcap_setfilter(adhandle, &fcode)<0)131. {132. fprintf(stderr,"/nError setting the filter./n");133. /* 释放设备列表 */134. pcap_freealldevs(alldevs);135. return -1;136. }137.138. printf("/nlistening on %s.../n", d->description);139.140. /* 释放设备列表 */141. pcap_freealldevs(alldevs);142.143. /* 开始捕捉 */144. pcap_loop(adhandle, 0, packet_handler, NULL);145.146. return 0;147. }148.149. /* 回调函数，当收到每⼀个数据包时会被libpcap所调⽤ */150. void packet_handler(u_char *param, const struct pcap_pkthdr *header, const u_char *pkt_data) 151. {152. struct tm *ltime;153. char timestr[16];154. ip_header *ih;155. udp_header *uh;156. u_int ip_len;157. u_short sport,dport;158. time_t local_tv_sec;159.160. /* 将时间戳转换成可识别的格式 */161. local_tv_sec = header->_sec;162. ltime=localtime(&local_tv_sec);163. strftime( timestr, sizeof timestr, "%H:%M:%S", ltime);164.165. /* 打印数据包的时间戳和长度 */166. printf("%s.%.6d len:%d ", timestr, header->_usec, header->len);167.168. /* 获得IP数据包头部的位置 */169. ih = (ip_header *) (pkt_data +170. 14); //以太⽹头部长度171.172. /* 获得UDP⾸部的位置 */173. ip_len = (ih->ver_ihl & 0xf) * 4;174. uh = (udp_header *) ((u_char*)ih + ip_len);175.176. /* 将⽹络字节序列转换成主机字节序列 */177. sport = ntohs( uh->sport );178. dport = ntohs( uh->dport );179.180. /* 打印IP地址和UDP端⼝ */181. printf("%d.%d.%d.%d.%d -> %d.%d.%d.%d.%d/n",182. ih->saddr.byte1,183. ih->saddr.byte2,184. ih->saddr.byte3,185. ih->saddr.byte4,186. sport,187. ih->daddr.byte1,188. ih->daddr.byte2,189. ih->daddr.byte3,190. ih->daddr.byte4,191. dport);192. }。

WinPcap的简介winpcap(windows packet capture)是windows平台下一个免费，公共的网络访问系统。

开发winpcap这个项目的目的在于为win32应用程序提供访问网络底层的能力。

它提供了以下的各项功能：1> 捕获原始数据报，包括在共享网络上各主机发送/接收的以及相互之间交换的数据报；2> 在数据报发往应用程序之前，按照自定义的规则将某些特殊的数据报过滤掉；3> 在网络上发送原始的数据报；4> 收集网络通信过程中的统计信息。

winpcap的主要功能在于独立于主机协议（如TCP/IP)而发送和接收原始数据报。

也就是说，winpcap 不能阻塞，过滤或控制其他应用程序数据报的发收，它仅仅只是监听共享网络上传送的数据报。

因此，它不能用于QoS调度程序或个人防火墙。

目前，winpcap开发的主要对象是windows NT/2000/XP，这主要是因为在使用winpcap的用户中只有一小部分是仅使用windows 95/98/Me，并且微软也已经放弃了对win9x 的开发。

因此本文相关的程序T-ARP也是面向NT/2000/XP用户的。

WinPcap的安装和例程调试By 曹佳caojia@1.DownLoad2.安装解压得三文件：WinPcap_4_0_1_drivel.exe，WpcapSrc_4_0_1_Source_code.zip和WpdPack_4_0_1_Include_Lib.zip，第一个是驱动的安装程序，第二个是驱动的源代码，第三个是使用Winpcap所要用到的所有.h文件和.lib文件。

1)安装驱动（WinPcap_4_0_1_drivel.exe）2)WpdPack_4_0_1_Include_Lib.zip解压到一个“正式的”位置（用来配置编程环境）3)配置VC6.0环境在Tools->options->Directories里面加入解压以后的include文件夹，在Tools->options->Directories的lib里面加入解压以后的lib文件夹。

因为项目需要，而且以前从没用过Winpcap，所以不得不从头学起。

以前虽然看过winsocket，但是，Winpcap的第一个程序，我花了很长时间才编译通过。

对于初学者来说，不太好做的可能是编译程序之前应该做什么事。

我就大体说一下我的过程。

首先先大体介绍下Winpcap。

winpcap(windows packet capture)windows平台下一个免费，公共的网络访问系统。

开发winpcap这个项目的目的在于为win32应用程序提供访问网络底层的能力。

它提供了以下的各项功能：1> 捕获原始数据包，包括在共享网络上各主机发送/接收的以及相互之间交换的数据包；2> 在数据包发往应用程序之前，按照自定义的规则将某些特殊的数据包过滤掉；3> 在网络上发送原始的数据包；4> 收集网络通信过程中的统计信息。

具体介绍参见/view/696423.htm这里有Winpcap的详细介绍。

下面说一下你在编译Winpcap之前要做的事情。

1 下载Winpcap安装包，地址/install/default.htm。

2 然后到/devel.htm下载WinPcap developer's pack包，解压，里面有配置好的例子和include library。

3 在VC6.0菜单中，点Tolls->Options->Directories中的include files 和library files中添加包里面的include和library。

然后我们就来编写一个最简单的Winpcap程序——获取已连接的网络适配器列表。

首先新建一个工程，选择Win32 Console Application,工程名我们设为winpcap.然后这这个工程中新建一个C++源文件，名字winpcap。

在里面填写如下代码：#include <pcap.h>main( )pcap_if_t *alldevs;pcap_if_t *d;int i=0;char errbuf[PCAP_ERRBUF_SIZE];if (pcap_findalldevs(&alldevs, errbuf) == -1){fprintf(stderr,"Error in pcap_findalldevs_ex: %s\n", errbuf); exit(1);}for(d= alldevs; d != NULL; d= d->next){printf("%d. %s", ++i, d->name);if (d->description)printf(" (%s)\n", d->description);elseprintf(" (No description available)\n");}if (i == 0){printf("\nNo interfaces found! Make sure WinPcap is installed.\n");return -1;}pcap_freealldevs(alldevs);return 0;}运行之前我们要手动给它添加一个动态链接库wpcap.lib，方法是在菜单Project中点Settings,然后在选项中选Link，在library modules 后面填上wpcap.lib，注意和前面的要有空格隔开。

基于WinPcap的网络分析研究与实现摘要近几年，我国经济发展迅速，各个领域的事业都趋于完善。

在网络信息技术的不断发展下，通过对WinPcap的应用，真正实现了Windows下网络数据包的捕获技术，下文将详细阐述IP、Tcp等等协议的解析过程。

网络数据的储存通过msspl来实现，进而建立系统硬件运行环境。

对局域网，通过测试实现了全局监控。

关键词信息技术；网络分析；分析与研究；运行环境；数据包；源代码1 应用环境网络监控系统承载介质中，硬件与软件监控系统共同构成网络监控。

网络监控系统标准功能是对局域网中的违规行为进行记录与监控。

在国外一些发达国家，有两款软件Ethereal与Sniffer，后者主要任务就是给网管及时提供网络监视情况与数据包捕以及故障分析等内容，这样能方便网管对现场进行迅速的故障处理以及诊断能力。

与此同时，还能使用户得到更好的网络管理以及故障分析功能。

前者作为一种可以捕获数据包，并且将这个数据包的信息显示出来，这样的一款网络数据包分析软件，在通用许可证的保障范围内，其数据包分析软件用户能免费得到。

除此之外，还可以得到其源代码，并且也能够根据自身的需要来将其源代码进行修改。

现阶段，Wireshark是全球应用最多的一种网络数据包分析软件[1]。

2 Win Pcap研究抓包的过程，是通过用户级的程序接口来完成的。

在这些接口中，用户程序能够利用内核驱动提供的高级特性。

作为WinPcap所提供的2个库，PACKET 提供一个底层api，应用这个库能够访问驱动的函数。

这些函数能够实现来抓包时，网络硬件与操作系统独立。

NDIS作为一种管理网络适配器的驱动程序和协议驱动之间的规范。

其还是一个可以让协议驱动发生与接收数据包并且不用看特定的适配器或者特定的Win32操作系统的封装。

捕获数据包是通过NPF来实现的。

在进行数据包的捕获时，数据包的监控任务是一个网络接口，进而应用程序才能够完整抹除这部分数据包。

基于WinPcap的数据包捕获及应用
张伟;王韬;潘艳辉;郝震华
【期刊名称】《计算机工程与设计》
【年(卷),期】2008(29)7
【摘要】网络数据包捕获是进行网络分析的基础,通过对Windows操作系统平台下网络数据包捕获模型的论述,重点对基于NDIS的优秀包捕获开发包WinPcap的结构和功能的进行了详细的介绍和分析,实现了如何在VC 6.0环境下借助WinPcap提供的各个接口函数对网卡进行编程进而对网络数据包进行捕获和分析的方法,最后突出叙述了数据包捕获在网络分析中的应用.
【总页数】3页(P1649-1651)
【作者】张伟;王韬;潘艳辉;郝震华
【作者单位】解放军军械工程学院计算机工程系,河北石家庄,050003;解放军军械工程学院计算机工程系,河北石家庄,050003;解放军军械工程学院计算机工程系,河北石家庄,050003;解放军军械工程学院计算机工程系,河北石家庄,050003
【正文语种】中文
【中图分类】TP393.08
【相关文献】
1.基于WinPcap的网络数据包捕获系统设计与实现 [J], 黄培花;宋科
2.基于Winpcap网络数据包的捕获与存储技术研究 [J], 李星;熊列彬;王昌
3.基于WinPcap的公安信息网络数据包捕获分析系统研究 [J], 刘传军
4.基于WinPcap网络数据包捕获实现 [J], 赵建勋
5.基于Winpcap网络数据包的捕获与存储技术研究 [J], 李星;熊列彬;王昌
因版权原因，仅展示原文概要，查看原文内容请购买。

pcap原理
PCAP（Packet Capture）是一种捕获代理网络数据包的技术。

它是网络编程中非常重要的一种技术，可以帮助开发人员分析、调试和研究网络协议。

PCAP通常用于抓取广域网（WAN）或局域网（LAN）上的数据包，以帮助管理员、开发人员进行网络故障诊断与分析。

在计算机网络中，数据是以数据包的形式传输的。

当一个计算机从网络上接收到数据包时，它会把数据包交给操作系统，而操作系统需要将数据包传递给应用程序，以便进行二次开发或分析。

在这个过程中，操作系统需要使用一定的技术来对数据包进行捕获和处理。

而PCAP就是一种捕获和处理网络数据包的技术。

PCAP技术基于操作系统内核层的实现来进行数据包的捕获。

在Linux中，内核中实现了一个Packet Socket接口，用于向用户程序提供数据包的捕获和发送功能。

Windows中则是使用WinPcap或Npcap等第三方库来实现PCAP功能。

PCAP技术可以捕获数据包并进行多种操作，例如过滤、深度分析等。

通过PCAP 技术，开发人员或管理员可以对数据包进行捕获和分析，以便定位网络问题，或优化网络性能。

常见的分析工具包括Wireshark等，通过这些工具的分析，可以有效的发现网络问题，快速解决故障。

总的来说，PCAP技术已经成为了一个网络开发人员不可缺少的技能。

掌握PCAP 技术可以帮助开发人员更全面地了解网络协议和通信机制，定位网络问题，提高
网络性能，同时可以提升工作效率和开发速度。