WinPcap网络分析原理

WinPcap是在windows平台访问网络数据链路层的开源库,允许应用程序绕开网络协议栈来捕获与发送网络数据包,并具备内核空间的数据包过滤、网络统计等其他有用特性。同时,WinPcap是众多网络分析工具使用的软件库,在网络分析中具有软件基石的作用。

大多数网络应用程序是通过操作系统来访问网络的,操作系统已经处理了底层的细节问题(协议栈处理)。但有些时候需要直接使用网络中的“原始”数据包,WinPcap提供以下功能:

(1)捕获原始数据包

(2)在数据包传递给应用程序之前,根据指定规则过滤数据包

(3)将原始数据包发送到网络中;

(4)统计网络流量与状态信息。

一、获取与释放网络设备列表

int pcap_findalldevs(pcap_if_t **alldevsp, char *errbuf);
int pcap_findalldevs_ex(char *source, struct pcap_rmtauth *auth, pcap_if_t **alldevsp, char *errbuf);
int pcap_freealldevs(pcap_if_t *alldevsp);

pcap_findalldevs、pcap_findalldevs_ex函数用于返回所找到的适配器列表alldevsp,函数操作成功返回0,否则返回-1。pcap_freealldevs函数用于释放适配器列表。

注意:pcap_findalldevs函数只列出本机的网络设备,pcap_findalldevs_ex函数可以列出远程机器上的网络设备,且能列出一个给定pcap格式的文件。在只列出本机网络设备时,pcap_findalldevs_ex函数中调用pcap_findalldevs函数实现。统一用pcap_findalldevs_ex函数即可。

结构体pcap_if_t是pcap_if的重命名,定义如下

struct pcap_if {
	struct pcap_if *next;                /* 指向下一个结构体 */
	char *name;		                     /* 接口设备名称 */
	char *description;	                 /* 接口设备描述, or NULL */
	struct pcap_addr *addresses;         /* 接口设备地址结构体 */   
	bpf_u_int32 flags;	                 /* 标志 */
};
struct pcap_addr {
	struct pcap_addr *next;
	struct sockaddr *addr;		/* address */
	struct sockaddr *netmask;	/* netmask for that address */
	struct sockaddr *broadaddr;	/* broadcast address for that address */
	struct sockaddr *dstaddr;	/* P2P destination address for that address */
};

 示例:

pcap_if_t *alldevs;
pcap_if_t *d;
char errbuf[PCAP_ERRBUF_SIZE];
if (pcap_findalldevs_ex(PCAP_SRC_IF_STRING, NULL, &alldevs, errbuf) != -1)
{
    ...
}

for (d = alldevs; d !=NULL; d = d->next)
{
    ...
}

二、打开与关闭网络设备

pcap_t *pcap_open(const char *source, int snaplen, int flags, int read_timeout, struct pcap_rmtauth *auth, char *errbuf);
pcap_t *pcap_open_live(const char *device, int snaplen, int promisc, int to_ms, char *errbuf);
pcap_t *pcap_open_offline(const char *fname, char *errbuf);
pcap_t *pcap_open_dead(int linktype, int snaplen);
pcap_t *pcap_close(pcap_t *p);

pcap_open函数打开一个通用的数据捕获源(本地主机、远程主机、文件三种类型),以便进行捕获或发送操作;pcap_open_live函数打开本地主机网络设备,并进行数据捕获;pcap_open_offline函数用于打开一个libpcap格式的存储文件,读取数据包;pcap_open_dead函数用于创建一个pcap_t结构体,不捕获数据。

注意:pcap_open函数可代替所有的pcap_open_xxx函数,通过捕获源字符串const char *source来判断源的类型,从而调用具体的打开函数pcap_open_xxx。因此,在开发过程中统一用pcap_open函数即可。pcap_findalldevs_ex返回的网络设备可以直接被pcap_open函数使用,如果用户需要自定义文件来读取,需在source参数中给出。

示例:

pcap_t *adhandle;
adhandle= pcap_open_live(d->name,	    // 设备名称或文件名称
						65536,			// 捕获时保留数据包的长度,存入缓冲区,最大为6536,表示整个包都缓存
					    1,				// 捕获数据包所需的标识
						1000,			// 超时时间,以毫秒为单位,可以理解为抓包的采样间隔
						errbuf			// error buffer
						)

三、数据包的接收 

int	pcap_loop(pcap_t *p, int cnt, pcap_handler callback, u_char *user);
int	pcap_dispatch(pcap_t *p, int cnt, pcap_handler callback, u_char *user);
u_char* pcap_next(pcap_t *p, struct pcap_pkthdr *h);
int pcap_next_ex(pcap_t *p, struct pcap_pkthdr **pkt_header, const u_char **pkt_data);
void pcap_breakloop(pcap_t *p);

 pcap_loop、pcap_dispatch函数用于循环接收一组数据包;pcap_next用于返回下一个可用的数据包;pcap_next_ex用于从网络设备或文件中读取一个数据包;pcap_breakloop用于设置一个标志位,强制pcap_loop或pcap_dispatch函数返回,不再循环。

pcap_loop、pcap_dispatch函数需要调用回调函数pcap_handler callback,由回调函数捕获数据包。定义如下:

void pcap_handler(u_char *user, const struct pcap_pkthdr *header, const u_char *pkt_data);

该函数的参数:user是用户定义的参数,包含了捕获会话的状态,对应于pcap_loop、pcap_dispatch函数的user参数;pcap_pkthdr *header是NPF驱动程序给数据包附加的信息头,不是协议头;u_char *pkt_data指向数据包的数据,包括协议头。

注意:pcap_loop和pcap_dispatch的区别在于,pcap_dispatch函数在超时时间到了就会返回,而pcap_loop不会因此返回,直到cnt个数据包捕获完成后才会返回(或者遇到pcap_breakloop返回)。因此pcap_loop函数会在一小段时间内阻塞网络

pcap_next函数返回u_char类型指针,指向数据包数据(不包含给数据包添加的头信息pcap_pkthdr结构体);pcap_next_ex函数返回操作结果,数据包读取成功返回1,超时返回0,出现错误返回-1,文件操作遇到文件尾部EOF返回-2。与pcap_next_ex相比,pcap_next有两点不足:一是效率低下,尽管隐藏了回调方式,但依赖于pcap_dispatch函数;二是不能检测文件末尾的EOF状态。

示例:

pcap_t *adhandle;
struct pcap_pkthdr *header;
const u_char *pkt_data;
while((res = pcap_next_ex(adhandle, &header, &pkt_data)) >= 0)
{
    ...
}

 

上一篇:python-如何存储数据包捕获数据(* .pcap)进行分析


下一篇:BugKu CTF(杂项篇MISC)—telnet