基于WinPcap的程序开发.docVIP

基于WinPcap的程序开发 一、WinPcap介绍 1、WinPcap简介 大多数Unix操作系统提供了一套允许应用程序直接与网络相互联系的系统调用。这些指令对于那些需要通过网络捕获连续的包数据而不用内核进行过多的干预的包捕获应用程序非常有用。在Windows环境下，WinPcap就是这样一类工具。 WinPcap是一个在Windows操作系统下的免费、公开的用于直接访问网络的开发工具包（编程API）。大多数Windows网络应用程序都是通过Winsock API（Windows套接口）这类高级编程接口访问网络的。这种方法允许在网络上进行简单的数据传送，因为操作系统的TCP/IP协议栈实现软件会处理底层细节（协议操作、流程重组等等），并提供一个类似于读写文件的函数接口。 然而，有时候“简便方法”并不能满足实际需要。有些程序希望绕过TCP/IP协议栈，直接处理底层网络中的通信数据，它们需要对网络进行底层进行直接访问，即在没有类似协议栈（TCP/IP协议栈）的实体介入条件下对网络进行原始访问。 基于Winsock API编程，应用程序是通过调用操作系统提供的编程接口访问TCP/IP协议栈实现网络通信的。基于WinPcap编程，网络程序实际上是绕开操作系统的TCP/IP协议栈直接通过底层网络发送数据，因此，网络程序可以实现一些更低级、更灵活的功能。 2、WinPcap的目的WinPcap可以开发的网络应用WinPcap的WinPcap的开发目前，winpcap主要是windows NT/2000/XPwinpcap的用户中只有小部分使用windows 95/98/Me，并且也已经放弃了对win9x的开发。winpcap中的面向9x系统的概念和NT系统的非常相似，只是在某些实现上有点差异，比如说9x只支持ANSI编码，而NT系统则提倡使用Unicode编码。 WinPcap典型的开发和运行环境是windows NT/2000/XPWinPcap也支持windows 95/98/Me，但是，我们不推荐在windows 95/98/Me下开发和运行基于WinPcap的网络应用。 二、WinPcap的体系结构分析 1、WinPcap的组成与结构 如图2.1，WinPcap由一个数据包监听设备驱动程序NPF）、一个底层的动态连接库packet.dll）和一个的静态库wpcap.dll）共三个部分构成。NPF在操作系统的内核级，packet.dll、wpcap.dll在用户级。 1）数据包监听设备驱动程序抓包必须绕过操作系统的协议栈来访问在网络上传输的原始数据包（raw packet）这就要求WinPcap一部分运行在操作系统核心内部，直接与网络接口驱动交互。这个部分是系统依赖（system dependent）的，在Winpcap的解决方案它被是一个设备驱动，称作NPF（Netgroup Packet Filter）。Winpcap开发小组针对Windows95，Windows98，WindowsME，Windows NT 4，Windows2000和WindowsXP提供了不同版本的驱动。这些驱动不仅提供了基本的特性（例如抓包），还有更高级的特性（例如可编程的过滤器系统和监视引擎）。前者可以被用来约束一个抓包会话只针对网络通信中的一个子集（例如，捕获特殊主机产生的ftp通信数据包），后者提供了一个强大而简单的统计网络通信量的机制（例如，获得网络负载或两个主机间的数据交换量）。数据包监听设备驱动程序直接从数据链路层网络数据包不加修改地传递给运行在用户层的应用程序在不同的WINDOWS系统下是不同。数据包监听设备驱动程序支持BPF过滤机制，可以灵活地设置过滤规则。底层的动态连接库packet.dll）和高层静态库wpcap.dll） 为了方便编程，WinPcap必须提供一个编程接口（API），这就是WinPcap的底层的动态连接库packet.dll）和高层静态库wpcap.dll）。这里，packet.dll提供了一个底层API，伴随着一个独立于Microsoft操作系统的编程接口，这些API可以直接用来访问驱动的函数；wpcap.dll导出了一组更强大的与libpcap一致的高层抓包函数库（capture primitives）这些函数使得数据包的捕获以一种与网络硬件和操作系统无关的方式进行。底层动态链接库运行在用户层，应用程序和数据包监听设备驱动程序隔离开来，使得应用程序可以不加修改地在不同的WINDOWS系统上运行。高级的静态链接库和应用程序编译在一起，使用低级动态链接库提供的服务，向应用程序提供完善的监听接口。wpcap.dll提供的编程接口开发应用程序。当然，程序要也可以使用packet.dll、NPF提供的编程接口，只是后者提供