基于WinPcap网络数据包捕获与分析.docVIP

基于WinPcap的网络数据包捕获与分析 一、WinPcap介绍 WinPcap简介 WinPcap是一个在Windows操作系统下的免费、公开的用于直接访问网络的开发工具包（编程API）。大多数Windows网络应用程序都是通过Winsock API（Windows套接口）这类高级编程接口访问网络的。这种方法允许在网络上进行简单的数据传送，因为操作系统的TCP/IP协议栈实现软件会处理底层细节（协议操作、流程重组等等），并提供一个类似于读写文件的函数接口。 然而，有时候“简便方法”并不能满足实际需要。有些程序希望绕过TCP/IP协议栈，直接处理底层网络中的通信数据，它们需要对网络进行底层进行直接访问，即在没有类似协议栈（TCP/IP协议栈）的实体介入条件下对网络进行原始访问。 基于Winsock API编程，应用程序是通过调用操作系统提供的编程接口访问TCP/IP协议栈实现网络通信的。基于WinPcap编程，网络程序实际上是绕开操作系统的TCP/IP协议栈直接通过底层网络发送数据，因此，网络程序可以实现一些更低级、更灵活的功能。 WinPcap的组成与结构 如图1.1，WinPcap由一个数据包监听设备驱动程序NPF）、一个底层的动态连接库packet.dll）和一个的静态库wpcap.dll）共三个部分构成。NPF在操作系统的内核级，packet.dll、wpcap.dll在用户级。 1）数据包监听设备驱动程序抓包必须绕过操作系统的协议栈来访问在网络上传输的原始数据包（raw packet）这就要求WinPcap一部分运行在操作系统核心内部，直接与网络接口驱动交互。这个部分是系统依赖（system dependent）的，在Winpcap的解决方案它被是一个设备驱动，称作NPF（Netgroup Packet Filter）。底层的动态连接库packet.dll）和高层静态库wpcap.dll） 为了方便编程，WinPcap必须提供一个编程接口（API），这就是WinPcap的底层的动态连接库packet.dll）和高层静态库wpcap.dll）。这里，packet.dll提供了一个底层API，伴随着一个独立于Microsoft操作系统的编程接口，这些API可以直接用来访问驱动的函数；wpcap.dll导出了一组更强大的与libpcap一致的高层抓包函数库（capture primitives）这些函数使得数据包的捕获以一种与网络硬件和操作系统无关的方式进行。底层动态链接库运行在用户层，应用程序和数据包监听设备驱动程序隔离开来，使得应用程序可以不加修改地在不同的WINDOWS系统上运行。高级的静态链接库和应用程序编译在一起，使用低级动态链接库提供的服务，向应用程序提供完善的监听接口。WinPcap的基本原理 抓包是WinPcapNPF最重要的操作。在抓包的时候，驱动使用一个网络接口监视着数据包，并将这些数据包完整无缺地投递给用户级应用程序。WinPcap的NPF抓包数据包过滤器数据包过滤器决定是否接收进来的数据包并把数据包拷贝给监听程序。数据包过滤器是一个有布尔输出的函数。如果函数值是true，抓包驱动拷贝数据包给应用程序如果是false，数据包将被丢弃。NPF数据包过滤器更复杂一些，因为它不仅决定数据包是否应该被保存，而且还决定要保存的字节数。被NPF驱动采用的过滤系统来源于BSD Packet Filter（BPF），一个虚拟处理器可以执行伪汇编书写的用户级过滤程序。应用程序采用用户定义的过滤器并使用wpcap.dll将它们编译进BPF程序。然后，应用程序使用BIOCSETF IOCTL写入核心态的过滤器。这样，对于每一个到来的数据包该程序都将被执行，而满足条件的数据包将被接收。与传统解决方案不同，NPF不解释（interpret）过滤器，而是执行（execute）它。由于性能的原因，在使用过滤器前，NPF提供一个JIT编译器将它转化成本地的80x86函数。当一个数据包被捕获，NPF调用这个本地函数而不是调用过滤器解释器，这使得处理过程相当快。 循环缓冲区NPF的循环缓冲区用来保存数据包丢失循环。一个保存在缓冲区中的数据包有一个头，它包含了一些主要的信息，例如时间戳和数据包的大小，它不是协议头。，循环缓冲区以队列插入的方式来保存数据包提高数据的存储效率。可以以组的方式将数据包从NPF缓冲区拷贝到应用程序这样就提高了性能，因为它降低了读的次数。如果一个数据包到来的时候缓冲区已经满了，那么该数据包将被丢弃，就发生了丢包。 统计模式避免了复制数据包并且执行0-copy机制（当包仍存放在NIC（网络接口卡）驱动的内存中时开始进行统计，随后丢弃这个包）。而且，环境转换的次数可以保持最低，这是因为结果通过一次系统调用就可以返回给用