投递文章
投稿指南
- WinPcap远程捕获内部结构与定义
- 数据结构 struct activehosts Keeps a list of all the opened connections in the active mode. More... struct rpcap_header Common header for all the RPCAP messages. More... struct rpcap_findalldevs_if Format of the message for the interface descr... [阅读全文]
- WinPcap数据包驱动API-Packet.dll
- Packet.dll 是一个动态链接库,并提供了一些低层的函数,用来: 安装,启动和停止NPF设备驱动 从NPF驱动接收数据包 通过NPF驱动发送数据包 获取可用的网络适配器列表 获取适配器的不同信息,比如设备描述,地址列表和掩码 查询并设置一个低层的适配器参数 packet... [阅读全文]
- 如何编译WinPcap
- 编译驱动 编译NPF时,有两个主要的路径:Windows NTx和Windows 9x。注意,因为NPF驱动是与平台相关的,所以,为了连接正确的DDK库,我们强烈建议编译的时候,要选择将来会被使用的那个操作系统。比如,如果你使用Windows NT 4 DDK库赖编译驱动,那么在Windows2000或其... [阅读全文]
- NPF驱动核心指南
- 模块 NPF 结构与定义 NPF 函数 数据结构 struct binary_stream A stream of X86 binary code. More... struct JIT_BPF_Filter Structure describing a x86 filtering program created by the jitter. More... 定义 #define EAX 0 #define ECX 1 #defin... [阅读全文]
- 如何使用WinPcap收集并统计网络流量
- 统计引擎利用了内核级的数据包过滤器,来有效地为收集到的数据包进行分类。如果你想阅读更多细节,请参阅 NPF驱动核心手册。 为了使用这个特性,编程人员必须打开一个适配器,并且,可以使用 pcap_setmode() 将它设置为统计模式(statistical mode)。特别注意,必须使... [阅读全文]
- 使用WinPcap发送数据包
- 尽管从 WinPcap 的名字上看,这个库的目标应该是数据捕捉(Packet Capture),然而,它也提供了针对很多其它有用的特性。在其中,我们可以找到一组很完整的用于发送数据包的函数。 请注意:原始的libpcap库是不支持发送数据包的,因此,这里展示的函数都属于是WinPcap的... [阅读全文]
- WinPcap处理脱机堆文件
- WinPcap提供了很多函数来将网络数据流保存到文件并读取它们 -- 本讲将教你如何使用这些函数。我们还将看到如何使用WinPcap内核堆特性来获取一个高性能的堆。(请注意:此时,由于一些有关新内核缓冲的问题,这些特性将无法使用) 堆文件的格式是libpcap的一种。这种格... [阅读全文]
- WinPcap分析数据包
- 我们可以捕捉并过滤网络流量了,那就让我们学以致用,来做一个简单使用的程序吧。 在本讲中,我们将会利用上一讲的一些代码,来建立一个更实用的程序。 本程序的主要目标是展示如何解析所捕获的数据包的协议首部。这个程序可以称为UDPdump,打印一些网络上传输的UD... [阅读全文]
- 使用WinPcap过滤数据包
- WinPcap和Libpcap的最强大的特性之一,是拥有过滤数据包的引擎。 它提供了有效的方法去获取网络中的某些数据包,这也是WinPcap捕获机制中的一个组成部分。 用来过滤数据包的函数是 pcap_compile() 和 pcap_setfilter() 。 pcap_compile() 它将一个高层的布尔过滤表... [阅读全文]
- 不用回调方法使WinPcap可以捕获数据包
- pcap_loop()函数是基于回调的原理来进行数据捕获,这是一种精妙的方法,并且在某些场合中,它是一种很好的选择。 然而,处理回调有时候并不实用 -- 它会增加程序的复杂度,特别是在拥有多线程的C++程序中。 可以通过直接调用pcap_next_ex() 函数来获得一个数... [阅读全文]
- 如何让WinPcap打开适配器并捕获数据包
- 现在,我们已经知道如何获取适配器的信息了,那我们就开始一项更具意义的工作,打开适配器并捕获数据包。在这讲中,我们会编写一个程序,将每一个通过适配器的数据包打印出来。 打开设备的函数是 pcap_open()。下面是参数 snaplen, flags 和 to_ms 的解释说明 ... [阅读全文]
- 使用WinPcap获取已安装设备的高级信息
- (在如何使用WinPcap获取设备列表) 我们展示了如何获取适配器的基本信息 (如设备的名称和描述)。 事实上,WinPcap提供了其他更高级的信息。 特别需要指出的是, 由 pcap_findalldevs_ex() 返回的每一个 pcap_if 结构体,都包含一个 pcap_addr 结构体,这个结构体由如下元... [阅读全文]
- 使用WinPcap获取设备列表
- 通常,编写基于WinPcap应用程序的第一件事情,就是获得已连接的网络适配器列表。libpcap和WinPcap都提供了 pcap_findalldevs_ex() 函数来实现这个功能: 这个函数返回一个 pcap_if 结构的链表, 每个这样的结构都包含了一个适配器的详细信息。值得注意的是,数据域 name... [阅读全文]
- 如何使用WinPcap进行编程
- 创建一个使用 wpcap.dll 的应用程序 用 Microsoft Visual C++ 创建一个使用 wpcap.dll 的应用程序,需要按一下步骤: 在每一个使用了库的源程序中,将 pcap.h 头文件包含(include)进来。 如果你在程序中使用了WinPcap中提供给Win32平台的特有的函数, 记得在预... [阅读全文]
- WinPcap过滤串表达式的语法
- 注意:这篇文档取自tcpdump的指南。原始的版本 www.tcpdump.org 找到。 wpcap的过滤器是以已声明的谓词语法为基础的。过滤器是一个ASCII字符串,它包含了一个过滤表达式。pcap_compile()把这个表达式编译成内核级的包过滤器。 这个表达式会选择那些数据包将会被... [阅读全文]
- WinPcap与Unix兼容的函数
- 这些函数是libpcap库的一部分,因此,既能运行在Windows平台,也能运行于Linux平台。 注意: 在函数 pcap_open_live(), pcap_open_dead(), pcap_open_offline(), pcap_setnonblock(), pcap_getnonblock(), pcap_findalldevs(), pcap_lookupdev(), 和 pcap_lookupnet()... [阅读全文]
- Winpcap的内部结构
- Winpcap是针对Win32平台上的抓包和网络分析的一个架构。它包括一个核心态的包过滤器,一个底层的动态链接库(packet.dll)和一个高层的不以来于系统的库(wpcap.dll)。 为什么使用“architecture”而不是“library”呢?因为抓包是一个要... [阅读全文]
- 利用WinPcap技术捕获数据包
- 前言 随着网络入侵的不断发展,网络安全变得越来越重要,于是网络入侵取证系统的研究也变得日益重要。在网络入侵取证系统中,对网络上传送的数据包进行有效的监听即捕获包是目前取证的关键技术,只有进行高效的数据包捕获,网络管理员才能对所捕获的数据进行一系列... [阅读全文]
- 循序渐进学习使用WINPCAP(九)
- 这一节将展示WinPcap的另一高级功能:收集网络流量的统计信息。WinPcap的统计引擎在内核层次上对到来的数据进行分类。如果你想了解更多的细节请查看NPF驱动指南。 这一节将展示WinPcap的另一高级功能:收集网络流量的统计信息。WinPcap的统计引擎在内核层次上对到来的数... [阅读全文]
- 循序渐进学习使用WINPCAP(八)
- 尽管WinPcap从名字上来看表明他的主要目的是捕获数据包,但是他还为原始网络提供了一些其他的功能,其中之一就是用户可以发送数据包,这也就是本节的主要内容。 尽管WinPcap从名字上来看表明他的主要目的是捕获数据包,但是他还为原始网络提供了一些其他的功能,其中 之... [阅读全文]