基于winpcap的嗅探器设计与实现设计说明Word格式文档下载.docx

1、 接收组播数据信息。单播模式: 只有匹配的目的网卡才能接收数据信息。混杂模式: 网卡能够可以接收一切通过它的数据信息。四、系统功能描述与软件模块划分系统功能设计本系统的基本功能为实现网络数据包的捕获, 并将其数据容解析显示。网络数据包捕获功能主要负责从网络中捕获和过滤数据,这可以通过调用winPcap提供的丰富的API函数来实现; 数据解析与显示部分主要负责界面数据转化、解析、处理、格式化、协议分析等, 这一部分主要通过MFC 来设计一个单文档图形用户界面GUI,解析结果将通过MFC的类库显示到GUI中系统总系结构网络嗅探器的整体设计由三个模块组成, 自底向上分别是嗅探器设置模块, 数据包捕获

2、模块, 解析和显示模块。嗅探器设置模块主要调用w inP c aP 提供的API,分为获取网络设备信息，设置并编译过滤器,打开网络设备三个步骤。数据包捕获模块创建了新的线程,利用了winPcap的非回调函数Pcap_ next_ex（）函数从winPcap底层驱动的数据缓冲区中读取数据包,并将数据包存储在系统临时文件中, 以便之后的分析。用Pcap_open_offline（）函数从离线文件中读取包。读取到的任意一个符合捕获条件数据包, 将其容解析, 并显示本数据包。捕获完成后, 进人解析和显示模块。（嗅探器总体结构如图1 ）图1.嗅探器总体结构五、设计步骤嗅探器的设置模块a .获取已连接的网

3、络设备列表, winPcap提供了pcap_findalldevs_ex（）函 数, 这个函数返回一个PcaP-if结构的链表, 每个这样的结构都包含了一个 适配器的详细信息。b.打开网络设备,winPcap提供了pcap_open（）函数,该函数第一参数制定要 捕获数据包的哪些部分, 第二参数用来制定适配器是否为混杂模式, 第三 参数为读取数据的超时时间, 当适配器被打开后, 就可以进行捕获工作了;c.设置过滤器, winPcap中用来过滤数据包的函数是pcap_compile（）和pc ap_setfilter（）。pcap_compile（）它将一个高层的布尔过滤表达式编译成一 个能够被

4、过滤引擎所解释的低层的字节码。pcap_setfilter（）将一个过滤器 与核捕获会话相关联。当pcap_set_filter（）被调用时, 这个过滤器将被 应用到来自网络的所有数据包, 并且, 所有的符合要求的数据包（即那些经 过过滤器以后, 布尔表达式为真的包）, 将会立即复制给应用程序。数据包的捕获模块该部分创建了一个用于捕获数据包的线程, 在该线程中调用winPcap提供的 pcap_next_ex（）函数从底层驱动数据缓冲区中读取数据包, 该函数接受已 打开的网络设备句柄, 返回捕获数据包的实体,并用pcap_dump函数将每一 个数据包写人临时文件中。解析与显示模块该部分在接收到

5、用户发出的捕获完成消息后, 将数据包从离线文件中逐条 取出并进行解析和显示。将解析完毕数据包中的各项容填人已经预先声明 的协议的数据结构中, 包括（序号,捕获时间,以太帧长度,传输层协议,源IP 地址,目的IP地址,源MAC地址,目的MAC地址）,然后将数据结构添加到列表视 图中六、关键问题与其解决方法界面初始化BOOL CzszhangDlg:OnInitDialog（） CDialog:OnInitDialog（）; ASSERT（IDM_ABOUTBOX & 0xFFF0） = IDM_ABOUTBOX）; ASSERT（IDM_ABOUTBOX AppendMenu（MF_SEPARA

6、TOR）;AppendMenu（MF_STRING, IDM_ABOUTBOX, strAboutMenu）; SetIcon（m_hIcon, TRUE）; / 设置大图标 SetIcon（m_hIcon, FALSE）; / 设置小图标 ShowWindow（SW_MINIMIZE）; m_listCtrl.SetExtendedStyle（LVS_EX_FULLROWSELECT|LVS_EX_GRIDLINES）; m_listCtrl.InsertColumn（0,_T（编号）,3,30）; /1表示右，表示中，表示左 m_listCtrl.InsertColumn（1,_T（时间）

7、,3,130）; m_listCtrl.InsertColumn（2,_T（长度）,3,72）; m_listCtrl.InsertColumn（3,_T（源MAC地址）,3,140）; m_listCtrl.InsertColumn（4,_T（目的MAC地址 m_listCtrl.InsertColumn（5,_T（协议）,3,70）; m_listCtrl.InsertColumn（6,_T（源IP地址）,3,145）; m_listCtrl.InsertColumn（7,_T（目的IP地址 m_combobox.AddString（_T（请选择一个网卡接口（必选）; m_comboBox

8、Rule.AddString（_T（请选择过滤规则（可选）if（sniffer_initCap（）next）if（dev-description） m_combobox.AddString（CString（dev-description）; /*初始化过滤规则列表*/tcpudpipicmparp m_combobox.SetCurSel（0）; m_comboBoxRule.SetCurSel（0）; m_buttonStop.EnableWindow（FALSE）; m_buttonSave.EnableWindow（FALSE）;return TRUE; / 除非将焦点设置到控件，否则返

9、回TRUE捕获数据包/开始捕获int CzszhangDlg:sniffer_startCap（） int if_index,filter_index,count; u_int netmask;struct bpf_program fcode; CString Ncard; sniffer_initCap（）;/获得接口和过滤器索引 if_index = this-m_combobox.GetCurSel（）; filter_index = this-m_comboBoxRule.GetCurSel（）;if（0=if_index | CB_ERR = if_index） MessageBox

10、（_T（请选择一个合适的网卡接口return -1;if（CB_ERR = filter_index）过滤器选择错误/*获得选中的网卡接口*/ dev=alldev;for（count=0;countnext;if （adhandle= pcap_open_live（dev-name, / 设备名 65536, /捕获数据包长度 1, / 混杂模式（非意味着是混杂模式） 1000, / 读超时设置 errbuf / 错误信息 ） = NULL）无法打开接口：+CString（dev-description）; pcap_freealldevs（alldev）;/*检查是否为以太网*/if（pc

11、ap_datalink（adhandle）!=DLT_EN10MB）这不适合于非以太网的网络!addresses!=NULL） netmask=（struct sockaddr_in *）（dev-addresses-netmask）-sin_addr.S_un.S_addr;else netmask=0xffffff;/编译过滤器if（0=filter_index）char filter = ;if （pcap_compile（adhandle, &fcode, filter, 1, netmask） m_comboBoxRule.GetLBText（filter_index,str）; l

12、en = str.GetLength（）+1; filter = （char*）malloc（len）;for（x=0;xlen;x+） filterx = str.GetAt（x）;/设置过滤器if （pcap_setfilter（adhandle, &fcode）m_ThreadHandle） MessageBox（NULL,_T（线程句柄错误）,_T（提示）,MB_OK）;while（res = pcap_next_ex（ pthis-adhandle, &header, &pkt_data） = 0）if（res = 0） /超时continue;struct datapkt *dat

13、a = （struct datapkt*）malloc（sizeof（struct datapkt）; memset（data,0,sizeof（struct datapkt）;if（NULL = data） MessageBox（NULL,_T（空间已满，无法接收新的数据包Error/分析出错或所接收数据包不在处理围if（analyze_frame（pkt_data,data,&（pthis-npacket）dumpfile!=NULL） pcap_dump（unsignedchar*）pthis-dumpfile,header,pkt_data）;/更新各类数据包计数 pthis-snif

14、fer_updateNPacket（）;/将本地化后的数据装入一个链表中，以便后来使用 ppkt_data = （u_char*）malloc（header-len）; memcpy（ppkt_data,pkt_data,header-m_localDataList.AddTail（data）;m_netDataList.AddTail（ppkt_data）;/*预处理，获得时间、长度*/ data-len = header- /链路中收到的数据长度 local_tv_sec = header-ts.tv_sec; ltime = localtime（&local_tv_sec）;time0

15、= ltime-tm_year+1900;time1 = ltime-tm_mon+1;time2 = ltime-tm_mday;time3 = ltime-tm_hour;time4 = ltime-tm_min;time5 = ltime-tm_sec;/*为新接收到的数据包在listControl中新建一个item*/ buf.Format（_T（%d）,pthis-npkt）; nItem = pthis-m_listCtrl.InsertItem（pthis-npkt,buf）;/*显示时间戳*/ timestr.Format（_T（%d/%d/%d %d:%d:）,data-ti

16、me0,time1,data-time2,data-time3,data-time4,data-time5）;m_listCtrl.SetItemText（nItem,1,timestr）;/*显示长度*/ buf.Empty（）;m_listCtrl.SetItemText（nItem,2,buf）;/*显示源MAC*/buf.Format（_T（%02X-%02X-%02X-%02X-%02X-%02Xethh-src0,data-src1,data-src2,data-src3,data-src4,data-src5）;m_listCtrl.SetItemText（nItem,3,buf

17、）;/*显示目的MAC*/ buf.Format（_T（dest0,data-dest1,dest2,data-dest3,data-dest4,data-dest5）;m_listCtrl.SetItemText（nItem,4,buf）;/*获得协议*/m_listCtrl.SetItemText（nItem,5,CString（data-pktType）;/*获得源IP*/if（0x0806= data-type） buf.Format（_T（%d.%d.%d.%darph-ar_srcip0, data-ar_srcip1,data-ar_srcip2,data-ar_srcip3）; elseif（0x0800 = data-type） struct in_addr in; in.S_un.S_addr = data-iph-saddr; buf = CString（inet_ntoa（in）; elseif（0x86dd =data-type ）int n;for（n=0;n8;n+） if（nsaddrn）;%02x m_listCtrl.SetItemText（nItem,6,buf）;/*获得目的IP*/if（0x0806 = data-ar_destip0,