○、序
这篇文章写于1年前,因为某些原因,没有把它完成。今天整理一下 shadowstar's home,偶然发现这篇未完的文章。虽是年前的东西,但现在仍没有过时,对想了解 Sniffer 的朋友应该有所帮助。爸爸说做事情要有始有终,今天是端午节,谨以此文给远隔千里的亲人送一份心意。
一、引言
上一次介绍了用 Raw Socket 实现 Sniffer 的方法,实现起来比较简单,但有个缺点就是只能截获 IP 层以上的包,数据包头不含帧信息。对一些特殊的要求就不能满足了,其中很重要的一条就是不能对 ARP 包进行处理。用 NDIS 驱动程序可以实现对整个以太网包的截获,但复杂的驱动程序让好多人望而却步。没关系,有现成的东西干嘛不好好利用呢?在微软的 DDK 里提供了一个 Packet 的例子,Packet.sys 可以对网卡进行任意的操作,Packete32.dll 提供给应用程序一个方便的接口,而与驱动程序通讯相关的复杂的内部操作由 DLL 完成,面向应用层的程序员不需要了解这些细节。可惜我按 Packet32.dll 的提供的接口一步一步的做下去,却总也得不到想要的结果,一抓包就死在那儿不动了。看来它是不想给我干活了:(还是不想自已写驱动程序……
幸运的是有一套 WinPcap 的东东,专门用来在 Win32 平台下抓包的,可以在 http://winpcap.polito.it 上下载到。而且接口基本上和微软的 Packet 是一样的。哈哈,这下好了,原来的代码还可以用,一试就灵!下面就介绍怎样利用 WinPcap 直接对网卡进行操作及对接收到的数据进行分析。
二、Windows 系统中的网络通信结构
1.Windows 系统中的网络通信结构
图1的上层应用程序包括 IE、Outlook 等各种基于网络的软件,网络驱动协议包括 TCP/IP、NETBEUI 等各种 Windows 支持的网络层、传输层协议,NDIS 是 Windows 操作系统网络功能驱动的关键部分,下面对 NDIS 进行介绍。
2.NDIS及其特点
NDIS(Network Driver Interface Specification) 是 Microsoft 和 3Com 公司联合制定的网络驱动规范,并提供了大量的操作函数。它为上层的协议驱动提供服务,屏蔽了下层各种网卡的差别。
NDIS 向上支持多种网络协议,比如 TCP/IP、NWLink IPX/SPX、NETBEUI 等,向下支持不同厂家生产的多种网卡。NDIS 还支持多种工作模式,支持多处理器,提供一个完备的 NDIS 库(Library)。 但库中所提供的各个函数都是工作在核心模式下的,用户不宜直接操作,这就需要寻找另外的接口。
三、WinPcap 简介
1. WinPcap结构图
2. WinPcap 包括三个部分
第一个模块NPF(Netgroup Packet Filter),是一个虚拟设备驱动程序文件。它的功能是过滤数据包,并把这些数据包原封不动地传给用户态模块,这个过程中包括了一些操作系统特有的代码。 第二个模块packet.dll为win32平台提供了一个公共的接口。不同版本的Windows系统都有自己的内核模块和用户层模块。Packet.dll用于解决这些不同。调用Packet.dll的程序可以运行在不同版本的Windows平台上,而无需重新编译。 第三个模块 Wpcap.dll是不依赖于操作系统的。它提供了更加高层、抽象的函数。3. packet.dll和Wpcap.dll
packet.dll直接映射了内核的调用。 Wpcap.dll提供了更加友好、功能更加强大的函数调用。4. WinPcap的优势
提供了一套标准的抓包接口,与libpcap兼容,可使得原来许多UNIX平台下的网络分析工具快速移植过来四、Packet.dll 的使用
WinPcap的主页:http://winpcap.polito.it/你可以到这里下载它的驱动、DLLs和开发包。这里只是对WinPcap实现Sniffer做一个简单的介绍,不做深入研究。你只需要把下载回来的驱动安装到你的计算机上,用你的程序调用Packet.dll就可以了。Packet.dll在安装的时候会被拷贝到你的系统目录下,也可以用WinRAR打开安装包,可以看到里面的文件,直接提取你想要的Packet.dll。
Packet.dll提供了一套完整的、功能强大的API,其接口形式与Microsoft DDK提供的Packet32.dll基本一致。开发过Windows应用程序的人,对调用DLL一定不会莫生,如果你还不知道怎么使用DLL请参考相关书籍,这里不多讲了。新建一个DLL工程命名为sniffer2,保存到硬盘。把开发包里的include、lib目录拷贝到工程目录中。如果你用的是Visual C++,可以直接使用lib里面的引入库。shadowstar用的是C++Builder,需要用C++Builder提供的implib工具为Packet.dll生成一个lib文件,命令行如下:
implib -a packet.lib packet.dll
五、简单实现
shadowstar用C++Builder写了一个简单的演示程序,这里只给出主要部分的代码,完整的代码可以到http://shadowstar.126.com/下载。
void __fastcall TMainForm::btnCtrlClick(TObject *Sender) { //define a pointer to an ADAPTER structure LPADAPTER lpAdapter = 0; //define a pointer to a PACKET structure LPPACKET lpPacket; int i; DWORD dwErrorCode; DWORD dwVersion; DWORD dwWindowsMajorVersion; //unicode strings (winnt) WCHAR AdapterName[8192]; // string that contains a list of the network adapters WCHAR *temp,*temp1; //ascii strings (win95) char AdapterNamea[8192]; // string that contains a list of the network adapters char *tempa,*temp1a; int AdapterNum=0,Open; ULONG AdapterLength; char buffer[256000]; // buffer to hold the data coming from the driver struct bpf_stat stat; // obtain the name of the adapters installed on this machine AdapterLength=4096; ShowMessage(AnsiString("Packet.dll test application. Library version: ") + PacketGetVersion()); ShowMessage("Adapters installed:"); i=0; // the data returned by PacketGetAdapterNames is different in Win95 and in WinNT. // We have to check the os on which we are running dwVersion=GetVersion(); dwWindowsMajorVersion = (DWORD)(LOBYTE(LOWORD(dwVersion))); if (!(dwVersion >= 0x80000000 && dwWindowsMajorVersion >= 4)) { // Windows NT if(PacketGetAdapterNames((PTSTR)AdapterName,&AdapterLength) == FALSE) { ShowMessage("Unable to retrieve the list of the adapters!\n"); return; } temp=AdapterName; temp1=AdapterName; while ((*temp!='\0')||(*(temp-1)!='\0')) { if (*temp=='\0') { memcpy(AdapterList[i],temp1,(temp-temp1)*2); temp1=temp+1; i++; } temp++; } AdapterNum=i; for (i=0;i<AdapterNum;i++) ShowMessage(Format(L"\n%d- %s\n",ARRAYOFCONST((i+1, AdapterList[i])))); } else //windows 95 { if(PacketGetAdapterNames((PTSTR)AdapterNamea,&AdapterLength) == FALSE) { ShowMessage("Unable to retrieve the list of the adapters!\n"); return; } tempa=AdapterNamea; temp1a=AdapterNamea; while ((*tempa!='\0')||(*(tempa-1)!='\0')) { if (*tempa=='\0') { memcpy(AdapterList[i],temp1a,tempa-temp1a); temp1a=tempa+1; i++; } tempa++; } AdapterNum=i; for (i=0;i<AdapterNum;i++) ShowMessage(Format("\n%d- %s\n", ARRAYOFCONST((i+1,AdapterList[i])))); } lpAdapter = PacketOpenAdapter(AdapterList[0]); if (!lpAdapter || (lpAdapter->hFile == INVALID_HANDLE_VALUE)) { dwErrorCode=GetLastError(); ShowMessage(Format("Unable to open the adapter, Error Code : %lx\n", ARRAYOFCONST(((int)dwErrorCode)))); return; } // set the network adapter in promiscuous mode if(PacketSetHwFilter(lpAdapter,NDIS_PACKET_TYPE_PROMISCUOUS)==FALSE) { ShowMessage("Warning: unable to set promiscuous mode!\n"); } // set a 512K buffer in the driver if(PacketSetBuff(lpAdapter,512000) == FALSE) { ShowMessage("Unable to set the kernel buffer!\n"); return; } // set a 1 second read timeout if(PacketSetReadTimeout(lpAdapter,1000)==FALSE) { ShowMessage("Warning: unable to set the read tiemout!\n"); } //allocate and initialize a packet structure that will be used to //receive the packets. if((lpPacket = PacketAllocatePacket()) == NULL) { ShowMessage("\nError: failed to allocate the LPPACKET structure."); return; } PacketInitPacket(lpPacket,(char*)buffer,256000); if (btnCtrl->Caption == "&Start") { bStop = false; btnCtrl->Caption = "&Stop"; } else { bStop = true; btnCtrl->Caption = "&Start"; } int nIndex = 0; LPIP ip; LPTCP tcp; TListItem *Item; struct bpf_hdr *hdr; int off; BYTE* buf; //main capture loop while(!bStop) { // capture the packets if(PacketReceivePacket(lpAdapter,lpPacket,TRUE)==FALSE) ShowMessage("Error: PacketReceivePacket failed"); off = 0; buf = (BYTE*)lpPacket->Buffer; while(off<lpPacket->ulBytesReceived & !bStop) { nIndex++; hdr = (struct bpf_hdr *)(buf+off); off+= hdr->bh_hdrlen; ip = (IP*)(buf + off + ETHERNET_HEADER_LENGTH); tcp = (TCP*)((BYTE*)ip + (ip->HdrLen & IP_HDRLEN_MASK)); off = Packet_WORDALIGN(off+hdr->bh_caplen); Item = lsvPacket->Items->Add(); Item->Caption = nIndex; Item->SubItems->Add(GetProtocolTxt(ip->Protocol)); Item->SubItems->Add(inet_ntoa(*(in_addr*)&ip->SrcAddr)); Item->SubItems->Add(inet_ntoa(*(in_addr*)&ip->DstAddr)); Item->SubItems->Add(tcp->SrcPort); Item->SubItems->Add(tcp->DstPort); Item->SubItems->Add(hdr->bh_datalen); Application->ProcessMessages(); } } //print the capture statistics if(PacketGetStats(lpAdapter,&stat)==FALSE) ShowMessage("Warning: unable to get stats from the kernel!\n"); else ShowMessage(Format("\n\n%d packets received.\n%d Packets lost", ARRAYOFCONST(((int)stat.bs_recv,(int)stat.bs_drop)))); PacketFreePacket(lpPacket); // close the adapter and exit PacketCloseAdapter(lpAdapter); return; }
六、结束语
如果在一个繁忙的网络上进行截获,而且不设置任何过滤,那得到的数据包是非常多的,可能在一秒钟内得到上千的数据包。如果应用程序不进行必要的性能优化,那么将会大量的丢失数据包,下面就是我对性能的一个优化方案。
这个方案使用了多线程来处理数据包。在程序中建立一个公共的数据包缓冲池,这个缓冲池是一个LILO的队列。程序中使用三个线程进行操作:一个线程只进行捕获操作,它将从驱动程序获得的数据包添加到数据包队列的头部;另一个线程只进行过滤操作,它检查新到的队尾的数据包,检查其是否满足过滤条件,如果不满足则将其删除出队列;最后一个线程进行数据包处理操作,象根据接收的数据包发送新数据包这样的工作都由它来进行。上面三个线程中,考虑尽可能少丢失数据包的条件,应该是进行捕获操作的线程的优先级最高,当然具体问题具体分析,看应用的侧重点是什么了。
本文地址:http://com.8s8s.com/it/it40.htm