基于WinPcap的网络数据包分析系统的设计

摘要：网络数据包的捕获对于网络安全有着巨大的作用。本文介绍了网络数据捕获的原理、方法及利用Winpcap 捕获网络底层数据包的步骤和方法，并根据TCP/IP 协议簇对捕获到的数据包进行分析。 关键词：WinPacp；包捕获；TCP/IP 基于Windows的数据包捕获方法分以下几种情况： （1）使用原始套接字（raw socket）机制。方法简单,但功能有限,只能捕获较高层的数据包。在创建了原始套接字后,需要通过setsockopt（）函数来设置IP头操作选项,然后再通过bind（）函数将原始套接字绑定到本地网卡。为了让原始套接字能接受所有的数据，还需要通过ioctlsocket（）来进行设置，而且还可以指定是否亲自处理IP头。至此,就可以实际开始对网络数据包进行监听。 ?? （2）直接连接调用库函数。这种方法功能非常强大，但是比较危险，很可能导致系统崩溃和网络瘫痪。 ?? （3）使用或者自行编写中间层驱动程序。这是微软公司推荐使用的一种方法,微软提供的win2000DDK中也提供了几个这样的驱动程序。在具体的实现方式上可分为用户级和内核级两类。其中内核级主要是TDI捕获过滤驱动程序，NDIS中间层捕获过滤驱动程序，NDIS捕获过滤钩子（Hook）驱动程序等，它们都是利用网络驱动来实现的。用户级包括SPI接口、Windows2000包捕获过滤接口等。 ?? （4）使用第三方捕获组件或库，比如WinPcap。 ??? 实际的应用中，Libpcap是网络数据包捕获的代表，它是专门的跨平台的数据捕捉函数库，其捕获机制就是BPF。Lipcap是应用于Linux系统的，而对于Windows系统有相应的可兼容的Winpcap函数库。开发Winpcap的目的在于为Win32应用程序提供访问网络底层的能力