Sniffer 实现之二——用 WinPcap 实现 Sniffer
○、序
这篇文章写于1年前,因为某些原因,没有把它完成。今天整理一下 shadowstar's home,偶然发现这篇未完的文章。虽是年前的东西,但现在仍没有过时,对想了解 Sniffer 的朋友应该有所帮助。爸爸说做事情要有始有终,今天是端午节,谨以此文给远隔千里的亲人送一份心意。
一、引言
上一次介绍了用 Raw Socket 实现 Sniffer 的方法,实现起来比较简单,但有个缺点就是只能截获 IP 层以上的包,数据包头不含帧信息。对一些特殊的要求就不能满足了,其中很重要的一条就是不能对 ARP 包进行处理。用 NDIS 驱动程序可以实现对整个以太网包的截获,但复杂的驱动程序让好多人望而却步。没关系,有现成的东西干嘛不好好利用呢?在微软的 DDK 里提供了一个 Packet 的例子,Packet.sys 可以对网卡进行任意的操作,Packete32.dll 提供给应用程序一个方便的接口,而与驱动程序通讯相关的复杂的内部操作由 DLL 完成,面向应用层的程序员不需要了解这些细节。可惜我按 Packet32.dll 的提供的接口一步一步的做下去,却总也得不到想要的结果,一抓包就死在那儿不动了。看来它是不想给我干活了:(还是不想自已写驱动程序……
幸运的是有一套 WinPcap 的东东,专门用来在 Win32 平台下抓包的,可以在 http://winpcap.polito.it 上下载到。而且接口基本上和微软的 Packet 是一样的。哈哈,这下好了,原来的代码还可以用,一试就灵!下面就介绍怎样利用 WinPcap 直接对网卡进行操作及对接收到的数据进行分析。
二、Windows 系统中的网络通信结构
1.Windows 系统中的网络通信结构
图1的上层应用程序包括 IE、Outlook 等各种基于网络的软件,网络驱动协议?TCP/IP、NETBEUI 等各种 Windows 支持的网络层、传输层协议,NDIS 是 Windows 操作系统网络功能驱动的关键部分,下面对 NDIS 进行介绍。
2.NDIS及其特点
NDIS(Network Driver Interface Specification) 是 Microsoft 和 3Com 公司联合制定的网络驱动规范,并提供了大量的操作函数。它为上层的协议驱动提供服务,屏蔽了下层各种网卡的差别。
NDIS 向上支持多种网络协议,比如 TCP/IP、NWLink IPX/SPX、NETBEUI 等,向下支持不同厂家生产的多种网卡。NDIS 还支持多种工作模式,支持多处理器,提供一个完备的 NDIS 库(Library)。 但库中所提供的各个函数都是工作在核心模式下的,用户不宜直接操作,这就需要寻找另外的接口。
三、WinPcap 简介
1. WinPcap结构图
2. WinPcap 包括三个部分
第一个模块NPF(Netgroup Packet Filter),是一个虚拟设备驱动程序文件。它的功能是过滤数据包,并把这些数据包原封不动地传给用户态模块,这个过程中包括了一些操作系统特有的代码。
第二个模块packet.dll为win32平台提供了一个公共的接口。不同版本的Windows系统都有自己的内核模块和用户层模块。Packet.dll用于解决这些不同。调用Packet.dll的程序可以运行在不同版本的Windows平台上,而无需重新编译。
第三个模块 Wpcap.dll是不依赖于操作系统的。它提供了更加高层、抽象的函数。
3. packet.dll和Wpcap.dll
packet.dll直接映射了内核的调用。
Wpcap.dll提供了更加友好、功能更加强大的函数调用。
4. WinPcap的优势
提供了一套标准的抓包接口,与libpcap兼容,可使得原来许多UNIX平台下的网络分析工具快速移植过来
便于开发各种网络分析工具
充分考虑了各种性能和效率的优化,包括对于NPF内核层次上的过滤器支持
支持内核态的统计模式
提供了发送数据包的能力
四、Packet.dll 的使用
WinPcap的主页:http://winpcap.polito.it/你可以到这里下载它的驱动、DLLs和开发包。这里只是对WinPcap实现Sniffer做一个简单的介绍,不做深入研究。你只需要把下载回来的驱动安装到你的计算机上,用你的程序调用Packet.dll就可以了。Packet.dll在安装的时候会被拷贝到你的系统目录下,也可以用WinRAR打开安装包,可以看到里面的文件,直接提取你想要的Packet.dll。
Packet.dll提供了一套完整的、功能强大的API,其接口形式与Microsoft DDK提供的Packet32.dll基本一致。开发过Windows应用程序的人,对调用DLL一定不会莫生,如果你还不知道怎么使用DLL请参考相关书籍,这里不多讲了。新建一个DLL工程命名为sniffer2,保存到硬盘。把开发包里的include、lib目录拷贝到工程目录中。如果你用的是Visual C++,可以直接使用lib里面的引入库。shadowstar用的是C++Builder,需要用C++Builder提供的implib工具为Packet.dll生成一个lib文件,命令行如下:
implib -a packet.lib packet.dll
五、简单实现
shadowstar用C++Builder写了一个简单的演示程序,这里只给出主要部分的代码,完整的代码可以到http://shadowstar.126.com/下载。
void __fastcall TMainForm::btnCtrlClick(TObject *Sender)
{
//define a pointer to an ADAPTER structure
LPADAPTER lpAdapter = 0;
//define a pointer to a PACKET structure
LPPACKET lpPacket;
int i;
DWORD dwErrorCode;
DWORD dwVersion;
DWORD dwWindowsMajorVersion;
//unicode strings (winnt)
WCHAR AdapterName[8192]; // string that contains a list of the network adapters
WCHAR *temp,*temp1;
//ascii strings (win95)
char AdapterNamea[8192]; // string that contains a list of the network adapters
char *tempa,*temp1a;
int AdapterNum=0,Open;
ULONG AdapterLength;
char buffer[256000]; // buffer to hold the data coming from the driver
struct bpf_stat stat;
// obtain the name of the adapters installed on this machine
AdapterLength=4096;
ShowMessage(AnsiString("Packet.dll test application. Library version: ") + PacketGetVersion());
ShowMessage("Adapters installed:");
i=0;
// the data returned by PacketGetAdapterNames is different in Win95 and in WinNT.
// We have to check the os on which we are running
dwVersion=GetVersion();
dwWindowsMajorVersion = (DWORD)(LOBYTE(LOWORD(dwVersion)));
if (!(dwVersion >= 0x80000000 && dwWindowsMajorVersion >= 4))
{ // Windows NT
if(PacketGetAdapterNames((PTSTR)AdapterName,&AdapterLength) == FALSE)
{
ShowMessage("Unable to retrieve the list of the adapters!\n");
return;
}
temp=AdapterName;
temp1=AdapterName;
while ((*temp!='\0')||(*(temp-1)!='\0'))
{
if (*temp=='\0')
{
memcpy(AdapterList[i],temp1,(temp-temp1)*2);
temp1=temp+1;
i++;
}
temp++;
}
AdapterNum=i;
for (i=0;i<AdapterNum;i++)
ShowMessage(Format(L"\n%d- %s\n",ARRAYOFCONST((i+1, AdapterList[i]))));
}
else //windows 95
{
if(PacketGetAdapterNames((PTSTR)AdapterNamea,&AdapterLength) == FALSE)
{
ShowMessage("Unable to retrieve the list of the adapters!\n");
return;
}
tempa=AdapterNamea;
temp1a=AdapterNamea;
while ((*tempa!='\0')||(*(tempa-1)!='\0'))
{
if (*tempa=='\0')
{
memcpy(AdapterList[i],temp1a,tempa-temp1a);
temp1a=tempa+1;
i++;
}
tempa++;
}
AdapterNum=i;
for (i=0;i<AdapterNum;i++)
ShowMessage(Format("\n%d- %s\n", ARRAYOFCONST((i+1,AdapterList[i]))));
}
lpAdapter = PacketOpenAdapter(AdapterList[0]);
if (!lpAdapter || (lpAdapter->hFile == INVALID_HANDLE_VALUE))
{
dwErrorCode=GetLastError();
ShowMessage(Format("Unable to open the adapter, Error Code : %lx\n",
ARRAYOFCONST(((int)dwErrorCode))));
return;
}
// set the network adapter in promiscuous mode
if(PacketSetHwFilter(lpAdapter,NDIS_PACKET_TYPE_PROMISCUOUS)==FALSE)
{
ShowMessage("Warning: unable to set promiscuous mode!\n");
}
// set a 512K buffer in the driver
if(PacketSetBuff(lpAdapter,512000) == FALSE)
{
ShowMessage("Unable to set the kernel buffer!\n");
return;
}
// set a 1 second read timeout
if(PacketSetReadTimeout(lpAdapter,1000)==FALSE)
{
ShowMessage("Warning: unable to set the read tiemout!\n");
}
//allocate and initialize a packet structure that will be used to
//receive the packets.
if((lpPacket = PacketAllocatePacket()) == NULL)
{
ShowMessage("\nError: failed to allocate the LPPACKET structure.");
return;
}
PacketInitPacket(lpPacket,(char*)buffer,256000);
if (btnCtrl->Caption == "&Start")
{
bStop = false;
btnCtrl->Caption = "&Stop";
}
else
{
bStop = true;
btnCtrl->Caption = "&Start";
}
int nIndex = 0;
LPIP ip;
LPTCP tcp;
TListItem *Item;
struct bpf_hdr *hdr;
int off;
BYTE* buf;
//main capture loop
while(!bStop)
{
// capture the packets
if(PacketReceivePacket(lpAdapter,lpPacket,TRUE)==FALSE)
ShowMessage("Error: PacketReceivePacket failed");
off = 0;
buf = (BYTE*)lpPacket->Buffer;
while(off<lpPacket->ulBytesReceived & !bStop)
{
nIndex++;
hdr = (struct bpf_hdr *)(buf+off);
off+= hdr->bh_hdrlen;
ip = (IP*)(buf + off + ETHERNET_HEADER_LENGTH);
tcp = (TCP*)((BYTE*)ip + (ip->HdrLen & IP_HDRLEN_MASK));
off = Packet_WORDALIGN(off+hdr->bh_caplen);
Item = lsvPacket->Items->Add();
Item->Caption = nIndex;
Item->SubItems->Add(GetProtocolTxt(ip->Protocol));
Item->SubItems->Add(inet_ntoa(*(in_addr*)&ip->SrcAddr));
Item->SubItems->Add(inet_ntoa(*(in_addr*)&ip->DstAddr));
Item->SubItems->Add(tcp->SrcPort);
Item->SubItems->Add(tcp->DstPort);
Item->SubItems->Add(hdr->bh_datalen);
Application->ProcessMessages();
}
}
//print the capture statistics
if(PacketGetStats(lpAdapter,&stat)==FALSE)
ShowMessage("Warning: unable to get stats from the kernel!\n");
else
ShowMessage(Format("\n\n%d packets received.\n%d Packets lost",
ARRAYOFCONST(((int)stat.bs_recv,(int)stat.bs_drop))));
PacketFreePacket(lpPacket);
// close the adapter and exit
PacketCloseAdapter(lpAdapter);
return;
}
六、结束语
如果在一个繁忙的网络上进行截获,而且不设置任何过滤,那得到的数据包是非常多的,可能在一秒钟内得到上千的数据包。如果应用程序不进行必要的性能优化,那么将会大量的丢失数据包,下面就是我对性能的一个优化方案。
这个方案使用了多线程来处理数据包。在程序中建立一个公共的数据包缓冲池,这个缓冲池是一个LILO的队列。程序中使用三个线程进行操作:一个线程只进行捕获操作,它将从驱动程序获得的数据包添加到数据包队列的头部;另一个线程只进行过滤操作,它检查新到的队尾的数据包,检查其是否满足过滤条件,如果不满足则将其删除出队列;最后一个线程进行数据包处理操作,象根据接收的数据包发送新数据包这样的工作都由它来进行。上面三个线程中,考虑尽可能少丢失数据包的条件,应该是进行捕获操作的线程的优先级最高,当然具体问题具体分析,看应用的侧重点是什么了。
2003-06-04 08:03
TD {line-height: 11pt}
