当前位置：首页 » 编程博文

开发技术指南» 文章正文

    引言： 一）winpcap驱动简介winpcap(windows packet capture)是windows平台下一个免费，公共的网络访问系统。

 

 

详谈调用winpcap驱动写arp多功能工具

一）winpcap驱动简介 【程序编程相关:如何避免软件项目的现场开发?】

【推荐阅读:安装Linux的五种方法（转的精华牛X贴】

    winpcap(windows packet capture)是windows平台下一个免费,公共的网络访问系统.开发winpcap这个项目的目的在于为win32应用程序提供访问网络底层的能力.它提供了以下的各项功能: 【扩展信息:最近将推出ebXML技术构架规范中文翻译】

    1> 捕获原始数据报,包括在共享网络上各主机发送/接收的以及相互之间交换的数据报;

    2> 在数据报发往应用程序之前,按照自定义的规则将某些特殊的数据报过滤掉;

    3> 在网络上发送原始的数据报;

    4> 收集网络通信过程中的统计信息.

    winpcap的主要功能在于独立于主机协议（如tcp-ip)而发送与接收原始数据报.也就是说,winpcap不能阻塞,过滤或控制其他应用程序数据报的发收,它仅仅只是监听共享网络上传送的数据报.因此,它不能用于qos调度程序或个人防火墙.

    目前,winpcap开发的主要对象是windows nt/2000/xp,这主要是因为在使用winpcap的用户中只有一小部分是仅使用windows 95/98/me,并且m$也已经放弃了对win9x的开发.因此本文相关的程序t-arp也是面向nt/2000/xp用户的.其实winpcap中的面向9x系统的概念与nt系统的非常相似,只是在某些实现上有点差异,比如说9x只支持ansi编码,而nt系统则提倡使用unicode编码.

    本文讨论的是packet.dll所提供的各种函数,因为它们完全可以实现本文所希望的各项要求.但是如果你有其他特别的或更高级的要求,winpcap也提供了另一个动态连接库wpcap.dll.虽然wpcap.dll依靠于packet.dll,但是它却提供了一种更简单,直接,有力的方法来更好的利用编程环境.比如捕获一个数据报,创建一个数据报过滤装置或将监听到的数据报转存到某个文件等,wpcap.dll都会为你提供更加安全的实现方法.

二）packet.dll相关数据结构及函数  

    本文的目的之一在于介绍如何利用winpcap驱动写arp工具,因此有必要介绍一些相关的数据结构与函数,要不然看着一行行代码与函数,也许会有些不知所云.

    首先介绍一些相关的数据结构:

      1. typedef struct _adapter  adapter  //描述一个网络适配器;

      2. typedef struct _packet packet     //描述一组网络数据报的结构;

      3. typedef struct nettype nettype    //描述网络类型的数据结构;

      4. typedef struct npf_if_addr npf_if_addr  //描述一个网络适配器的ip地址;

      5. struct bpf_hdr   //数据报头部;

      6. struct bpf_stat  //当前捕获数据报的统计信息.

    下面,将介绍t-arp用到的各个函数,他们都是在packet.dll中定义的:

    1>  lppacket packetallocatepacket(void)

        如果运行成功,返回一个_packet结构的指针,否则返回null.成功返回的结果将会传送到packetreceivepacket()函数,接收来自驱动的网络数据报.

    2>  void packetcloseadapter(lpadapter lpadapter)

        关闭参数中提供的网络适配器,释放相关的adapter结构.

    3>  void packetfreepacket(lppacket lppacket)

        释放参数提供的_packet结构.

    4>  boolean packetgetadapternames(lpstr pstr,pulong buffersize)

        返回可以得到的网络适配器列表及描述.

    5>  boolean packetgetnetinfoex(lptstr adapternames,npf_ip_addr *buff, plong nentries)

        返回某个网络适配器的全面地址信息.

        其中npf_ip_addr结构包含:ipaddress,subnetmask,broadcast

        ipaddress: ip地址

        subnetmask: 子网掩码

        broadcast: 广播地址

    6>  boolean packetgetnettype(lpadapter adapterobject, nettype *type)

        返回某个网络适配器的mac类型.

        nettype结构里包含了linkspeed(速度）与linktype(类型）.其中linktype包含以下几种情况:

          ndismedium802_3: ethernet(802.3)

          ndismediumwan: wan

          ndismedium802_5: token ring(802.5)

          ndismediumfddi: fddi

          ndismediumatm: atm

          ndismediumarcnet878_2: arcnet(878.2)

    7>  boolean packetgetstats(lpadapter adapterobject,struct bpf_stat *s)

        返回几个关于当前捕获报告的统计信息.

        其中bpf_stat结构包含:bs_recv, bs_drop,ps_ifdrop,bs_capt

          bs_recv: 从网络适配器开始捕获数据报开始所接收到的所有数据报的数目,包括丢失的数据报;

          bs_drop: 丢失的数据报数目.在驱动缓冲区已经满时,就会发生数据报丢失的情况.

    8>  pchar packetgetversion()

        返回关于dll的版本信息.

    9>  void packetinitpacket(lppacket lppacket, pvoid buffer, uint length)

        初始化一个_packet结构.

    10> lpadapter packetopetadapter(lptstr adaptername)

        打开一个网络适配器.

    11> boolean packetreceivepacket(lpadapter adapterobject,lppacket lppacket,boolean sync)

        从npf驱动程序读取网络数据报及统计信息.

        数据报编码结构: |bpf_hdr|data|padding|bpf_hdr|data|padding|

    12> boolean packetsendpacket(lpadapter adapterobject,lppacket lppacket, boolean sync)

        发送一个或多个数据报的副本.

    13> boolean packetsetbuff(lpadapter adapterobject,int dim)

        设置捕获数据报的内核级缓冲区大小.

    14> boolean packetsethwfilter(lpadapter adapterobject,ulong filter)

        为接收到的数据报设置硬件过滤规则.

        以下为一些典型的过滤规则:

          ndis_packet_type_promiscuous: 设置为混杂模式,接收所有流过的数据报;

          ndis_packet_type_directed: 只有目的地为本地主机网络适配器的数据报才会被接收;

          ndis_packet_type_broadcast: 只有广播数据报才会被接收;

          ndis_packet_type_multicast: 只有与本地主机网络适配器相对应的多播数据报才会被接收;

          ndis_packet_type_all_multicast: 所有多播数据报均被接收;

          ndis_packet_type_all_local: 所有本地数据报均被接收.

    15> boolean packetsetnumwrites(lpadapter adapterobject,int nwrites)

        设置调用packetsendpacket()函数发送一个数据报副本所重复的次数.

    16> boolean packetsetreadtimeout(lpadapter adapterobject,int timeout)

        设置在接收到一个数据报后“休息”的时间.

    

    以上就是t-arp所调用的各个函数,它包含了packet.dll里的大部分函数.如果你想更深层的了解winpcap,请访问相关网站,主页地址: http://winpcap.polito.it

三）t-arp功能及原理介绍

    准备工作:  

      1. 安装winpcap驱动,目前最新的版本为winpcap_3.0_alpha, 稳定版本为winpcap_2.3;

      2. 使用arp欺骗功能前,必须启动ip路由功能,修改(添加)注册表选项:

　　  　　hkey_local_machine\system\currentcontrolset\services\tcpip\parameters\ipenablerouter = 0x1　

    选项:  

      -m  主机扫描,获得局域网内指定ip段中存活主机的ip地址与mac地址;

      -a  反嗅探扫描,获得局域网内指定ip段中嗅探主机的ip地址与mac地址;

      -s  arp欺骗,欺骗局域网内指定的两台主机,使其相互发送接收的数据报均通过本地主机;

          网络嗅探,如果你选择欺骗的两台主机均是本地主机,那么将会监听到所有流过本地主机的数据报;

          ip冲突,如果你选择欺骗的两台主机是同一台非本地主机,那么就会发起ip冲突攻击;

      -r  重置被欺骗主机,使被欺骗的两台主机恢复正常的工作状态.

    原理及实现过程:

      无论什么选项,第一件事就是获得本地主机的mac地址及相关网络设置.我们以一个特殊的ip地址(112.112.112.112)向本地主机发送一个arp request(arp请求)数据报,当本地主机接收到后,就会发送一个arp reply(arp应答)数据报来回应请求,这样我们就可以获得本地主机的mac地址了.至于相关的网络设置可以通过packetgetnetinfoex()与packetgetnettype()获得.

...   下一页

» 本期热门文章：

· 热门栏目：

» 相关精选文章

» 其它相关：