Windows网络编程 教学课件 罗莉琴 詹祖桥 第9章.pdfVIP

Windows 网络编程实用教程 Windows 网络编程实用教程 Windows 网络编程实用教程 授课教师： 授课教师： 职务： 职务： 第9章 基于WinPcap技术的网络数据包捕获、 过滤和分析技术 课程描述 课程描述 本章介绍基于WinPcap 技术的网络数据包捕 获、过滤和分析技术。 如果在网络出口位置 对网络中的数据包进 行捕获和分析，就可 以统计出哪个IP地址 的流量最大、这些流 量都是基于哪些协议 和应用的、产生这些 流量的时间等，有了 这些“铁证”，对违 规行为进行管理也就 变得简单多了。 本章知识点 9.1 WinPcap技术基础 9.2 下载和安装WinPcap开发包 9.3 在Visual C++中使用WinPcap技术 9.1 WinPcap技术基础 9.1.1 WinPcap的体系结构 9.1.2 NIC驱动器和NDIS 9.1.3 网络组包过滤（NPF）模块 9.1.4 捕获数据包的原理和步骤 9.1.1 WinPcap的体系结构 WinPcap是Windows Packet Capture 的缩写，即 Windows平台下的网络数据包捕获库。它可以独立于 TCP/IP协议发送和接收原始数据包，其主要功能如下： 绕开网络协议栈捕获网络数据包，支持远程数据包捕获 功能。 在数据包发送到应用程序之前，按照指定的规则实现核 心层数据包过滤。 在网络上发送原始数据包。 收集网络通信过程中的统计信息。 WinPcap体系结构 WinPcap的体系结构包含3个层次 WinPcap的体系结构包含3个层次，即网络、核心层和用户层。 网络：代表网络中数据包。 核心层：其中包含NPF模块和NIC驱动器。NPF （Netgroup Packet Filter，网络组包过滤）是WinPcap的核心部分，它用于处理网络上 传输的数据包，并对用户级提供捕获、发送和分析数据包的能力； NIC （Network Interface Card，网络适配器）驱动器直接管理网络 接口卡，NIC驱动器接口可以直接从硬件控制处理中断、重设NIC、暂 停NIC等；NDIS （Network Driver Interface Specification，网络 驱动接口规范）是定义网络适配器和协议驱动（TCP/IP实现的）之间 的通信的标准。 用户层：其中包含用户代码以及wpcap.dll和packet.dll两个动态 链接库。 以简洁方式来描述WinPcap体系结构 9.1.2 NIC驱动器和NDIS 网络接口卡和NIC驱动器 中间层驱动器 传输驱动器或者协议驱动器 1．网络接口卡和NIC驱动器 NIC驱动器可以直接管理网络接口卡。它的下端接口与硬 件关联，而其上端接口允许高层向网络中发送数据包、处 理中断、重置网络适配器、中止网络适配器以及查询和设 置驱动器的操作属性。NIC驱动器可以是微端口，也可以 是传统的完全NIC驱动器。 微端口仅实现硬件指定的、用于管理网络适配器的必要 操作，包括在网络适配器上发送和接收数据。大多数最低 层NIC驱动器的操作（例如同步操作）都是由NDIS操作的 。微端口不会直接调用操作系统例程，NDIS是微端口访问 操作系统的接口。微端口将数据包传送到NDIS，而NDIS确 保这些数据包会传送给正确的网络协议。 完全NIC驱动器用于执行硬件指定的操作以及所有由 NDIS完成的同步和队列操作。 2．中间层驱动器 中间层驱动器接口位于高层驱动器（例如协议驱动器 ）和一个微端口之间。对于高层驱动器而言，中间层 驱动器就像微端口一样；而在微端口看来，中间层驱 动器就像是协议驱动器。 一个中间层协议可以在另一个中间层驱动器之上，尽 管这种分层方法可能给系统性能带来副作用。开发中 间层驱动器的主要原因是实现已有传统协议驱动器和 微端口之间的介质转换，这样就可以管理协议驱动器 不知道的新介质类型的网络适配器。例如，中间层驱