这一节是本系列教程的结尾了,内容也比较简单,主要是对网络协议进行分析,其实学过计算机网络的同学完全可以略过

在整个项目中需要有一个头文件存放各层协议的头部定义,我把它们放在了head.h中,这个头文件都有什么呢,首先放几个关于协议的宏定义,这样可以让整个程序显得更加清晰:

  1.  /* 网络层协议类型 */
  2.  #define IP       0x0800
  3.  #define ARP      0x0806
  4.  #define RARP     0x8035 
  5.  
  6.  /* 传输层类型 */
  7.  #define ICMP       0x01
  8.  #define IGMP       0x02
  9.  #define TCP        0x06
  10.  #define EGP        0x08
  11.  #define UDP        0x11
  12.  #define IPv6       0x29
  13.  #define OSPF       0x59

之后就是存放协议的头部定义了,对照着头部定义,用合适的类型定义各个字段,比如IP协议头:

  1.  typedef struct ip_address
  2.  {
  3.      u_char byte1;
  4.      u_char byte2;
  5.      u_char byte3;
  6.      u_char byte4;
  7.  }ip_address;
  8.  
  9.  /* IPv4 首部 */
  10.  typedef struct ip_header
  11.  {
  12.      u_char  ver_ihl;        // 版本 (4 bits) + 首部长度 (4 bits)
  13.      u_char  tos;            // 服务类型(Type of service)
  14.      u_short tlen;           // 总长(Total length)
  15.      u_short identification; // 标识(Identification)
  16.      u_short flags_fo;       // 标志位(Flags) (3 bits) + 段偏移量(Fragment offset) (13 bits)
  17.      u_char  ttl;            // 生存时间(Time to live)
  18.      u_char  type;           // 协议(Protocol)
  19.      u_short crc;            // 首部校验和(Header checksum)
  20.      ip_address  saddr;      // 源地址(Source address)
  21.      ip_address  daddr;      // 目的地址(Destination address)
  22.      u_int   op_pad;         // 选项与填充(Option + Padding)
  23.  }ip_header;

当然有些位置的意义是小于一个字节大小的,比如TCP协议中的标志位字段,有URG,ACK,PSH,RST,SYN,FIN,这些在之后用&&运算可以方便求得

当数据包被pcap_next_ex()函数捕获后,我们需要其中的两个参数,pcap_next_ex()函数原型如下:

  1.  int     pcap_next_ex(pcap_t *, struct pcap_pkthdr **, const u_char **);

第一个参数是一个已打开的捕捉实例,也就是之前我们选择的适配器,第二个参数是一个结构体,其中内容有:

  1.  struct pcap_pkthdr
  2.  {
  3.        struct timeval ts;   ts是一个结构struct timeval,它有两个部分,第一部分是1900开始以来的秒数,第二部分是当前秒之后的毫秒数
  4.        bpf_u_int32 caplen;  表示抓到的数据长度
  5.        bpf_u_int32 len;    表示数据包的实际长度
  6.  }

因为在某些情况下你不能保证捕获的包是完整的,例如一个包长1480,但是你捕获到1000的时候,可能因为某些原因就中止捕获了,所以caplen是记录实际捕获的包长,也就是1000,而len就是1480。第三个参数就是数据包的内容后两个参数是对我们有用的,将其传递到显示数据包概略的函数ShowPacketList中

每当捕获以个数据包,需要进行保存,在MFC中可以用CArray,CArray是一个动态数组,它的用法是:CArray<Object,Object> Var1;前一个参数是指定存储在数组中的对象的类型,后一个参数是指定用于访问存储在数组中对象的参数类型。其实这两个参数一般是一样的类型,程序中存储每次抓包的pkt_header和pkt_data就用如下CArray表示:

  1. CArray<const struct pcap_pkthdr *,const struct pcap_pkthdr *>  m_pktHeaders;
  2. CArray<const u_char *,const u_char *>  m_pktDatas;

CArray类的一些常用成员函数有:GetAt返回在给定索引上的值;Add增加一个元素;GetSize获得此数组中的元素数

存储完捕获的数据包,就可以利用pkt_data的信息来分析数据包,在分析数据包中的数据时注意,数据包的数据是按照小端模式存储的,对于大于1字节的内容需要用noths或是nothl进行转化(前者对应short,后者对应Long)。举一个例子,比如数字0x12 34 56 78在内存中的表示形式为:0x78 | 0x56 | 0x34 | 0x12 ,这时就需要noths来转化为正确的顺序。显示数据包概要的函数部分代码如下:

  1.  ethernet_header *eh;
  2.      eh = (ethernet_header *)pkt_data;
  3.      str.Format(_T("%x:%x:%x:%x:%x:%x"),eh->saddr.byte1,eh->saddr.byte2,eh->saddr.byte3,eh->saddr.byte4,eh->saddr.byte5,eh->saddr.byte6);
  4.      m_list1.SetItemText(nCount,,str);
  5.      str.Format(_T("%x:%x:%x:%x:%x:%x"),eh->daddr.byte1,eh->daddr.byte2,eh->daddr.byte3,eh->daddr.byte4,eh->daddr.byte5,eh->daddr.byte6);
  6.      m_list1.SetItemText(nCount,,str);
  7.      str.Format(_T("%ld"),pHeader->len);
  8.      m_list1.SetItemText(nCount,,str);
  9.      /*处理网络层*/
  10.      switch(ntohs(eh->type))
  11.      {
  12.      case IP:
  13.          {
  14.              ip_header *ih;
  15.              const u_char *ip_data;
  16.              ip_data=pkt_data+;
  17.              ih = (ip_header *)ip_data;
  18.              u_int ip_len;//IP首部长度
  19.              ip_len = (ih->ver_ihl & 0xf) * ;
  20.              str.Format(_T("%d.%d.%d.%d"),ih->saddr.byte1,ih->saddr.byte2,ih->saddr.byte3,ih->saddr.byte4);
  21.              m_list1.SetItemText(nCount,,str);
  22.              str.Format(_T("%d.%d.%d.%d"),ih->saddr.byte1,ih->saddr.byte2,ih->saddr.byte3,ih->saddr.byte4);
  23.              m_list1.SetItemText(nCount,,str);
  24.              /*处理传输层*/
  25.              switch(ih->type)
  26.              {
  27.              case TCP:

就这样陷入一层一层的分析中,对于数据包的详细分析,也就是在树形结构中显示的代码也与次类似,不做分析。

在统计部分,除了有统计各种数据包的数目外,还有一部分是流量分析:

这一部分的实现也比较简单,对于某些常用的软件,都是通过固定端口进行数据传输的,比如QQ 默认采用 UDP 通讯方式,端口 8000,8001。如果 UDP 的两个端口不通,会自动转换到 TCP 80 端口或者 TCP 443 端口进行通讯。 QQ 同时也支持 HTTP 代理模式及 SOCK5代理模式。阿里旺旺采用 TCP 通讯方式,默认登录端口为 16000,当 16000 端口不通时,则跳转到 443 端口进行通讯。所以通过对固定端口的监听,可以知道哪些软件产生了流量(这样做并不完美,有兴趣的可以分析应用层协议)

  1.      if(ntohs( th->sport ) == 0x3E80 || ntohs( th->dport ) == 0x3E80)    //阿里旺旺流量为TCP端口16000
  2.             m_wangCount++;
  3.      if(ntohs( th->sport ) == 0x747 || ntohs( th->dport ) == 0x747)        //MSN流量为TCP端口1863
  4.             m_msnCount++;

写在最后:

整体感觉编写一个嗅探器的技术层面上并不困难,但是比较繁琐,尤其是在界面方面,但是对理解网络协议还是很有帮助的。如果您需要源代码可以点此下载。源码中有一些冗余,有些数据在传递过程中并不安全,有些变量为了方便放在了public中,还请酌情参考。

MFC+WinPcap编写一个嗅探器之七(协议)的更多相关文章

  1. MFC+WinPcap编写一个嗅探器之六(分析模块)

    这一节是程序的核心,也是最复杂的地方 首先需要明白的一点是,一般对于一个有界面的程序来说,往往需要多线程.本程序中除了界面线程外,抓包需要另外创建一个新的线程.在写抓包函数之前,首先要将前面两个模块的 ...

  2. MFC+WinPcap编写一个嗅探器之五(过滤模块)

    这一节主要介绍如何获设置捕获过滤,这里的过滤是指在捕获前过滤 设置捕获过滤主要是在CFilterDlg中完成,也就是对应之前创建的设置过滤规则对话框,如图: 首先要根据用户的选择来生成一个合法的过滤规 ...

  3. MFC+WinPcap编写一个嗅探器之四(获取模块)

    这一节主要介绍如何获取设备列表,比较简单 获取设备列表主要是在CAdpDlg中完成,也就是对应之前创建的选择适配器模块,如图: 当打开选择适配器对话框后,在列表视图控件中显示当前主机所有适配器及适配器 ...

  4. MFC+WinPcap编写一个嗅探器之三(WinPcap)

    介绍程序模块前,这一节再复习一下WinPcap WinPcap开发一个嗅探器的主要步骤如下: (1)获取嗅探设备 WinPcap提供了pcap_findalldevs_ex() 函数来实现这个功能: ...

  5. MFC+WinPcap编写一个嗅探器之一(准备)

    知识准备: MFC:http://www.jizhuomi.com/software/257.html WinPcap:http://www.ferrisxu.com/WinPcap/html/ind ...

  6. MFC+WinPcap编写一个嗅探器之零(目录)

    零零散散写了三天,完成了编写嗅探器的文章,旨在让自己加深印象,是初学者少走一些弯路.因为先前未接触MFC,之后也不打算精通,完全是0基础,所以文章技术含量不高,但难点基本上都都包括了,凑合这看吧,接下 ...

  7. MFC+WinPcap编写一个嗅探器之二(界面)

    选择新建->项目->MFC应用程序->基于对话框完成,这里文件名为sniffer 打开资源视图中的Dialog列表,打开项目总默认创建的话框,将对话框中的所有控件删除,之后按照最终效 ...

  8. C++编写一个简单的DLL

    什么是DLL: 自从微软推出16位的Windows操作系统起,此后每种版本的Windows操作系统都非常依赖于动态链接库(DLL)中的函数和数据,实际上 Windows操作系统中几乎所有的内容都由DL ...

  9. 如何编写一个稳定的网络程序(TCP)

    本节我们看一下怎样才能编写一个基于TCP稳定的客户端或者服务器程序,主要以试验抓包的方式观察数据包的变化,对网络中出现的多种情况进行分析,分析网络程序中常用的技术及它们出现的原因,在之后的编程中能早一 ...

随机推荐

  1. JS中的getter与setter

    一.什么是getter和setter getter 是一种获得属性值的方法,setter是一种设置属性值的方法 getter负责查询值,它不带任何参数,setter则负责设置键值,值是以参数的形式传递 ...

  2. Clockwise/Spiral Rule

    [Clockwise/Spiral Rule] There is a technique known as the ``Clockwise/Spiral Rule''. (顺时针螺旋法则). Ther ...

  3. 详细讲解安全升级MySQL的方法

    MySQL升级是非常必要的. 我们在Percona Support上列出了关于MySQL升级最佳实践的各种问题.这篇文章推荐了一些不同情况下升级MySQL的方法. 为什么MySQL升级是必须的? 原因 ...

  4. 【转】C#中PrintDocument类详解

    PrintDocument组件是用于完成打印的类,其常用属性.方法和事件如下: 属性DocumentName:字符串类型,记录打印文档时显示的文档名(例如,在打印状态对话框或打印机队列中显示). 方法 ...

  5. Python练习-猜年龄的LowB游戏

    Alex大神今天让我做一个猜年龄的游戏: 第一个游戏是你只能猜三次:真的很LowB啊~ # 编辑者:闫龙 #猜年龄游戏,3次后程序自动退出! ages = 29; #for循环3次 for i in ...

  6. python作业堡垒机(第十三周)

    作业需求: 1. 所有的用户操作日志要保留在数据库中 2. 每个用户登录堡垒机后,只需要选择具体要访问的设置,就连接上了,不需要再输入目标机器的访问密码 3. 允许用户对不同的目标设备有不同的访问权限 ...

  7. 信息安全学习笔记--CSRF

      一.CSRF简介   CSRF(Cross-site request forgery)跨站请求伪造,也被称为“one click attack”或者“session riding”,通常缩写为CS ...

  8. 小白欢乐多——记ssctf的几道题目

    小白欢乐多--记ssctf的几道题目 二哥说过来自乌云,回归乌云.Web400来源于此,应当回归于此,有不足的地方欢迎指出. 0x00 Web200 先不急着提web400,让我们先来看看web200 ...

  9. JS事件用法

    1.常用事件理解

  10. 用jquery实现toast的原理

    function toast(mess){ var str='<div class="mess"><span></span></div&g ...