网络数据包的捕获与分析毕业(设计)论文.doc

《网络数据包的捕获与分析毕业(设计)论文.doc》由会员分享，可在线阅读，更多相关《网络数据包的捕获与分析毕业(设计)论文.doc（69页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、 陕西理工学院毕业设计网络数据包的捕获与分析王 行(陕西理工学院数学与计算机科学学院网络工程专业1101班，陕西 汉中 723003)指导教师：贾 伟【摘要】网络数据包的捕获对于网络安全有着巨大的作用，为我们更好的分析网络中的数据流提供了帮助。本论文是基于Windows下开发一个网络监听工具，侧重点在于实现网络数据包的捕获，然后分析并显示捕获到的数据包信息这部分功能的实现，如分析：IP首部协议类型、源IP、目的IP和端口号等。采用的是Winpcap（Windows Packet Capture）来实现的抓包功能。通过VC+6.0中MFC编程实现通过一个完整界面来控制调用Winpcap中的函数来

2、实现对网卡信息的捕获和循环捕获数据包，然后通过预先对于IP、TCP、UDP等数据包的定义和TCP/IP等协议来解析其中包含的内容并返回显示捕获到数据包的信息，当然也可以保存捕获到的数据包到指定地点以便进一步分析。【关键词】Winpcap；数据包；捕获；分析第 66 页 共 65 页The Capture and Analysis of Network Data PacketsWang Hang(Grade 11,Class 1, Major Network Engineering, SchoolofMathematicsand ComputerScience Dept, Shaanxi Uni

3、versity of Technology, Hanzhong 723003, Shaanxi)Tutor: Jia WeiAbstract: The capture of network data packets plays an important part in network security, which is helpful for our better analysis of network data flow.This paper is about a network monitoring tool based on Windows system, which emphasiz

4、es particularly on realizing the capture and analysis of network data packets and then displays them. Take analysis as an example, it will check the type of the IP protocol, the source address of IP, the destination address of IP and the port number.Use the Winpcap（Windows Packet Capture）to capture

5、of data packets. In MFC programming of VC+6.0, the capture of network data packets can be realized via the invoking and control of the functions through a full control panel, and then the analysis of IP ,TCP,UDP and TCP/IP will be done before they are displayed. Certainly the information captured ca

6、n be saved to the appointed destination in order to go through an advanced analysis.Key words: Winpcap；Data Packets；Capture；Analysis目 录引言11概述21.1课题背景21.2国内外研究现状21.3课题研究的意义21.4课题研究的内容22相关知识介绍32.1TCP/IP协议简介32.1.1什么是 TCP/IP32.1.2TCP/IP整体构架概述32.1.3TCP/IP中的协议32.2WinPcap开发技术详解52.2.1Winpcap介绍52.2.2Winpcap

7、的组成62.2.3Winpcap 数据结构72.2.4Winpcap 函数73系统设计方案及功能描述93.1系统设计方案93.2系统功能描述94系统编码实现114.1网络数据包捕获模块的实现114.1.1网络数据包捕获程序的编写过程114.1.2在程序中用到的WinPcap内核函数详细介绍124.1.3网络数据包捕获的应用134.2网络数据包分析模块的实现144.2.1网络数据包分析模块主要建立的类144.2.2IP协议分析类的设计144.2.3TCP协议分析类的设计154.2.4UDP协议分析类的设计174.2.5系统中变量函数的设计174.3主界面构造175软件测试19总 结21参考文献2

8、2致 谢23科技外文文献24外文文献翻译36附录A：软件开发源代码47附录B：软件使用说明书65引言随着网络技术的不断发展，通过网络将人与人的距离拉近，因此网络为来自世界各地不同的人、团体、机构构建了一个网络村。网络的出现方便人们的日常生活及工作，在高度发展的今天，网络已经不仅是浏览信息的品台，还广泛的运用到了商业、办公、金融、政务等各行各业中，网络中的风险也越发突出，进而网络安全问题越来越受到关注。因此，对网络的监控与管理势在必行，而想要监控和管理网络，首先就要获取网络中所传输的各类信息，才能进一步得进行监控和管理，可以说数据包的捕获是对网络监控与管理的前提，所以研究并开发出一种能够有效地实

9、时捕获网络信息的系统具有极其重要的意义。在网络中，信息是以数据包的形式传输，所以为了监控计算机当前网络信息，可以通过WinPcap来实现在当前计算机网络中传输的数据包的抓取，然后通过对捕获数据包中数据信息，进行过滤解析，得到所抓数据包的协议、数据长度，以及数据报内容等信息。此外，此次毕业设计还注重研究，主要体现在应用层协议的识别方面，同时采用了基于正则表达式技术得到某种应用层协议的特征表达式。而为了实现将抓包获取的数据进行解析并展现出来，本次毕业设计还要通过C+编程将其编写成为软件，以便于操作运用，能让获取的数据包数据进行解析后，在界面中显示出来，方便查看数据包各类信息，以及进一步的进行一些对

10、应操作，达到我们解析数据包的目的，并可在日后能添加新功能，加强对数据包的分析能力。1 概述1.1 课题背景随着网络技术的飞速发展，网络的普及，给我们带来了巨大的社会和经济效益，同时网络安全问题变得日益严重，计算机网络的设计、维护难度日益增加，安全问题正威胁着每一个网络用户，对网络安全的研究也越来越重要。因此，人们迫切的需要能够分析、诊断和测试网络的工具，以防我们的电脑尽可能减少受到侵害。对于网络数据包的捕获现在也有着很多的实现方法，存在着许多开源的sniffer软件供我们参考，但是其中的某些细节上还是有一些问题的存在，在效果和效率上都有一些问题，分析上也并不是很方便。所以尝试选择了这个课题。1

11、.2 国内外研究现状现在不论是网上的一些开源的Sniffer软件还是市面上出售的网络监听软件，其实其基础功能都是基于网络数据包捕获功能后扩展开的。所以我们可以清晰的认识到网络数据包捕获功能的巨大作用和广泛的应用范围。目前sniffer软件种类繁多，但是很多都存在一些问题，比如说：效率低，效果差，分析困难等等。有些sniffer软件往往嵌入许多并不怎么使用的功能在里面，增加了操作的复杂性，使用起来反而不便。所以真正想要找到一款操作简单使用方便的数据包捕获软件并不容易。作为一名网络工程专业的学生，熟悉常用的各种计算机相关软件，特别是和网络相关的软件是应该的。现在市场上的国内外的各种防火墙软件、网络

12、监听软件和协议分析软件等软件种类繁多，让人有点眼花缭乱。这些产品大多数品质都不错，各有各的特点，所以选择起来的难度也挺大。我总是在一些比较著名的软件下载网站上获取一些比较受好评的软件来使用，然后从中选择适合自己的。通过一系列的使用和学习，我希望能够自己完成一款功能适合自己使用的操作简单让人可以轻易上手的网络数据包捕获和简单分析的软件。1.3 课题研究的意义随着网络的飞速发展，Internet的迅速普及，网络已经深入到了我们的生活，跟我们息息相关。伴随着网络带来的便利，网络安全问题也越来越受到人们的关注和重视。防火墙也成了一个非常热门的课题，带来巨大的社会经济效益，保护我们的合法权益不受到侵害。

13、我选择的课题是windows下的网络数据包的捕获与分析，所以主要的研究方向和侧重点是在于最基本也是最核心的网络数据包的捕获和分析等功能上。网络数据包的捕获对于网络安全领域有着无可代替的重要作用，不论是防火墙技术，网络监听技术或者是网络测试都离不开数据包的捕获，这是一切的基础，其他的功能都要基于这个功能才能实现。1.4 课题研究的内容由上所述，加强对网络中数据包传输的监管，已经越发显得重要。而对网络中所传输的数据包进行捕获则是对网络中数据包管理的前提，通过监控分析网络中的数据包，是建设安全网络的保障。本实验就是通过研究网络中数据包的传输情况，构建一个简单快捷的数据包抓包及分析软件：一、运用C+开

14、发一个简单的软件实现通过调用winpcap来对网络中的基本数据包进行捕获。二、通过winpcap中常用的库函数的使用方式，来实现了简单的小型的络数据包抓包器，并通过对原始包文的分析来展示当前网络的运行状况。三、对捕获的数据包进行解析分类处理，能将所捕获的数据包中的信息解析罗列成数据表，并可导入日志文本存储。通过以上步骤通过实现数据包的捕获、数据包信息的解析、流量的监控以及数据的导出。2 相关知识介绍2.1 TCP/IP协议简介我们捕获数据包的主要目的就是要对捕获的数据包进行分析。而我们目前使用的网络传输协议就是TCP/IP协议。所以我们如果想更好的分析数据包就应该对此协议有点初步的了解。下面我

15、将简单的介绍一下TCP/IP协议。2.1.1 什么是 TCP/IPTCP/IP 是供已连接因特网的计算机进行通信的通信协议。TCP/IP 指传输控制协议/网际协议 (Transmission Control Protocol / Internet Protocol)。TCP/IP 定义了电子设备（比如计算机）如何连入因特网，以及数据如何在它们之间传输的标准。2.1.2 TCP/IP整体构架概述TCP/IP协议并不完全符合OSI的七层参考模型。传统的开放式系统互连参考模型，是一种通信协议的7层抽象的参考模型,其中每一层执行某一特定任务。该模型的目的是使各种硬件在相同的层次上相互通信。这7层是:物

16、理层、数据链路层、网络层、传输层、会话层、表示层和应用层。而TCP/IP通讯协议采用了4层的层级结构，每一层都呼叫它的下一层所提供的网络来完成自己的需求。这4层分别为： 应用层：应用程序间沟通的层，如简单电子邮件传输（SMTP）、文件传输协议（FTP）、网络远程访问协议（Telnet）等。 传输层：在此层中，它提供了节点间的数据传送，应用程序之间的通信服务，主要功能是数据格式化、数据确认和丢失重传灯。如传输控制协议（TCP）、用户数据报协议（UDP）等，TCP和UDP给数据包加入传输数据并把它传输到下一层中，这一层负责传送数据，并且确定数据已被送达并接收。 互连网络层：负责提供基本的数据封包传

17、送功能，让每一块数据包都能够到达目的主机（但不检查是否被正确接收），如网际协议（IP）。 网络接口层（主机-网络层）：接收IP数据报并进行传输，从网络上接收物理帧，抽取IP数据报转交给下一层，对实际的网络媒体的管理，定义如何使用实际网络（如Ethernet、Serial Line等）来传送数据。2.1.3 TCP/IP中的协议以下简单介绍TCP/IP中的协议都具备什么样的功能，都是如何工作的： （1）IP网际协议IP是TCP/IP的心脏，也是网络层中最重要的协议。 IP层接收由更低层（网络接口层例如以太网设备驱动程序）发来的数据包，并把该数据包发送到更高层-TCP或UDP层；相反，IP层也把从

18、TCP或UDP层接收来的数据包传送到更低层。IP数据包是不可靠的，因为IP并没有做任何事情来确认数据包是按顺序发送的或者没有被破坏。IP数据包中含有发送它的主机的地址（源地址）和接收它的主机的地址（目的地址）。 高层的TCP和UDP服务在接收数据包时，通常假设包中的源地址是有效的。也可以这样说，IP地址形成了许多服务的认证基础，这些服务相信数据包是从一个有效的主机发送来的。IP确认包含一个选项，叫作IP source routing，可以用来指定一条源地址和目的地址之间的直接路径。对于一些TCP和UDP的服务来说，使用了该选项的IP包好像是从路径上的最后一个系统传递过来的，而不是来自于它的真实

19、地点。这个选项是为了测试而存在的，说明了它可以被用来欺骗系统来进行平常是被禁止的连接。那么，许多依靠IP源地址做确认的服务将产生问题并且会被非法入侵。IP数据报格式如图2.1图 2.1 IP报文格式（2）TCP如果IP数据包中有已经封好的TCP数据包，那么IP将把它们向上传送到TCP层。TCP将包排序并进行错误检查，同时实现虚电路间的连接。TCP数据包中包括序号和确认，所以未按照顺序收到的包可以被排序，而损坏的包可以被重传。 TCP将它的信息送到更高层的应用程序，例如Telnet的服务程序和客户程序。应用程序轮流将信息送回TCP层，TCP层便将它们向下传送到IP层，设备驱动程序和物理介质，最后

20、到接收方。 面向连接的服务（例如Telnet、FTP、rlogin、X Windows和SMTP）需要高度的可靠性，所以它们使用了TCP。DNS在某些情况下使用TCP（发送和接收域名数据库），但使用UDP传送有关单个主机的信息。 TCP报文格式 如图2.2图2.2 TCP报文格式（3）UDPUDP与TCP位于同一层，但它不管数据包的顺序、错误或重发。因此，UDP不被应用于那些使用虚电路的面向连接的服务，UDP主要用于那些面向查询-应答的服务，例如NFS。相对于FTP或Telnet，这些服务需要交换的信息量较小。使用UDP的服务包括NTP（网络时间协议）和DNS（DNS也使用TCP）。 欺骗UD

21、P包比欺骗TCP包更容易，因为UDP没有建立初始化连接（也可以称为握手）（因为在两个系统间没有虚电路），也就是说，与UDP相关的服务面临着更大的危险。UDP报文格式 如图2.3图2.3 UDP报文格式（4）ICMPICMP与IP位于同一层，它被用来传送IP的的控制信息。它主要是用来提供有关通向目的地址的路径信息。ICMP的Redirect信息通知主机通向其他系统的更准确的路径，而Unreachable信息则指出路径有问题。另外，如果路径不可用了，ICMP可以使TCP连接体面地终止。PING是最常用的基于ICMP的服务。 （5）TCP和UDP的端口结构TCP和UDP服务通常有一个客户/服务器的关

22、系，例如，一个Telnet服务进程开始在系统上处于空闲状态，等待着连接。用户使用Telnet客户程序与服务进程建立一个连接。客户程序向服务进程写入信息，服务进程读出信息并发出响应，客户程序读出响应并向用户报告。因而，这个连接是双工的，可以用来进行读写。（6）常用网际协议编号如表2.1表2.1 常用网际协议编号十进制编号协议说明0无保留1ICMP网际控制报文协议2IGMP网际组管理协议3GGP网关网关协议4无未分配5ST流6TCP传输控制协议8EGP外部网关协议9IGP内部网关协议11NVP网络声音协议17UDP用户数据报协议2.2 WinPcap开发技术详解2.2.1 Winpcap介绍Win

23、pcap（Windows Packet Capture）是Windows平台下一个专业网络数据包捕获开发包，是为Libpcap在Windows平台下实现数据包的捕获而设计的。在设计Winpcap时参照了Libpcap，两者使用方法相似。使用Winpcap开发包，可以把在Linux下基于Libpcap的程序很容易的移植到Winpcap平台下。Winpcap是在BSD许可证下发布的，它主要是由加利福尼亚大学的Lawrence Berkeley Laboratory开发。使用Winpcap开发包的主要软件有：Windump（与linux下的Tcpdump的功能几乎一致）、Analyzer（Windo

24、ws下的嗅探器）、Ethereal（网络协议分析软件）等。开发Winpcap这个项目的目的在于为Win32应用程序提供访问网络底层的能力，其核心功能是捕获网络数据包，其他功能包括数据包过滤、数据包发送、流量统计和数据包存储等。Winpcap给程序员提供了一套标准的网络数据包捕获的编程接口，并且与Libpcap兼容，增加了从linux到windows平台的可移植性。而且提供很高的应用效率，充分考虑了各种性能和效率的优化，在内核层实现了数据包的捕获和过滤。这是由NPF来实现的，NPF是Winpcap的核心部分，它实现了内核层次的统计功能，对于设计网络流量的程序很有好处。在这里我使用的是WinPca

25、p 4.1.3版，性能稳定。2.2.2 Winpcap 的组成Winpcap包括三部分内容。第一部分是内核层的数据包过滤模块。它相当于在Linux下Libpcap使用的BPF过滤模块，实现了高效的网络数据包的捕获和过滤功能，其过滤规则跟BPF是一样的。此过滤模块实际上是一个驱动程序，被称为NPF（Netgroup Packet Filter）数据包驱动程序。第二部分是动态链接库packet.dll。它是提供给开发者的一个接口，使用它就可以调用Winpcap的函数，它是一个较低层的开发接口。第三部分是动态链接库wpcap.dll。它也是提供给开发者的一个接口，但它是一个更高层的编程接口，其调用与

26、系统无关。使用此接口进行编程，几乎可以把linux下使用libpcap写的程序原封不动的搬到Windows平台下。网络驱动程序接口规范（NDIS，Network Driver Interface Specification）是由微软和3com公司共同制定的，它位于网卡和协议层之间，提供一个接口，为上层协议提供服务，并且屏蔽了下层各种网卡的差别，并且支持多种网络协议。并且支持多种工作模式和网络驱动类型（小端口驱动、中间层驱动、协议驱动），其中Winpcap的NPF就属于协议驱动类型。NPF（Netgroup Packet Filter）：NPF是Winpcap的核心部分，它的主要功能就是捕获数据

27、包，还可以发送数据包、存储数据包以及对网络进行统计分析。图2.4 NPF的结构图2.4中的箭头标识网络数据包的流动方向，并且可以看到NPF是工作在内核层的。NPF由一个网络转发部件，从网卡驱动程序收集网络数据包，既可以发送给过滤部件，对网络数据包进行过滤，也可以发送给统计部件，对网络进行统计分析，还可以发送给存储部件，把网络数据包直接存储到磁盘。数据包在NPF中使用了缓存机制，主要是为了提高效率和速度。从图2.4中也可以看到，packet.dll位于wpcap.dll的下层，是较低层的网络编程接口。使用它可以跟内核打交道，它是开发者与内核交互的一个很好的接口。Packet.dll提供了很多功能

28、复杂的编程接口，其接口形式与微软的DDK提供的packet32.dll差不多。使用packet.dll比较烦琐，如果无特殊要求，一般不用packet.dll进行编程开发。用的最多的还是wpcap.dll，因为它提供了一个更高级、更方便的编程接口。图2.4中，wpcap.dll是最上层的一个接口，与libpcap兼容，具有很好的可移植性，是用的最多的一种编程接口。使用wpcap.dll进行数据包捕获的编程与使用Libpcap一样简单。2.2.3 Winpcap 数据结构详细的一些数据结构在后面的软件编程中会给出，此处只是给出一些比较核心的数据结构，并简单介绍。（1）pcap_addr Pcap_

29、addr数据结构的定义如下： Tpyedef struct pcap_addr pcap_addr_t； Struct pcap_addr Struct pcap_addr *next； /指向下一个地址结点 Struct sockaddr *addr； /网络接口地址 Struct sockaddr *netmask； /地址掩码 Struct sockaddr *broadaddr； /广播地址 Struct sockaddr *dstaddr； /目的地址； 此数据结构描述的是网络接口的地址。（2）pcap_ifPcap_if数据结构定义如下：Tpyedef struct pcap_if

30、 pcap_if_t； Struct pcap_if Struct pcap_if *next； /指向下一个网络接口结点 char *name； /网络接口名字 char *description； /描述信息 Struct sockaddr *addresses； /网络接口地址 Bpf_u_int32 flags； /标记；此数据结构描述的是一个网络接口，它其实是网络接口链表中的一个结点。（3）pcap_pkthdrPcap_pkthdr数据结构定义如下：Struct pcap_pkthdr Struct timeval ts； /时间戳 Bpf_u_int32 caplen； /捕获长

31、度 Bpf_u_int32 len； /数据包长度；此数据结构用来描述每个捕获到的数据包的一些基本信息，每个数据包都有此数据结构。2.2.4 Winpcap 函数Winpcap提供的输出函数与Libpcap的函数完全一样，使用方法也一样。下面介绍一些主要的函数。（1）网络接口函数：int pcap_findalldevs（pcap_if_t *alldevsp,char *errbuf）；此函数的功能是查找机器的所有可用网络接口，用一个链表返回。void pcap_freealldevs(pcap_if_t *alldevs)；此函数的功能是释放网络接口链表中的所有网络接口。pcap_t *p

32、cap_open_live(const char *device,int snaplen,int promisc,int to_ms,char *ebuf)；此函数的功能是打开一个网络接口进行数据包捕获打开的模式有promisc表示，如果是1就表示以混杂模式把接口打开。（2）规则函数：int pcap_setfilter(pcap_t *p,struct bpf_program *fp) 此函数设置BPF过滤规则,由参数fp确定int pcap_compile(pcap_t *p,struct bpf_program *program,char *buf,int optimize,bpf_u_

33、int32 mask)此函数的功能是编译BPF过滤规则。（3）数据包捕获函数：int pcap_loop(pcap_t *p,int cnt,pcap_handler callback,u_char *user)此函数是循环捕获网络数据包，直到遇到错误或者满足退出条件。每捕获一个数据包就调用callback指示的回调函数，所以可以在回调函数中对捕获到的数据包进行操作。int pcap_next_ex(pcap_t *p,struct pcap_pkthdr *pkt_header,const u_char *pkt_data)此函数的功能是捕获一个网络数据包。void pcap_close(p

34、cap_t *p)此函数的功能是关闭winpcap操作，并销毁相应资源。（4）文件相关函数：pcap_dumper_t *pcap_dump_open(pcap_t *p,const char *fname)此函数的功能是打开一个文件，并准备向其写入网络数据包数据。void pcap_dump(u_char *user,const struct pcap_pkthdr *h,const u_char *sp)此函数的功能是向文件中写入网络数据包内容。3 系统设计方案及功能描述3.1 系统设计方案对于该软件的设计和执行过程，主要分为两个关键部分，所以按此要求分为中有两个核心的工作步骤，第一步是调

35、用Winpcap函数库实现下层抓包，这部分是为了实现网络中的数据包获取，也是最基础的步骤。第二步是对所获取的数据包文进行分析和统计或是其他操作，筛选出我们所需要的信息。下面分别列出两个核心过程。捕获过程，通过winpcap的调用从网络中获取数据包信息，步骤如下：第一：初始化Winpcap开发库。第二：获得当前的网卡列表信息，从列表中选取其中所需要的指定网卡。第三：获得当前的过滤规则，决定其过滤细节，但也可为空。第四：调用库函数，pcap_loop（），并同时指定其回调函数，所指定的回调函数其实就是数据包分析过程。分析过程，将所获取的当前数据包信息转存后进行解析过程，步骤如下：第一：由上一步通过

36、winpcap抓包，将抓包后得到的数据包后转存到内存里，满足以后的使用和操作。第二：调用相符协议类型的数据包分析类。在概要设计中，按模型层的要求，构造了多个用于分析不同类型数据包的分析类模型，每个模型对应一种数据包类型，调用是按要求调用符合该数据包类型的指定模块。每个模型中按对应的数据包类型构造分析算法，完成对本类型数据包的具体解析工作。第三：对数据包信息内容进行解析，过程如下：在数据包中，其前14个字节（Byte）表示为数据链路层的报文头，其报文格式是前6个字节（Byte）表示为目的MAC地址，随后的6个字节（Byte）表示为源Mac地址，最后的2个字节（Byte）代表上层协议类型，这些重要

37、的数据信息，是我们分析上层协议的依据。根据所分析到的协议类型进行类似的迭代分析。这样就可以得到各层中的报文头信息和数据信息。第四：结束本次分析，等待下一次调用。总体设计流程图如图3.1所示图3.1 设计流程图3.2 系统功能描述开发的这个系统最主要也是最核心的功能就是对于网络数据包的捕获以及对于捕获到的网络数据包显示和简单的分析。实质是主要实现一个网络实时监听的功能，然后将捕捉到的数据包保存下来以便进一步的分析使用。具体实现功能如下：（1）通过使用winpcap库函数进行数据包的捕获；（2）将捕获到的数据包进行分析并显示；（3）解析出数据包使用的协议、源地址、目的地址、包的大小和内容等；（4）

38、在界面的列表中实时显示捕获到的数据包的情况，点击列表，可以展开此数据包的详细信息；（5）流量监控；（6）导出数据。4 系统编码实现4.1 网络数据包捕获模块的实现以太网具有共享介质的特征，信息是以明文的形式在以太网络上传输的，当网卡被设置为混杂模式时，可以捕获任何一个在同一冲突域上传输的数据包。运用这一原理使网络数据包捕获系统能够拦截到我们所要的信息，这是捕获数据包的物理基础。网卡具有4 种工作模式：广播模式，多播传送模式，直接模式，混杂模式。网卡的缺省工作模式包含广播模式和直接模式，即它只接收广播帧和发给自己的帧。如果采用混杂模式，网卡将接受同一网络内所有主机所发送的数据包，这样就可以到达对

39、所有数据包进行捕获的目的。4.1.1 网络数据包捕获程序的编写过程（1）获取本机已连接的网络适配器列表WinPcap提供了 pcap_findalldevs_ex() 函数来实现这个功能: 这个函数返回pcap_if 结构的链表， 每个这样的结构都包含了一个适配器的详细信息。值得注意的是，数据域 name 和 description 表示一个适配器名称和一个可以让人们理解的描述。int pcap_findalldevs_ex (char * source, struct pcap_rmtauth * auth, pcap_if_t * alldevs, char * errbuf )（2）打印

40、网卡列表 for(d=alldevs; d; d=d-next) printf(%d. %s, +i, d-name); if (d-description) printf( (%s)n, d-description); else printf( (No description available)n); （3）选择网卡一般的情况下都会检测到至少两块网卡，所以我们要选择我们正在使用的网卡设备。 scanf(%d, &inum); /输入要选择的网卡 if(inum i)/选端口输入错误 printf(nInterface number out of range.n); pcap_freeall

41、devs(alldevs);/* 释放设备列表 */ return -1; （4）跳转到选中的适配器 for(d=alldevs, i=0; inext, i+); /* 打开设备 */ if ( (adhandle= pcap_open(d-name, / 设备名称抓包的设备 65536, / 65535保证能捕获到不同数据链路层上的每个数据包的全部内容 1,/PCAP_OPENFLAG_PROMISCUOUS, 混杂模式，0 10000,/读取超时时间 NULL, / 远程机器验证 errbuf/ 错误缓冲池 ) ) = NULL)fprintf(stderr,nUnable to ope

42、n the adapter. %s is not supported by WinPcapn, d-name); pcap_freealldevs(alldevs);/* 释放设备列表 */return -1;（5）打开捕获的数据存储的文件dumpfile = pcap_dump_open(adhandle, fileway); /* 打开文件 */（6）循环捕获并存储pcap_freealldevs(alldevs);/* 循环捕获数据并调用packet_handler函数把数据存储到堆文件 */ /const struct pcap_pkthdr *header; /const u_cha

43、r *pkt_data;pcap_loop(adhandle,-1, packet_handler, (unsigned char *)dumpfile);/利用adhandle描述符，pcap_close (adhandle); /关闭抓包过程return 0;void packet_handler(u_char *dumpfile, const struct pcap_pkthdr *header, const u_char *pkt_data)pcap_dump(dumpfile, header, pkt_data);/* 此函数功能将数据报存储到堆文件 */4.1.2 在程序中用到的W

44、inPcap内核函数详细介绍（1）pcap_if结构体struct pcap_if struct pcap_if *next;char *name;char *description;struct pcap_addr *addresses;bpf_u_int32 flags; ;结构体成员个变量意义：struct pcap_if *next：如果不为空，指向下一成员列表；为空则为最后一个成员列表。char *name：指向一个字符串提供的名称装置传递给pcap_open_live ( )。char *description：如果不为空，则指向一个可让人理解的描述字符串。u_int flags：PCAP_IF_LOOPBACK的接口标示。（2）pcap_findalldevs_ex( )int pca