| 常见的包捕获机制研究 |
|
|
|
型
Winpcap是针对Win32平台上的抓包和网络分析的一个架构,NPF则是Winpcap的重要组成部分之一。NPF的主要思想就是来源于Unix中的BPF,它的设计目标是要为Win32平台提供一个功能强大的开放式数据包捕获架构,使用户能够在Windows环境下直接开发高性能的网络分析与管理软件,也可以把原来运行在Unix系统中的许多分析工具经过简单的重新编译移植到Windows中。NPF作为BPF在Windows环境下的演化版继承了BPF的以下重要模块:过滤器,两级缓冲(核心和用户)以及用户级的一些函数库。 最底层的是网络接口,用来收发网络数据包。在捕获过程中,网络接口工作在混杂模式,接收网段中的所有数据包。数据包捕获驱动器是整个捕获栈中最底层的软件模块,它工作在系统内核层,通过NDIS网络驱动程序接口规范与网络接口的驱动程序进行通信,取得网络数据包,并向高层应用程序提供来自数据链路层数据的接口。
NPF参考模型由三个模块所组成,一个在内核级,另外两个以DLL的形式处于用户级:(1)内核级的网络捕包过滤器(NPF)。NPF是一个经过优化的内核模式驱动器,用于对数据包进行过滤,将接收的数据包提交给用户级。NPF采用循环缓冲区作为内核缓冲区,循环缓冲区就像一个队列一样,它的“头”和“尾”是不固定的两个指针,指针可以随着数据的进人或者复制到用户缓冲器而变动,运行过程中它会随时释放那些已复制的数据空间,通过这样的方式来保存数据包可以提高数据的存储效率。
(2)数据包底层动态链接库(Packet.d11)。数据包驱动程序库是与Libpcap相兼容的一组用户级的函数库。Packet.dll用于在Win32平台下为数据包驱动程序提供一个公共的接口。由于不同的Windows版本在用户级和内核级之间提供各不相同的接口,而Packet.dll可以屏蔽这些区别,提供一个与系统无关的API,因此基于Packet.dll开发的数据包截获程序可以运行于不同的Win32平台而不必重新进行编译。
(3)数据包高层驱动程序库(Wpcap.dll)。 Wpcap.dll是与操作系统无关的,它含有诸如产生过滤器、用户级缓冲以及包注入等高级功能。它提供了更加高层、抽象的函数,同时也提供了更加友好、功能更加强大的函数调用。
3 总结
数据包捕获(也称为监听,嗅探)技术是通过计算机的软件和硬件来截获在网络上传输的数据包,它工作在网络的底层,能够把在网络上传输的数据记录下来,并且通过相应的软件处理,实时解码分析这些数据的内容,从而获取人们所需要的数据
参考文献
[1]徐丹,黎俊伟,高传善.基于ETHERNET的网络监听以及ARP欺骗[J].计算机应用与软件,2005,(11):4750.
[2]赵树升,范刚龙,张焕剑.一种Windows网络嗅探器的检测原理与实现[J].郑州大学学报(理学版),2005,(03).
[3]申志,赵跃龙,申强.一种分布式网络管理监控系统的研究与开发[J].计算技术与自动化,2006,(01). 上一页 [1] [2] |
|
|
| |
|
上一个论文: 锰铜合金奥贝球铁齿轮啮合后表面组织特征探讨
下一个论文: 小型无人机实时仿真系统设计研究 |
|
用户登录 
新用户注册 