网络抓包的原理?自己想写个 1。winsock的原始套节字(网卡混杂模式)2。winpcap的抓包还有什么方法吗?另外sniffer pro 和 iris 他们都是用什么写的我知道windump 是winpcap 做的 解决方案 » 免费领取超大流量手机卡,每月29元包185G流量+100分钟通话, 中国电信官方发货 DDK是你最好先择,微软有列子passthru,直接在上面改就行了。 总结了下 采用原始套接字RAW_SOCK 采用Winpcap.lib 采用winsock 2 spi(服务提供者接口 采用Api Hook 采用ddk(device driver kit设备驱动工具包 可是都解决不了交换机网络下的抓包,得用ARP欺骗才成,这样的话机器少还可以这几种方法,也只是抓的更完而已。 交换机网络下的抓包 如果交换机具备镜像功能时,可在交换机上配置好端口镜像,再将网络协议分析软件安装在连接镜像端口的主机上就可以抓了,如果没有镜像功能可采取在交换机与路由器(或防火墙)之间串接一个分路器(Tap)或集线器(Hub)的方法来完成arp欺骗会瘫的 ddk中又可以分为:firewall filterndistdi yellowzzp总结的比较全了DDK也包括好几种方式,比如NDIS中间层驱动、NDIS协议层驱动和NDIS小端口驱动等。楼上说的passthru属于中间层驱动,Winpcap其实是对协议层驱动的封装。建议最简单点的用raw socket,复杂点的用Winpcap或NDIS协议层驱动。(passthru也可以,但是安装挺麻烦的) 没有看到yellowzzp原来是楼主交换机网络下应该说是抓不到其它机器的包的,因为那些包都不从你的机器上走的,采用ARP欺骗很不厚道的,会干扰人家正常通信的 |应用层|------exe程序,比如ie--------|表示层|-------ws2_32.dll--------|会话层|-------SPI-------- |传输层|-------TDI(不能截获ICMP等协议的数据)-------- |网络层|-------NDIS(可以截获所有的网络数据)--------|链路层|-------设备驱动 -------- |物理层|-------网卡这个应该就是在7层中各个层次所用的东西吧 winpcap这个我看他网上写的 好象也是用raw socket写的啊 只是功能更强大了一般ddk 我看都是用来写fire filter的简单的抓包都是raw socket和winpcap 就是不知道对于交换网下有没有什么通用的方法可以抓包交换机具备镜像是一个办法,在交换网络下 即使用ddk 等等。。甚至更深层的协议 他数据不经过我这里也是没办法啊不成就在交换机上,firewall 下 放上抓包程序 不过还得用hub,软件写的就是麻烦大在别的坛子 大大们都说自己写个程序 做个机器。。太强了 不知道楼主用过p2p终结者吗 我刚抓包分析了下,它好像就是用arp欺骗把目标主机的包引到本机上来然后实现流量限制的 我只是想监控这个网络 并不想对他的正常功能做出 干扰arp欺骗用多了,我怕 网络会瘫痪乱了的。除了端口映射和连hub还有别的办法,得到交换网络的所有数据包吗? 要取得整个网络的数据包,如果不想用arp欺骗的话那肯定得从交换机到外网的连线这段下手,就像dfz(小羽)说的那样。其实如果网络机子不多,或者说你机子性能好点用arp欺骗也是个不错的选择,就相当于个代理的交换机嘛,只是多了定时向网络发送arp欺骗包这个操作而已,不想监控的时候直接退出就行了,也挺方便的啊而且你只是监控,最多只是让其他机子多走个交换机,并不会太影响其他机子的正常功能的 Iris Sniffer Pro 之类的 程序在交换网络下能拦截到包。他们用的是什么技术呢? Iris Sniffer Pro 之类的 程序在交换网络下能拦截到包。他们用的是什么技术呢?-------------------刚下了Iris,这个只能抓到本机的包啊,Sniffer Pro faint!不懂用 看来网络抓包 这个思路走软件路线不是很好啊还是得从交换机 入手. 很多vpn 软件 自带的软件估计也都是走的硬件,软件带个界面.Iris 没问题啊 Iris 在我们公司的交换机内能抓到啊.Sp 我这一开始抓就蓝屏 >_<研究研究snmp 以上是用来拦截的 就是说修改包内容用的技术如果只是抓包不拦截 winpcap有开发包 很好用 应用层的话 采用 原始套接字 raw socket可以找相关例子 嗅探器。网上很多。基于原始 涛接字的 大多数网络抓包软件都是基于winpcap开发的,但基于winpcap的程序在抓包性能上较低,在千兆线速下,最多只能达到500Mbps左右,因此很多专业的抓包设备都会用硬件来实现,比如高速采集卡。如果楼主想了解基于软件的抓包程序原理,建议楼主参考这个软件wireshark,这是现在最为流行的抓包分析软件,win/linux/unix系统均支持,且是开源的,官方网站是www.wireshark.org 主要是winpcap 的话也解决不了交换网络下的抓包程序....感觉用原始套接字也可以啊 这个效率如何呢? 。大多是用winpcap的了,当然,也是可能用DDK来写一个驱动。 winpcap是开原的吗?我看看他是怎么写的 学习学习,以前做网站的www.wearelearn.net WriteToPort()发送数据的问题 OpenGL默认屏幕坐标系原点在哪? MFC 怎么在view文档里弄一块按钮区 为什么启动excel 2000服务失败? 同是copy涵数,memcpy 可以完全代替strcpy吗? 一个编译错误 23岁学VC还行吗。。。。。 ActiveX控件如何进行继承? 大分求做一个最简单的!VXD,我不会C++,所以没办法。如果你会,5分钟就出来。在线等。 求VC 数据库编程三部教学源代码 大家进来谈谈VC6。0,我简直受不了了,太垃圾了 CMySplitterWnd::createview出错
采用原始套接字RAW_SOCK
采用Winpcap.lib
采用winsock 2 spi(服务提供者接口
采用Api Hook
采用ddk(device driver kit设备驱动工具包
可是都解决不了交换机网络下的抓包,得用ARP欺骗才成,这样的话机器少还可以
这几种方法,也只是抓的更完而已。
arp欺骗会瘫的
firewall filter
ndis
tdi
--------
|表示层|-------ws2_32.dll
--------
|会话层|-------SPI
--------
|传输层|-------TDI(不能截获ICMP等协议的数据)
--------
|网络层|-------NDIS(可以截获所有的网络数据)
--------
|链路层|-------设备驱动
--------
|物理层|-------网卡这个应该就是在7层中各个层次所用的东西吧
一般ddk 我看都是用来写fire filter的简单的抓包都是raw socket和winpcap 就是不知道对于交换网下有没有什么通用的方法可以抓包
交换机具备镜像是一个办法,
在交换网络下 即使用ddk 等等。。甚至更深层的协议 他数据不经过我这里也是没办法啊不成就在交换机上,firewall 下 放上抓包程序 不过还得用hub,
软件写的就是麻烦大在别的坛子 大大们都说自己写个程序 做个机器。。太强了
arp欺骗用多了,我怕 网络会瘫痪乱了的。除了端口映射和连hub还有别的办法,得到交换网络的所有数据包吗?
而且你只是监控,最多只是让其他机子多走个交换机,并不会太影响其他机子的正常功能的
他们用的是什么技术呢?
他们用的是什么技术呢?
-------------------
刚下了Iris,这个只能抓到本机的包啊,Sniffer Pro faint!不懂用
还是得从交换机 入手. 很多vpn 软件 自带的软件估计也都是走的硬件,软件带个界面.
Iris 没问题啊 Iris 在我们公司的交换机内能抓到啊.
Sp 我这一开始抓就蓝屏 >_<
研究研究snmp
如果楼主想了解基于软件的抓包程序原理,建议楼主参考这个软件wireshark,这是现在最为流行的抓包分析软件,win/linux/unix系统均支持,且是开源的,官方网站是www.wireshark.org
感觉用原始套接字也可以啊 这个效率如何呢?