WinPcap开发（一）：零基础入门

*原创作者：追影人

0×00 前言

网络编程在网络安全方面具有举足轻重的作用，如何快捷高效的监听、分析、构造网络流量，成为很多安全从业者需要解决的重点问题。而winpcap这一免费开源项目恰好可以为win32应用程序提供访问网络底层的能力，所以其成为了相关网络编程的首选开发工具。

0×01 winpcap是什么？

winpcap(windows packet capture)是windows平台下一个免费的网络访问系统，可用于windows系统下的网络编程。著名的wireshark便是基于winpcap开发的，大家在安装wireshark中可以看到winpcap驱动程序的安装过程。

有关winpcap的介绍网络上很多，百科里面介绍的也很详细，我就不再copy了。需要注意的一点是，winpcap并不是一个简单的library，而是一个针对Win32平台上的抓包和网络分析的一个架构，它包括一个核心态的包过滤器，一个底层的动态链接库（packet.dll）和一个高层的不依赖于系统的库（wpcap.dll）。所以它只能“嗅探”到物理线路上的数据包，而不具备拦截的能力，因此不适用于个人防火墙等项目。

0×02 你需要准备些什么?

本系列文章主要带大家认识和了解如何利用winpcap网络编程技术进行网络的协议分析、流量统计及网络探测扫描等，这里我们并不会去深硬的解读相关源代码，而是以轻松的方式结合实验来对相关原理进行深入理解。在本系列文章中，笔者从简到难，简明介绍winpcap架构原理、相关环境搭建及快速编写核心代码。但是在开始前，读者需要有一些相关基础：了解网络协议相关基础知识，掌握一门winpcap开发库支持的编程语言，自己能动手实践编写一些例子。Winpcap提供的开发接口原生是c语言的，不过热心肠的程序猿们已经为其他语言的使用提供了封装，比如java、.net、python，好像连易语言都有。本系列文章将使用c语言来进行各种实验，有兴趣的读者可以将其转换成自己熟悉的语言来动手实践。

0×03 你能学到什么？

有关winpcap开发的文章在网上很容易找到，但是更多的都是对于代码的讲解，笔者在本文尽量系统性的从原理层面结合各个应用场景来介绍相关知识：

1.   Winpcap获取网卡基本信息及收发数据包

2.   存活主机探测

3.   端口扫描

4.   Arp欺骗

5.   中间人攻击的简单实现

6.    流量统计与分析

0×04 知识补充

进行下面的介绍前，我们需要了解几个名词的关系。

0×05 环境准备

首先根据你所选择的开发语言选择对应的编译器，笔者使用c语言，利用VS2012进行相关开发。

安装好编译器后，进行相关配置。下载 wpdpack 点击这里 

初学者可以选择里面的Examples进行编译，可以看到找不到头文件，及相关库。

这是因为 wpdpack 中的相关库还没有引入到编译环境中

将 wpdpack 包中的 Include 和 lib 文件夹中的文件添加到 VS 的相关目录下即可编译通过。将编译后的程序进行运行则出现以下错误。

这是由于运行时缺乏动态链接库导致，最简单的方法是直接下载并安装 winpcap 驱动程序  下载  

如果你觉得这样子很麻烦，也可以采用简易方法。程序在运行时只需要 winpcap 在 system32 下面释放的 wpcap.dll 和 packet.dll ，还有 driver 下面的 npf.sys ，所以不需要完整安装 winpcap ，而选择只复制以上三个文件到对应目录中即可。

本节笔者将采用著名的 Arpspoof 源码进行相关讲解，源码下载地址 http://www.verysource.com/code/2287464_1/arpspoof.cpp.html

0×06 枚举可用网络适配器资源

在使用 winpcap 进行收发数据包时，需指定对应的网卡，所以有必要列出计算机上所有可用的网络适配资源。

列取网卡信息的核心代码：

// 该函数在 Arpspoof 程序中，笔者进行了详细注释

void  ListAdapters()

{

pcap_if_t  *alldevs; //用于存储网卡链表的头指针

pcap_if_t  *d; //用于遍历网卡链表的临时变量

int  i = 0; //记录网卡个数

char  errbuf[ PCAP_ERRBUF_SIZE ] ;//存储错误信息

char  szGateIPAddr[16] ;//网卡对应网关地址

char  *p; //网卡名词

char  szIPAddr[16]; //网卡对应IP

unsigned   char  ucPhysicalAddr[6]; //网卡对应的MAC地址

if  (pcap_findalldevs(&alldevs, errbuf) == -1) //获取网卡链表

{

fprintf( stderr , "Error in pcap_findalldevs: %s/n" , errbuf);

return ;

}

for  (d=alldevs; d; d=d->next) //遍历网卡链表

{

if  (d->addresses != NULL  && (p = strchr(d->name, '{' )) != NULL

&& Getadapterbyname(p, szIPAddr, ucPhysicalAddr,szGateIPAddr)) //获取网卡的对应信息

{

for ( int  j = strlen(d->description) - 1; j > 0; j--) //对网卡的描述信息格式化

{

if  (d->description[j] == 0x20)

d->description[j] = '' ;

else

break ;

}

printf( "/n  %d. %s/n/tIP Address. . . . . : %s/n" , i, d->description, szIPAddr); //格式化输出网卡信息

printf( "/tPhysical Address. . : %.2X-%.2X-%.2X-%.2X-%.2X-%.2X/n" ,

ucPhysicalAddr[0], ucPhysicalAddr[1], ucPhysicalAddr[2],

ucPhysicalAddr[3], ucPhysicalAddr[4], ucPhysicalAddr[5]);

printf( "/tDefault Gateway . . : %s/n" , szGateIPAddr);

i ++;

}

}  

if  (i==0)

{

printf( "/nNo interfaces found! Make sure WinPcap is installed./n" );

return ;

}

pcap_freealldevs(alldevs); //释放网卡链表

}

科普 Tips ：

利用上面的程序，我们可以查看计算机上可利用的所有网卡资源，以便选择相应的网卡资源进行相关操作。为了便于观察，我们在 VMware 虚拟机中进行，首先在对应的虚拟机设置中增加硬件选项中添加多块网卡，然后配置相应的 IP ，运行程序，可以得到对应网卡的名称描述、 IP 地址、 MAC 地址等。

0×07 如何构造和发送数据包

上一步我们列出了所有的可用网卡资源，在发送数据包前，需要打开对应的网卡来进行发送数据包的操作。这里使用的函数是 pcap_open_live ：

Arpspoof 中将网卡的打开操作进行了如下封装，调用时直接输入网卡序号即可，程序会对参数 2 、 3 、 4 进行初始化设置：

pcap_t * OpenAdapter( int   uIndexofAdapter , char   szIPSelf [],

unsigned   char   ucPhysicalAddr [], char   szGateIPAddr [])

{

pcap_if_t  *alldevs;

pcap_if_t  *d;

pcap_t  *fp = NULL ;

int  i = 0;

char  errbuf[ PCAP_ERRBUF_SIZE ], *p;

/* 这个API用来获得网卡的列表 */

if  (pcap_findalldevs(&alldevs, errbuf) == -1)

{

fprintf( stderr , "Error in pcap_findalldevs: %s/n" , errbuf);

return   NULL ;

}

/* 显示列表的响应字段的内容 */

for  (d=alldevs; d; d=d->next)

{        

if  (d->addresses != NULL  && (p = strchr(d->name, '{' )) != NULL

&& Getadapterbyname(p, szIPSelf , ucPhysicalAddr , szGateIPAddr ))

{

if  (i == uIndexofAdapter )

{

if  ((fp = pcap_open_live(d->name, // 设备名称

65536,      // portion of the packet to capture.

// 65536 grants that the whole packet will be captured on all the MACs.

1,        // 混杂模式

1, //读超时为1ms，越小越好

errbuf      // error buffer

)) == NULL )

{

fprintf( stderr , "/nUnable to open the adapter. /

%s is not supported by WinPcap/n" , d->name);

pcap_freealldevs(alldevs);

return   NULL ;

}

else

{

// 去掉网卡注释右边的空格

for ( int  j = strlen(d->description) - 1; j > 0; j--)

{

if  (d->description[j] == 0x20)

d->description[j] = '' ;

else

break ;

}

printf( "[*] Bind on %s %s .../n" , szIPSelf , d->description);

return  fp;

}

}

i ++;

}

}

if  (i==0)

{

printf( "/nNo interfaces found! Make sure WinPcap is installed./n" );

return   FALSE ;

}

/* We don't need any more the device list. Free it */

pcap_freealldevs(alldevs);

return   NULL ;

}  

使用范例：

pcap_t  *adhandle; // 网卡句柄

unsigned   char  ucSelf[6];

char  szIPSelf[16], szIPGate[16];

if  ((adhandle = OpenAdapter( 0 , szIPSelf, ucSelf, szIPGate)) == NULL )

{

printf( "[!] Open adatper error!/n" );

return   FALSE ;

}

在获取到网卡句柄并打开后，发送数据包就很容易了

if (pcap_sendpacket(adhandle, ( const   unsigned   char  *) ucFrame,

ucFrame Len ) < 0)

{

printf( "Send Packet Error/n" );

return   FALSE ;

}

ucFrame 是封装好的数据包， ucFrameLen 为数据包的长度。

下面我们封装一个例子，使用上述代码发送 ARP 请求包，用于查询某 IP 对应的 MAC 地址。

ARP 协议格式

关键代码

bool  sendARPData( pcap_t  * adhandle )

{

u_char  ucFrame[ ARP_LEN ];

// 设置Ethernet头

ETHeader  eh = { 0 };

memset(eh.dhost,0xff, 6); //ARP广播包目的地址为ffffffffffff

memcpy(eh.shost, ucSelf, 6);

eh.type = htons( ETHERTYPE_ARP ); //帧类型为ARP

memcpy(ucFrame, &eh, sizeof (eh));

// 设置Arp头

ARPHeader  ah = { 0 };

ah.hrd = htons( ARPHRD_ETHER );

ah.eth_type = htons( ETHERTYPE_IP );

ah.maclen = 6; //硬件地址长度

ah.iplen = 4; //IP地址长度

ah.opcode = htons( ARP_REQUEST ); //ARP请求包类型

memcpy(ah.smac, ucSelf, 6);

ah.saddr = inet_addr(szIPSelf);  

memset(ah.dmac, 0x00, 6); //ARP请求包中目的MAC地址均置0

ah.daddr = inet_addr( "192.168.0.2" );    // ARP请求的目的IP地址

memcpy(&ucFrame[ sizeof ( ETHeader )], &ah, sizeof (ah));

// 发送 ARP数据包

if (pcap_sendpacket( adhandle , ( const   unsigned   char  *) ucFrame, ARP_LEN ) < 0)

{

printf( "Send Packet Error/n" );

return   FALSE ;

}

return   TRUE ;

}

启动 wireshark 进行监听，运行程序，我们可以看到如下结果，程序发出了一个 ARP 广播包，用于查询 192.168.0.2 的主机 MAC ，并且目标机在收到该查询包后，进行了回复，将自己的 MAC 地址告诉了查询发起的机器。

0 × 08 如何监听分析数据包

在监听数据包时，使用的关键函数为pcap_loop

结合上面的代码，我们在获得并打开网卡句柄 adhandle，使用下面的代码并可捕获数据包

//每次捕捉到数据包时，pcap都会自动调用这个回调函数

void  packet_handler( u_char  * param , const   struct   pcap_pkthdr  * header , const   u_char  * pkt_data )

{

struct   tm  *ltime;

char  timestr[16];

time_t  local_tv_sec;

//将时间戳转换成可识别的格式

local_tv_sec = header ->ts.tv_sec;

printf( "%d /n" , local_tv_sec);

ltime = localtime(&local_tv_sec);

strftime(timestr, sizeof (timestr), "%H %M %S" , ltime);

printf( "%s,%.6d len:%d/n" , ctime(&local_tv_sec), header ->ts.tv_usec, header ->len);

}

pcap_loop(adhandle, 0, packet_handler, NULL );

程序在每一个数据包到来时，都会自动调用回调函数 packet_handler 来对数据包进行处理，其第三个参数便是数据包内容。

上图为运行结果图，可以看到每一个数据包的时间戳信息，和长度信息。

值得注意的是，原始套接字也可以完成数据包的发送和监听工作，但是与 winpcap 相比，在监听数据包方面是有区别的，由于 winpcap 更接近与底层，所以在混杂模式下，凡是到达网卡的数据包不管目的地址是否为自身主机， winpcap 均能接收到；而原始套接字只能接收到投送给自己的数据包。

0×09 总结与预告

本章中我们简单认识了 winpcap 的相关基础知识，学习了发送数据包和接收数据包的方法，其实不难发现，发送和接收数据包的过程都比较简单，只需要调用相关库函数即可，而更多的精力在数据包的组织和拆分上，同时在一些场景中，算法的使用也较为重要。在接下来的章节中，我们会看到下面的内容：

*本文作者：追影人，本文属FreeBuf原创奖励计划，转载须联系editor@tophant.com