您的当前位置：首页协议分析实验指导书V201506

协议分析实验指导书V201506

来源：百家汽车网

网络协议分析实验指导书

贾伟

陕西理工学院数学与计算机科学学院

2015-06

网络协议分析实验说明

适用网络工程专业2012级。

实验总学时：10学时；实验项目：6个，其中3个验证，3个综合，必须完成1、2、4这三个实验。通过使用wireshark捕获数据包进行分析和使用C语言编程实现对数据包的构造和分析进行实验，每个实验完成后需要将实验捕获的数据、程序代码等实验数据保存下来并上交。

实验完成后，除上交纸质的实验报告外，还要上交实验有关的电子文件，要求文件命名为：“实验X_学号_姓名_其它说明”，X取值为中文汉字“一”、“二”、…… ，连接符为英文输入的下划线“_”，学号为完整长度，各项中间均不得添加空格。实验项目表序号 0 1 2 3 4 5

实验项目名称网络协议分析基础（预备实验）网络层协议分析传输层协议分析 HTTP协议分析内容数据包捕获软件的使用；C语言编程。捕获ARP、IP、ICMP网络数据包并分析；编程构造IP数据包。捕获TCP、UDP网络数据包并分析；编程构造UDP数据包。捕获HTTP网络数据包并分析。课时 2 4 4 2 4 2 性质验证/可选综合/必做综合/必做验证/可选综合/可选验证/可选协议分析器程序设计编程捕获数据包并统计数据包信息。 Winpcap编程基础通过Winpcap 捕获发送数据包 0. 网络协议分析基础(预备实验)

0.A 数据包捕获软件的使用

数据包捕获分析软件建议选择Wireshark，因为它目前是全世界最广泛的网络数据包分析软件之一。

参考文献：(ISBN：978-7-115-30236-6)

Chris Sanders;诸葛建伟等(译).Wireshark数据包分析实战(第2版).人民邮电出版社.2013,3.

0.A.1尝试软件的下载和安装 0.A.2设置软件捕获过滤器

0.A.3选取网卡，开启捕获

0.A.4停止捕获，保存捕获数据，打开捕获的数据文件 0.A.5打开捕获的数据文件，查看数据包内容 0.A.6设置显示过滤器

0.A.8 Wireshark高级数据包分析

查看网络端点和网络会话；跟踪TCP流，图形展示IO流和数据流。

0.B C语言编程与网络数据包操作分析

熟悉内存数据块的数据保存形式和对其使用不同指针的读取形式所获得的不同数据内容。

0.B.1 C的有关知识回顾

1）了解ANSI C and ISO C的Keywords

C has 32 keywords (reserved words with special meaning): auto break case char const continue default do double else enum extern float for goto if int long register return short signed sizeof static struct switch typedef union unsigned void volatile while 2）掌握C的有关基本数据类型及其长度类型 char：长度(bit) 8 说明 typical 8-bits typical 16-bits typical 16-bits or 32-bits，bits-number of int must be more than short. typical 32-bits，also larger than int short： 16 16/32 int： long： 32 3）字符数组和结构体定义（1）定义字符数组的语法

（2）定义结构体的语法

（3）数据类型的强制类型转换语法

4）指针操作

（1）定义指针变量的语法

（2）指向字符数组的指针

（3）指向结构体的指针

5）比特位操作(与、或和移位)

0.B.2 C语言编程练习

1）输出内存地址的16进制形式

2）讨论IPv4地址的定义和操作

定义形式

i）定义为32bit长度的无符号整数 unsigned int ip；

ii）定义为4个8bit长度的无符号字符串 unsigned char ip[4]；实现

1)点分十进制形式的输入输出； 2)判断是否是合法的IP地址；

3)判断属于的IP地址类别（A、B、C、D类）； 4)给IP地址和掩码，给出网络前缀；

5)给2个IP地址和掩码，判断两个IP是否属于同一个网络。

3）字节序（BYTE ORDER）讨论

了解字节序（大端序和小端序）的含义.

参考网上资料:http://zh.wikipedia.org/wiki/字节序。 1）如何判断本机的字节序。 int main(int argc, char **argv) { //怎样判断机器的**字节顺序**是高字节在前还是低字节在前？ //1.A.有个使用指针的方法：2.另外一个可能是用联合。 int x = 0x87654321; unsigned char * p; p = (unsigned char *)&x; printf(\"%X\\n\87654321 for (int i = 0; i < 4; i++){ printf(\"%2X\ }//21436587

}

if (*(char *)&x == 0x21) printf(\"\\nlittle-endian\\n\"); else printf(\"\\nbig-endian\\n\"); system(\"PAUSE\"); return 0;

2）定义字节序的转换函数（宏）

/*网络字节序(NETWORK BYTE ORDER)转换函数*/

/* NETWORK BYTE ORDER CONVERSION NOT NEEDED ON A BIG-ENDIAN COMPUTER */ /* X86计算机为 Little-endian*/

#define htons(x) ( ( 0xff & ((x)>>8) ) | ( (0xff & (x)) << 8 ) )

#define htonl(x) ( (((x)>>24) & 0x000000ff) | (((x)>> 8) & 0x0000ff00) | \\ (((x)<< 8) & 0x00ff0000) | (((x)<<24) & 0xff000000) ) #define ntohs(x) ( ( 0xff & ((x)>>8) ) | ( (0xff & (x)) << 8 ) )

#define ntohl(x) ( (((x)>>24) & 0x000000ff) | (((x)>> 8) & 0x0000ff00) | \\ (((x)<< 8) & 0x00ff0000) | (((x)<<24) & 0xff000000) ) 4）字符数组指针与结构体指针的转换

例子：构建以太网帧数据 int build_ eth_frame(unsigned char *daddr, unsigned char *saddr, unsigned short type,unsigned char *buf,int len, unsigned char *eth_frame[],int *ethframeLen) { unsigned char * frame=(unsigned char *)malloc(14+len); struct ethhdr * eth = (struct ethhdr *)frame; unsigned char * dbuf=frame+14; memcpy(dbuf,buf,len); memcpy(eth->h_dest, daddr, 6); memcpy(eth->h_source, saddr, 6); eth->h_proto = htons(type); *eth_frame = frame; *ethframeLen=14+len; return *ethframeLen; } 1. 网络层协议分析

1.A 数据包捕获分析部分 1.A.1、实验目的

1)、了解 ICMP 协议报文类型及作用。

2）、理解IP协议报文类型和格式。 3）、分析 ARP 协议的报文格式，理解 ARP 协议的解析过程。

1.A.2、实验内容介绍

1)、ICMP协议分析实验

执行 ping 和 tracert 命令，分别截获报文，分析截获的 ICMP 报文类型和 ICMP 报文格式，理解 ICMP 协议的作用。

2)、IP协议分析实验

使用 Ping 命令在两台计算机之间发送数据报，用 Wireshark 截获数据报，分析 IP 数据报的格式，理解 IP V4 地址的编址方法，加深对 IP 协议的理解。

3)、IP 数据报分片实验

我们已经从前边的实验中看到，IP 报文要交给数据链路层封装后才能发送。理想情况下，每个 IP 报文正好能放在同一个物理帧中发送。但在实际应用中，每种网络技术所支持的最大帧长各不相同。例如：以太网的帧中最多可容纳 1500 字节的数据，这个上限被称为物理网络的最大传输单元（MTU，MaxiumTransfer Unit）。

TCP/IP 协议在发送 IP 数据报文时，一般选择一个合适的初始长度。当这个报文要从一个 MTU 大的子网发送到一个 MTU 小的网络时，IP 协议就把这个报文的数据部分分割成能被目的子网所容纳的较小数据分片，组成较小的报文发送。每个较小的报文被称为一个分片（Fragment）。每个分片都有一个 IP 报文头，分片后的数据报的 IP 报头和原始 IP 报头除分片偏移、MF 标志位和校验字段不同外，其他都一样。

重组是分片的逆过程，分片只有到达目的主机时才进行重组。当目的主机收到 IP 报文时，根据其片偏移和标志 MF 位判断其是否一个分片。若 MF 为 0，片偏移为 0，则表明它是一个完整的报文；否则，则表明它是一个分片。当一个报文的全部分片都到达目的主机时，IP 就根据报头中的标识符和片偏移将它们重新组成一个完整的报文交给上层协议处理。

4)、ARP协议分析实验

本次实验使用的Windows自带的Arp命令，提供了显示和修改地址解析协议所使用的地址映射表的功能。

Arp 命令的格式要求如下：

ARP -s inet_addr eth_addr [if_addr] ARP -d inet_addr [if_addr] ARP -a [inet_addr] [-N if_addr]

其中：

-s：在 ARP 缓存中添加表项：将 IP 地址 inet_addr 和物理地址 ether_addr 关联，物理地址由以连字符分隔的 6 个十六进制数给定，使用点分十进制标记指定 IP 地址，添加项是永久性的；

-d：删除由 inet_addr 指定的表项； -a：显示当前 ARP 表，如果指定了 inet_addr 则只显示指定计算机的 IP 和物理地址； inet_addr：以点分十进制标记指定 IP 地址； -N：显示由 if_addr 指定的 ARP 表项；

if_addr：指定需要选择或修改其地址映射表接口的 IP 地址； ether_addr：指定物理地址；

1.A.3、实验步骤

1)、ICMP协议分析

步骤1：分别在 PC1 和 PC2 上运行 Wireshark，开始截获报文，为了只截获和实验内容有

关的报文，将 Wireshark 的 Captrue Filter 设置为“No Broadcast and no Multicast”；

步骤2：在 PC1 以 PC2 为目标主机，在命令行窗口执行 Ping 命令；请写出执行的命令：【】步骤3：停止截获报文，将截获的结果保存为“ICMP-1-学号”，分析截获的结果，回答下列

问题：

1）您截获几个 ICMP 报文？分别属于那种类型？

答：

2）分析截获的 ICMP 报文，查看表 1.A.1 中要求的字段值，填入表中。

表 1.A.1 ICMP报文分析报文号 16 17 X X+1 61 62 源IP 目的IP 报文格式类型代码标识序列号【x为学号后两位】实验捕获的报文数据截图：

报文16

报文17

报文x

报文x+1

分析在上表中哪个字段保证了回送请求报文和回送应答报文的一一对应，仔细体会Ping 命令的作用。如何保证请求报文和应答报文时一一对应的？

答：

步骤4：在 PC1 上运行 Wireshark 开始截获报文；

步骤5：在PC1上执行Tracert命令，向一个本网络中不存在的主机发送数据报，如：Tracert

www.baidu.com；

步骤6：停止截获报文，将截获的结果保存为“ICMP-2-学号”，分析截获的报文，回答下列

问题：

截获了报文中哪几种 ICMP 报文？其类型码和代码各为多少？

答：在截获的报文中，超时报告报文的源地址是多少？这个源地址指定设备和 PC1 有何关系？

答：

通过对两次截获的 ICMP 报文进行综合分析，仔细体会 ICMP 协议在网络中的作用。答：

2)、IP协议分析

步骤1：截获 PC1 上 ping PC2 的报文，结果保存为“IP-学号”；

步骤4：取序号为学号的数据报，分析 IP 协议的报文格式，完成下列各题：- 1）分析 IP 数据报头的格式，完成表 5.2；

表 5.2 IP协议字段版本头长服务类型总长度标识标志报文信息说明片偏移生存周期协议校验和源地址目的地址实验捕获的报文数据截图(突出显示分析的报文)：

1）查看该数据报的源 IP 地址和目的 IP 地址，他们分别是哪类地址？体会 IP 地址的编址方法。

答：

3)、IP数据报分片实验

步骤1：在 PC1、PC2 两台计算机上运行 Wireshark，为了只截获和实验有关的数据报，设

置 Wireshark 的截获条件为对方主机的 IP 地址，开始截获报文；

步骤2：在 PC1 上执行如下 Ping 命令，向主机 PC2 发送 4500B 的数据报文：

Ping –l 4500 –n 6 PC2的IP地址

步骤3：停止截获报文，分析截获的报文，回答下列问题：

1）以太网的 MTU 是多少？

答： 2）对截获的报文分析，将属于同一ICMP 请求报文的分片找出来，主机 PC1 向主机 PC2发送的 ICMP 请求报文分成了几个分片？

答： 3）若要让主机PC1向主机PC2发送的数据分为 3 个分片，则 Ping 命令中的报文长度应为多大？为什么？

答：

4）将第二个 ICMP 请求报文的分片信息填入表 5.3：

表 5.3 ICMP请求报文分片信息分片序号标识(Identification) 标志(Flag) 片偏移(Fragment 数据长度 4)、ARP协议分析实验

步骤1：在 PC1、PC2 两台计算机上执行如下命令，清除 ARP 缓存：答：

步骤2：在 PC1、PC2 两台计算机上执行如下命令，查看高速缓存中的 ARP 地址映射表的内容：

答：

步骤3：在 PC1 和 PC2 上运行 Wireshark 截获报文，为了截获和实验内容有关的报文，Wireshark 的 Captrue Filter 设置为默认方式；

步骤4：在主机 PC1 上执行 Ping 命令向 PC2 发送数据报；步骤5：执行完毕，保存截获的报文并命名为 “ARP-1-学号”；

步骤6：在 PC1、PC2 两台计算机上再次执行 ARP –a 命令，查看高速缓存中的 ARP 地址映射表的内容：

1）这次看到的内容和步骤 2的内容相同吗？结合两次看到的结果，理解 ARP 高速缓存的作用。

答：相同，讲已经联通过的地址映射记录起来方便下次使用把这次看到到的高速缓存中的 ARP 地址映射表写出来或给出截图。接口IP地址 IP地址Internet Address 物理地址Physical Address 类型Type 备注

步骤7：重复步骤 4—5，将此结果保存为 “ARP-2-学号”；

步骤8：打开 arp-1-学号，完成以下各题：

1））在截获的报文中由几个 ARP 报文？在以太帧中，ARP 协议类型的代码值是什么？答：协议类型IP（0x0800）

a）分析 arp-1 中 ARP 报文的结构，完成表 5.4。

表 5.4 ARP报文分析 ARP请求报文字段硬件类型协议类型硬件地址长度协议地址长度操作源站物理地址源站IP地址目的站物理地址目的站IP地址报文信息及参数 ARP应答报文字段硬件类型协议类型硬件地址长度协议地址长度操作源站物理地址源站IP地址目的站物理地址目的站IP地址报文信息及参数 1.B 编程构造IP数据包部分

使用C语言构造IP数据包程序。

1) IPv4基本定长首部结构体定义 struct iphdr { }; 2)构造IP报文 unsigned char * Build_IP_Packet(unsigned int d_ip, unsigned int s_ip, unsigned char proto_type, const unsigned char *buf, int len, unsigned char * ippacket, int *iplen) { return ippacket; } 3）IP校验和计算 //TCPIP协议中的校验和计算 unsigned short checksum(unsigned short *ptr, int nbytes) { }

2. 传输层协议分析

2.A 数据包捕获分析部分

2.1 实验目的

理解TCP报文首部格式和字段的作用，TCP连接的建立和释放过程，TCP数据传输中编号与确认的作用。

2.2 实验内容

应用TCP应用程序传输文件，截取TCP报文，分析TCP报文首部信息，TCP连接的建立过程，TCP数据的编号和确认机制。

2.3 实验原理

TCP协议是传输控制协议的简称，工作在网络层协议之上，是面向连接的，可靠的，端到端的传输层协议。 1) TCP的报文格式

TCP报文段分为头部和数据两部分，如图1：

图1 TCP报文段的总体结构 TCP首部 TCP数据部分

TCP报文段首部又分为固定部分和选项部分，固定部分为20B，如图2所示，这些字段的组合实现了TCP的所有功能。

图2 TCP报文段的首部

0 15 31 源端口目的端口序号确认号 U A P R S F 头部 R C S S Y I 长度保留窗口 G K H T N N （4bit）校验和紧急指针选项（长度可变）填充 TCP采用传输输连接的方式传送TCP报文，传输连接包括连接建立、数据传输和连接释放三个阶段。 2) TCP连接的建立

TCP连接建立采用“3次握手”方式。

首先，主机A的TCP向主机B的TCP发出连接请求报文段，其首部中的同步位SYN应置1，同时选择一个序号X，表明在后面传送数据时的第一个数据字节的序号是X+1，如图3所示：

主动打开被动打开

连接请求

确认

图3 TCP连接建立的3次握手过程

然后，主机B的TCP收到连接请求报文段后，若同意，则发回确认。在确认报文段中应将SYN和ACK都置1，确认号应为X+1，同时也为自己选择一个序号Y。

最后，主机A的TCP收到B的确认后，要向B发回确认，其ACK置1,确认号为Y+1，而自己的序号为X+1。TCP的标准规定，SYN置1的报文段都要消耗掉一个序号。同时，运行客户进程的主机A的TCP通知上层应用进程，连接已经建立。当主机A向B发送第一个数据报文段时，其序号仍为X+1，因为前一个确认报文段并不消耗序号。

当运行服务器进程的主机B的TCP收到主机A的确认后，也通知其上层应用进程，连接已经建立。

另外，在TCP连接建立的过程中，还利用TCP报文段首部的选项字段进行双方最大报文段长度MSS协商，确定报文段的数据字段的最大长度。双方都将自己能够支持的MSS写入选项字段，比较之后，取较小的值赋给MSS，并应用于数据传送阶段。 3) TCP数据的传送

为了保证TCP传输的可靠性，TCP采用面向字节的方式，将报文段的数据部分进行编号，每个字节对应一个序号。并在连接建立时，双方商定初始序号。在报文段首部中，序号字段和数据部分长度可以确定发送方传送数据的每一个字节的序号，确认号字段则表示接收方希望下次收到的数据的第一个字节的序号，即表示这个序号之前的数据字节均已收到。这样既做到了可靠传输，又做到了全双工通信。

当然，数据传送阶段有许多复杂的问题和情况，如流量控制、拥塞控制、重传机制等，本次实验不探究。

4)TCP连接的释放

在数据传输结束后，通信的双方都可以发出释放连接的请求。TCP连接的释放采用“4次握手”。如图

ABFIN,SEQ-XACK,SEQ=Y,ACK=X+1FIN,ACK,SEQ=Y,ACK=X+1①②通知主机应用进程确认应用进程释放连接B不再发送报文应用进程释放连接A不再发送报文确认ACK,SEQ=X+1,ACK=Y+1

图4 TCP连接释放的4次握手过程

首先，设图4中主机A的应用进程先向其TCP发出释放连接的请求，并且不再发送数据。TCP通知对方要释放从A到B这个方向的连接，将发往主机B的TCP报文段首部的中止位置1，其序号X等于前面已传送过的数据的最后一个字节的序号加1。

主机B的TCP收到释放连接通知后即发出确认，其序号为Y，确认号为X+1，同时通知高层应用进程，如图中的箭头①。这样从A到B的连接就被释放了，连接处于半关闭状态，相当于主机A对主机B说“我已经没有数据发送了。但是如果你还有数据要发送，我仍然接收。”

此后，主机B不再接收A发来的数据。但若主机B还有一些数据要发给A，则可以继续发送（这种情况很少）。主机A只要正确收到数据，仍然向B发送确认。

若主机B不再向主机A发送数据，其应用进程就通知TCP释放连接，如图中的箭头②。主机B发出的连接释放报文段必须将中止位FIN和确认位ACK置1，并使其序号仍为Y（因为签名发送的确认报文段不消耗序号），但是还必须重复上次已经发送过的ACK＝X+1。主机A必须对此发出确认，将ACK置1，ACK=Y+1,而自己的序号仍然是X+1，因为根据TCP标准，前面发送过的FIN报文段要消耗掉一个序号。这样就把B到A的反方向的连接释放掉。主机A的TCP再向其应用进程报告，整个连接已经全部释放。

2.4 实验步骤

步骤1 在Wireshark中设置过滤条件，协议为TCP HTTP，地址为本机－>any，并开始截获报文;

步骤2 打开www.sina.com.，完成后，保存截获的报文并命名为“TCP学号”，分析捕获的报文。

这里，TCP的连接和建立采用的是：方式，本机是，远端主机是。步骤3 分析TCP连接建立过程的前3个报文，填写下表1：

表1 TCP建立过程的三个报文信息字段名称报文序号第一条报文第二条报文第三条报文 Sequence Nunber ACK Number ACK SYN

步骤4 分析截获报文中数据发送部分的第一条TCP报文及其确认报文，将报文中的字段值填写在表格2中。

表2 TCP报文首部信息字段名长度字段值发送报文确认报文字段意义步骤5 TCP连接建立时，其报文首部与其它TCP报文不同，有一个option字段，它的作用是什么？结合IEEE802.3协议规定的以太网最大帧长分析此数据是怎么得出来的？步骤6 分析TCP数据传送阶段的前8个报文，将报文信息填入表3：

表3 TCP数据传送部分的前8个报文报文序号报文种类序号字段确认号字段

数据长度被确认报文序号窗口 2.5 实验总结

在实验中，通过分析截获的TCP报文首部信息，可以看到首部中的序号、确认号等字段是TCP可靠连接的基础。

分析TCP头部信息，分析“3次握手”过程。通过对数据传送阶段报文的初步分析，了解数据的编码和确认机制。

总之，TCP协议中的各项设置都是为了在数据传输时提供可靠的面向连接的服务。

2.B 编程构造UDP数据包部分

使用C语言构造UDP数据包程序。 1) UDP首部和伪首部结构体定义 /* UDP 首部*/ struct udphdr{ }; 2）构建UDP报文数据 int build_udp_Package(struct socket_pair * sp,const unsigned char *buf,int len,unsigned char *udpPacket[],int *udpPacketLen){ }

//UDP中校验使用的伪首部 struct pseudo_header { };

3. HTTP协议分析

实验目的

在PC机上访问Web 页面，截获报文，分析HTTP 协议的报文格式和HTTP 协议的工作过程。

实验设备和连接

请通过访问可以连接的WWW 站点来进行实验。

实验步骤

步骤1：在PC 机上运行Wireshark，开始截获报文，为了只截获和我们要访问的网站相关的

数据报，将截获条件设置为 “not broadcast and not multicast”；

步骤2：从浏览器上访问Web 界面，如http://202.202.43.125。打开网页，待浏览器的状态

栏出现 “完毕”信息后关闭网页。

步骤3：停止截获报文，将截获的报文命名为“HTTP-学号”保存。

分析截获的报文，回答以下几个问题：

1）综合分析截获的报文，查看有几种HTTP 报文？

答：

2）在截获的HTTP 报文中，任选一个HTTP 请求报文和对应的 HTTP 应答报文，仔细分析它们的格式，填写表20 和表21。

表20 HTTP 请求报文格式

方法 URL 首部字段名 Accept Accept-Language User-Agent Host Connection

字段值版本字段所表达的信息表21 HTTP 应答报文格式

版本状态码短语首部字段名 Date Server Etage Accept-Ranges Last-Modified

字段值字段所表达的信息 3）分析在截获的报文中，客户机与服务器建立了几个连接？服务器和客户机分别使用了哪几个端口号？

答：

_____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________

4 ）综合分析截获的报文，理解HTTP 协议的工作过程，将结果填入表22 中。

表22 HTTP 协议工作过程

HTTP 客户机端口号

HTTP 服务器端口号所包括的报文号步骤说明实验小结

本次实验的主要目的是在PC 机上访问RCMS 的Web 页面，截获报文，分析HTTP 协议的报文格式和HTTP 协议的工作过程。 HTTP 是一个面向事务的客户服务器协议。尽管HTTP 使用TCP 作为底层传输协议，但每个事务都是地进行处理。当一个事务开始时，就在万维网客户和服务器之间建立一个TCP 连接，而当事务结束时就释放这个连接。

4. 协议分析器程序设计

4.1定义报文头部数据结构

4.1.1 UDP首部和伪首部结构体定义

/* UDP 首部*/ struct udphdr{ }; //UDP中校验使用的伪首部 struct pseudo_header { }; 4.1.2 IPv4基本定长首部结构体定义

struct iphdr { }; 4.1.3 以太网帧首部结构体定义

struct ethhdr { unsigned char unsigned char unsigned short }; h_dest[6]; /* destination eth addr */ h_source[6]; /* source ether addr */ h_proto; /* packet type ID field */ 4.1.4 网络通信5元组封装为结构体数据

struct socket_pair{ unsigned char proto_type; /*取值同IP头部字段的协议取值*/ unsigned short d_port; /*目的端口*/ unsigned short s_port; /*源端口*/ unsigned char d_ip[4]; /*目的IP地址*/ unsigned char s_ip[4]; /*源IP地址*/ }; 4.2分析显示报文头部信息函数设计

4.2.1 以太网帧首部信息显示

int print_eth_frame(const unsigned char *frame_data, int len){ struct ethhdr * frame; frame = (struct ethhdr *) frame _data; } printf(\"\\n该帧报类型ID为%H，\if(ntohs(frame->h_proto)==0x0800){ printf(\"上层协议为IP.\\n\"); return 0; 4.2.2 IPv4基本定长首部信息显示

int print_ip_pkt(const unsigned char *pkt_data,int len){ }

4.2.3 UDP首部信息显示

int print_ udp_pkt(const unsigned char *pkt_data,int len){ }

4.3 Winpcap中打开网络接口捕获数据

（参考资料(中文)：http://www.ferrisxu.com/WinPcap/html/index.html） 1）获取设备列表

2）打开适配器并捕获数据包

3）不用回调方法捕获数据包

4）发送数据包

5）例程：分析数据包

（http://www.ferrisxu.com/WinPcap/html/group__wpcap__tut6.html）

5. Winpcap编程基础

当应用程序需要访问原始数据包，即没有被操作系统利用网络协议处理过的数据包时，socket无法满足需要，WinPcap为Win32应用程序提供这种访问方式。

WinPcap(Windows Packet Capture)是Windows平台下的链路层网络访问工具，其目的在于为Windows应用程序提供访问网络底层的能力。

WinPcap允许应用程序直接利用网络驱动程序发送和接收报文，避免了原来的协议栈处理过程。Winpcap 是基于Win32 平台的网络包截获和分析的系统，它是Libpcap的Windows版本。

5.1 Winpcap开发环境的安装配置

1）C语言编程（编译）环境

集成开发环境：Visual C++ 6.0（淘汰）；VS Express 2010+（推荐Visual Studio Express 2013 for Windows Desktop）；CodeLite；Code::Blocks；Dev-C++。

2）下载安装WinPcap驱动

WinPcap驱动程序、Dll文件（如果系统已经安装了Wireshark，则应该默认已经安装了WinPcap驱动）WinPcap V4.1.2：http://www.winpcap.org/install/bin/WinPcap_4_1_2.exe。下载并安装。

3）下载WinPcap Developer’s Pack

库文件、头文件、简单的示例程序代码和帮助文件。WinPcap V4.1.2 Developer’s Pack：http://www.winpcap.org/install/bin/WpdPack_4_1_2.zip。下载到本地并解压缩到某个目录，如”d:/”，并找到其中的LIB 和 Include 目录，5.2中配置环境需要使用。

4）帮助参考网址

 WinPcap技术手册 V4.1.2 (an offline version can be found in the developer's pack) ：

http://www.winpcap.org/docs/docs_412/index.html  WinPcap中文技术手册 V4.01（翻译版）：http://www.ferrisxu.com/WinPcap/

5.2 配置环境

5.2.1 VC++6.0环境下的配置

1）到http://www.winpcap.org/devel.htm 下载安装包和 Developer's Pack.

2）安装winpcap驱动，解压Developer's Pack，分别找到LIB 和 Include 目录。 3）VC++6.0中配置添加WinPcap Developer’s Pack的 lib 和 Include 目录

打开VC++，首先在Tools=>Options=>Directories,分别配置 lib 和 Include 目录。当中Show Directories for 可以指定相应的文件目录。

4）VC++6.0中工程项目的设置（打开VC++，创建工程）

在Project=>Settings=>Link=>Object/Library Modules 里面添加需要的LIB. (Packet.lib wpcap.lib ws2_32.lib)；

在Project=>Setting=>C/C++=>Preprocessor，增加预处理定义：WPCAP和HAVE_REMOTE；在使用WinPcap函数的所有源文件中包含pcap.h（#include “pcap.h”）头文件。

5.2.2 Visual Studio Express 2013 环境下的配置

1）.到http://www.winpcap.org/devel.htm 下载“Winpcap驱动安装包”和“Developer‘s Pack开发包”。

2）.安装驱动，解压开发包(解压Developer‘s Pack时,分别找到LIB 和 Include 目录）； 3）.启动VSE2013，创建工程，设置环境

在菜单：项目—**属性选项(Alt+F7)，弹出的属性页对话框中：  VC++目录—“包含目录”，添加开发包Include目录；  VC++目录—“库目录” ，添加开发包的lib目录；  C/C++—预处理器—预处理器定义，添加“WPCAP”；  链接器—输入—附加依赖项，添加wpcap.lib和ws2_32.lib。  在使用WinPcap函数的源文件中包含pcap.h（#include “pcap.h”）头文件。

5.3 Winpcap捕获数据包程序的创建

5.3.1 新建“win32控制台应用程序”类别的空项目 5.3.2 设置项目开发环境

5.3.3 创建头文件和C语言源代码文件

参考下列连接中的代码：

http://www.ferrisxu.com/WinPcap/html/group__wpcap__tut8.html（发送数据包）

5.3.4 编译运行调试程序

5.4 Winpcap发送数据包程序的创建

5.4.1新建“win32控制台应用程序”类别的空项目 5.4.2 设置项目开发环境

5.4.3 创建头文件和C语言源代码文件

参考下列连接中的代码：

http://www.ferrisxu.com/WinPcap/html/group__wpcap__tut3.html (打开适配器并捕获数据包) http://www.ferrisxu.com/WinPcap/html/group__wpcap__tut4.html(不用回调方法捕获数据包) http://www.ferrisxu.com/WinPcap/html/group__wpcap__tut6.html(分析数据包) 5.4.4 编译运行调试程序

（使用wireshark捕获到你发送的数据包。）

因篇幅问题不能全部显示，请点此查看更多更全内容

查看全文