本文转自http://eslxf.blog.51cto.com/918801/197405
WinPcap是Win32平台下用于数据包捕获与网络分析的一个架构。它包含一个内核层数据包过滤器,一个底层动态链接库(packet.dll),与一个高层并独立于系统的库(wpcap.dll)。
1.1 WinPcap的主要组成
WinPcap的各个主要组成部分如图2-1所示。
图2-1 WinPcap的主要组成
首先,为了访问网络上传输的原始数据,一个捕获系统需要绕过操作系统的协议栈。 这需要一部分程序运行于操作系统的内核中,来与网络接口驱动直接交互。该部分与操作系统密切相关,WinPcap的解决方案是实现一个叫做Netgroup Packet Filter(NPF)的设备驱动程序,并对Windows 95、Windows 98、Windows ME、Windows NT 4、Windows 2000 与Windows XP等不同操作系统提供不同版本的驱动程序。这些驱动程序提供了数据包捕获与发送的基本特性,同时也提供诸如一个可编程的过滤系统与一个监控引擎之类的更高级特性。第一个特性可用于限制一个捕获会话,只捕获特定的网络数据包(比如,可以只捕获一个特定主机生成的ftp数据包)。第二个特性提供了一个强大但简单的方式,来获取网络流量的统计信息 (比如,可以获取网络负载或两个主机间所交换数据的数量)。
其次,捕获系统必须导出一个接口,使得用户层应用程序可使用内核驱动所提供的特性。WinPcap提供两个不同的库:packet.dll与wpcap.dll。第一个库提供一个底层的API,可用来直接访问驱动程序的函数,提供一个独立于微软的不同操作系统的编程接口。第二个库导出了更强大的、更高层的捕获函数接口,并提供与UNIX捕获库libpcap的兼容性。这些函数使得数据包的捕获能独立于底层网络硬件与操作系统。
1.2 数据包捕获的基本过程
WinPcap从网络上捕获一个数据包,然后递送给应用程序,所调用的组件如图2-2,图2-3所示。
图2-2 NPF结构
1.2.1 网卡与NIC设备驱动
现代NIC板载内存的数量通常限制为几千字节。在不依赖主机工作站的能力下,这些内存在全连接速度(full link speed)下需要满足数据包的接收与发送。此外,NIC在数据包被存储在板载内存中时,就执行一些初步的的检查,诸如CRC错误、短以太网帧,因此无效帧可以立即被丢弃。
在一个有效数据包被NIC接收后,将对总线控制器产生一个总线数据传输请求。此时,NIC控制了总线,传输数据包到工作站主内存中的NIC缓冲区中(参见图2-3),释放总线,产生一个硬件中断给高级可编程中断控制器(Advanced Programmable Interrupt Controller,APIC)芯片。该芯片叫醒操作系统的中断处理例程(OS interrupt handling routine),其触发NIC设备驱动程序的中断服务程序(ISR)。
一个写的好的设备驱动程序的ISR只做很少的事情。最基本的事情,它要检查该中断是否是它自己要处理的的(在x86机器中一个中断可被多个设备共享),并做出应答。接着,ISR调度一个较低优先级的函数(称作延迟过程调用,DPC),该函数稍后处理硬件请求与告知上层驱动程序(如协议层的驱动程序,数据包捕获驱动程序)一个数据包被接收了。当没有中断被挂起时CPU将处理DPC例程。当NIC设备驱动程序正在执行处理时,来自NIC的中断被禁用,因为在处理下一个服务前一个数据包的处理必须完成。此外,既然中断的产生是一个耗费很大的操作,现代NIC允许多个数据包被送入一个中断的上下文中,因此上层驱动程序每次激活是要能够处理多个数据包的。
图2-3 从NIC到应用程序的路径
1.2.2 数据包捕获驱动
数据包捕获组件通常对其它的软件模块(如协议栈)是透明的,并不对标准的系统行为带来影响。它们仅仅在系统中插入一个钩子——通常使用一个回调函数tap()——只要一个新的数据包从网络上到来,它们就能够被告知。tap()函数所作的第一步就是对数据包执行过滤。在Win32平台下数据包捕获组件通常作为一个网络协议驱动程序被实现。
1.2.3 用户层的接口支持
必须导出一个接口,使得用户层应用程序可使用数据包捕获组件所提供的功能,一般通过给用户提供易于使用的库来实现。WinPcap提供packet.dll与wpcap.dll两个库,这些库使得应用程序对数据包捕获功能的使用能独立于底层网络硬件与操作系统。
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)
