winpcap抓包问题

crescdo 2006-10-05 10:29:47
用winpcap抓包时,怎样解析ip数据包的协议号和tcp的seq、ack??
winpcap例程里只解析到源地址、目标地址、端口号和长度,再继续自己写就不会了……
...全文
339 6 打赏 收藏 转发到动态 举报
写回复
用AI写文章
6 条回复
切换为时间正序
请发表友善的回复…
发表回复
surefire 2007-01-21
  • 打赏
  • 举报
 回复
先去把TCP/IP协议这个资料找到,然后去查IP、TCP、UDP、HTTP等等协议的封装格式,知道协议格式了就什么都好做了,WinPcap抓的都是以太网数据包,相当于一个字节数组,一个字节一个字节去解就是了
kevin_darkelf 2006-10-08
  • 打赏
  • 举报
 回复
// 定义TCP报头
typedef struct _TCPHEADER
{
WORD SourPort; // Source Port
WORD DestPort; // Destination Port
DWORD SeqNo; // Sequence Number
DWORD AckNo; // ACK Number
BYTE Off_Resv; // Offset and Reserved : 8bit
BYTE Flag; // Flag : 8bit
WORD WndSize; // the size of window : 16bit
WORD ChkSum; // CheckSum : 16bit
WORD UrgPtr; // Urgency Pointer : 16bit
}TCPHEADER;

// handle the TCP packet
BOOL CwPktCap::tcp_packet_handler(PACKET &packet, BUFFER buffer,unsigned char *data)
{
// Function : Handle tcp packet
//--- 定义指几TCP包的指针 -----------------------------------------------------
TCPHEADER *tcp_header; // tcp header pointer
//-----------------------------------------------------------------------------
BOOL res;
//-------- 指向TCP数据报文的起始位置,这点很重要 --------------
tcp_header = (TCPHEADER *)data; // 14: ethernet header length; 20 IP
header length
//------- 获取TCP包中所需字段的值 ------------------------
// Retrive the source port
packet.m_wSocPort = ntohs(tcp_header->SourPort);
// Retrive the destination port
packet.m_wDstPort = ntohs(tcp_header->DestPort);
// 其它的字段都用 tcp_header->XXX 来获取, 就不一一再写了
// 注意有些字段值需要由网络顺序转为主机顺序才是我们平时
// 看到的形式
// // according to the port distinguish the application
res = PktApplication(packet,packet.m_wDstPort);
if (res == FALSE)
res = PktApplication(packet,packet.m_wSocPort);
// Retrive the length of user's data
packet.m_nDataLength = packet.m_uLength - (tcp_header->Off_Resv >> 4) * 4;

if (packet.m_sApplication == "UNKOWN")
return TRUE;
return res;

}
crescdo 2006-10-08
  • 打赏
  • 举报
 回复
我就是不知道怎么偏移啊
例程里面找udp端口是这样的:

// 找到UDP的位置
ip_len = (ih->ver_ihl & 0xf) * 4;
uh = (udp_header *) ((u_char*)ih + ip_len);
//将端口信息从网络型转变为主机顺序
sport = ntohs( uh->sport );
dport = ntohs( uh->dport );

不懂…………
nuaawenlin 2006-10-08
  • 打赏
  • 举报
 回复
tcp/ip详解

你可以将捕获的数据,偏宜一定的位置,就可以找到所需要的field
crescdo 2006-10-06
  • 打赏
  • 举报
 回复
追加30分!!
crescdo 2006-10-05
  • 打赏
  • 举报
 回复
help!
Wireshark抓包失败?Npcap兼容性问题终极解决方案:切换WinPcap
本文针对Wireshark在Windows系统中因Npcap驱动兼容性问题(如错误0x8007007e)导致抓包失败的场景,提出以WinPcap替代Npcap的完整解决方案。内容涵盖NpcapWinPcap的技术差异、彻底卸载残留驱动、WinPcap 4.1.3安装配置、Wireshark驱动绑定验证,以及环回抓包缺失的应对策略(如RawCap)。重点聚焦底层网络驱动适配、权限配置、服务状态检查等关键技术环节,适用于网络分析、安全测试与开发调试等信息技术实践。
winpcap php,利用WinpCap 编写抓包程序
本文指导如何解决Winpcap编译时的缺失文件问题,并通过实例演示如何枚举网卡、打开设备并捕获网络数据包,包括CUI抓包源码分享和GUI应用开发。
WinPcap到NPCAP:Wireshark抓包驱动演变史及常见问题排查
本文详述Windows平台包捕获驱动从WinPcap到NPCAP的技术演进,涵盖NDIS架构升级、零拷贝优化、服务化设计等核心改进;深入解析驱动加载失败的典型现象链,包括权限限制、WinPcap残留、Hyper-V冲突及防火墙拦截等问题;并介绍内核级调试(如注册表调试开关、WinDbg分析)、性能调优参数及API迁移要点,重点突出NPCAP在现代Wireshark网络诊断中的关键技术地位。
Wireshark安装遇0x8007007e错误?WinPcap替代方案快速解决网络抓包问题
本文针对Wireshark在Windows安装时出现的0x8007007e错误(找不到指定模块),提出以WinPcap替代Npcap的实操方案。详细阐述了环境清理、WinPcap与Wireshark分步安装、抓包引擎配置及功能验证流程,并对比分析WinPcap与Npcap在驱动模型、环回抓包支持、兼容性等方面的差异,强调该方案在系统环境不纯净或Npcap安装失败场景下的高成功率与快速部署价值。
Windows8安装winpcap问题
Wireshark是最常用的网络抓包工具之一,依赖于Winpcap进行数据包捕获。本文介绍如何解决Winpcap4.1.2在Windows8上安装时遇到的兼容性问题,并提供了解决方案。
网络编程

18,356

社区成员

64,165

社区内容

发帖
与我相关
我的任务
社区描述
VC/MFC 网络编程
c++c语言开发语言 技术论坛(原bbs)
社区管理员
  • 网络编程
加入社区
  • 近7日
  • 近30日
  • 至今

加载中

查看更多榜单
社区公告
暂无公告

试试用AI创作助手写篇文章吧

+ 用AI写文章