ACKET-TYPE-DIRECTED：只有直接到主机网卡的包才会被接受；
•NDIS-PACKET-TYPE-BROADCAST：只接受广播包；
•NDIS-PACKET-TYPE-MULTICAST：只接受到主机所在的组的多播包；
•NDIS-PACKET-TYPE-ALL-MULTICAS：接受每个多播的包。
     // set the network adapter in promiscuous mode
   // 如果混杂模式设置失败，提示错误：
     if(PacketSetHwFilter(lpAdapter,NDIS_PACKET_TYPE_PROMISCUOUS)==FALSE){
                 printf("Warning: unable to set promiscuous mode!/n");
     }
    然后在driver中置512K的缓冲：
    这里用到函数PacketSetBuff（LPADAPTER AdapterObject，int dim），它被用于设置AdapterObject指向的网卡的驱动程序的缓冲区，成功则返回TRUE。Dim是新的缓冲区的大小，当它被设定时，旧缓冲区中的数据将被丢弃，其中存储的包也会失去。
    需要注意的地方：驱动器缓冲区的大小设置是否恰当，将影响截包进程的性能，设置应能保证运行快且不会丢包。这里设置的是512000Byte。
     // set a 512K buffer in the driver
   // 当无法设置缓冲区时，提示错误：
     if(PacketSetBuff(lpAdapter,512000)==FALSE){
                 printf("Unable to set the kernel buffer!/n");
                 return -1;
     }
PacketSetReadTimeout（LPADAPTER AdapterObject，int timeout）函数的功能是，设置与AdapterObject指定网卡绑定的读操作超时的值，timeout以毫秒为单位，0表示没有超时，当没有包到时，read就不返回。
// set a 1 second read timeout
   // 设置1秒的读取操作超时
     if(PacketSetReadTimeout(lpAdapter,1000)==FALSE){
                 printf("Warning: unable to set the read tiemout!/n");
     }
  接下来，定位设备，代码如下：
    这里用到函数PacketAllocatePacket（Void）将在内存中分配一个PACKET结构并返回一个指向它的指针，但这个结构的Buffer字段还没有设定，所以应再调用PacketInitPacket函数来对其进行初始化。
     //allocate and initialize a packet structure that will be used to
     //receive the packets.
   // 当定位失败时，提示错误：
     if((lpPacket = PacketAllocatePacket())==NULL){
           printf("/nError: failed to allocate the LPPACKET structure.");
           return (-1);
     }
    然后，就可以初始化设备，开始接受网络包了：
用函数PacketInitPacket（LPPACKET lpPacket，PVOID Buffer，UINT Length）来初始化PACKET结构。lpPacket是要被初始化的指针；Buffer为指向用户分配的包含包的数据的缓冲区的指针；Length为缓冲区长度。
需要注意的地方：PACKET结构关联的缓冲区存储由packet capture driver 截获的包，包的数量被缓冲区大小所限制，最大缓冲区的大小就是应用程序从驱动器中一次能读到的数据的多少。所以设置大的缓冲区可减少系统调用的次数，提高截获效率。这里设置的是256K。
     PacketInitPacket(lpPacket,(char*)buffer,256000);
     接下来，是截包主循环：
     //main capture loop
    这里又用到函数PacketReceivePacket（LPADAPTER AdapterObject，LPPACKET lpPacket，BOOLEAN Sync），它将接受（截获）一个包的集合。参数包括一个指向用来指定截包的网卡的ADAPTER结构指针、一个指向用来容纳包的PACKET结构、一个指出是同步还是异步方式操作的标记。当操作同步时，函数锁定程序；当操作异步时，函数不锁定程序，必须调用PacketWaitPacket过程来检查是否正确完成。一般采用同步模式。
   // 直到有键盘键入：
     while(!kbhit())
     {
         // capture the packets  捕获包
       // 捕获包失败时，提示错误：
           if(PacketReceivePacket(lpAdapter,lpPacket,TRUE)==FALSE){
                 printf("Error: PacketReceivePacket failed");
                 return (-1);
           }
      // 打印包中的数据，调用自定义函数PrintPackets（）
           PrintPackets(lpPacket);
     }
   最后将得到的统计数据打印出来，代码如下：
    这里用到函数PacketGetStats（LPADAPTER AdapterObject，struct bpf_star*s）可以得到两个驱动程序的内部变量的值：从调用PacketOpenAdapter开始，已经被指定网卡接收的包数目；以及已经被网卡接收但被内核丢弃的包数目。这两个值被驱动程序拷贝到应用提供的bpf_stat结构中。
     //print the capture statistics
   // 得到统计值
   // 当无法从内核读取状态时，提示错误：
     if(PacketGetStats(lpAdapter,&stat)==FALSE){
                 printf("Warning: unable to get stats from the kernel!/n");
     }
   // 打印“XX包被截取；XX包被丢弃”：
     else
           printf("/n/n%d packets received./n%d Packets lost",stat.bs_recv,stat.bs_drop);
  这里用函数PacketFreePacket(LPPACKET lpPacket)来释放由lpPacket指向的结构：
   // 释放空间
     PacketFreePacket(lpPacket);
      用函数PacketCloseAdapter(LPADAPTER lpAdapter)来释放ADAPTER结构lpAdapter，并关闭网卡指针：
     // close the adapter and exit
   // 关闭设备退出
     PacketCloseAdapter(lpAdapter);
     return (0);
} // 主程序结束
其中用来打印数据报的自定义的函数PrintPackets（）的代码在这里就不详细说明了。
3结束语
通过对网络嗅探器的编写，目的使大家知道网络管理的重要性，时刻注意网络信息安全问题，做好信息的加密和解密工作。

参 考 文 献
【1】王腾蛟等，《新概念Visual C＋＋ 6.0 教程》，北京科海集团公司，2001
【2】王宝智等，《全新计算机网络教程》，北京希望电子出版社，2001
【3】单征等，《网络黑洞攻击与防范指南》，中国电力出版社，2002
【4】程秉恢等，《黑客任务实战》，北京希望电子出版社，2002
【5】王力等，《病毒武器与网络战争》，军事谊文出版社，2001
【6】卢昱等，《网络安全技术》，中国物质出版社，2001

上一页  [1] [2]