千里之行, 始于足下

摘要: WinPcap是在libpcap的基础之上开发的函数库。它是Windows平台下一个免费，公共的网路访问系统。开发WinPcap这个项目的目的在于为Win32应用程序提供访问网络底层的能力。著名软件tcpdump及snort都是基于libpcap编写的，而像WireShark则是利用WinPcap来获取网络数据包的，可见这套函数库还是很有价值的。阅读全文

摘要: 生命应该是一种享受的过程，而不是乏味的研究和推理。大多数人不会思考周围事物的哲学意义，我们更关心的是结果。对大多数人来说，懵懂无知是一种生活方式。这是今天理性主义和经验主义结合在一起的结果，它无处不在。阅读全文

摘要: 我是一个在校的大学生，现在已经大三了。这个很多人在忙着考研、找实习单位抑或是备战GRE的学期，我仍然是一副失落迷茫的模样，停在原地不知道该怎么走下去。今天刚参加完一个公司的笔试，结束后只是感觉笔试题很水，自己也很水，各种要记忆的东西blablabla~~~阅读全文

摘要: 今天我们来看看一个小例子，利用前面所学到的WinPcap编程知识来实现一个简单的还原HTTP协议的程序。相信大家对于HTTP协议一定不会陌生，我这里只简单地说一下它的报文格式，即HTTP报文有两种：请求报文和响应报文。为了让大家对于这两种报文有更直观的认识，给大家看两个简单的例子阅读全文

摘要: WinPcap编程实质上就是对各种函数的熟悉和调用，因此本节对前面稍微做一下小结，对所用到的函数及数据类型进行归纳和总结，一是为了回顾所掌握的知识，二是加深印象，便于后面更好地学习。阅读全文

摘要: WinPcap是在libpcap的基础之上开发的函数库。它是Windows平台下一个免费，公共的网路访问系统。开发WinPcap这个项目的目的在于为Win32应用程序提供访问网络底层的能力。著名软件tcpdump及snort都是基于libpcap编写的，而像WireShark则是利用WinPcap来获取网络数据包的，可见这套函数库还是很有价值的。阅读全文

摘要: 这一节要讲述WinPcap中另外一个高级特性：收集并统计网络流量。统计引擎利用了内核级的数据包过滤器，来有效地为收集到的数据包进行分类。为了使用这个特性，编程人员必须打开一个适配器并将其设置成统计模式。在WinPcap中可以利用pcap_setmode()来达到目的。需要注意的是，必须使用MODE_STAT来作为这个函数的mode参数。在统计模式下，编写一个用于监听TCP网络流量的程序并不复杂，代码也不多。阅读全文

摘要: 提起发送数据包大家可能会想到使用SOCKET编程来实现，但其实WinPcap也提供了发送数据包的API，尽管从名字上来看它应该是用来数据捕捉的。值得注意的是，libpcap不支持发送数据包的功能，因此下面提到的函数都是WinPcap的扩展，在UNIX平台下是不支持的。下面这个实例程序正是利用了WinPcap中的pcap_sendpacket()来发送单个数据包。阅读全文

摘要: 接着上一节“处理脱机dump文件(上)”，继续讲解如何处理脱机dump文件。上一节分别给出了一个写和读dump文件的小程序，这一节从其他的方式来分别实现这两个功能。阅读全文

摘要: 如题所示，今天要讲解处理脱机dump文件(Handling offline files)。dump文件大家一定不会太陌生，其实就是进程的内存镜像。dump很大程度上是一个计算机术语，你应该会在跟备份有关的领域里听到这个词。而对于WinPcap的dump文件来说，其实就是将捕获到的所有网络数据包的信息存储到文件当中。事实上这是相当有意义的一件事情，用过捕包软件的同志，比如WireShark，将捕获到的信息保存至文件，还可以将文件中的信息载入到分析软件中，这样可以方便多次地查看和分析。WinPcap正是提供了相关的API来让开发者方便做这些事情，导出的格式也是和libpcap保持一致的，保持高度的移植性。阅读全文

摘要: 前面都是讲解如何获取适配器信息以及捕获数据包，从这一节开始讲一下WinPcap中更强大的一些特性。本节主要讲一下如何利用WinPcap来过滤数据包。在WinPcap中用来过滤数据包的函数有两个，pcap_compile()和pcap_setfilter()。pcap_compile()的原理是将高层的布尔过滤表达式编译成能够被过滤引擎所解释的低层的字节码，关于布尔过滤表达式的语法会在后续的章节里进行说明。pcap_setfilter()的原理是将一个过滤器与内核捕获会话相关联，当pcap_setfilter()被调用时，过滤器会应用到来自网络的所有数据包，符合要求的所有数据包都将会被立刻复制给应用程序。阅读全文