ITPub博客

首页 > IT基础架构 > 网络安全 > 监听以太网(三) Packet32数据结构说明 (转)

监听以太网(三) Packet32数据结构说明 (转)

原创 网络安全 作者:worldblog 时间:2007-12-12 10:49:03 0 删除 编辑
监听以太网(三) Packet32数据结构说明 (转)[@more@]

监听以太网(三) Packet32数据结构说明XML:namespace prefix = o ns = "urn:schemas-microsoft-com:Office:office" />

Article last modified on 2002-9-17

The information in this article applies to:

--Microsoft Windwos NTx

--- Microsoft Windwos 9x

--WinPcap: the Free Packet Capture Architecture for windows

 

 Packet32包中的数据结构:

第一个重要的数据结构:_ADAPTER(关.NETwork Adapter的)

typedef struct _ADAPTER 

{

   // 一个打开的NPF driver实例的句柄:

  HANDLE hFile; 

   // 当前打开的网卡的名字:

  CHAR  SymbolicLink[MAX_LINK_NAME_LENGTH];

   // 在这块Adapter上,一个数据包被写的次数:

  int NumWrites;

// 这块Adapter上的read操作的通知事件。它可以被传递给标准win32函数(如WaitForSingleobject或者WaitForMultipleObjects),这样可以等待到driver的缓冲区内有数据到来。在同时等待几个事件的GUI程序中,它特别有用。在Windows2000/XP中,函数PacketSetMinToCopy()可以用来设置内核缓冲区中激发本事件的最小数据大小:

  HANDLE ReadEvent;

  // 设置一个时间,到时候,即使没有捕获任何包,read操作也会被释放,ReadEvent也会被触发:

  UINT ReadTimeOut;

}  ADAPTER, *LPADAPTER;

 

第二个重要的数据结构:_PACKET(关于Packet的)

typedef struct _PACKET

{

   // 向后兼容用的:

  HANDLE  hEvent;

   // 向后兼容用的:

  OVERLAPPED  OverLapped;

   // 存放Packets的缓冲区:

  PVOID  Buffer;

// 缓冲区的大小:

  UINT  Length;

  // 当前缓冲区中有效的字节数,如,上一次调用PacketReceivePacket()函数接收到的字节数:

  Dword  ulBytesReceived;

   // 向后兼容用的:

  BOOLEAN  bIoComplete

}  PACKET, *LPPACKET;

第三个重要的数据结构:_PACKET_OID_DATA (关于OID请求的)

typedef struct _PACKET_OID_DATA

{

   // OID的code,有效的OID code的定义参见ntddndis.h;比如:

// OID_GEN_SUPPORTED_LIST,OID_GEN_VENDOR_DESCRIPTION等:

  ULONG Oid;

   // 成员Data的长度:

  ULONG Length;

   // 存放发送给网卡或者从网卡接收的数据的缓冲区:

  UCHAR Data[1];

}

typedef struct _PACKET_OID_DATA  PACKET_OID_DATA, *PPACKET_OID_DATA;

其他数据结构:

npf_if_addr(网卡的地址):

typedef struct npf_if_addr {

  struct sockaddr IPAddress;    //  ip address.

  struct sockaddr SubnetMask;  //  Netmask for that address.

  struct sockaddr Broadcast;    //  Broadcast address.

}npf_if_addr;

 

bpf_hdr(Packet Header):

struct bpf_hdr {

   // 捕获到的packet的timestamp:

  struct timeval  bh_tstamp;

  // 捕获到的packet的长度:

  UINT  bh_caplen;

  // 原始packet的长度:

  UINT  bh_datalen;

  // bpf header的长度(this struct plus alignment padding):

  USHORT  bh_hdrlen;

};

 

bpf_insn(一个简单的BPF伪指令):

bpf_insn中包含了一个BPF注册机的简单指令,它被用来发送一个filter程序给driver。

struct bpf_insn {

  // 指令的类型和寻址模式:

  USHORT  code;

  // Jump if true:

  UCHAR jt;

  // Jump if false:

  UCHAR jf;

// 通用的一个字段,有多种目的:

  int k;

};

 

bpf_program(一个BPF伪汇编程序):

这段程序将被PacketSetBPF()注射入内核,并被应用到每一个进来的Packet。

struct bpf_program {

  // 程序指令数目,如,后面的bpf_insn结构的数目:

  UINT bf_len;

  // 指向第一个bpf_insn结构的指针:

  struct bpf_insn *bf_insns;

};

 

bpf_stat (本次捕获的统计数据):

这个结构将被Packet.dll用来返回捕获过程中的统计数据。

struct bpf_stat {

  // 从开始捕获起,这个driver从网卡上接收的Packet的数量(包括driver丢失的Packet):

  UINT bs_recv;

  //从开始捕获起,这个driver丢失的Packet的数量,一般地,包丢失,是因为driver的缓冲区满了,这时driver将扔掉这个包:

  UINT bs_drop;

  UINT ps_ifdrop;

  // 通过filter的包的数量:

UINT bs_capt;

};

 

dump_bpf_hdr(Dump Packet Header):

struct dump_bpf_hdr{

  // Packet的timestamp:

  struct timeval  ts;

  // 捕获到的packet的长度:

  UINT  caplen;

  // 原始Packet的长度:

  UINT  len;

};

 

NetType (网络类型):

NetType用于PacketGetNetType(),返回当前网卡的类型和速度。

struct NetType{

  //当前网卡的MAC:

  UINT LinkType;

  // 网络的速度(bits/s):

  UINT LinkSpeed;

};

 

(To be continued)

Writen by Mailto:zhengyun@tomosoft.com">zhengyun@tomosoft.com

 

本文档所包含的信息代表了在发布之日,ZhengYun 对所讨论问题的当前看法,Zhengyun 不保证所给信息在发布之日以后的准确性。

本文档仅供参考。对本文档中的信息,Zhengyun 不做任何明示或默示的保证。


来自 “ ITPUB博客 ” ,链接:http://blog.itpub.net/10752043/viewspace-991783/,如需转载,请注明出处,否则将追究法律责任。

请登录后发表评论 登录
全部评论
  • 博文量
    6241
  • 访问量
    2405672