WINPCAP 정보
Winpcap 을 개발하는 목적은 win32 응용 프로그램에 기본 네트워크에 액세스할 수 있는 기능을 제공하는 것입니다. 다음과 같은 기능을 제공합니다.
1> 호스트가 전송/수신한 데이터그램 및 * * * 공유 네트워크의 호스트 간에 교환된 데이터그램을 포함한 원본 데이터그램을 캡처합니다.
2> 는 데이터 그램을 응용 프로그램에 보내기 전에 사용자 정의 규칙에 따라 일부 특수 데이터 그램을 필터링합니다.
3> 는 인터넷에서 원본 데이터그램을 보냅니다.
4> 는 네트워크 통신 중 통계를 수집합니다.
Winpcap 의 주요 기능은 TCP/IP 와 같은 호스트 프로토콜과는 별도로 원본 데이터그램을 송수신하는 것입니다. 즉, winpcap 은 다른 애플리케이션의 데이터그램 전송 및 수신을 차단, 필터링 또는 제어할 수 없습니다. 그것은 단지 인터넷에서 전송된 데이터그램을 감청할 뿐이다. 따라서 QoS 스케줄러나 개인 방화벽에는 사용할 수 없습니다. 현재 winpcap 개발의 주요 대상은 windows NT/2000/XP 입니다. 주로 winpcap 을 사용하는 사용자의 소수만이 windows 95/98/Me 만 사용하고 Microsoft 는 win9x 개발을 포기했기 때문입니다. 따라서 이 문서의 관련 프로그램인 T-ARP 도 NT/2000/XP 사용자를 위한 것입니다. 실제로 winpcap 의 9x 시스템 지향 개념은 NT 시스템과 비슷하지만 일부 구현에서는 차이가 있습니다. 예를 들어 9x 는 ANSI 인코딩만 지원하고 NT 시스템은 유니코드 인코딩 사용을 장려합니다. 스니퍼 프로 (sniffer pro) 라는 소프트웨어가 있는데, 네트워크 관리 소프트웨어로 사용할 수 있습니다. 그것은 많은 기능을 가지고 있다. 네트워크 작동 모니터링, 네트워크 내 각 시스템의 데이터 흐름, 각 시스템에서 액세스하는 IP 와 그 사이의 데이터 흐름을 실시간으로 반영하고, 패킷을 캡처하며, POP3 패킷, SMTP 패킷, FTP 패킷 등 필요한 패킷만 캡처하도록 필터를 설정합니다. 을 클릭하고 e-메일 사용자 이름과 암호를 찾습니다. Ftp 사용자 이름과 암호도 있습니다. 스위치를 사용하여 네트워크에서 모니터링할 수도 있지만 소프트웨어를 설치해야 합니다. Password 스니퍼 (Passwordsniffer) 라는 간단한 모니터링 소프트웨어도 있는데, 이 소프트웨어는 메일 사용자 이름과 비밀번호를 차단하거나 FTP 사용자 이름과 비밀번호를 차단할 수 있습니다. 허브 네트워크에서만 사용할 수 있습니다. 유명한 소프트웨어인 tcpdump 와 IDSnort 는 모두 libpcap 를 기반으로 작성되었으며, Nmap 스캐너도 libpcap 를 기반으로 타겟 호스트에서 반환된 패킷을 캡처합니다.
WinPcap 은 32 비트 운영 플랫폼에서 네트워크 패킷을 분석하는 데 사용할 수 있는 네트워크 패킷을 캡처하는 도구 세트입니다. 여기에는 코어 패킷 필터링, 기본 동적 링크 라이브러리, 상위 계층 시스템 라이브러리 및 직접 액세스 패키지용 애플리케이션 인터페이스가 포함됩니다.
Winpcap 은 자유롭고 개방적인 소프트웨어 시스템입니다. Windows 시스템에서 직접 네트워크 프로그래밍에 사용됩니다.
대부분의 네트워크 응용 프로그램은 널리 사용되는 소켓을 통해 네트워크에 액세스합니다. 이 방법은 운영 체제가 스택, 데이터 흐름 조립과 같은 기본 세부 사항을 담당하기 때문에 네트워크 데이터 전송을 쉽게 수행할 수 있습니다. ) 또한 파일 읽기 및 쓰기와 유사한 기능 인터페이스를 제공합니다.
하지만 때로는 간단한 방법으로는 충분하지 않습니다. 일부 응용 프로그램은 네트워크 통신을 직접 조작하기 위해 기본 환경이 필요하기 때문입니다. 따라서 스택 지원 없이 네트워크에 액세스하는 원래 방법이 필요합니다.
Winpcap 은 다음 개발자를 위한 것입니다.
1. 원본 패킷을 캡처합니다. 이 패킷이 로컬 시스템으로 전송되든 다른 시스템으로 전송되든 간에 패킷을 교환합니다.
2. 패킷이 응용 프로그램으로 전송되기 전에 사용자 정의 규칙에 따라 필터링됩니다.
3. 원래 패킷을 네트워크로 보냅니다.
4. 통계 네트워크 트래픽.
이러한 함수는 Win32 시스템 커널의 장치 드라이버와 일부 동적 링크 라이브러리에 따라 달라집니다.
Winpcap 은 다양한 운영 체제 간에 쉽게 이식할 수 있는 강력한 프로그래밍 인터페이스를 제공하며 프로그래머도 쉽게 개발할 수 있습니다.
어떤 프로그램에 Winpcap 이 필요합니까?
다양한 도구와 소프트웨어가 네트워크 분석, 문제 해결, 네트워크 보안 모니터링 등에 Winpcap 을 사용합니다. Winpcap 은 특히 다음과 같은 고전 분야에 적합합니다.
1, 네트워크 및 프로토콜 분석
2. 네트워크 모니터링
3, 통신 로깅
4, 트래픽 생성자
5. 사용자 수준 브리지 및 라우팅
네트워크 침입 탐지 시스템 (NIDS)
7. 네트워크 검사
8. 보안 도구
Winpcap 은 어떤 일을 할 수 없다. 호스트의 TCP/IP 프로토콜에 의존하지 않고 패킷을 보내고 받습니다. 즉, 동일한 호스트의 프로그램 간 통신 데이터를 차단하거나 처리할 수 없습니다. 물리적 회선의 데이터그램만 "후각" 할 수 있습니다. 따라서 트래픽 셰이퍼, QoS 일정 및 개인 방화벽에는 적용되지 않습니다.
Winpcap 내부 구조
Winpcap 은 Win32 플랫폼 아래의 패킷 캡처 및 분석 시스템입니다. 커널 수준 패킷 필터, 기본 DLL(packet.dll) 및 고급 시스템 독립적 DLL (Wpcap.dll) 을 포함합니다.
1, 캡처 시스템은 네트워크에서 원래 전송된 데이터를 얻기 위해 스택을 우회해야 합니다. 이를 위해서는 운영 체제 커널에서 모듈을 실행하여 네트워크 장치 드라이버 인터페이스를 직접 처리해야 합니다. 이 부분은 시스템에 크게 의존하며 장치 구동으로도 간주됩니다. 기존 버전은 Windows 85, 98, ME, NT 4, 2000, Xp 입니다. 이러한 드라이버는 패킷 캡처 및 전송과 같은 몇 가지 기본 기능을 제공하며 고급 프로그래밍 가능한 필터링 시스템 및 모니터링 엔진을 제공합니다. 필터링 시스템은 특정 패킷 캡처를 제한할 수 있습니다 (예: 특정 호스트에서 보낸 FTP 메시지만 캡처). 모니터링 엔진은 네트워크 통신에 대한 통계 로드 데이터를 얻기 위한 강력하고 간단한 메커니즘을 제공합니다.
2. 캡처 시스템에는 사용자 프로그램이 커널에서 제공하는 기능을 사용할 수 있는 프로그래밍 인터페이스가 있어야 합니다. Winpcap 은 packet.dll 과 wpcap.dll 이라는 두 가지 다른 라이브러리를 제공합니다.
Packet.dll 은 Microsoft 운영 체제와 상관없이 네트워크 장치 드라이버에 직접 액세스할 수 있는 저수준 API 를 제공합니다.
Wpcap.dll 은 Unix 에서 libpcap 과 호환되는 고급 강력한 캡처 라이브러리입니다. 기본 네트워크 하드웨어 및 운영 체제와 독립적입니다.