dangquangminh
23-08-2007, 05:09 PM
Trong rất nhiều phần mềm ứng dụng mạng, các bạn hay gặp phần mềm WinPCap, đặc biệt trong quá trình cài đặt Dynamips/Dynagen. Bài viết dưới đây của Lệ Quyền sẽ cho ta một cái nhìn chi tiết về phần mềm WinPCap này.
----------------------------
1. Giới thiệu về Winpcap
Định nghĩa:
Winpcap là một thư viện mã nguồn mở cho việc bắt gói (captrure paket) và phân tích mạng, trên nền tảng (platform) win32. Winpcap hổ trợ những chức năng sau:
• Thu thập những gói dữ liệu thô, một là ngay trên chính máy đang chạy truyền dữ liệu đi và một là sự trao đôi bởi những máy khác trên môi trường chia sẻ.
• Lọc gói dữ liệu theo những luật của người dùng trước khi chúng được truyền tới ứng dụng
• Truyền những gói dữ liệu thô tới mạng
• Thu thập thông tin thống kê lưu lượng mạng
Một tập các tính năng này được được cung cấp, khi mà bạn cài đặc nó như là một trình điều khiển thiết bị (device driver), và nó được cài đặt bên trong phần hoạt động mạng của phần nhân win32 (win32 kernel) cùng với một cặp thư viện động DLL.
Loại chương trình sử dụng winpcap
Những chương trình mà dựa trên winpcap:
• Bộ máy phân tích mạng và giao thức
• Giám sát mạng
• Traffic logger
• Traffic generator
• user-level bridges and routers
• Hệ thống phát hiện xâm nhập mạng NIDS
• Network scanner
• Công cụ bảo mật
Cấu trúc của wincap
http://www.wimaxpro.org/Hinh_upload/hinh_blog/WINPCAP.JPG
Nó bao gồm ba thành phần chính: bộ lọc gói mức kernel, một thư viên packet.dll mức thấp, và một thư viện độc lập với hệ thống wpcap.dll mức cao.
Packet.dll:
cung cấp một API mức thấp (application program interface) truy xuất trực tiếp tới trình điểu khiển, độc lập với hệ điều hành microsoft. Sẽ cung cấp các chức năng sau:
• Cài đặt, khởi tạo và dừng trình điều khiển NPF (NPF device driver)
• Nhận gói từ trình điều khiển NPF
• Gởi gói đến trình điều khiển NPF
• Thu được một danh sách các card mạng
• Lấy lại thông tin khác nhau về mạng: miêu tả, danh sách địa chỉ, netmask
• Truy vấn và thiết lập các thông số cho một card điều hợp
Source code packet.dll. (nằm trong thư mục packet)
Wpcap:
cung cấp một tập các chức năng bắt gói mức cao mà nó tương thích với libpcap (dùng trên linux), mà nó hoạt động độc lập với phần cứng mạng và hệ điều hành. Source wpcap.dll (nằm trong thư mục wincap)
NPF (netgroup packet filter) device driver: mã nguồn nằm trong thư mục driver dành cho hệ điều hành NT
Hoạt động quan trọng nhất của NPF là capture gói. Bộ điều khiển phát hiện gói trên NIC và phần phối chúng nguyên vẹn đến ứng dụng người dùng.
----------------------------
1. Giới thiệu về Winpcap
Định nghĩa:
Winpcap là một thư viện mã nguồn mở cho việc bắt gói (captrure paket) và phân tích mạng, trên nền tảng (platform) win32. Winpcap hổ trợ những chức năng sau:
• Thu thập những gói dữ liệu thô, một là ngay trên chính máy đang chạy truyền dữ liệu đi và một là sự trao đôi bởi những máy khác trên môi trường chia sẻ.
• Lọc gói dữ liệu theo những luật của người dùng trước khi chúng được truyền tới ứng dụng
• Truyền những gói dữ liệu thô tới mạng
• Thu thập thông tin thống kê lưu lượng mạng
Một tập các tính năng này được được cung cấp, khi mà bạn cài đặc nó như là một trình điều khiển thiết bị (device driver), và nó được cài đặt bên trong phần hoạt động mạng của phần nhân win32 (win32 kernel) cùng với một cặp thư viện động DLL.
Loại chương trình sử dụng winpcap
Những chương trình mà dựa trên winpcap:
• Bộ máy phân tích mạng và giao thức
• Giám sát mạng
• Traffic logger
• Traffic generator
• user-level bridges and routers
• Hệ thống phát hiện xâm nhập mạng NIDS
• Network scanner
• Công cụ bảo mật
Cấu trúc của wincap
http://www.wimaxpro.org/Hinh_upload/hinh_blog/WINPCAP.JPG
Nó bao gồm ba thành phần chính: bộ lọc gói mức kernel, một thư viên packet.dll mức thấp, và một thư viện độc lập với hệ thống wpcap.dll mức cao.
Packet.dll:
cung cấp một API mức thấp (application program interface) truy xuất trực tiếp tới trình điểu khiển, độc lập với hệ điều hành microsoft. Sẽ cung cấp các chức năng sau:
• Cài đặt, khởi tạo và dừng trình điều khiển NPF (NPF device driver)
• Nhận gói từ trình điều khiển NPF
• Gởi gói đến trình điều khiển NPF
• Thu được một danh sách các card mạng
• Lấy lại thông tin khác nhau về mạng: miêu tả, danh sách địa chỉ, netmask
• Truy vấn và thiết lập các thông số cho một card điều hợp
Source code packet.dll. (nằm trong thư mục packet)
Wpcap:
cung cấp một tập các chức năng bắt gói mức cao mà nó tương thích với libpcap (dùng trên linux), mà nó hoạt động độc lập với phần cứng mạng và hệ điều hành. Source wpcap.dll (nằm trong thư mục wincap)
NPF (netgroup packet filter) device driver: mã nguồn nằm trong thư mục driver dành cho hệ điều hành NT
Hoạt động quan trọng nhất của NPF là capture gói. Bộ điều khiển phát hiện gói trên NIC và phần phối chúng nguyên vẹn đến ứng dụng người dùng.