Acerca de WINPCAP
Winpcap fue desarrollado para proporcionar a las aplicaciones win32 la capacidad de acceder a la red subyacente. Proporciona la siguiente funcionalidad:
1 gt; captura datagramas sin procesar, incluidos los datagramas enviados/recibidos por un host y los datagramas intercambiados entre hosts en una red compartida;
2 gt los filtrará. algunos datagramas especiales basados en reglas personalizadas antes de enviar el datagrama a la aplicación;
3 gt envía el datagrama original en la red;
4 gt recopila estadísticas durante la comunicación de la red.
La función principal de winpcap es enviar y recibir datagramas sin procesar independientemente del protocolo del host (como TCP/IP). En otras palabras, winpcap no puede bloquear, filtrar ni controlar el envío y recepción de datagramas de otras aplicaciones. Simplemente escucha los datagramas transmitidos a través de Internet. Por lo tanto, no se puede utilizar con programadores de QoS ni cortafuegos personales. En la actualidad, el objetivo principal del desarrollo de winpcap es Windows NT/2000/XP, principalmente porque solo una pequeña parte de los usuarios que usan winpcap solo usan Windows 95/98/Me, y Microsoft ha abandonado el desarrollo de win9x. Por lo tanto, el programa relacionado T-ARP en este artículo también está dirigido a usuarios de NT/2000/XP. De hecho, el concepto de winpcap para sistemas 9x es muy similar al de los sistemas NT, pero existen diferencias en algunas implementaciones. Por ejemplo, 9x sólo admite la codificación ANSI, mientras que los sistemas NT recomiendan el uso de la codificación Unicode. Existe un software llamado sniffer pro, que se puede utilizar como software de gestión de red. Tiene muchas funciones. Puede monitorear el funcionamiento de la red, el flujo de datos de cada máquina en la red, reflejar la IP a la que accede cada máquina y el flujo de datos entre ellas en tiempo real, capturar paquetes de datos y establecer filtros para capturar solo los paquetes de datos requeridos, como Paquetes de datos POP3, paquetes de datos smtp, paquetes de datos ftp, etc. y busque allí el nombre de usuario y la contraseña del correo electrónico. Y nombre de usuario y contraseña ftp. También es posible monitorearlo en la red usando un conmutador, pero esto requiere instalar un software. También existe un software de monitoreo simple llamado Passwordsniffer, que puede interceptar nombres de usuario y contraseñas de correo electrónico, así como nombres de usuario y contraseñas de ftp. Sólo se puede utilizar en redes hub. Los famosos software tcpdump e IDSnort están escritos en base a libpcap, y el escáner Nmap también se basa en libpcap para capturar los paquetes de datos devueltos por el host de destino.
WinPcap es un conjunto de herramientas para capturar paquetes de datos de red y se puede utilizar para analizar paquetes de datos de red en plataformas operativas de 32 bits. Incluye filtrado de paquetes centrales, biblioteca de enlaces dinámicos subyacente, biblioteca de funciones del sistema de alto nivel e interfaz de programa de aplicación para acceso directo a los paquetes.
Winpcap es un sistema de software libre y abierto. Se utiliza para la programación directa de la red en sistemas Windows.
La mayoría de las aplicaciones de red acceden a la red a través de los sockets más utilizados. Este método es fácil de implementar para la transmisión de datos en red, porque el sistema operativo es responsable de los detalles subyacentes (como la pila de protocolos, el ensamblaje del flujo de datos, etc.) y proporciona una interfaz funcional similar a la lectura y escritura de archivos.
Pero a veces, el enfoque simple no es suficiente. Porque algunas aplicaciones requieren que el entorno subyacente manipule directamente las comunicaciones de la red. Por lo tanto, se necesita un método primitivo para acceder a la red sin soporte de pila de protocolos.
Winpcap está disponible para los siguientes desarrolladores:
1. Captura paquetes sin formato. Si este paquete se envía a la máquina local o si se intercambia un paquete entre otras máquinas.
2. Antes de enviar el paquete a la aplicación, se filtra según reglas definidas por el usuario.
3. Envía el paquete original a la red.
4. Estadísticas de tráfico de red.
Estas funciones dependen del controlador del dispositivo y de algunas bibliotecas de enlaces dinámicos en el kernel del sistema Win32.
Winpcap proporciona una poderosa interfaz de programación que se puede trasplantar fácilmente entre varios sistemas operativos y también es conveniente para que los programadores la desarrollen.
¿Qué tipo de programas necesitan utilizar Winpcap?
Muchas herramientas y software diferentes utilizan Winpcap para análisis de red, resolución de problemas, monitoreo de seguridad de red y más. Winpcap es particularmente adecuado para los siguientes campos clásicos:
1. Análisis de redes y protocolos
2 Monitoreo de redes
3.
4. Generador de tráfico
5. Puentes y enrutamiento a nivel de usuario
6. Sistema de detección de intrusiones en la red (NIDS)
7. /p> p>
8. Herramientas de seguridad
Winpcap no puede hacer algunas cosas. No depende del protocolo TCP/IP del host para enviar y recibir paquetes. Esto significa que no puede bloquear ni manejar datos de comunicación entre programas en el mismo host. Sólo puede "olfatear" datagramas en el cable físico. Por lo tanto, no funciona con modeladores de tráfico, programación de QoS ni firewalls personales.
Estructura interna de Winpcap
Winpcap es un sistema de captura y análisis de paquetes bajo la plataforma Win32. Incluyendo filtros de paquetes a nivel de kernel, DLL de bajo nivel (packet.dll) y DLL independiente del sistema de alto nivel (Wpcap.dll).
1. El sistema de captura debe omitir la pila de protocolos para obtener los datos de transmisión originales en la red. Esto requiere ejecutar un módulo en el kernel del sistema operativo que maneja directamente la interfaz del controlador del dispositivo de red. Esta parte depende en gran medida del sistema y también se considera un controlador de dispositivo. Las versiones existentes son Windows 85, 98, ME, NT 4, 2000 y Xp. Estos controladores proporcionan funciones básicas como capturar y enviar paquetes, así como algunos sistemas de filtrado y motores de monitoreo programables avanzados. El sistema de filtrado puede limitar la captura solo de paquetes específicos (por ejemplo, capturar solo mensajes FTP enviados por hosts específicos). Monitoring Engine proporciona un mecanismo potente pero sencillo para obtener datos estadísticos de carga sobre el tráfico de la red.
2. El sistema de captura debe tener una interfaz de programación para que los programas de usuario utilicen las funciones proporcionadas por el kernel. Winpcap proporciona dos bibliotecas diferentes: paquete.dll y wpcap.dll.
Packet.dll proporciona una API de bajo nivel a través de la cual se puede acceder directamente a los controladores de dispositivos de red independientemente del sistema operativo de Microsoft.
Wpcap.dll es una biblioteca de captura avanzada y potente, compatible con libpcap en Unix. Es independiente del hardware de red subyacente y del sistema operativo.