像 Wireshark 这样的应用程序如何工作？

Question

我想知道wireshark 是如何工作的。可以监听给定机器所有端口上的流量的应用程序的设计是什么？这样的应用程序会产生什么样的窃听？编写一个监控流量的应用程序的好方法是什么？

谢谢

Answer 1

Wireshark 在 Unix 平台上利用 libpcap，在 Windows 上利用其端口 WinPcap。这个库提供了一个API来捕获数据包（Wireshark也能够捕获帧，但我在pcap文档中没有发现pcap能够做到这一点）。

库如何做到这一点是特定于平台的，这就是为什么一个好方法是使用库来为您完成繁重的工作； unix 上的 libpcap 或 tcpdump（取决于您需要的级别有多低）以及 Windows 上的 WinPcap 或 Windows 过滤平台。

文档：
http://www.tcpdump.org/pcap3_man.html
http://www.winpcap.org/docs/docs_412/html/main.html

Answer 2

一种方法是使用 Windows 过滤平台（适用于 Vista+ ，但 XP 中也可以实现类似的功能 - WFP 只是让事情变得更容易）。 WFP 允许您监听驱动程序中在数据包处理堆栈中的各个点调用代码的“调用”，以便您可以在数据移动时捕获、过滤甚至修改数据。