Cómo utilizar WinPcap
Winpcap es un sistema de software abierto y gratuito. Se utiliza para la programación de redes directamente en Windows.
La mayoría de las aplicaciones de red acceden a la red a través de los sockets más utilizados. Este enfoque facilita la transferencia de datos de red porque el sistema operativo maneja los detalles de bajo nivel (como pilas de protocolos, ensamblaje de flujo de datos, etc.) y proporciona una interfaz funcional similar a la lectura y escritura de archivos.
Pero a veces, el enfoque simple no es suficiente. Porque algunas aplicaciones requieren un entorno subyacente para manipular directamente el tráfico de la red. Por lo tanto, necesita un método primitivo para acceder a la red que no requiera soporte de pila.
winpcap es adecuado para:
1. Capturar paquetes sin procesar. No importa si los paquetes se envían a la computadora local o se intercambian entre otras computadoras.
2. Filtrar paquetes según reglas definidas por el usuario antes de enviarlos a la aplicación.
3. Envía el paquete de datos original a la red.
4. Estadísticas de tráfico de red.
Estas funciones se basan en controladores de dispositivos en el kernel del sistema Win32 y en algunas bibliotecas de enlaces dinámicos.
Winpcap proporciona una potente interfaz de programación que es fácil de transferir entre sistemas operativos y fácil de desarrollar para los programadores.
Qué programas necesitan usar Winpcap
Muchas herramientas diferentes usan Winpcap para análisis de red, resolución de problemas, monitoreo de seguridad de red, etc. Winpcap es especialmente adecuado para los siguientes campos clásicos:
1. Análisis de redes y protocolos
2. Monitoreo de redes
3. p> 4. Generador de tráfico
5. Puenteo y enrutamiento a nivel de usuario
6. Sistema de detección de intrusiones en la red (NIDS)
7. p>
8. Herramientas de seguridad
Hay algunos aspectos que Winpcap no puede hacer. No depende de protocolos de host (como TCP/IP) para enviar y recibir paquetes. Esto significa que no puede bloquear ni procesar datos de comunicación entre programas en el mismo host. Sólo puede "olfatear" datagramas en el cable físico. Por lo tanto, no funciona con modeladores de tráfico, programación de QoS ni firewalls personales.
Estructura interna de Winpcap
Winpcap es un sistema de captura y análisis de paquetes para la plataforma Win32. Incluye un filtro de paquetes a nivel de kernel, una DLL de bajo nivel (packet.dll) y una DLL de alto nivel independiente del sistema (Wpcap.dll)
1. El sistema de captura debe omitir la pila de protocolos para obtener los datos de transmisión sin procesar de la red. Esto requiere ejecutar un módulo rápido en el kernel del sistema operativo que maneja la interfaz del controlador del dispositivo de red directamente. Esta parte depende en gran medida del sistema y también se considera un controlador de dispositivo. Las versiones disponibles son Windows 85, 98, ME, NT 4, 2000 y Xp. Estos controladores proporcionan funciones básicas como captura y enrutamiento de paquetes, así como algunos sistemas de filtrado y motores de monitoreo programables avanzados. Puede restringir el sistema de filtrado para capturar solo paquetes específicos (por ejemplo, capturar solo mensajes FTP enviados por hosts específicos). Monitoring Engine proporciona un mecanismo potente pero fácil de usar para obtener datos de carga estadísticos sobre el tráfico de la red.
2. El sistema de captura debe tener una interfaz de programación para que los programas de usuario puedan utilizar las funciones proporcionadas por el kernel. Winpcap proporciona dos bibliotecas diferentes: paquete.dll y wpcap.dll.
packet.dll proporciona una API de bajo nivel que proporciona acceso directo a controladores de dispositivos de red independientes del sistema operativo de Microsoft.
wpcap.dll es una potente biblioteca de captura de alto nivel, compatible con libpcap en Unix. Es independiente del hardware de red subyacente y del sistema operativo.