Wpcap.dllWpcap.dllUser-buffUser-esstotheNPFpacket.dllcallsPacket.dllStatisticalFilter1Filter2Filter3KernelBuffer2KernelBuffer2NICDriver(NDIS3.0orhigher)groupPackerfilterNPF精品文档1.捕获原始数据报,包括在共享网络上各主机发送/接收以及相互之间交换的数据报;2.在数据报发往应用程序之前,按照自定义的规则将某些特殊的数据报过滤掉;3.在网络上发送原始的数据报;4.收集网络通信过程中的统计信息。workDeviceInterfaceSpecification)来实现的。而且包捕获驱动既与网络驱动通信又与用户应用程序通信,所以它在NDIS结构中如同一个协议驱动,对WindowsNT操作系统中的NDIS结构中的高端驱动进行编程,这样编制的程序与上层应用程序更容易连接,应用程序对驱动设置的工作也更方便。如图2-2所示:应用程序应用程序协议驱动包捕获驱动NIC驱动数据包核心层网络层图2-2包捕获驱动在NDIS中所处位置2.4.2套接字包捕获机制上世纪80年代初,加利福尼亚大学Berkeley分校在UNIX操作系统下实现了TCP/IP协议,它们为TCP/IP网络通信开发了一个应用程序接口(API),这个API称为socket(套接字)接口。Socket给程序员提供了一个高层接口,它的出现使得程序员在编写网络应用程序时只需要调用函数,对网络的底层细节并不需要精通,因此十分方便。socket实质上是提供了进程通信的端点。进程通信之前,双方首先必须各自创建一个端点,否则是没有办法建立联系并相互通信的。正如打电话之前,双方必须拥有各自的电话机一样。在网间和网内部,每一个socket用一个半相关描述:{协议,本地地址,本地端口}
全文预览
