背景:我现在了解如何编写一个C#应用程序,该应用程序可以监视运行应用程序的PC上进出网卡的数据包。我知道的方法依赖于http://www.winpcap.org/已安装在PC上,然后我使用C#包装器,如http://pcapdotnet.codeplex.com/或http://sourceforge.net/projects/sharppcap/。
问题:我的问题是,我需要做些什么才能拥有一个可以嗅探不需要预先安装第三方应用程序/驱动程序的数据包的C#应用程序?
澄清:这就是我真的想要我目前拥有的应用程序,但没有要求我告诉用户必须先去下载/安装XYZ才能使用该应用程序。出于问题的目的,假设不允许自动下载和安装第三方应用程序/驱动程序。 (使用WinPCap我不确定你是否可以捆绑它,但我相信你不应该在任何情况下不幸)
感谢
答案 0 :(得分:6)
我个人会坚持使用WinPCap。但是,既然你问过,就可以使用以下代码从网络中嗅探数据包以启用原始套接字。
Socket s = new Socket(AddressFamily.InterNetwork, SocketType.Raw, ProtocolType.IP);
s.Bind(new IPEndPoint(IPAddress.Parse("<IP Address Here of NIC to sniff>"), 0));
s.SetSocketOption(SocketOptionLevel.IP, SocketOptionName.HeaderIncluded, 1);
byte[] inBytes = new byte[] { 1, 0, 0, 0 };
byte[] outBytes = new byte[] { 0, 0, 0, 0 };
s.IOControl(IOControlCode.ReceiveAll, inBytes, outBytes);
完成此操作后,您可以使用Socket.Receive或Socket.BeginReceive来读取原始IP数据包。
答案 1 :(得分:6)
有一种方法可以使用标准的winsocks实现来捕获.NET上的传入/传出数据包。我已经看过一个博客,其中包含了如何但我没有链接的例子。
长话短说,这是一个极端的边缘情况,因为这不是winsocks(标准的Windows网络驱动程序)的用途。
Pcap通常需要捕获数据包的原因是,它使用自己的NDIS网络驱动程序来解锁NIC的全部功能。最重要的是,它还提供了一种简单的方法来设置过滤器,以限制在指定接口上捕获的数据包数量。
IE,驱动程序将忽略内核级别而不是用户模式级别的特定类型的数据包。因此,您将能够更有效地过滤数据包,并在网络上的较大负载下捕获。
在.NET中,要过滤数据包,您需要提供自己的应用程序层数据包过滤方案,效率会低得多。
Windows出于“安全原因”阻止访问非标准协议,因此它们并不真正支持使用RAW数据包进行网络连接(即使代码可能存在以使其成为可能)。 RAW数据包总是用于研究新协议的设计,而不是一般用途。
出于所有这些原因,通常最好选择Winpcap和特定语言的包装器来实现任何类型的捕获应用程序。
注意:我个人更喜欢SharpPcap,但我对项目的开发也有偏见。 Pcap.net在捕获时的实现非常相似,它主要是在解析数据包的方式上有所不同。