WINPCAP EL MANUAL DEL USUARIO WINPCAP

Documentacin WinPcap
4.1.2

autores:
El equipo de WinPcap
pgina principal:
http://www.winpcap.org

mdulos

WinPcap el manual del usuario WinPcap

o definiciones

funciones exportadas

Sintaxis de las expresiones de filtrado

El uso de WinPcap en sus programas

WinPcap tutorial: una gua paso a paso para el uso de WinPcap

La obtencin de la lista de dispositivos

La obtencin de informacin avanzada acerca de los dispositivos

instalados

La apertura de un adaptador y la captura de los paquetes

La captura de los paquetes sin la devolucin de llamada

Filtrar el trfico

Interpretacin de los paquetes

Manejo de archivos de volcado fuera de lnea

el envo de paquetes

La recopilacin de estadsticas sobre el trfico de red

internos WinPcap

NPF manual de funcionamiento interno del controlador

NPF estructuras y definiciones

funciones NPF

Packet.dll - Paquete de API del controlador

Cmo compilar WinPcap

Captura remota

Estructuras y definiciones exportadas

Funciones exportadas. Para una referencia de las funciones que soportan la

captura remota, consulte la seccin "Extensiones especficas de Windows" en la
WinPcap funciones exportadas seccin.

Estructuras internas y definiciones

Introduccin
Este manual describe la interfaz de programacin y el cdigo fuente de WinPcap. Se proporciona
una descripcin detallada de las funciones y estructuras exportados a los programadores, junto
con la documentacin completa de las partes internas WinPcap. Varios tutoriales y ejemplos se
proporcionan tambin.
Puede seguir los enlaces en la parte superior de esta pgina o utilice el control de rbol a la
izquierda para llegar a las secciones de inters.
Esta documentacin se ha creado usando el sistema de documentacin Doxygen, que se pueden
encontrar en http://www.doxygen.org.

Qu es WinPcap
WinPcap es una biblioteca de cdigo abierto para la captura de paquetes y anlisis de redes para
las plataformas Win32.
La mayora de las aplicaciones de redes acceden a la red a travs de primitivas del sistema
operativo ampliamente usados, tales como tomas. Es fcil acceder a datos en la red con este
enfoque ya que el sistema operativo hace frente a los detalles de nivel bajo (de manipulacin de
protocolo, reensamblaje de paquetes, etc.) y proporciona una interfaz familiar que es similar a la
utilizada para leer y escribir archivos.
A veces, sin embargo, el "camino fcil" no es hasta la tarea, ya que algunas aplicaciones
requieren acceso directo a los paquetes en la red. Es decir, que necesitan el acceso a los datos
"en bruto" en la red sin la interposicin de procesamiento de protocolo por el sistema operativo.
El propsito de WinPcap es dar a este tipo de acceso a las aplicaciones Win32; que proporciona
facilidades para:

capturar paquetes primas, tanto las destinadas a la mquina donde se est ejecutando y
los intercambiados por otros anfitriones (en medios compartidos)
filtrar los paquetes de acuerdo con las reglas especificadas por el usuario antes de
enviarlos a la aplicacin

transmitir paquetes de primas a la red

recopilar informacin estadstica sobre el trfico de red

Este conjunto de capacidades se obtiene por medio de un controlador de dispositivo, que se

instala dentro de la porcin de red de ncleos de Win32, adems de un par de DLL.
Todas estas caractersticas se exportan a travs de una interfaz de programacin de gran
alcance, fcilmente explotable por las aplicaciones y disponible en diferentes sistemas
operativos. El objetivo principal de este manual es documentar esta interfaz, con la ayuda de
varios ejemplos. Si usted est interesado en comenzar su exploracin de inmediato se puede ir
directamente al manual del usuario WinPcap .

Qu clase de programas de utilizar WinPcap

La interfaz de programacin de WinPcap puede ser utilizado por muchos tipos de herramientas
de red para el anlisis, resolucin de problemas, la seguridad y la vigilancia. En particular, las
herramientas clsicas que dependen de WinPcap son:

analizadores de red y protocolo

monitores de red

registradores de trfico

generadores de trfico

puentes a nivel de usuario y routers

Los sistemas de deteccin de intrusiones de red (NIDS)

escneres de red

herramientas de seguridad

WinPcap lo que no puede hacer

WinPcap recibe y enva los paquetes de forma independiente de los protocolos de acogida, como
TCP-IP. Esto significa que no es capaz de bloquear, filtrar o manipular el trfico generado por
otros programas en la misma mquina: simplemente "huele" los paquetes que transitan en el
cable. Por lo tanto, no proporciona el soporte adecuado para aplicaciones como conformadores
de trfico QoS, programadores y los cortafuegos personales.

Propsito de este manual

El propsito de este manual es proporcionar una manera completa y fcil de navegar por la
documentacin de la arquitectura WinPcap.Se encuentran dos secciones principales: el manual
del usuario WinPcap y WinPcap Internos .

El primero de ellos puede ser utilizado por un programador que necesita explotar WinPcap desde
una aplicacin: contiene toda la informacin acerca de las funciones y estructuras de datos
exportados por la API de WinPcap, un manual que explica cmo escribir filtros de paquetes y una
pgina que explica cmo incluirlo en una aplicacin. Un tutorial con varios ejemplos de cdigo es
siempre as; que puede ser utilizado para aprender los conceptos bsicos de la API de WinPcap
utilizando un enfoque paso a paso, sino que tambin ofrece fragmentos de cdigo que
demuestran caractersticas avanzadas.
La segunda seccin est dirigida a los desarrolladores y mantenedores WinPcap, o para las
personas que tienen curiosidad acerca de cmo funciona este sistema: se ofrece una descripcin
general de la arquitectura WinPcap y explica cmo funciona. Adems, se documenta la
estructura de controlador de dispositivo completo, el cdigo fuente, la interfaz packet.dll y la API
de bajo nivel WinPcap.Si usted quiere entender lo que sucede dentro WinPcap o si necesita
extenderlo, esta es la seccin que se desea leer.

Documentacin adicional
Para adicional y actualizada la documentacin, le sugerimos que nos fijamos
en http://www.winpcap.org/docs/
En particular, si usted est interesado en la estructura y el funcionamiento interno de WinPcap,
se recomienda leer los siguientes documentos:

Fulvio Risso, Loris Degioanni, Una Arquitectura de Alto Rendimiento Anlisis de

Redes , Actas de la 6 IEEE Simposio de Informtica y Comunicaciones (ISCC 2001) ,
Hammamet, Tnez, julio de 2001
Loris Degioanni, Mario Baldi, Fulvio Risso y Gianluca Varenni, perfiles y optimizacin de
aplicaciones de red-anlisis basado en software , Actas de la 15 IEEE Simposio de
Arquitectura de Computadores y computacin de alto rendimiento (SBAC-PAD 2003),
Sao Paulo, Brasil, de noviembre de de 2003
Loris Degioanni, desarrollo de una arquitectura para la captura de paquetes y anlisis de
trfico de red , tesis de graduacin, Universidad Politcnica de Turn (Turn, Italia, marzo
de 2000)

Terminologa

Para mantener la coherencia con la literatura, vamos a utilizar el trmino de paquetes a

pesar de que el marco es ms preciso, ya que el proceso de captura se realiza en la capa
de enlace de datos y la cabecera de enlace de datos se incluye en los datos capturados.
El trmino Win9x se utilizar en este documento para indicar la familia de sistemas
operativos Microsoft compone de Windows 95 y sus derivados, es decir, Windows 98 y
Windows ME. El trmino WinNTx indicar los sistemas operativos edificados sobre el
ncleo NT, a partir de Windows NT 4 y que incluye Windows 2000, Windows XP, Windows
Server 2003 y as sucesivamente.

Nota
Nuestros esfuerzos de desarrollo y documentacin se centran principalmente en el Windows NT /
versin 2000 / XP / 2003 / Vista / 2008 / Win7 / 2008R2 de WinPcap. Esta eleccin se basa en el
hecho de que la mayora de los usuarios WinPcap funciona en sistemas de NTx, sino tambin
porque la tecnologa 9x ha sido abandonado por Microsoft. Por otra parte, se supone que una
persona que necesita utilizar un PC para una tarea avanzada como el anlisis de redes se
instalar un sistema operativo avanzado en la mquina.Por esta razn, la documentacin se

referir a los conductores y las API WinNTx. versiones de Win9x son muy similares en el
concepto pero a veces difieren en la aplicacin y, en ocasiones, la versin de Windows 9x de la
API carece de algunas de las funciones ms avanzadas. Este manual describe la API completa y
le indicar cuando una funcin slo est presente en Windows NTx.

documentacin. Derechos de autor (c) 2002-2005 Universidad Politcnica de

Turn. Derechos de autor (c) 2005-2009 CACE Technologies. Todos los derechos reservados.

mdulos
Aqu est una lista de todos los mdulos:
WinPcap tutorial: una gua paso a paso para el uso de WinPcap
La obtencin de la lista de dispositivos

La obtencin de informacin avanzada acerca de los dispositivos instalados

La apertura de un adaptador y la captura de los paquetes

La captura de los paquetes sin la devolucin de llamada

Filtrar el trfico

Interpretacin de los paquetes

Manejo de archivos de volcado fuera de lnea

el envo de paquetes

La recopilacin de estadsticas sobre el trfico de red

internos WinPcap

NPF manual de funcionamiento interno del controlador

NPF de E / S cdigos de control

NPF estructuras y definiciones

funciones NPF

NPF justo a tiempo las definiciones del compilador

Cmo compilar WinPcap

Packet.dll - Paquete de API del controlador

el manual del usuario WinPcap

definiciones

funciones exportadas

Sintaxis de las expresiones de filtrado

El uso de WinPcap en sus programas

Captura remota

Estructuras y definiciones exportadas

Las cadenas relacionadas con la nueva sintaxis fuente

Identificadores relacionados con la nueva sintaxis fuente

Banderas definidos en la funcin pcap_open ()

Mtodos de muestreo definidos en el pcap_setsampling funcin

()

mtodos de autenticacin soportados por el protocolo RPCAP

Funciones exportadas

Funciones internas

Estructuras internas y definicione

Estructuras de datos

Aqu estn las estructuras de datos con una breve descripcin:

__CPU_Private_Data

tampn Kernel de cada CPU

_DEVICE_EXTENSION

extensin dispositivo de puerto

_INTERNAL_REQUEST

Almacena una solicitud de OID

_OPEN_INSTANCE

Contiene el estado de una instancia de ejecucin del controlador NPF

_PACKET_OID_DATA

Estructura que contiene una peticin de OID

_PACKET_RESERVED

Contiene un paquete NDIS

active_pars
activehosts

Mantiene una lista de todas las conexiones abiertas en el modo activo

binary_stream

Una corriente de X86 cdigo binario

daemon_slpars

Estructura que mantiene los parmetros que necesita el daemon_serviceloop () la funcin

JIT_BPF_Filter

Estructura de la descripcin de un programa de filtrado x86 creado por la fluctuacin de fase

packet_file_header

Encabezado de un archivo de volcado de libpcap

PacketHeader

Estructura antepone a cada paquete en el grupo de bfer del ncleo

pcap_addr

Representacin de una direccin de interfaz, utilizado por pcap_findalldevs ()

pcap_file_header

Encabezado de un archivo de volcado de libpcap

pcap_if

Elemento de una lista de interfaces, utilizadas por pcap_findalldevs ()

pcap_pkthdr

Cabecera de un paquete en el archivo de volcado

pcap_rmtauth

Esta estructura mantiene la informacin necesaria para autheticate el usuario en una mquina
remota

pcap_samp

Esta estructura define la informacin relacionada con el muestreo

pcap_send_queue

Una cola de paquetes en bruto, que ser enviado a la red con pcap_sendqueue_transmit ()

pcap_stat

Estructura que mantiene los valores estadsticos en una interfaz

rpcap_auth

Estructura que mantiene los datos necesarios para la autenticacin en el servidor remoto

rpcap_filter

Encabezado general que se utiliza para la pcap_setfilter () de comandos; mantiene slo el

nmero de instrucciones BPF

rpcap_filterbpf_insn

Estructura que mantiene una nica instuction BPF; se repite 'ninsn' momentos de acuerdo con el
encabezado '' rpcap_filterbpf

rpcap_findalldevs_if

Formato del mensaje para el comando (findalldevs) Descripcin de la interfaz

rpcap_findalldevs_ifaddr

Formato del mensaje para la direccin de lista (findalldevs de comandos)

rpcap_header

cabecera comn para todos los mensajes RPCAP

rpcap_openreply

Formato del mensaje de respuesta de la abertura de conexin (orden de apertura)

rpcap_pkthdr

Formato de la cabecera que encapsula los paquetes capturados cuando se transmite en la red

rpcap_sampling

Estructura que se necesita para establecer los parmetros de muestreo

rpcap_startcapreply

Formato del mensaje de respuesta que se dedica a iniciar una captura remota (startcap
respuesta de comandos)

rpcap_startcapreq

Formato del mensaje que inicia una captura remota (comando startcap)

rpcap_stats

Estructura que mantiene las estadsticas sobre el nmero de paquetes capturados, cado, etc.

sf_pkthdr

Encabezado asociado a un paquete en el bfer del conductor, cuando ste se encuentra en modo
de descarga. Similar a la estructura bpf_hdr, pero ms simple

- un

Aceptado: __CPU_Private_Data
activeclose: daemon_slpars

AdapterBindingStatus: _OPEN_INSTANCE

AdapterHandle: _OPEN_INSTANCE

AdapterHandleLock: _OPEN_INSTANCE

AdapterHandleUsageCounter: _OPEN_INSTANCE

AdapterName: _DEVICE_EXTENSION

addr: rpcap_findalldevs_ifaddr , pcap_addr

Direccin: active_pars

direcciones: pcap_if

ai_family: active_pars

-B

bpf_pc: binary_stream
bpfprogram: _OPEN_INSTANCE

BROADADDR: rpcap_findalldevs_ifaddr , pcap_addr

bs_capt: pcap_stat

Buffer: __CPU_Private_Data

tampn: pcap_send_queue

BufferLock: __CPU_Private_Data

BufferMdl: _OPEN_INSTANCE

BUFSIZE: rpcap_startcapreply

-C

C: __CPU_Private_Data
Caplen: sf_pkthdr , rpcap_pkthdr , pcap_pkthdr

ClosePending: _OPEN_INSTANCE

Cdigo: rpcap_filterbpf_insn

CountersLock: _OPEN_INSTANCE

Cpu: _PACKET_RESERVED

CpuData: _OPEN_INSTANCE

cur_ip: binary_stream

-D

Datos: _PACKET_OID_DATA
desclen: rpcap_findalldevs_if

Descripcin: pcap_if

DeviceExtension: _OPEN_INSTANCE

Eliminado: __CPU_Private_Data

dstaddr: pcap_addr , rpcap_findalldevs_ifaddr

dummy: rpcap_findalldevs_if , rpcap_startcapreply , rpcap_filter , rpcap_auth

dummy1: rpcap_sampling

dummy2: rpcap_sampling

DumpEvent: _OPEN_INSTANCE

DumpFileHandle: _OPEN_INSTANCE

DumpFileName: _OPEN_INSTANCE

DumpFileObject: _OPEN_INSTANCE

DumpLimitReached: _OPEN_INSTANCE

DumpOffset: _OPEN_INSTANCE

DumpThreadHandle: _OPEN_INSTANCE

DumpThreadObject: _OPEN_INSTANCE

-E

ExportString: _DEVICE_EXTENSION

-F

FilterType: rpcap_filter
banderas: pcap_if , rpcap_startcapreq , rpcap_findalldevs_if

Libre: __CPU_Private_Data

FreeBufAfterWrite: _PACKET_RESERVED

Funcin: JIT_BPF_Filter

-H

cabecera: PacketHeader
anfitrionas: activehosts

- yo

ibuf: binary_stream
ifdrop: rpcap_stats

ifrecv: rpcap_stats

InternalRequestCompletedEvent: _INTERNAL_REQUEST

IoStatus: _OPEN_INSTANCE

IRP: _PACKET_RESERVED

isActive: daemon_slpars

-J

-K-

JF: rpcap_filterbpf_insn
JT: rpcap_filterbpf_insn

k: rpcap_filterbpf_insn
krnldrop: rpcap_stats

-L

len: sf_pkthdr , pcap_pkthdr , rpcap_pkthdr , pcap_send_queue

Longitud: _PACKET_OID_DATA

tipoenlace: pcap_file_header , rpcap_openreply , packet_file_header

ListElement: _PACKET_RESERVED , _INTERNAL_REQUEST

-M

MachineLock: _OPEN_INSTANCE
magia: packet_file_header , pcap_file_header

MaxDumpBytes: _OPEN_INSTANCE

MaxDumpPacks: _OPEN_INSTANCE

MaxFrameSize: _OPEN_INSTANCE

maxlen: pcap_send_queue

Medio: _OPEN_INSTANCE

mem: JIT_BPF_Filter

Mtodo: rpcap_sampling , pcap_samp

MinToCopy: _OPEN_INSTANCE

Modo: _OPEN_INSTANCE

Multiple_Write_Counter: _OPEN_INSTANCE

-N

naddr: rpcap_findalldevs_if
Nombre: pcap_if

nameLen: rpcap_findalldevs_if

Nbytes: _OPEN_INSTANCE

NdisOpenCloseCompleteEvent: _OPEN_INSTANCE

NdisRequestEvent: _OPEN_INSTANCE

NdisWriteCompleteEvent: _OPEN_INSTANCE

mscara de red: pcap_addr , rpcap_findalldevs_ifaddr

NEWP: __CPU_Private_Data

siguientes: pcap_if , pcap_addr , activehosts

nitems: rpcap_filter

Npackets: _OPEN_INSTANCE

npkt: rpcap_pkthdr

nullAuthAllowed: daemon_slpars

NumPendingIrps: _OPEN_INSTANCE

Nwrites: _OPEN_INSTANCE

-O

Oid: _PACKET_OID_DATA
OpenCloseStatus: _OPEN_INSTANCE

OpenInUseLock: _OPEN_INSTANCE

- pag

P: __CPU_Private_Data
PacketPool: _OPEN_INSTANCE

contrasea: pcap_rmtauth

plen: rpcap_header

pMdl: _PACKET_RESERVED

portuarias: active_pars

portdata: rpcap_startcapreply , rpcap_startcapreq

ps_drop: pcap_stat

ps_ifdrop: pcap_stat

ps_recv: pcap_stat

-R

read_timeout: rpcap_startcapreq
ReaderSN: _OPEN_INSTANCE

ReadEvent: _OPEN_INSTANCE

Recibido: __CPU_Private_Data

refs: binary_stream

Solicitud: _INTERNAL_REQUEST

RequestList: _OPEN_INSTANCE

Solicitudes: _OPEN_INSTANCE

RequestSpinLock: _OPEN_INSTANCE

RequestStatus: _INTERNAL_REQUEST

ResetIrpList: _OPEN_INSTANCE

-S

sigfigs: packet_file_header , pcap_file_header

Tamao: _OPEN_INSTANCE

SkipSentPackets: _OPEN_INSTANCE

slen1: rpcap_auth

slen2: rpcap_auth

SN: PacketHeader

snaplen: packet_file_header , pcap_file_header , rpcap_startcapreq

sockctrl: activehosts , daemon_slpars

svrcapt: rpcap_stats

-T

thiszone: packet_file_header , pcap_file_header

Tiempo de espera: _OPEN_INSTANCE

timestamp_sec: rpcap_pkthdr

timestamp_usec: rpcap_pkthdr

TransferMdl1: __CPU_Private_Data

TransferMdl2: __CPU_Private_Data

TransmitPendingPackets: _OPEN_INSTANCE

TS: sf_pkthdr , pcap_pkthdr

Tipo: rpcap_auth , pcap_rmtauth , rpcap_header

tzoff: rpcap_openreply

-U

nombre de usuario: pcap_rmtauth

-V

Valor: rpcap_header , rpcap_sampling , pcap_samp

Ver: rpcap_header

version_major: packet_file_header , pcap_file_header

version_minor: pcap_file_header , packet_file_header

-W

WriteEvent: _OPEN_INSTANCE
WriteInProgress: _OPEN_INSTANCE

WriteLock: _OPEN_INSTANCE

WriterSN: _OPEN_INSTANCE

Lista de archivos

Aqu est una lista de todos los archivos con una breve descripcin:

daemon.h [code]
fileconf.h [code]
ioctls.h [code]
jitter.h [code]
Packet.h [code]
pcap remote.h [code]
aum / pcap.h [code]
funcs / pcap.h [code]
remota-ext.h [code]
rpcapd.h [code]
utils.h [code]
Win32-Extensions.h [code]
win32-svc.h [code]
wpcap_remote.htm [code]

Aqu est una lista de todas las funciones, variables, define, enumeraciones, y typedefs con
enlaces a los archivos que pertenecen a:

- un

ADAPTER_BINDING_STATUS: Packet.h
ADAPTER_BOUND: Packet.h

ADAPTER_UNBINDING: Packet.h

ADAPTER_UNBOUND: Packet.h

ADD_EAXi: jitter.h

ADDib: jitter.h

Addid: jitter.h

ADDrd: jitter.h

AIRPCAP_HANDLE__EAE405F5_0171_9592_B3C2_C19EC426AD34__DEFINED_: Win32Extensions.h

AL: jitter.h

ANDib: jitter.h

ANDid: jitter.h

ANDrd: jitter.h

AX: jitter.h