Delphi开发WinPcap程序一直是个门槛,这个代码之前在netexpert发过,但是问“如何用Delphi写网络协议分析?”、“Delphi怎么发送ARP包”这类问题的人还是大有人在。Delphi不能开发Sniffer?不能进行底层数据包收发?跨过这条门槛,一切易如反掌。
一直在考虑是否要把这几个代码拿出来,因为有些程序危害还比较大(比如ARP冲突攻击、SYN Flood那几个),留着也是留着还是拿出来开源得了。另外,虽然网上有个转换过的WinPcap头文件,但怎么用怎么不顺手。这里是通过Dev-C++写了一个DLL,通过调用这个DLL操作WinPcap库(代码都在里面,很简单)。
这是第一个程序,代码量很小,算是Sniffer的基础,源码见文章末尾。过两天把另外的几个也整理出来...
欢迎随便转载,希望能普及Delphi WinPcap开发 原文发表在:http://www.netexpert.cn/thread-20671-1-1.html
这次是Sniffer的,下一篇打算发布SYN Flood的(伪造数据包)。代码中有些地方注释不全,不过可以先到这里下载之前的版本:http://www.netexpert.cn/thread-20673-1-1.html
一个简单的Sniffer例子程序,抓取TCP 80端口的数据包,并过滤出POST和GET消息,如图:
打开网卡、设置过滤器,以及HTTP数据包处理部分的代码如下:
抓包和数据包处理过程 {******************************************** * * 打开网卡并设置过滤器,只要HTTP数据 * ********************************************}procedure TForm1.btn_OpenAdapterClick(Sender: TObject);var DeviceName: String; iRet: Integer;begin if ComboBoxAdapterName.Text = '' then Exit; DeviceName := ComboBoxAdapterName.Text; { 打开网卡设备 } if ( -1 = OpenAdapter(PChar(DeviceName), 100) ) then begin Self.Caption := StrPas(GetPCapError()); Exit; end; { 设置过滤器,只要 TCP 80 端口的 (语法请参见libpcap或tcpdump的文档) } iRet := SetFilter('tcp port 80'); if (iRet <> 0) then begin { 可能是过滤器语法错误 } Self.Caption := Format('SetFilter Error = %d', [iRet]); end; btn_OpenAdapter.Enabled := False; ComboBoxDevice.Enabled := False; { 开始抓包 } PacketLoop();end;{******************************************** * * 数据包处理:从网卡上读一个数据包并分析 * ********************************************}procedure TForm1.ProcessPacket();var iRet: Integer; pkt_hdr: PPCap_pkthdr; pkt_data: PByte; len, tcplen: Cardinal; httpdata: PChar;begin { 读取数据包 } iRet := ReadPacket(@pkt_hdr, @pkt_data); { 长度大于0表成功 } if (iRet > 0) then begin len := pkt_hdr^.PacketLength; // 数据包长度 tcplen := (PTCPPacket(pkt_data)^.TCPhdr.LenRes and $F0) div 4; // TCP长度 { 计算负载大小 } len := len - (14+20+tcplen); if len > 0 then begin { 取得HTTP数据包内容 } httpdata := PChar(Cardinal(pkt_data)+14+20+tcplen); httpdata[len] := #0; // 修正行尾 { 检查字符串 GET } if CheckBox_ShowGET.Checked then // 过滤GET if (httpdata[0] = 'G') and (httpdata[1] = 'E') and (httpdata[2] = 'T') and (httpdata[3] = ' ') then begin Memo1.Lines.Add(Format('[%s] Packet Size: %d', [FormatDateTime('h:mm:ss', time_t2DateTime(pkt_hdr^.DateTime)), pkt_hdr^.SliceLength])); Memo1.Lines.Add(StrPas(httpdata)); end; { POST } if (httpdata[0] = 'P') and (httpdata[1] = 'O') and (httpdata[2] = 'S') and (httpdata[3] = 'T') then begin Memo1.Lines.Add(Format('[%s] Packet Size: %d', [FormatDateTime('h:mm:ss', time_t2DateTime(pkt_hdr^.DateTime)), pkt_hdr^.SliceLength])); Memo1.Lines.Add(StrPas(httpdata)); { 检查是不是一个包就发完所有数据 } if (pkt_hdr^.SliceLength >= 1514) then begin // 继续读入下一个包 ProcessPacket(); end; Memo1.Lines.Add('.'#13#10); end; end; end;end;procedure TForm1.PacketLoop();begin fRunning := True; { 循环抓取数据包并分析 } while (fRunning) do begin ProcessPacket(); Application.ProcessMessages; end;end;
程序用途,捕获HTTP的GET和POST消息,用于截获URL的访问以及表单的提交(比如只监听POST消息,可以抓到论坛登陆的帐号和密码)。例如抓到的输出如下:
一个典型的POST [13:28:49] Packet Size: 919 POST /chklogin.do HTTP/1.1 Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/vnd.ms-excel, application/vnd.ms-powerpoint, application/msword, application/x-shockwave-flash, */* Referer: ht tp://ww w.webgame.com.cn/ Accept-Language: zh-cn User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 2.0.50727; CIBA; TheWorld) Content-Type: application/x-www-form-urlencoded UA-CPU: x86 Accept-Encoding: gzip, deflate Host: passport.webgame.com.cn Content-Length: 145 Connection: Keep-Alive Cache-Control: no-cache Cookie: __utma=257446157.4392135229605150700.1219543473.1219543473.1219543473.1; __utmz=257446157.1219543473.1.1.utmcsr=(direct)|utmccn=(direct)|utmcmd=(none) username=abcdefg&password=123456&method=login&login_md5=e10adc3949ba59abbe56e057f20f883e&method=login_pw&gameType=&forward=&image.x=58&image.y=14 .第二行:POST /chklogin.do HTTP/1.1 可以看到,这里在验证登陆信息 一般用户名和密码都在Cookie中,找到Cookie这行:Cookie: __utma=257446157.4392135229605150700.1219543473.1219543473.1219543473.1; __utmz=257446157.1219543473.1.1.utmcsr=(direct)|utmccn=(direct)|utmcmd=(none)username=abcdefg&password=123456&method=login&login_md5=e10adc3949ba59abbe56e057f20f883e&method=login_pw&gameType=&forward=&image.x=58&image.y=14 .看到了,在 username=abcdefg&password=123456 这里清清楚楚的写着刚才提交的用户名是abcdefg,密码为123456(当然是我随便输的)。自己试试一下效果吧。
源码(Source):httpSniffer_src.rar Linux版的源码(使用libpcap):httpSniffer_src4Linux.rar
可执行程序:httpSniffer_bin.rar
转载于:https://www.cnblogs.com/bits/archive/2009/03/15/Delphi-winpcap_httpsniffer.html
