用Visual C＃实现网络封包监视

C#的IOControl函数不像WSAIoctl函数那么复杂，其中只包括其中的控制操作码、输入字节流、输出字节流三个参数，不过这三个参数已经足够了。我们看到函数中定义了一个字节数组：byte []IN = new byte[4]{1, 0, 0, 0}实际上它是一个值为1的DWORD或是Int32，同样byte []OUT = new byte[4];也是，它整和了一个int,作为WSAIoctl函数中参数lpcbBytesReturned指向的值。

　　因为设置套接字选项时可能会发生错误，需要用一个值传递错误标志：

public bool ErrorOccurred { 　get 　{ 　　return error_occurred; 　} }

　　下面的函数实现的数据包的接收：

//解析接收的数据包，形成PacketArrivedEventArgs事件数据类对象，并引发PacketArrival事件 unsafe private void Receive(byte [] buf, int len) { 　byte temp_protocol=0; 　uint temp_version=0; 　uint temp_ip_srcaddr=0; 　uint temp_ip_destaddr=0; 　short temp_srcport=0; 　short temp_dstport=0; 　IPAddress temp_ip; 　PacketArrivedEventArgs e=new PacketArrivedEventArgs();//新网络数据包信息事件 　fixed(byte *fixed_buf = buf) 　{ 　　IPHeader * head = (IPHeader *) fixed_buf;//把数据流整和为IPHeader结构 　　e.HeaderLength=(uint)(head->ip_verlen & 0x0F) << 2; 　　temp_protocol = head->ip_protocol; 　　switch(temp_protocol)//提取协议类型 　　{ 　　　case 1: e.Protocol="ICMP"; break; 　　　case 2: e.Protocol="IGMP"; break; 　　　case 6: e.Protocol="TCP"; break; 　　　case 17: e.Protocol="UDP"; break; 　　　default: e.Protocol= "UNKNOWN"; break; 　　} 　　temp_version =(uint)(head->ip_verlen & 0xF0) >> 4;//提取IP协议版本 　　e.IPVersion = temp_version.ToString(); 　　//以下语句提取出了PacketArrivedEventArgs对象中的其他参数 　　temp_ip_srcaddr = head->ip_srcaddr; 　　temp_ip_destaddr = head->ip_destaddr; 　　temp_ip = new IPAddress(temp_ip_srcaddr); 　　e.OriginationAddress =temp_ip.ToString(); 　　temp_ip = new IPAddress(temp_ip_destaddr); 　　e.DestinationAddress = temp_ip.ToString(); 　　temp_srcport = *(short *)&fixed_buf[e.HeaderLength]; 　　temp_dstport = *(short *)&fixed_buf[e.HeaderLength+2]; 　　e.OriginationPort=IPAddress.NetworkToHostOrder(temp_srcport).ToString(); 　　e.DestinationPort=IPAddress.NetworkToHostOrder(temp_dstport).ToString(); 　　e.PacketLength =(uint)len; 　　e.MessageLength =(uint)len - e.HeaderLength; 　　e.ReceiveBuffer=buf; 　　//把buf中的IP头赋给PacketArrivedEventArgs中的IPHeaderBuffer 　　Array.Copy(buf,0,e.IPHeaderBuffer,0,(int)e.HeaderLength); 　　//把buf中的包中内容赋给PacketArrivedEventArgs中的MessageBuffer 　　Array.Copy(buf,(int)e.HeaderLength,e.MessageBuffer,0,(int)e.MessageLength); 　} 　//引发PacketArrival事件 　OnPacketArrival(e); }

　　大家注意到了，在上面的函数中，我们使用了指针这种所谓的不安全代码，可见在C#中指针和移位运算这些原始操作也可以给程序员带来编程上的便利。在函数中声明PacketArrivedEventArgs类对象，以便通过OnPacketArrival(e)函数通过事件把数据包信息传递出去。其中PacketArrivedEventArgs类是RawSocket类中的嵌套类，它继承了系统事件（Event）类，封装了数据包的IP、端口、协议等其他数据包头中包含的信息。在启动接收数据包的函数中，我们使用了异步操作的方法，以下函数开启了异步监听的接口：

public void Run() //开始监听 { 　IAsyncResult ar = socket.BeginReceive(receive_buf_bytes, 0, len_receive_buf, SocketFlags.None, new AsyncCallback(CallReceive), this); }

　　Socket.BeginReceive函数返回了一个异步操作的接口，并在此接口的生成函数BeginReceive中声明了异步回调函数CallReceive，并把接收到的网络数据流传给receive_buf_bytes，这样就可用一个带有异步操作的接口参数的异步回调函数不断地接收数据包：

private void CallReceive(IAsyncResult ar)//异步回调 { 　int received_bytes; 　received_bytes = socket.EndReceive(ar); 　Receive(receive_buf_bytes, received_bytes); 　if (KeepRunning) Run(); }

　　此函数当挂起或结束异步读取后去接收一个新的数据包，这样能保证让每一个数据包都能够被程序探测到。

　　下面通过声明代理事件句柄来实现和外界的通信：

public delegate void PacketArrivedEventHandler(Object sender, PacketArrivedEventArgs args); //事件句柄：包到达时引发事件 public event PacketArrivedEventHandler PacketArrival;//声明时间句柄函数

　　这样就可以实现对数据包信息的获取，采用异步回调函数，可以提高接收数据包的效率，并通过代理事件把封包信息传递到外界。既然能把所有的封包信息传递出去，就可以实现对数据包的分析了：）不过RawSocket的任务还没有完，最后不要望了关闭套接字啊：

public void Shutdown() //关闭raw socket { 　if(socket != null) 　{ 　　socket.Shutdown(SocketShutdown.Both); 　　socket.Close(); 　} }

　　以上介绍了RawSocket类通过构造IP头获取了包中的信息，并通过异步回调函数实现了数据包的接收，并使用时间代理句柄和自定义的数据包信息事件类把数据包信息发送出去，从而实现了网络数据包的监视，这样我们就可以在外部添加一些函数对数据包进行分析了。

查看本文来源