pcap

npcap 次のパケットを読み込むAPIについて。 次のパケットを読み込むAPIについて説明。 多重ポインタが使われている。 参照先をAPI内で設定してもらう割と一般的な使い方。

ネットワーク上のパケットを見るためにパケットキャプチャハンドルを取得のAPIの説明。 open/close系のAPI。 パケット長はとりあえず最大の65535。 プロミスキャスもとりあえず有効でOK。 タイムアウトはそこそこの値を入れておいた方が処理効率が上がる。 スレッドの性格。 各種エラー。

npcapのネットワークデバイスのリストの構築のAPIの説明。 pcap_findalldevsを使用する。 リストは連結リストでfor文で回して走査できる。

npcapでパケット取得で使用したAPIを列挙。 pcap_findalldevs：ネットワークデバイスのリストの構築。 pcap_open_live：ネットワーク上のパケットを見るためにパケットキャプチャハンドルを取得。 pcap_next_ex：次のパケットを読み込んで、成功/失敗の指示を返す。

npcapでパケット取得。 サンプルソリューションの中のpktdump_exでパケットモニタをしてみた。 ネットワークインターフェース名とIDの紐づけを調べる必要がある。 MACアドレス確認。 getmacでMACアドレスとID確認。 上記二つの情報から紐づけを確認。

npcapはnmapプロジェクトから落としてこれる。 Wiresharkをインストールしても一緒に入る。 npcap-SDKを持ってくる。 ビルド環境はVisualStudio 2015 express or communityを想定しているようだんが、Visual Studio 2017 expressでも多分平気。

pcapはpacket capture関連のAPI仕様。 Windows向けのpcapは以下3種類。 WinPcap：Windows10では不安定。 Win10Pcap：Windows10でも問題無いが開発が止まっている。 npcap：Wiresharkでも使用されており実績がある。

Windowsから生のEthernetFrame送受信をするはめになった。 生Socketが扱えないWindowsだとやや困難。 パケットアナライザ、ネットワークアナライザ、スニファというものが存在。 Wiresharkが有名。 Wiresharkは生のEthernetFrameを読み取れる。