|
跟常用的sniffer软件一样,抓的packets
然后保存抓到的packets,用正则过滤出带有http:// 或者https://之类的前缀,得到脚本中看到的URL。
网络抓包的方法:
原始套接字RAW_SOCK
Winpcap.lib
winsock 2 spi(服务提供者接口)
Api Hook
ddk(device driver kit)设备驱动工具包:firewall filter,ndis,tdi。
|应用层|------exe程序,比如ie
--------
|表示层|-------ws2_32.dll
--------
|会话层|-------SPI
--------
|传输层|-------TDI(不能截获ICMP等协议的数据)
--------
|网络层|-------NDIS(可以截获所有的网络数据)
--------
|链路层|-------设备驱动
--------
|物理层|-------网卡
相当多的抓包程序基于开源的winpcap的程序抓包,但基于winpcap的程序在抓包性能上较低,在千兆线速下,最多只能达到500Mbps左右,因此很多专业的抓包设备都会用硬件来实现,比如高速采集卡。
另外还有一个开源的抓包分析软件wireshark,可供学习。
[ 本帖最后由 shanxi 于 2007-9-11 17:43 编辑 ] |
|