Как захватить HTTP-пакет с помощью SharpPcap

SharpPcap уже способен захватывать пакеты таким же образом, что и wireshark (только в коде, а не в GUI). И вы можете либо разобрать их напрямую, либо сбросить их на диск в общем.формат файла pcap.

шаги для анализа захвата:

• выбрать интерфейс
• открыть соединение в режиме promiscuous
• начать захват либо с помощью цикла while или обратного вызова события
• разбор необработанного пакета к типу, который вы хотите

Если Вы читаете .файлы дампа pcap процесс почти такой же, за исключением вызова автономного считывателя захвата, не нужно выбирать интерфейс и не нужно устанавливать беспорядочный режим. Все стандартные фильтры wireshark, tcpdump и большинство других фреймворков Pcap поддерживаются в SharpPcap. Для ссылки на них проверьте tcpdump man.

В настоящее время нет поддержки для разбора HTTP напрямую, но разбор TCP-пакетов действительно простой.

когда вы получаете необработанный пакет (не проанализированный), сделайте следующее:

TCPPacket packet = TCPPacket.GetEncapsulated(rawPacket);

Packet.Net (отдельный и включенный компонент SharpPcap) синтаксический анализатор способен вытаскивать часть TCP напрямую, даже если связь инкапсулирована VPN, PPoE или PPP.

Как только вы проанализировали TCPPacket, просто возьмите пакет.PayloadBytes для полезной нагрузки в массиве байтов, который должен содержать заголовок HTTP в необработанных байтах, которые могут быть преобразованы в правильные текстовый формат (я не уверен, что заголовки HTTP используют кодировку UTF-8 или ASCII на этом уровне). Должно быть много свободно доступных инструментов / библиотек для анализа HTTP-заголовков.

для извлечения HTTP-пакета из TCP:

вам нужно собрать tcp-пакеты соединения по мере их поступления, и если данные фрагментированы (более 1500 байт), вам нужно повторно собрать детали в памяти. Чтобы узнать, какие части идут в каком порядке вам нужно тщательно отслеживать последовательность / номера подтверждения.

это нетривиальная вещь для выполнения с SharpPcap, потому что вы работаете с гораздо более низкой частью стека и повторно собираете соединение вручную.

Wireshark имеет интересную статью о том, как это сделать в C.

на данный момент SharpPcap не поддерживает синтаксический анализ полезной нагрузки TCP.

Если вы ищете простые в использовании примеры использования SharpPcap загрузите исходное дерево и посмотрите на примеры включенных проектов. Существует также учебник для SharpPcap на codeproject.

Если у вас есть вопросы и/или вы хотите сделать какие-либо пожелания к проекту, не стесняйтесь размещать проект на SourceForge. Она далеко не мертва и продолжает активно развиваться.

Примечание: Крис Морган является лидером проекта, и я один из разработчиков SharpPcap/Packet.Сеть.

Update: проект учебника по проекту кода теперь обновлен, чтобы соответствовать текущему API.