Отображение сетевого трафика

BlackRain666 · 04.Июль.2022 10:12:26

В общем. При переходе на Windows 10 (да, именно 10) обнаружилось, что моя любимая программа для мониторинга сетевого трафика BWMeter начала глючить. То скорость обрежет, то вообще интернет заблочит. Но если на Windows 10 её хоть как-то можно заставить работать, то на Windows 11 всё плохо. Вероятно, это сильно зависит от драйверов на сетевуху и у кого-то на его сетевухе будет нормально работать, но на моём ноутбуке - всё плохо. Пробовал ставить другие программы, но они все либо не удобные, либо функционал не тот, либо фаервола нет, либо рисуют график не так как я хочу. По сравнению с ними, BWMeter был идеален. Уже очень давно его юзаю.
Недавно я решил погулить, как же на винде осуществляется перехват трафика и что в этом такого сложного. Все примеры кода (если таковые и есть) используют WinPCap. Это что-то типа библиотеки для перехвата сетевых пакетов. На его сайте написано, что авторы забили на проект и, сорян, но обновлений больше не будет. Вероятно, есть ещё подобные библиотеки, но так ведь не интересно
Гулил дальше и нашел пример простейшего сниффера (без WinPCap):

github.com

ECToo/world-opponent-network/blob/fbb35876ae26006606d07b6297d557bd53234066/ world-opponent-network/TitanApi/Samples/ServerTest - Copy/Sniffer/main.cpp


/*
	Simple Sniffer in winsock
	Author : Silver Moon ( m00n.silv3r@gmail.com )
*/

#include "stdio.h"
#include "winsock2.h"

#pragma comment(lib,"ws2_32.lib") //For winsock

#define SIO_RCVALL _WSAIOW(IOC_VENDOR,1) //this removes the need of mstcpip.h

void StartSniffing (SOCKET Sock); //This will sniff here and there

void ProcessPacket (char* , int); //This will decide how to digest
void PrintIpHeader (char*);
void PrintIcmpPacket (char* , int);
void PrintUdpPacket (char* , int);
void PrintTcpPacket (char* , int);

This file has been truncated. show original

Попробовал запустить - работает (и, вроде, даже правильно ). Конечно, так никакого фаервола не получится (для этого надо писать какой-то драйвер в режиме ядра), но даже так можно написать простую отображалку трафика.
Однако, остались непонятны две вещи:

Как отличить входящий пакет от исходящего?
При запуске предлагается выбрать интерфейс, который будем снифферить:


Initialising Winsock...Initialised
Creating RAW Socket...Created.
Host name : MIKROSHA

Available Network Interfaces :
Interface Number : 0 Address : 192.168.121.1
Interface Number : 1 Address : 26.37.131.105
Interface Number : 2 Address : 192.168.118.1
Interface Number : 3 Address : 192.168.88.250
Enter the interface number you would like to sniff :

Потом каждый пакет выводится в лог:

	fprintf(logfile," |-Source IP : %s\n",inet_ntoa(source.sin_addr));
	fprintf(logfile," |-Destination IP : %s\n",inet_ntoa(dest.sin_addr));

Source IP всегда равен IP-адресу интерфейса, который был выбран. Не пойму, почему так А Destination IP отображается, видимо, правильно

Вот у нас есть бесконечный цикл прослушивания сокета:


	do
	{
		mangobyte = recvfrom(sniffer , Buffer , 65536 , 0 , 0 , 0);

		if(mangobyte > 0)
		{
			ProcessPacket(Buffer, mangobyte); //тут обработка и выхлоп
		}
		else
		{
			printf( "recvfrom() failed.\n");
		}
	}
	while (mangobyte > 0);

Когда проект консольный - всё нормально. А как прикрутить это к окну? У окна же свой цикл. Если запустить цикл прослушивания - окно зависнет. Через потоки? А окно не задохнётся от синхронизации на каждый пакет?

Сейчас ещё потестил. Так только у TCP протокола. У UDP меняется. Как будто у TCP ловится только исходящий трафик Но почему?

AlexP · 04.Июль.2022 16:15:16

Так они ж там и отослали к npcap.

А оно выводит и те, и те?

Ну можно не на каждый, а копить сколько-то времени.

BlackRain666 · 05.Июль.2022 06:10:10

Упс, не заметил.
В любом случае, написать простой сниффер (с целью отображения траффика), используя библиотеки, сможет даже восьмиклассник Скорее всего, я так и сделаю. И, скорее всего, не на C++, а на C#.
Но вопрос не в этом. Интересно, почему код по ссылке не работает

Ну яж говорю - выводит вроде всё, только значение Source IP для TCP-пакетов всегда одно и то же Как будто он входящие TCP-пакеты не ловит

BlackRain666 · 26.Июль.2022 08:42:26

Наткнулся я сегодня на вот такой вот сайт

где описана такая же проблема. Там рекомендуют добавить екзешник в исключения файрволла. И правда! RAW_SOCKET начинает ловить входящие пакеты.
Я бы сам никогда до этого не допёр

LiAN · 27.Сентябрь.2022 12:00:30

Так а зачем на самописном снифере фаэрвол? Окна и так с этим нормально справляются.
Так получается фаэрвол винды плюс еще и в снифере?

BlackRain666 · 27.Сентябрь.2022 12:18:37

Например, когда обновляется Opera, выскакивает брэндмауэр винды и спрашивает, давать ли ей доступ. Но, тем временем, в опере уже открылся яндекс. Хотя, доступ я еще не давал.
Может я опять чего-то недопонимаю, но у BWMeterа такой фигни не было. Пока не дашь доступ, в интернет ничто не пролезет. И в локальную сеть тоже.
Может, конечно, и виндовый файрвол можно так же настроить, но блин!

LiAN · 27.Сентябрь.2022 12:22:08

Это уже похоже на неверную настройку защитника. У меня такого нет. Пока не нет согласия от пользователя, соединение стоит на паузе.

BlackRain666 · 27.Сентябрь.2022 12:54:44

У меня всегда так было. На всех виндах. На всех компьютерах. По-этому, я его всегда вырубал и юзал BWMeter.