Hello! 大家好！很久沒露面了！(噓~~ 。潛水很久了...) 嗯…廢話不多說了，這個只是個初版，其他功能還未完善。歡迎大家多給議建…    我一向沒有門戶之分，VC 和 BCB 各有各的長處。在這裡我也不多說了:-) 這次我使用 WinPcap Lib + VC 作 Packet Capture 這部份(即 Packet Writer)，然後用 BCB 作欄截 VC 所發出的 Message 和分析部份(即 Packet Analyzer)。    Packet Writer 的畫面 Packet Analyzer 的畫面 簡單功能描述 1. 繪製出分鐘圖。 2. 統計出每分鐘的流量。 3. 分析每一個連接的封包的情況。 4. 針對 HTTP 封包，進行解拆… 執行與設定 1. 由於我在實作這個 Sniffer 的時候，是使用 WinPcap 3.01a 版來開發的，所以建議你去 http://winpcap.polito.it 找找並安裝 3.01a 這個版本的 WinPcap。不過好像已經出了新版的 WinPcap，但我沒試過… 所以請測試過的朋友通知一下… 2. 從本網下載了 LANCapture.zip 後，解壓到 C:\LANCAPTURE。 3. 請新增一個名為 C:\DUMP 的目錄。 如你想改變 2. 和 3. 所述的目錄，請自行修改內裡兩個 ini 檔，即可。 注意 本程式祇供學術研究之用，切勿濫用本程式作不法行為。 Anthony Lee

附加檔案：56369_LanCapture.zip

最近收到有些網友的查詢，有關我這個"網絡監控"的操作方法，所以在此我簡略作說明一下：    安裝步驟 1. 先從 http://winpcap.polito.it 下載 WinPcap 3.01a 2. 安裝 WinPcap 3. 從本網下載了 LANCapture.zip 後，解壓到 C:\LANCAPTURE 4. 新增一個名為 C:\DUMP 的目錄。

    執行與操作
1. 先從 C:\LANCAPTURE 目錄中執行 PacketWriter.EXE
2. 如果你的電腦有多過一張 LAN Card，請在 PacketWriter 的 Adapter 中選擇要從哪一張 LAN Card 作欄截封包
3. 輸入欲監控的內網 IP 的路徑，例如：
例一、
   欲監控的 IP  : 192.168.1.x
    Subnet Mask : 255.255.255.0
   那麼你應該在 Internal IP 輸入 192.169.1.0 而 Subnet Mask 則輸入 255.255.255.0
   
例二、
   欲監控的 IP  : 202.14.99.x
    Subnet Mask : 255.255.255.240
   那麼你應該在 Internal IP 輸入 202.14.99.240 而 Subnet Mask 則輸入 255.255.255.240

4. 一切無誤後，按下 Start Listen 按鈕。 5. 執行 Packet Analyzer ，即 C:\LANCAPTURE 目錄中執行 PA.EXE Packet Analyzer 封包分析師 Packet Analyzer 提供了不同的方法來分析網絡封包，以下為簡單說明： 1. Minute Chart 分鐘圖 可於功能表中選 Chart 來啟用，利用此分鐘圖，可清楚看到那一段時間封包流量最大，那一段時間的輸入或輸出不尋常等等.... 圖表上有三條不同顏色的線： 綠色代表內網收到的封包量 RX，單位為 (kb/min) 藍色代表內網送出的封包量 SX ，單位為 (kb/min) 紅色代表總傳輸量 TX，即 RX SX ，單位為 (kb/min) 在圖中的紅色線的每一點按下 double click，即可呼叫該時段的 Packet Details 視窗。 2. Minute Data 分鐘數據 可於功能表中選 Detailed Info -> Minute Data 來啟用，其功用與 Minute Chart 大同小異，差異祇在於可顯示出確實數字而已。 在圖每一列數據按下 double click，即可呼叫該時段的 Packet Details 視窗。 3. IP and Port Through-Put Monitor 即時流量監視 可於功能表中選 Detailed Info -> IP and Port Through-Put 來啟用。此視窗在畫面上分為兩邊，左邊為內網情況，右邊為外界情況。預設以每秒鐘更新一次，以每一個 IP 所對應的 Port 的流量作即時統計。並以總流量作排序。 4. Packet Details in Minute 分鐘數據封包分析 可於 Minute Chart 或 Minute Data 中以滑鼠 double click 啟用。利用此視窗，監控者可以據內網的 IP 和所使用 Port，在此時段內查出每一個外界每一個連接的 IP 和 Port，再跟據這個條件找出這個連接中的所有封包。從而可計算出入流量。除此之外，Packet Analyzer 會針對 HTTP 封包進行解拆，提供更多資訊。

   簡單來說，你可以從 Packet Details in Minute 視窗中取得以資訊：
   i.   該分鐘內的出入流量
   ii.  該分鐘內有那些連接和流量
   iii. 每一個連接的封包詳細情形
   iv.  HTTP 封包的額外資訊    

注意： 即是說，你用作網絡監控的電腦並不需要取得欲監控的 IP，祇要封包流經過此 LAN Card 便可。另外有些情況即使物理上連線了，但仍不能欄截封包。 例如你把用作監控的電腦連接於 Switch 或其他 Device (而不是 Hub)，因為有些網絡設備就以 Switch 為例，為了提高傳輸效率，因此有 routing 基制，TCP 封包祇可以由一個 Port 傳到另一個 Port而不用流經其他 Port。亦即是硬體本身己經 Filter 了封包。所以使用前請確認一下你的網絡連接設備是否為 Hub。 Anthony Lee 發表人 - skcc 於 2004/09/21 14:27:35