Захват пакетов UDP в c #

Question

Wireshark перехватывает UDP-пакеты в моей локальной сети со следующими подробностями

Source IP            192.168.1.2
Destination IP      233.x.x.x
Source Port        24098
Destination Port      12074,12330

как я могу захватить его в C #?

Answer 1

Решил сам

Вот мой рабочий код

class CAA
{

    private Socket UDPSocket = new Socket(AddressFamily.InterNetwork, SocketType.Dgram, ProtocolType.Udp);
    private IPAddress Target_IP;
    private int Target_Port;
    public static int bPause;

    public CAA()
    {
        Target_IP = IPAddress.Parse("x.x.x.x");
        Target_Port = xxx;

        try
        {
            IPEndPoint LocalHostIPEnd = new
            IPEndPoint(IPAddress.Any, Target_Port);
            UDPSocket.SetSocketOption(SocketOptionLevel.Udp, SocketOptionName.NoDelay, 1);
            UDPSocket.SetSocketOption(SocketOptionLevel.Socket, SocketOptionName.ReuseAddress, 1);
            UDPSocket.Bind(LocalHostIPEnd);
            UDPSocket.SetSocketOption(SocketOptionLevel.IP, SocketOptionName.MulticastTimeToLive, 0);
            UDPSocket.SetSocketOption(SocketOptionLevel.IP, SocketOptionName.AddMembership, new
            MulticastOption(Target_IP));
            Console.WriteLine("Starting Recieve");
            Recieve();
        }
        catch (Exception e)
        {
            Console.WriteLine(e.Message + " " + e.StackTrace);
        }
    }

    private void Recieve()
    {
        try
        {
            IPEndPoint LocalIPEndPoint = new
            IPEndPoint(IPAddress.Any, Target_Port);
            EndPoint LocalEndPoint = (EndPoint)LocalIPEndPoint;
            StateObject state = new StateObject();
            state.workSocket = UDPSocket;
            Console.WriteLine("Begin Recieve");
            UDPSocket.BeginReceiveFrom(state.buffer, 0, state.BufferSize, 0, ref LocalEndPoint, new AsyncCallback(ReceiveCallback), state);
        }
        catch (Exception e)
        {
            Console.WriteLine(e.ToString());
        }
    }

    private void ReceiveCallback(IAsyncResult ar)
    {

            IPEndPoint LocalIPEndPoint = new
            IPEndPoint(IPAddress.Any, Target_Port);
            EndPoint LocalEndPoint = (EndPoint)LocalIPEndPoint;
            StateObject state = (StateObject)ar.AsyncState;
            Socket client = state.workSocket;
            int bytesRead = client.EndReceiveFrom(ar, ref LocalEndPoint);            



            client.BeginReceiveFrom(state.buffer, 0, state.BufferSize, 0, ref LocalEndPoint, new AsyncCallback(ReceiveCallback), state);
    }


    public static void Main()
    {       
        CAA o = new CAA();        
        Console.ReadLine();
    }

    public class StateObject
    {
        public int BufferSize = 512;
        public Socket workSocket;
        public byte[] buffer;

        public StateObject()
        {
            buffer = new byte[BufferSize];
        }
    }

}

Answer 2

Библиотека Winpcap - один из лучших способов сделать это. У меня есть опыт работы в C #, и работать с этой библиотекой было действительно легко.

Этот проект показывает, как это сделать с C #.

Answer 3

Wireshark фактически использует Winpcap для этого, и, как показывает другой ответ, вы можете использовать его также.

Вы также можете использовать класс System.Net.Sockets.Socket и перевести его в беспорядочный режим. Я использую это для захвата трафика IP (например, TCP и UDP) от данного сетевого интерфейса. Вот пример.

using System.Net;
using System.Net.Sockets;

Socket socket =
    new Socket(AddressFamily.InterNetwork, SocketType.Raw, ProtocolType.IP);
socket.Bind(new IPEndPoint(IPAddress.Parse("X.X.X.X"), 0)); // specify IP address
socket.ReceiveBufferSize = 2 * 1024 * 1024; // 2 megabytes
socket.ReceiveTimeout = 500; // half a second
byte[] incoming = BitConverter.GetBytes(1);
byte[] outgoing = BitConverter.GetBytes(1);
socket.IOControl(IOControlCode.ReceiveAll, incoming, outgoing);

Теперь, когда сокет создан и настроен, вы можете использовать метод Receive(), чтобы начать получать данные. Каждый раз, когда вы вызываете Receive(), возвращаемый буфер будет содержать IP-пакет. См. здесь для разбивки заголовка IPv4, здесь для заголовка UDP и здесь для заголовка TCP. Если поле Protocol заголовка IP содержит значение 17, значит, у вас есть пакет UDP.

ПРИМЕЧАНИЕ Исходные сокеты в Windows требуют, чтобы вы были администратором в локальной системе. В этой статье MSDN .

содержится следующий язык.

Чтобы использовать сокет типа SOCK_RAW требует административных привилегий. Пользователи, использующие приложения Winsock которые используют сырые сокеты должны быть членами группы администраторов на локальный компьютер, иначе необработанный сокет вызовы не будут выполнены с кодом ошибки WSAEACCES. В Windows Vista и более поздних версиях доступ к необработанным сокетам осуществляется в создание сокетов. В более ранних версиях Windows, доступ для необработанных сокетов применяется во время другого сокета операции.

Answer 4

Чтобы использовать WinPcap для захвата необработанных пакетов в C #, вы можете попробовать Pcap.Net . Это оболочка для WinPcap в C ++ / CLI и C # для легкого захвата (сниффинга) и внедрения необработанных пакетов, а также содержит простую в использовании структуру интерпретации пакетов.

Answer 5

Использование Pcap.Net в https://github.com/PcapDotNet

Конкретный пример: https://github.com/PcapDotNet/Pcap.Net/wiki/Pcap.Net-Tutorial-Interpreting-the-packets

// Callback function invoked by libpcap for every incoming packet
    private static void PacketHandler(Packet packet)
    {
        // print timestamp and length of the packet
        Console.WriteLine(packet.Timestamp.ToString("yyyy-MM-dd hh:mm:ss.fff") + " length:" + packet.Length);

        IpV4Datagram ip = packet.Ethernet.IpV4;
        UdpDatagram udp = ip.Udp;

        // print ip addresses and udp ports
        Console.WriteLine(ip.Source + ":" + udp.SourcePort+ " -> " + ip.Destination + ":" + udp.DestinationPort);
    }

Выход: 2009-09-12 11:25:51.117 length:84 10.0.0.8:49003 -> 208.67.222.222:53 2009-09-12 11:25:51.212 length:125 208.67.222.222:53 -> 10.0.0.8:49003 2009-09-12 11:25:54.323 length:80 10.0.0.8:39209 -> 208.67.222.222:53 2009-09-12 11:25:54.426 length:75 10.0.0.8:47869 -> 208.67.222.222:53 2009-09-12 11:25:54.517 length:236 208.67.222.222:53 -> 10.0.0.8:39209 2009-09-12 11:25:54.621 length:91 208.67.222.222:53 -> 10.0.0.8:47869