这篇文章主要介绍“Go怎么快速实现驱动层流量抓包”的相关知识,小编通过实际案例向大家展示操作过程,操作方法简单快捷,实用性强,希望这篇“Go怎么快速实现驱动层流量抓包”文章能帮助大家解决问题。
一、驱动抓包
应用层抓包我们可以使用Fiddler、Httpdebugger、Charles等工具,如果需要获取更底层网卡的数据,就没法实现了,我们就需要使用谷歌的gopacket包。
二、遇到问题
gopacket的文档丰富,这里不赘述如何去使用它,使用gopacket有一个前提:在Linux上需要提前安装Npcap,在Windows上则需要提前安装Winpcap,否则无法使用,会提示缺少相关的动态链接库,这对于一些有洁癖的人来说就不太友好了,他们并不想去安装多余的软件,后面我们就来研究一下如何解决这个问题。
三、尝试解决
首先我们不安装任何工具,看一下错误提示,我这里使用的是Windows系统:
couldn't load wpcap.dll
提示我们没有找到wpcap.dll,这很好理解,我们的确没有,先来看看dll在系统内的加载顺序:
EXE所在目录
↓
当前目录GetCurrentDirectory();
↓
系统目录GetSystemDirectory();
↓
WINDOWS目录GetWindowsDirectory();
↓
环境变量PATH所包含的目录。
那解决办法就很简单了,去下载一个wpcap.dll放到exe所在目录不就行了吗,但事实证明这样并不行,还是提示没有找到链接库。随后,我又调用了一些Windows的接口,手动设置dll的目录:
package main
import (
"fmt"
"github.com/google/gopacket/pcap"
"golang.org/x/sys/windows"
"os"
"path/filepath"
"unsafe"
)
func main() {
kernel32, err := windows.LoadDLL("kernel32.dll")
if err != nil {
fmt.Println(err.Error())
return
}
proc, err := kernel32.FindProc("AddDllDirectory")
if err != nil {
fmt.Println(err.Error())
return
}
// 获取绝对路径
absolute,err := os.Executable()
if err != nil {
fmt.Println(err.Error())
return
}
absolute = filepath.Join(absolute,"../")
utf16Ptr, err := windows.UTF16FromString(absolute)
if err != nil {
fmt.Println(err.Error())
return
}
r1, r2, err := proc.Call(uintptr(unsafe.Pointer(&utf16Ptr[0])))
fmt.Println(r1, r2, err)
version := pcap.Version()
fmt.Println(version)
}
结果还是找不到链接库,到这里,我们能用的方法都失效了。在谷歌上,也有类似的问题,但是没人能给出解决方案,都是让我们安装Winpcap,问题好像无解。
四、解决方案
使用dependency查看内部依赖
在折腾了几个小时候,找到了一个解决方案:
将wpcap.dll复制一份到system32目录
将packet.dll复制一份到system32目录
将npf.sys驱动复制一份到system32下的drivers目录
现在就不需要安装任何软件也可以调用gopacket
fmt.Println(pcap.Version())
输出
WinPcap version 4.1.3 (packet.dll version 4.1.0.2980), based on libpcap version 1.0 branch 1_0_rel0b (20091008)
关于“Go怎么快速实现驱动层流量抓包”的内容就介绍到这里了,感谢大家的阅读。如果想了解更多行业相关的知识,可以关注编程之家行业资讯频道,小编每天都会为大家更新不同的知识点。
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。