5154-vc分析pcap包解析dns

使用VC调用libpcap接口读取pcap文件，解析DNS协议字段，提取域名查询与响应

基于VC++的PCAP文件DNS解析详解

环境准备与工具选择

1 开发环境配置

组件	版本/说明
操作系统	Windows 10/11
开发工具	Visual Studio 2019+（推荐使用Community免费版）
依赖库	libpcap for Windows（WinPcap 或 Npcap）
编程语言	C++

2 关键工具说明

Wireshark：用于生成/导出PCAP测试文件（建议使用sample.pcap示例包）
libpcap：网络数据包捕获库，Windows平台需安装WinPcap或Npcap驱动
VS配置：
1. 新建C++控制台项目
2. 在项目属性中配置：
  - 包含目录：添加<libpcap安装路径>\Include
  - 库目录：添加<libpcap安装路径>\Lib
  - 链接器输入：wpcap.lib（注意32/64位匹配）

PCAP文件读取流程

1 核心API调用顺序

pcap_t *handle = pcap_open_offline("test.pcap", errbuf);
if (pcap_loop(handle, 0, packet_handler, NULL) < 0) { /* 错误处理 */ }
pcap_close(handle);

2 数据包处理回调函数

void packet_handler(u_char *user, const struct pcap_pkthdr *header, const u_char *packet) {
    // 1. 解析以太网帧
    // 2. 提取IP层数据
    // 3. 判断传输层协议（TCP/UDP）
    // 4. 解析应用层DNS数据
}

DNS协议解析实现

1 DNS报文结构

偏移量	字段	大小(字节)	说明
0	标识符	2	匹配请求与响应
2	标志位	2	QR:0=查询,1=响应；OPCODE等
4	问题数	2	固定为1
6	回答资源记录数	2
8	权威记录数	2
10	附加记录数	2
12	查询部分	可变	QNAME+QTYPE+QCLASS

2 关键解析步骤

协议识别：通过IP头部的Protocol字段（UDP=17）过滤DNS流量
端口验证：检查源/目的端口是否为53（DNS默认端口）
域名解析：
- 解析QNAME字段的压缩格式
- 处理指针(0xc0)跳转
- 将标签长度编码转换为ASCII字符串

3 域名解析示例代码

std::string parse_qname(const u_char *dns_payload, int offset) {
    std::string domain;
    int pointer = offset;
    while (true) {
        int len = dns_payload[pointer];
        if (len == 0) break; // 结束符
        if ((len & 0xc0) == 0xc0) { // 压缩指针
            pointer = (dns_payload[pointer+1] << 8) + dns_payload[pointer];
        } else {
            domain += std::string((char*)(dns_payload+pointer+1), len) + ".";
            pointer += len + 1;
        }
    }
    return domain.substr(0, domain.size()1); // 去掉末尾点号
}

完整代码实现

1 主程序框架

#include <pcap.h>
#include <iostream>
#include <vector>
#include <cstring>
#include <netinet/ip.h>
#include <netinet/udp.h>
// DNS头部结构体
struct dns_header {
    unsigned short id;
    unsigned short flags;
    unsigned short qcount;
    unsigned short ancount;
    unsigned short nscount;
    unsigned short arcount;
};
// UDP载荷解析函数
void parse_udp(const u_char *packet, int size) {
    // IP头部长度计算
    struct ip *ip_hdr = (struct ip*)packet;
    int ip_header_length = ip_hdr>ip_hl * 4;
    // UDP头部解析
    struct udphdr *udp_hdr = (struct udphdr*)(packet + ip_header_length);
    int udp_length = ntohs(udp_hdr>len);
    // 校验端口号
    if (ntohs(udp_hdr>source) != 53 && ntohs(udp_hdr>dest) != 53) return;
    // DNS载荷提取
    const u_char *dns_payload = packet + ip_header_length + sizeof(struct udphdr);
    int dns_length = udp_length sizeof(struct udphdr);
    // 解析DNS头部
    dns_header *dns_hdr = (dns_header*)dns_payload;
    if (ntohs(dns_hdr>qcount) != 1) return; // 只处理单查询
    // 定位查询部分
    int query_offset = sizeof(dns_header);
    std::string qname = parse_qname(dns_payload, query_offset);
    // 输出解析结果
    std::cout << "DNS查询: " << qname << std::endl;
}
// 全局回调函数
void packet_handler(u_char *user, const struct pcap_pkthdr *header, const u_char *packet) {
    parse_udp(packet, header>len);
}
int main() {
    char errbuf[PCAP_ERRBUF_SIZE];
    pcap_t *handle = pcap_open_offline("sample.pcap", errbuf);
    if (!handle) {
        std::cerr << "打开PCAP文件失败: " << errbuf << std::endl;
        return 1;
    }
    pcap_loop(handle, 0, packet_handler, NULL);
    pcap_close(handle);
    return 0;
}

常见问题与调试技巧

1 字节序处理

网络字节序(BigEndian)与主机字节序转换：

ntohs(dns_hdr>id) // 将网络字节序转换为主机字节序

结构体对齐问题：使用#pragma pack(1)确保结构体按字节对齐

2 压缩域名解析

处理指针(0xc0)的循环引用问题：
- 使用递归解析或迭代解析算法
- 维护已解析域名的缓存表
示例压缩域名：\xc0\x0c表示指向偏移量0x00c的字符串

3 异常包处理

非标准DNS端口处理：允许配置自定义端口范围（如5353）
畸形包过滤：增加协议字段校验（如QCOUNT必须为1）
超长域名处理：设置最大递归深度（建议不超过10级跳转）

一	二	三	四	五	六	日
				1	2	3
4	5	6	7	8	9	10
11	12	13	14	15	16	17
18	19	20	21	22	23	24
25	26	27	28	29	30	31

5154

Good Luck To You!

vc分析pcap包解析dns2025-07-07 17:52:31

基于VC++的PCAP文件DNS解析详解

环境准备与工具选择

1 开发环境配置

2 关键工具说明

PCAP文件读取流程

1 核心API调用顺序

2 数据包处理回调函数

DNS协议解析实现

1 DNS报文结构

2 关键解析步骤

3 域名解析示例代码

完整代码实现

1 主程序框架

常见问题与调试技巧

1 字节序处理

2 压缩域名解析

3 异常包处理

相关问题与解答

Q1：如何区分DNS查询和响应包？

Q2：如何扩展支持DNSoverHTTPS（DoH）解析？