据包进行分析：

while (true)
{
// 接收原始数据包信息
int ret = recv(sock, RecvBuf, BUFFER_SIZE, 0);
if (ret > 0)
{
// 对数据包进行分析，并输出分析结果
ip = *(IP*)RecvBuf;
tcp = *(TCP*)(RecvBuf + ip.HdrLen);
TRACE("协议： %s\r\n",GetProtocolTxt(ip.Protocol));
TRACE("IP源地址： %s\r\n",inet_ntoa(*(in_addr*)&ip.SrcAddr));
TRACE("IP目标地址: %s\r\n",inet_ntoa(*(in_addr*)&ip.DstAddr));
TRACE("TCP源端口号： %d\r\n",tcp.SrcPort);
TRACE("TCP目标端口号：%d\r\n",tcp.DstPort);
TRACE("数据包长度： %d\r\n\r\n\r\n",ntohs(ip.TotalLen));
}
}

　　其中，在进行协议分析时，使用了GetProtocolTxt()函数，该函数负责将IP包中的协议（数字标识的）转化为文字输出，该函数实现如下：

#define PROTOCOL_STRING_ICMP_TXT "ICMP"
#define PROTOCOL_STRING_TCP_TXT "TCP"
#define PROTOCOL_STRING_UDP_TXT "UDP"
#define PROTOCOL_STRING_SPX_TXT "SPX"
#define PROTOCOL_STRING_NCP_TXT "NCP"
#define PROTOCOL_STRING_UNKNOW_TXT "UNKNOW"
……
CString CSnifferDlg::GetProtocolTxt(int Protocol)
{
switch (Protocol){
case IPPROTO_ICMP : //1 /* control message protocol */
return PROTOCOL_STRING_ICMP_TXT;
case IPPROTO_TCP : //6 /* tcp */
return PROTOCOL_STRING_TCP_TXT;
case IPPROTO_UDP : //17 /* user datagram protocol */
return PROTOCOL_STRING_UDP_TXT;
default:
return PROTOCOL_STRING_UNKNOW_TXT;
}

　　最后，为了使程序能成功编译，需要包含头文件winsock2.h和ws2tcpip.h。在本示例中将分析结果用TRACE()宏进行输出，在调试状态下运行，得到的一个分析结果如下：

协议： UDP
IP源地址： 172.168.1.5
IP目标地址: 172.168.1.255
TCP源端口号： 16707
TCP目标端口号：19522
数据包长度： 78
……
协议： TCP
IP源地址： 172.168.1.17
IP目标地址: 172.168.1.1
TCP源端口号： 19714
TCP目标端口号：10
数据包长度： 200
……

　　从分析结果可以看出，此程序完全具备了嗅探器的数据捕获以及对数据包的分析等基本功能。

　　小结

　　本文介绍的以原始套接字方式对网络数据进行捕获的方法实现起来比较简单，尤其是不需要编写VxD虚拟设备驱动程序就可以实现抓包，使得其编写过程变的非常简便，但由于捕获到的数据包头不包含有帧信息，因此不能接收到与 IP 同属网络层的其它数据包, 如 ARP数据包、RARP数据包等。在前面给出的示例程序中考虑到安全因素，没有对数据包做进一步的分析，而是仅仅给出了对一般信息的分析方法。通过本文的介绍，可对原始套接字的使用方法以及TCP/IP协议结构原理等知识有一个基本的认识。本文所述代码在Windows 2000下由Microsoft Visual C++ 6.0编译调试通过。