捕获TCP同步事件

假设您想要检测打开和关闭的套接字不是您的程序自己负责的，而是系统上的其他进程正在处理它，那么最好的方法可能是使用winpcap库。winpcap允许您订阅进入和离开网络接口的所有IP数据包的原始提要。您还可以提供一个过滤器，如"只显示端口22上的TCP数据包"。您的程序接收原始数据包，因此您获得以太网报头，然后是IP报头，然后是TCP报头，然后是数据有效负载(有效负载将为SFTP加密)。分析这些数据包，您将能够在连接时检测TCP握手，并知道正在连接的IP和端口，并检测TCP蒸汽何时关闭。

我自己不使用。net，但我确实在谷歌上找到了。net的winpcap包装器，它应该允许您从。net应用程序中使用winpcap。

WinPCAP。净包装