5_libpcap的使用例子

最新推荐文章于 2025-04-25 13:19:45 发布
最新推荐文章于 2025-04-25 13:19:45 发布
阅读量612 收藏 16
点赞数 7
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ACK_ACK/article/details/147200194
版权

1.简介

Libpcap是Packet Capture Libray的英文缩写,即数据包捕获函数库。该库提供的C函数接口用于捕捉经过指定网络接口的数据包,该接口应该是被设为混杂模式。这个在原始套接字中有提到。

2.功能

Libpcap主要有如下功能:

(1)数据包捕获

捕获流经本网卡的所有原始数据包,甚至对交换设备中的数据包也能够进行捕获,本功能是嗅探器的基础。

(2)自定义数据包发送

构造任意格式的原始数据包,并发送到目标网络,本功能是新协议验证、甚至攻击验证的基础。

(3)流量采集与统计

对所采集到的网络中的流量信息进行按照新规则分类,按指标进行统计,并输出到指定终端。利用这项功能可以分析目标网络的流量特性。

(4)规则过滤

Libpcap自带规则过滤功能,并提供脚本编程接口,能够按照用户编程的方式对已经采集到的数据包进行过滤,以便提高分析的性能。

3.原理

一个包捕获机制包含三个主要部分,分别是面向底层的包捕获引擎,面向中间层的数据包过滤器,面向应用层的用户接口。    

Linux操作系统对于数据包的处理流程是从底到上的方式,依次经历网络接口卡、网卡驱动层、数据链路层、IP层、传输层,最后到达应用程序。

Libpcap也是基于这种原理,Libpcap的捕获机制并不影响Linux操作系统中网络协议栈对数据包的处理。

对应用程序而言,Libpcap包捕获机制只是提供了一个统一的API接口,用户只需要按照相关的编程流程,简单地调用若干函数就可以捕获到感兴趣的数据包。

具体来说,Libpcap库主要由三个部分组成,网络分接头、数据包过滤器和用户API。

(1)网络分接头

网络分接头(Network Tap)是一种链路层旁路机制,负责采集网卡数据包。

(2) 数据包过滤器

数据包过滤器(Packet Filter)是针对数据包的一种过滤机制,在Libpcap中采用BPF(BSD Packet Filter)算法对数据包执行过滤操作,这种算法的基本思想就是基于规则匹配,对伊符合条件的额数据包进行放行。

(3) 用户API

用户API是Libpcap面向上层应用程序提供的编程接口,用户通过调用相关的函数实现数据包的捕获或者发送。

具体来说,Libpcap的工作原理可以描述为,当一个数据包到达网卡时,Libpcap利用创建的套接字从链路层驱动程序中获得该数据包的拷贝,即旁路机制,同时通过Tap函数将数据包发给BPF过滤器。

BPF过滤器根据用户已经定义好的过滤过则对数据包进行逐一匹配,若匹配成功则放入内核缓冲区,并传递给用户缓冲区,匹配失败则直接丢弃。如果没有设置过滤规则,所有的数据包都将放入内核缓冲区,并传递给用户缓冲区。    

    

4.实战例子

测试平台:ubuntu 14.04

1>周期性获取数据包

handle=pcap_open_live(nic_name,4096,1,5,errBuf);    if(NULL == handle){        printf("Unable to open the adapter. %s\n", nic_name);    }else{        int fd = pcap_get_selectable_fd(handle);        int buf_size;        socklen_t optlen = sizeof(buf_size);        if (getsockopt(fd, SOL_SOCKET, SO_RCVBUF, &buf_size, &optlen) == -1) {            perror("getsockopt failed");        }        printf("Kernel buffer size ===>>>>> : %d bytes\n", buf_size);                  buf_size = 320 * 1024;        setsockopt(fd, SOL_SOCKET, SO_RCVBUF, &buf_size, sizeof(buf_size));            setsockopt(fd, SOL_SOCKET, SO_SNDBUF, &buf_size, sizeof(buf_size));         // 设置用户态缓冲区大小为        pcap_set_buffer_size(handle, 320 * 1024);        fd = pcap_get_selectable_fd(handle);                   if (getsockopt(fd, SOL_SOCKET, SO_RCVBUF, &buf_size, &optlen) == -1) {            perror("getsockopt failed");        }        printf("NEW Recv Kernel buffer size ===>>>>> : %d bytes\n", buf_size);                   if (getsockopt(fd, SOL_SOCKET, SO_SNDBUF, &buf_size, &optlen) == -1) {            perror("getsockopt failed");        }        printf("NEW Send Kernel buffer size ===>>>>> : %d bytes\n", buf_size);                   struct bpf_program fp;        // const char *filter = "arp or (ether proto 0x8892) or ((ether proto 0x8100 or ether proto 0x88a8))"; // 根据实际情况调整        // const char *filter = "arp or (ether proto 0x88CC) or (ether proto 0x8892) or (ether proto 0x8100) or (ether proto 0x88a8) or ether proto 0x0800"; // 根据实际情况调整        const char *filter = "arp or ether proto 0x88CC or ether proto 0x8892 or ether proto 0x8100 or ether proto 0x88a8 or ether proto 0x0800"; // 根据实际情况调整        // 编译并应用 BPF 过滤器        if (pcap_compile(handle, &fp, filter, 0, PCAP_NETMASK_UNKNOWN) == -1) {            fprintf(stderr, "Error compiling filter: %s\n", pcap_geterr(handle));        }            if (pcap_setfilter(handle, &fp) == -1) {                fprintf(stderr, "Error setting filter: %s\n", pcap_geterr(handle));        }    }              while(1)    {        header.len = 0;        packet = pcap_next(handle,&header);        if(header.len == 0) {            continue;        }                   for(int i=0; i            printf("%02x ",packet[i]);            if(i%32 == 0){                printf("\n");            }        }

2>事件方式获取

// 回调函数原型void packet_handler(u_char *user, const struct pcap_pkthdr *hdr, const u_char *bytes){    (void)user; // 避免未使用参数警告    printf("Packet captured! Length: %d\n", hdr->len);              for(int i=0; i<len; i++){        printf("%02x ",bytes[i]);        if(i%32 == 0){            printf("\n");        }    }    // 在此解析数据包内容(如解析以太网/IP/TCP头)}              //2 event style    // 创建未激活的pcap句柄        handle = pcap_create(nic_name, errBuf);    if (handle == NULL) {        fprintf(stderr, "Could not create handle: %s\n", errBuf);        return 2;    }              // 设置缓冲区大小为 2MB(单位:字节)    if (pcap_set_buffer_size(handle, 2 * 1024 * 1024) != 0) {        fprintf(stderr, "Error setting buffer size\n");        return 3;    }              // 设置混杂模式(可选)    if (pcap_set_promisc(handle, 1) != 0) {        fprintf(stderr, "Could not set promiscuous mode\n");        return 4;    }              // 激活捕获会话    if (pcap_activate(handle) != 0) {        fprintf(stderr, "Activate error: %s\n", pcap_geterr(handle));        return 5;    }              // 开始事件循环,永久捕获数据包    printf("Starting packet capture...\n");    if (pcap_loop(handle, 0, packet_handler, NULL) < 0) {        fprintf(stderr, "pcap_loop failed: %s\n", pcap_geterr(handle));        return 8;}

          

 如需完整测试工程,可在公众号后台打赏后留言~

    

欢迎关注:

往期相关:

4_profinet主站连接从站报文抓取

3_profinet实时性调优

2_etherCAT通讯为什么那么快?

1_传统以太网为什么不具备实时性

1_eip_现场总线技术与工业以太网

EtherCAT协议概述

实时工业以太网概述

EtherCAT通信特点_7

工业以太网三剑客之EtherCAT_EtherCAT开发_6

EtherCAT开发_2_SSC使用记录

工业通讯Modbus简介(一)

工业以太网三剑客之——EtherNet/IP工业以太网三剑客之——Profinet

Pou光明
关注
139_libpcap工具包(==创建原始套接字+接受数据)_libpcap方式设置抓包规则,完成抓包
HanLongXia的博客
09-30 310
动图: 抓包理解: 过滤数据包 我们抓到的数据包往往很多,如何过滤掉我们不感兴趣的数据包呢? 几乎所有的操作系统( BSD, AIX, Mac OS, Linux 等)都会在内核中提供过滤数据包的方法,主要都是基于 BSD Packet Filter( BPF ) 结构的。libpcap 利用 BPF 来过滤数据包。 1)设置过滤条件 BPF 使用一种类似于汇编语言的语法书写过滤表达式,不过 libpcap 和 tcpdump 都把它封装成更高级且更容易的语法了,具体可以通过 man tcpdump查看:
Libpcap的介绍与简单使用
qq_43688708的博客
04-05 1703
Libpcap的介绍与简单使用
Libpcap开发库的使用(最全指南!)(包含实操)
weixin_73727639的博客
04-09 8501
这与Linux操作系统对数据包的处理流程是相同的(网卡->网卡驱动->数据链路层->IP层->传输层->应用程序)。包捕获机制是在数据链路层增加一个旁路处理(并不干扰系统自身的网络协议栈的处理),对发送和接收的数据包通过Linux内核做过滤和缓冲处理,最后直接传递给上层应用程序。作为捕捉网络数据包的库,它是一个独立于系统的用户级的API接口,为底层网络检测提供了一个可移植的框架。可以看到,过滤器表达式的具体内容取决于你想要捕获的数据包的特定条件。3. 允许用户输入过滤器,根据过滤器过滤特定的数据包。
libpcap库以及使用方法
08-19
pcap下c与java的库
libpcap网络数据包捕获与分析实战
最新发布
weixin_36235398的博客
04-25 776
libpcap是IT专业人员广泛应用的一个开源库,主要用于网络流量数据包的捕获和分析。它是Packet Capture Library的缩写,最初由Lawrence Berkeley National Laboratory开发。libpcap为各种操作系统提供了统一的接口,特别是UNIX和类UNIX系统,包括Linux,以及一些版本的FreeBSD和Mac OS X。libpcap的用途非常广泛,涵盖了网络监控、网络安全、性能测试、网络协议开发、以及教育科研等多个领域。
libpcap使用
qq_18607263的博客
10-25 527
int pcap_lookupnet(const char *, bpf_u_int32 *, bpf_u_int32 *, char *); 接口用于对特定的设备,获取32进制的网络号和掩码; 使用中,获取的ip是网络地址,不是ip地址; 与我们的理解不一致,但是这不是异常。 根据libpcap官方的issue上记录 pcap_lookupnet() is used to determine the network number and mask associated with the n.
libpcap库学习
Kolane的博客
04-08 1085
下面开始正式讲解如何使用libpcap: 首先要使用libpcap,我们必须包含pcap.h头文件,可以在/usr/local/include/pcap/pcap.h找到,其中包含了每个类型定义的详细说明。 1.获取网络接口 首先我们需要获取监听的网络接口: 我们可以手动指定或让libpcap自动选择,先介绍如何让libpcap自动选择:char *pcap_lookupdev(char * errbuf)上面这个函数返回第一个合适的网络接口的字符串指针,如果出错,则errbuf存放出错信息字符串,e.
Libpcap的简单使用
oooooops
01-02 532
参考了一些有用的资料: http://blog.csdn.net/htttw/article/details/7521053 http://blog.csdn.net/bat603/article/details/1176251 遇到问题: 1.得绑定eth0的ipv4地址。一开始找不到eth0,我连的是wlan,貌似只能捕获以太网的数据包,所以还是连线吧。 然后ifco
libpcap使用整理
qq_32038155的博客
09-07 3780
Libpcap是Packet Capture Libray的英文缩写,即数据包捕获函数库。该库提供的C函数接口用于捕捉经过指定网络接口的数据包,该接口应该是被设为混杂模式。这个在原始套接字中有提到。
java libpcap_libpcap详解
weixin_33516557的博客
02-19 672
libpcap(Packet Capture Library),即数据包捕获函数库,是Unix/Linux平台下的网络数据包捕获函数库。它是一个独立于系统的用户层包捕获的API接口,为底层网络监测提供了一个可移植的框架。一、libpcap工作原理libpcap主要由两部份组成:网络分接头(Network Tap)和数据过滤器(Packet Filter)。网络分接头从网络设备驱动程序中收集数据拷贝...
libpcap_例子
05-20
对于Linux系统而言,libpcap使用非常广泛。 ### 二、libpcap安装与编译 #### 安装过程 1. **配置**:通过`./configure`命令来配置安装选项。 2. **编译**:使用`make`命令进行编译。 3. **安装**:通过`make ...
libpcap-example.rar_ibpcap双加速
07-14
libpcap和ibpcap的例子代码,通常会展示如何使用它们提供的API来实现数据包捕获、过滤和分析等功能。这些示例对于开发者来说,是学习和理解这两者工作原理的宝贵资源。通过对这些代码的学习,我们可以了解如何在实际...
Linux 网络编程—— libpcap 详解
秋叶原 && Mike || 麦克
04-02 6万+
概述libpcap 是一个网络数据包捕获函数库,功能非常强大,Linux 下著名的 tcpdump 就是以它为基础的。libpcap主要的作用1)捕获各种数据包,列如:网络流量统计。2)过滤网络数据包,列如:过滤掉本地上的一些数据,类似防火墙。3)分析网络数据包,列如:分析网络协议,数据的采集。4)存储网络数据包,列如:保存捕获的数据以为将来进行分析。libpcap 的安装libpcap 的抓包框...
【数据包捕获技术】libpcap原理
yilun的专栏
05-19 5109
在当前高速网络环境中,如何实时、高效、完整、快速捕获数据包是能否准确分析网络数据的基础和网络安全防护系统的关键技术。目前已经有从硬件/软件/软硬结合多种解决方案被不断的提出,用于提升数据包转发与捕获的性能。 libpcap (Packet Capture Library),即数据包捕获函数库,是 Unix/Linux 平台下的网络数据包捕获函数库。它是一个独立于系统的用户层包捕获的 API 接口,为底层网络监测提供了一个可移植的框架。 libpcap 工作原理 libpcap 主要由两部份组成: 网
libpcap介绍(一)
木牛的博客
03-01 1115
Libpcap是Packet Capture Libray的英文缩写,即数据包捕获开源的C函数库,用于捕获网卡数据或分析pcap格式的抓包报文。Tcpdump和wireshark均是以此为基础的。主要功能有:网络报文抓取;网络报文的构建;抓包文件的分析;自定义BFP过滤。
【笔记】libpcap安装与使用
shandianchengzi的博客
08-13 9537
自用
libpcap简明教程
大草的博客
01-19 2231
libpcap简明教程
libpcap使用
热门推荐
htttw的专栏
04-28 13万+
libpcap使用 libpcap是一个网络数据包捕获函数库,功能非常强大,Linux下著名的tcpdump就是以它为基础的。今天我们利用它来完成一个我们自己的网络嗅探器(sniffer) 首先先介绍一下本次实验的环境: Ubuntu 11.04,IP:192.168.1.1,广播地址:192.168.1.255,子网掩码:255.255.255.0 可以使用
LIBPCAP】初识
俗科技的博客
11-14 775
官网地址:http://www.tcpdump.org/ 欢迎 ​ tcpdump是一个功能强大的命令行数据包分析器(使用libpcap,一个可移植的C/ c++库),用于网络流量捕获。 ​ 在这个页面中,您将找到tcpdump和libpcap的最新稳定版本,以及当前的开发快照、完整的文档,以及关于如何报告bug或提交补丁的信息。 文档 ​ 源代码包中以MAN页面格式提供了完整的文档。使...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值