linux平台libpcap函数分析及流程(…

最新推荐文章于 2024-06-20 00:31:08 发布
最新推荐文章于 2024-06-20 00:31:08 发布
阅读量1.5k 收藏
点赞数 1
分类专栏: 计算机网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/czmpersist/article/details/9288201
版权

     在linux平台libpcap函数分析及流程(1)中讲述了一些常用函数的使用,在这篇文章中将介绍源码实现,本源码在ubuntu9.0下顺利运行。

 

#include

#include
#include

#define CAP_LEN 2048

int main(int argc, char *argv[])
{
    bpf_u_int32 netaddr = 0, mask = 0;  
    int caplen=CAP_LEN;
    char errbuf[PCAP_ERRBUF_SIZE];

 

    char * device; 
    device=pcap_lookupdev(errbuf);  
    if (device == NULL)               
        exit(printf("%s n", errbuf));       
    #ifdef _DEBUG_       
       printf("device is %s /n",device);       
    #endif 

 

    pcap_t * phandle;    
    phandle = pcap_open_live(device, caplen, 1, 512, errbuf); 
    if(phandle == NULL)
       exit(printf("%s/n",errbuf));

    //返回pcap_open_live被调用后的snapshot参数值
    int i=pcap_snapshot(phandle);
    if(caplen < i)
                
        printf("snaplen raised from %d to %d /n", caplen, i);                      
        caplen=i;               
    }

 

    if(pcap_lookupnet(device, &netaddr, &mask, errbuf) < 0)
                        
        netaddr=0;                      
        mask=0;                      
        printf("%s/n", errbuf);       
    }

 

    struct bpf_program fcode;   
    if (pcap_compile(phandle, &fcode, "", 1, mask) < 0)              
         exit(printf("Error %s/n","pcap_compile"));

 

    if (pcap_setfilter(phandle, &fcode) < 0)              
        exit(printf("Error %s/n","pcap_setfilter"));

 

    system("ifconfig");

 

    struct pcap_pkthdr pkthdr;
    const unsigned char * packet = NULL;
    while(1)
    {
         packet = pcap_next(phandle, &pkthdr);

         printf("success\n");

         //……
       
    }

    pcap_close(phandle);
    return 0;
}

 

结构的内部定义:

struct pcap_pkthdr
{
      struct timeval ts;   ts是一个结构struct timeval,它有两个部分,第一部分是1900开始以来的秒数,第二部分是当前秒之后的毫秒数
      bpf_u_int32 caplen;  表示抓到的数据长度
      bpf_u_int32 len;     表示数据包的实际长度
}

 

    几乎所有的操作系统(BSD, AIX, Mac OS, Linux等)都会在内核中提供过滤数据包的方法,主要都是基于BSD Packet Filter(BPF)结构的。libpcap利用BPF来过滤数据包。
    BPF使用一种类似于汇编语言的语法书写过滤表达式,不过libpcap和tcpdump都把它封装成更高级且更容易的语法了,具体可以man tcpdump。
以下是一些例子:
 src host 192.168.1.177          //只接收源ip地址是192.168.1.177的数据包
 dst port 80                     //只接收tcp/udp的目的端口是80的数据包
 not tcp                         //只接收不使用tcp协议的数据包
 tcp[13] == 0x02 and (dst port 22 or dst port 23)   

//只接收SYN标志位置位且目标端口是22或23的数据包(tcp首部开始的第13个字节)
 icmp[icmptype] == icmp-echoreply or icmp[icmptype] == icmp-echo   

//只接收icmp的ping请求和ping响应的数据包
 ehter dst 00:e0:09:c1:0e:82      //只接收以太网mac地址是00:e0:09:c1:0e:82的数据包
 ip[8] == 5                       //只接收ip的ttl=5的数据包(ip首部开始的第8个字节)

 

      文章中具体介绍了捕获数据包的源码,最后还列举了一些过滤表达式的用法,希望看了文章以后能对抓包有一定的认识。最后,我还想多说几句,每个人抓到包的目的不一样,可以根据自己的需要将包进行解包,然后重新组包,这些都可以做到,不过我提醒一点,要对捕获的数据包的数据分析,要将TCP/IP协议深入的学习,理解,这不是一朝一夕的事,然后在编写代码时,不同的系统底层对TCP/IP协议的实现有一些小的差别,个人根据自己的系统加以修改,编写出适合自己需求的程序。

寧靜以致遠
关注
专栏目录
linux下pcap文件解析头文件,Linux下如何操作 pcap 文件
weixin_35275073的博客
04-28 1059
Linux下如何操作 pcap 文件发布时间:2017-12-20 09:36:28来源:红联作者:Ronny导读 如果你是一个测试入侵侦测系统或一些网络访问控制策略的网络管理员,那么你经常需要抓取数据包并在离线状态下分析这些文件。当需要保存捕获的数据包时,我们一般会存储为 libpcap 的数据包格式 pcap,这是一种被许多开源的嗅探工具以及捕包程序广泛使用的格式。如果 pcap 文件被用于...
linux下使用libpcap
photon222的博客
01-28 528
Libpcap是一个开源C库,它提供了一个API,用于直接从Unix衍生操作系统的数据链路层捕获数据包。它被流行的数据包捕获应用程序(如tcpdump和snort)使用,使它们能够在几乎任何风格的Unix上运行。下面是一个基于libpcap的简单数据包嗅探器应用程序的示例, 该示例通过libpcap库接收数据链路层frame数据包,重组为TCP数据流,或UDP数据包,带有TCP重传、乱序缓存等功能。
Linux离线安装之libpcap记录
最新发布
weixin_44357871的博客
06-20 626
因工作原因需要在离线的环境安装libpcap,查了许多资料终于解决了环境问题
Linux 网络编程—— libpcap 详解
xiaoxianerqq的专栏
12-07 1184
转自 : http://blog.csdn.net/lianghe_work/article/details/45173295   Linux 网络编程—— libpcap 详解 2015-04-21 17:22 1473人阅读 评论(2) 收藏 举报  分类: libpcap Linux_高级网络编程(40)  版权声明
Linux环境下libpcap库源代码分析
韩大卫@blog
10-17 4558
linux环境下libpcap 源代码分析 韩大卫@吉林师范大学 libpcap 源代码官方下载地址: git clone https://github.com/the-tcpdump-group/libpcap.git tcpdumpm源代码官方下载地址: git clone git://bpf.tcpdump.org/tcpdump tcpdump.c使用libpcap里的pcap
libpcap
yuan08shandong的博客
12-31 1234
//pcaptest.htypedef struct{//定义以太网的头部数据类型 u_char dmac[6]; u_char smac[6]; u_char etype[2]; }ETHHEADER; typedef struct{//IP 层数据包报文头部的数据类型 u_char version:4; u_char header_len:4; u_char
linuxlibpcap抓包分析.pdf
11-04
libpcapLinux平台下的一款强大的网络抓包分析工具,能够抓取和分析网络流量。本文将对libpcap的基本原理、抓包流程、数据类型定义和API函数进行详细的介绍。 一、libpcap的基本原理 libpcap是一个基于BSD Packet...
linux 平台libpcap 源代码
09-03
综上所述,libpcapLinux平台上的应用涉及到网络监控、安全分析和故障排查等多个领域。通过理解和使用libpcap,开发者可以构建自己的数据包捕获和分析工具,为网络管理和安全提供强大支持。对于希望深入研究Linux...
libpcap源码及分析
08-14
标题"libpcap源码及分析"指出我们将探讨的是一个与libpcap相关的项目,其中可能包括libpcap的原始代码和对其功能、结构和实现方式的详细解读。libpcap是一个在Linux操作系统下广泛使用的开源库,它允许程序员访问...
linux下的libpcap抓包分析程序
11-13
基于linux的用c编写的抓包分析程序,可给出包的端口信息,ip地址信息,包的长度,包的类型及其他。
socket+linux基础编程+libpcap抓包+网络抓包.rar
07-14
本压缩包系东北大学软件学院信息安全专业 《程序实践2》所用 代码及报告仅供参考 libpcap环境搭建等等基础linux程序设计 ├─libpcap环境搭建 ├─Linux-PDF Version │ ├─第一讲--Linux 导论 │ ├─第三讲--Linux C 程序设计基础 │ ├─第二讲--Linux 文件系统与基本指令集 │ ├─第五讲--Linux 多进程与多线程程序设计 │ └─第四讲--Linux 文件系统程序设计 ├─PPT │ └─PPT ├─zhou-code │ ├─lab │ ├─lib │ └─socket ├─基于libpcap的C编程 └─报告
libpcap源代码分析及网络数据包过滤机制
04-03
### libpcap源代码分析及网络数据包过滤机制详解 #### 一、引言 `libpcap`作为Unix/Linux平台下的核心网络数据包捕获库,在网络安全、网络监控以及故障排查等领域扮演着极其重要的角色。它不仅为开发人员提供了...
linux 下 tcpdump 详解 前篇(libpcap库源码分析
bie_niu1992的专栏
08-23 1811
一 概述 用简单的话来定义tcpdump,就是:dump the traffic on a network,根据使用者的定义对网络上的数据包进行截获的包分析工具。 至于tcpdump参数如何使用,这不是本章讨论的重点。 liunx系统抓包工具,毫无疑问就是tcpdump。而windows的抓包工具,wireshark也是一款主流的抓包工具。wireshark 使用了winpcap库。tcpdump...
Linux下使用Qt + libpcap
贝勒里恩的博客
05-16 1113
Libpcap是的英文缩写,即数据包捕获函数库。该库提供的C函数接口用于捕捉经过指定网络接口的数据包,该接口应该是被设为混杂模式。这个在原始套接子中有提到。著名的软件TCPDUMP就是在Libpcap的基础上开发而成的。Libpcap提供的接口函数实现和封装了与数据包截获有关的过程。Libpcap提供了用户级别的网络数据包捕获接口,并充分考虑到应用程序的可移植性。Libpcap可以在绝大多数Linux平台上运行。Wincap。它的工作在上层应用程序与网络接口之间。数据包捕获:捕获流经网卡的原始数据包。
libpcap编程实例
diaoyo2388的博客
01-08 312
1 #include <stdio.h> 2 #include <stdlib.h> 3 #include <pcap.h> 4 #include <errno.h> 5 #include <sys/socket.h> 6 #include <netinet/in.h> ...
一个好的libpcap例子
千里之行 始于足下
05-29 949
发现一个好的libpcap入门实例地址如下:
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值