一分钟讲明白libpcap使用

已于 2023-01-06 16:31:04 修改
阅读量1w 收藏 38
点赞数 13
分类专栏: 《网络编程实战》 文章标签: linux 网络 libpcap pcap 数据包
于 2022-03-01 13:00:36 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Hearbeat/article/details/123203223
版权

    libpcap是一个网络数据包捕获函数库,功能非常强大,Linux下著名的tcpdump就是以它为基础的。今天我们利用它来完成一个我们自己的网络嗅探器

一、libpcap安装
在http://www.tcpdump.org/下载libpcap(tcpdump的源码也可以从这个网站下载)
解压后

./configure
make
sudo make install

二、编写用例使用
1. 编写测试程序
test.c:

#include <pcap.h>
#include <time.h>
#include <stdlib.h>
#include <stdio.h>
 
void getPacket(u_char * arg, const struct pcap_pkthdr * pkthdr, const u_char * packet)
{
  int * id = (int *)arg;
 
  printf("id: %d\n", ++(*id));
  printf("Packet length: %d\n", pkthdr->len);
  printf("Number of bytes: %d\n", pkthdr->caplen);
  printf("Recieved time: %s", ctime((const time_t *)&pkthdr->ts.tv_sec));
 
  int i;
  for(i=0; i<pkthdr->len; ++i)
  {
    printf(" %02x", packet[i]);
    if( (i + 1) % 16 == 0 )
    {
      printf("\n");
    }
  }
 
  printf("\n\n");
}
 
int main()
{
  char errBuf[PCAP_ERRBUF_SIZE], * devStr;
 
  /* get a device */
  devStr = pcap_lookupdev(errBuf);
 
  if(devStr)
  {
    printf("success: device: %s\n", devStr);
  }
  else
  {
    printf("error: %s\n", errBuf);
    exit(1);
  }
 
  /* open a device, wait until a packet arrives */
  //pcap_t * device = pcap_open_offline("test.pcap",errBuf);     //读取本地文件作为网络包数据
  pcap_t * device = pcap_open_live(devStr, 65535, 1, 10, errBuf);
 
  if(!device)
  {
    printf("error: pcap_open_live(): %s\n", errBuf);
    exit(1);
  }
 
  /* construct a filter */
  struct bpf_program filter;
  pcap_compile(device, &filter, "tcp", 1, 0);
  pcap_setfilter(device, &filter);
 
  /* wait loop forever */
  int id = 0;
  pcap_loop(device, -1, getPacket, (u_char*)&id);
 
  pcap_close(device);
 
  return 0;
}

2. 使用libpcap库编译
Makefile:

all: test.c
    gcc -g -Wall -o test test.c -lpcap

clean:
    rm -rf *.o test

三、函数接口介绍
1.获取网络接口
首先我们需要获取监听的网络接口:
我们可以手动指定或让libpcap自动选择,先介绍如何让libpcap自动选择:
char * pcap_lookupdev(char * errbuf)
上面这个函数返回第一个合适的网络接口的字符串指针,如果出错,则errbuf存放出错信息字符串,errbuf至少应该是PCAP_ERRBUF_SIZE个字节长度的。注意,很多libpcap函数都有这个参数。
pcap_lookupdev()一般可以在跨平台的,且各个平台上的网络接口名称都不相同的情况下使用。
如果我们手动指定要监听的网络接口,则这一步跳过,我们在第二步中将要监听的网络接口字符串硬编码在pcap_open_live里。

2.释放网络接口
在操作为网络接口后,我们应该要释放它:
void pcap_close(pcap_t * p)
该函数用于关闭pcap_open_live()获取的pcap_t的网络接口对象并释放相关资源。

3.打开网络接口
获取网络接口后,我们需要打开它:
pcap_t * pcap_open_live(const char * device, int snaplen, int promisc, int to_ms, char * errbuf)
上面这个函数会返回指定接口的pcap_t类型指针,后面的所有操作都要使用这个指针。
第一个参数是第一步获取的网络接口字符串,可以直接使用硬编码。
第二个参数是对于每个数据包,从开头要抓多少个字节,我们可以设置这个值来只抓每个数据包的头部,而不关心具体的内容。典型的以太网帧长度是1518字节,但其他的某些协议的数据包会更长一点,但任何一个协议的一个数据包长度都必然小于65535个字节。
第三个参数指定是否打开混杂模式(Promiscuous Mode),0表示非混杂模式,任何其他值表示混合模式。如果要打开混杂模式,那么网卡必须也要打开混杂模式,可以使用如下的命令打开eth0混杂模式:
ifconfig eth0 promisc
第四个参数指定需要等待的毫秒数,超过这个数值后,第3步获取数据包的这几个函数就会立即返回。0表示一直等待直到有数据包到来。
第五个参数是存放出错信息的数组。

4.打开以前保存捕获数据包的文件
pcap_t *pcap_open_offline(char *fname, char *ebuf)
第一个参数 fname参数指定打开的文件名。该文件中的数据格式与tcpdump和tcpslice兼容。"-"为标准输入。
第二个参数 ebuf参数则仅在pcap_open_offline()函数出错返回NULL时用于传递错误消息。

5.获取数据包
打开网络接口后就已经开始监听了,那如何知道收到了数据包呢?有下面3种方法:
a)u_char * pcap_next(pcap_t * p, struct pcap_pkthdr * h)
如果返回值为NULL,表示没有抓到包
第一个参数是第2步返回的pcap_t类型的指针
第二个参数是保存收到的第一个数据包的pcap_pkthdr类型的指针
pcap_pkthdr类型的定义如下:

    struct pcap_pkthdr
    {
      struct timeval ts;    /* time stamp */
      bpf_u_int32 caplen;   /* length of portion present */
      bpf_u_int32 len;      /* length this packet (off wire) */
    };

注意这个函数只要收到一个数据包后就会立即返回
b)int pcap_loop(pcap_t * p, int cnt, pcap_handler callback, u_char * user)
第一个参数是第2步返回的pcap_t类型的指针
第二个参数是需要抓的数据包的个数,一旦抓到了cnt个数据包,pcap_loop立即返回。负数的cnt表示pcap_loop永远循环抓包,直到出现错误。
第三个参数是一个回调函数指针,它必须是如下的形式:
void callback(u_char * userarg, const struct pcap_pkthdr * pkthdr, const u_char * packet)
第一个参数是pcap_loop的最后一个参数,当收到足够数量的包后pcap_loop会调用callback回调函数,同时将pcap_loop()的user参数传递给它
第二个参数是收到的数据包的pcap_pkthdr类型的指针
第三个参数是收到的数据包数据
c)int pcap_dispatch(pcap_t * p, int cnt, pcap_handler callback, u_char * user)
这个函数和pcap_loop()非常类似,只是在超过to_ms毫秒后就会返回(to_ms是pcap_open_live()的第4个参数)

6.过滤数据包
我们抓到的数据包往往很多,如何过滤掉我们不感兴趣的数据包呢?
几乎所有的操作系统(BSD, AIX, Mac OS, Linux等)都会在内核中提供过滤数据包的方法,主要都是基于BSD Packet Filter(BPF)结构的。libpcap利用BPF来过滤数据包。
过滤数据包需要完成3件事:
a)构造一个过滤表达式
BPF使用一种类似于汇编语言的语法书写过滤表达式,不过libpcap和tcpdump都把它封装成更高级且更容易的语法了,具体可以man tcpdump,以下是一些例子:
src host 192.168.1.177 #只接收源ip地址是192.168.1.177的数据包
dst port 80#只接收tcp/udp的目的端口是80的数据包
not tcp#只接收不使用tcp协议的数据包
b)编译这个表达式
构造完过滤表达式后,我们需要编译它,使用如下函数:
int pcap_compile(pcap_t * p, struct bpf_program * fp, char * str, int optimize, bpf_u_int32 netmask)
fp:这是一个传出参数,存放编译后的bpf
str:过滤表达式
optimize:是否需要优化过滤表达式
metmask:简单设置为0即可
c)应用这个过滤器
最后我们需要应用这个过滤表达式:
int pcap_setfilter(pcap_t * p,  struct bpf_program * fp)
第二个参数fp就是前一步pcap_compile()的第二个参数

应用完过滤表达式之后我们便可以使用pcap_loop()或pcap_next()等抓包函数来抓包了。

7.分析数据包
我们既然已经抓到数据包了,那么我们要开始分析了,这部分需要自己完成,具体内容可以参考相关的网络协议说明。要特别注意一点,网络上的数据是网络字节顺序的,因此分析前需要转换为主机字节顺序(ntohs()函数)。

Leonban
关注
  • 13
    点赞
  • 38
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
libpcap库以及使用方法
08-19
pcap下c与java的库
Libpcap详细教程
06-15
Libpcap 详细教程,有需要的可以学习下。
Libpcap开发库的使用(最全指南!)(包含实操)
weixin_73727639的博客
04-09 1163
这与Linux操作系统对数据包的处理流程是相同的(网卡->网卡驱动->数据链路层->IP层->传输层->应用程序)。包捕获机制是在数据链路层增加一个旁路处理(并不干扰系统自身的网络协议栈的处理),对发送和接收的数据包通过Linux内核做过滤和缓冲处理,最后直接传递给上层应用程序。作为捕捉网络数据包的库,它是一个独立于系统的用户级的API接口,为底层网络检测提供了一个可移植的框架。可以看到,过滤器表达式的具体内容取决于你想要捕获的数据包的特定条件。3. 允许用户输入过滤器,根据过滤器过滤特定的数据包
【计网 从头自己构建协议】一、libpcap 介绍 & 手撕以太网帧
XcantloadX的博客
04-24 1798
理论的学习总是枯燥的,想要加深对理论的理解,最好的方法就是自己实践一遍。想要亲手实现各种协议,就必须能够接触底层 API。可惜的是,底层的 API 要么是在驱动里,要么是在系统里,都不对外开放,一般只能接触到运输层的 TCP/UDP。我们必须借助第三方库才能实现对底层操控。libpcap就是这样一个库,它帮我们实现了底层驱动,并将控制权向上开放,提供了发送和监听数据包的功能。著名的网络分析工具 Wireshark 就是基于这个库实现的。
工作记录---pcap_pkthdr结构详解
程序狗的成长之路
06-19 5264
原文:http://blog.sina.com.cn/s/blog_94d26ea60100w3kt.html
libpcap库学习
Kolane的博客
04-08 955
下面开始正式解如何使用libpcap: 首先要使用libpcap,我们必须包含pcap.h头文件,可以在/usr/local/include/pcap/pcap.h找到,其中包含了每个类型定义的详细说明。 1.获取网络接口 首先我们需要获取监听的网络接口: 我们可以手动指定或让libpcap自动选择,先介绍如何让libpcap自动选择:char *pcap_lookupdev(char * errbuf)上面这个函数返回第一个合适的网络接口的字符串指针,如果出错,则errbuf存放出错信息字符串,e.
libpcap详解
kking_edc的博客
07-20 6969
libpcap(packet capture library),即数据包捕获函数库,是Unix/Linux平台下的网络数据包捕获函数库。它是一个独立于系统的用户层的包捕获API接口,为底层网络监测提供了一个可移植的框架。 一、工作原理 libpcap主要由两部分组成:网络分接头(network tap)和数据过滤器(packet filter)。网络分接头从网络设备驱动程序中收集数据进行拷贝,过滤器决定是否接收该数据包libpcap利用BSD packet filter(BPF)算法对网卡接收到的链路层数
libpcap的简单应用
m0_67407774的博客
06-27 1047
(Packet Capture Library),即数据包捕获函数库。在网络包抓取中libpcap是非常常用的一个库,著名的tcpdump就是用它来实现的。libpcap是一个 与实现无关的访问操作系统所提供的分组捕获函数库,用于访问数据链路层。这个库为不同的平台提供了一致的C函数编程接口,在安装了 libpcap 的平台上,以 libpcap 为接口写的程序、应用,能够自由地跨平台使用。它支持多种操作系统。
libpcap简明教程
大草的博客
01-19 1486
libpcap简明教程
tcpdump原理之利用libpcap实现抓包
热门推荐
飞翔de刺猬
04-19 1万+
tcpdump原理之利用libpcap实现 (转载请标明出处,请勿用于商业用途) http://blog.csdn.net/linux_embedded/article/details/8826429 Linux 下赫赫有名的抓吧工具tcpdump,想必使用过的人都十分的清楚。但是,其实现的原理却很少人提及过,今天就tcpdump的实现原理做简单的介绍。 tcpdump 首先利
Libpcap使用指南
07-06
Libpcap的一些文档集合,有需要的人可以参考
AndroidStudio 3.1 使用libpcap示例
07-15
AndroidStudio 3.1 使用libpcap研究,没有学过android/java。。。只是业余研究,想自己写个抓包程序。
Libpcap使用简介.pdf
11-17
Libpcap使用简介,无线驱动开发技术相关资料,用兴趣可以自行下载。Libpcap使用简介,无线驱动开发技术相关资料,用兴趣可以自行下载。
libpcapy:Python库可通过ctypes使用libpcap
05-10
脂蛋白Libpcapy是libpcap的Python包装器, libpcap是用C编写的用于用户级数据包捕获的接口。 开发该库的动机是在使用Python进行编程时需要高性能的数据包嗅探器(具有较高的数据包处理速率)。 该项目使用ctypes库。...
Linux多进程(五) 进程池 C++实现
最新发布
Lyajpunov的博客
04-26 569
进程池是一种并发编程模式,用于管理和重用多个处理任务的进程。它通常用于需要频繁创建和销毁进程的情况,以避免因此产生的开销。减少进程创建销毁的开销:避免频繁创建和销毁进程所带来的系统资源开销。提高系统响应速度:由于进程已经初始化并且一直保持在内存中,可以立即分配执行任务,减少了任务等待时间。控制资源使用:通过限制进程池中的进程数量,可以控制系统资源的使用情况,避免资源过度消耗。
Linux——web服务配置
Xinan_____的博客
04-23 1046
GET:请求获取指定资源的表示形式。使用GET方法,客户端请求服务器发送某个资源。POST:向指定资源提交数据,用于处理表单提交、文件上传等操作。PUT:向指定资源位置上传其最新内容,用于更新资源。DELETE:请求服务器删除指定资源。HEAD:请求获取与实体相对应的头部信息,用于获取资源的元数据。OPTIONS:请求查询服务器支持的HTTP方法。TRACE:请求服务器回显收到的请求消息,用于测试或诊断。200 OK:请求成功。:永久重定向,请求的资源已经被分配了新的。
linux18:进程等待
m0_73919066的博客
04-20 1093
1:子进程创建的目的是要完成父进程指派的某个任务,当子进程运行完毕退出时,父进程需要通过进程等待的方式,回收子进程资源,获取子进程退出信息(子进程有无异常?没有异常结果是否正确?检查退出码查看错误原因)2:父进程如果一直不回收,就可能造成子进程‘僵尸进程’的问题,子进程一直得不到父进程的回收,进而造成内存泄漏。3:子进程一旦变成僵尸状态,那就刀枪不入,“杀人不眨眼”的kill -9 也无能为力杀死一个已经死去的进程。只能通过进程等待将他进行回收。
arm架构Linux5.0内核连接脚本文件vmlinux.lds.S分析
jianjian的博客
04-23 928
vmlinux.lds.S 是 Linux 内核中用于链接的脚本文件,用于定义内核对象文件的内存布局,即它告诉链接器如何将不同的内核代码段和数据段组合成一个最终的内核映像 vmlinux。编译内核源码生成内核文件的过程分两步,一个是“编译”,另一个是“链接”的过程,vmlinux.lds.S要做的就是告诉编译器如何链接编译好的各个内核.o文件,从而生成vmlinux文件。
Linux之C编程入门
qwertf123的博客
04-21 843
Linux之C编程入门
libpcap使用socket编程么
05-19
不是,libpcap是一个网络数据包捕获库,它并不使用socket编程。它允许你捕获和分析网络数据包,而不需要深入了解网络协议的细节,因此它被广泛用于网络安全、网络监控和网络故障排查等领域。libpcap提供了一组API来捕获和处理网络数据包,可以用C语言、C++、Python等语言进行编程。在使用libpcap时,你只需要指定要捕获的网络接口或者数据包过滤规则,然后就可以开始捕获和处理网络数据包了。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Leonban

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值