使用libpcap获取http报文

最新推荐文章于 2024-05-21 09:31:27 发布
最新推荐文章于 2024-05-21 09:31:27 发布
阅读量601 收藏 6
点赞数 1
文章标签: 网络
原文链接:http://www.cnblogs.com/wenqiang/p/5773336.html
版权

在上一篇博客中简单对libpcap库基本函数及基本工作流程做了些简单说明,

今天我们先了解一下pcap_loop()及pcap_dispatch()函数的功能及作用:

(1)pcap_loop()循环进行数据包的抓取:

函数原型如下:

 1        typedef void (*pcap_handler)(u_char *user, const struct pcap_pkthdr *h,
 2                                    const u_char *bytes);
 3 
 4        int pcap_loop(pcap_t *p, int cnt, pcap_handler callback, u_char *user);
 5        /*参数说明:
 6             功能:循环捕获数据包,不会响应pcap_open_live()函数设置的超时时间
 7             参数 pcap_t *p: p是嗅探器会话句柄
 8             参数 cnt:cnt用于设置所捕获数据包的个数,负数的cnt表示pcap_loop永远循环抓包,直到出现错误。
 9             参数callback:是个回调函数指针,它的原型如下:
10             typedef void (*pcap_handler)(u_char *user, const struct pcap_pkthdr *h,
11                                    const u_char *bytes);
12             参数 user:用来给回调函数传递参数的,在callback函数当中只有第一个user指针是可以留给用户使用的,
13             如果你想给callback传递自己参数,那就只能通过pcap_loop的最后一个参数user来实现了*/
14             
15             struct pcap_pkthdr {
16                 struct timeval ts;  /* time stamp */ 
17                 bpf_u_int32 caplen; /* length of portion present */
18                 bpf_u_int32 len;    /* length this packet (off wire) */
19             };
20             //ts——时间戳
21             //caplen——真正实际捕获的包的长度
22             //len——这个包的长度
23 
24     /*因为在某些情况下你不能保证捕获的包是完整的,例如一个包长1480,但是你捕获到1000的时候,
25 可能因为某些原因就中止捕获了,所以caplen是记录实际捕获的包长,也就是1000,而len就是1480。*/

(2)pcap_dispatch()这个函数和pcap_loop()非常类似,只是在超过to_ms毫秒后就会返回(to_ms是pcap_open_live()的第4个参数)

下面是函数原型:

1        int pcap_dispatch(pcap_t *p, int cnt,
2                pcap_handler callback, u_char *user);

说完两个函数的作用,下面我们开始自制我们自己的sniffer,改程序的功能是循环抓取以太网报文并获取其中的http报文,解析并显示其相应的url及长度

下面直接贴出代码:

  1 #include <stdio.h>  
  2 #include <string.h>
  3 #include <stdlib.h>
  4 #include <stdint.h>
  5 #include <pcap.h>  
  6 #include <time.h>
  7 #include <netinet/in.h>
  8 #include <arpa/inet.h>
  9 #include <linux/if_ether.h>
 10 #include <linux/ip.h>
 11 #include <linux/tcp.h>
 12 
 13 #define DEVICE            "enp0s3"
 14 #define URL_MAX_LEN        2048
 15 #define MAX_HOST_LEN    1024
 16 #define MAX_GET_LEN        2048
 17 
 18 #define get_u_int8_t(X,O)  (*(uint8_t *)(((uint8_t *)X) + O))
 19 #define get_u_int16_t(X,O)  (*(uint16_t *)(((uint8_t *)X) + O))
 20 #define get_u_int32_t(X,O)  (*(uint32_t *)(((uint8_t *)X) + O))
 21 #define get_u_int64_t(X,O)  (*(uint64_t *)(((uint8_t *)X) + O))
 22 
 23 /*Display Ethernet Header*/
 24 void show_ethhdr(struct ethhdr *eth)
 25 {
 26     printf("----------------eth---------------------\n");
 27     printf("destination eth addr: %02x:%02x:%02x:%02x:%02x:%02x\n",
 28         eth->h_dest[0], eth->h_dest[1],
 29         eth->h_dest[2], eth->h_dest[3],
 30         eth->h_dest[4], eth->h_dest[5]);
 31     printf("source eth addr: %02x:%02x:%02x:%02x:%02x:%02x\n",
 32         eth->h_source[0], eth->h_source[1],
 33         eth->h_source[2], eth->h_source[3],
 34         eth->h_source[4], eth->h_source[5]);
 35     printf("protocol is: %04x\n", ntohs(eth->h_proto));
 36 }
 37 
 38 /*Display IP Header*/
 39 void show_iphdr(struct iphdr *ip)
 40 {
 41     struct in_addr addr;
 42 
 43     printf("----------------ip----------------------\n");
 44     printf("version: %d\n", ip->version);
 45     printf("head len: %d\n", ip->ihl * 4);
 46     printf("total len: %d\n", ntohs(ip->tot_len));
 47     printf("ttl: %d\n", ip->ttl);
 48     printf("protocol: %d\n", ip->protocol);
 49     printf("check: %x\n", ip->check);
 50     addr.s_addr = ip->saddr;
 51     printf("saddr: %s\n", inet_ntoa(addr));
 52     addr.s_addr = ip->daddr;
 53     printf("daddr: %s\n", inet_ntoa(addr));
 54 }
 55 
 56 /*Display TCP Header*/
 57 void show_tcphdr(struct tcphdr *tcp)
 58 {
 59     printf("----------------tcp---------------------\n");
 60     printf("tcp len: %d\n", sizeof(struct tcphdr));
 61     printf("tcp->doff: %d\n", tcp->doff * 4);
 62     printf("source port: %d\n", ntohs(tcp->source));
 63     printf("dest port: %d\n", ntohs(tcp->dest));
 64     printf("sequence number: %d\n", ntohs(tcp->seq));
 65     printf("ack sequence: %d\n", ntohs(tcp->ack_seq));
 66 }
 67 
 68 int parse_http_head(const u_char *payload, int payload_len, char *url)
 69 {
 70     int line_len, offset;
 71     int ustrlen;
 72     int hstrlen; //"host: " 
 73     int hostlen;
 74     int getlen; 
 75     char host[MAX_HOST_LEN];
 76     char get[MAX_GET_LEN]; 
 77     int a, b;
 78     
 79     /*filter get packet*/
 80     if(memcmp(payload, "GET ", 4)) {
 81         return 0;
 82     }
 83 
 84     for(a = 0, b = 0; a < payload_len - 1; a++) {
 85         if (get_u_int16_t(payload, a) == ntohs(0x0d0a)) {
 86             line_len = (u_int16_t)(((unsigned long) &payload[a]) - ((unsigned long)&payload[b]));
 87     
 88             if (line_len >= (9 + 4)
 89                 && memcmp(&payload[line_len - 9], " HTTP/1.", 8) == 0) {
 90                 memcpy(get, payload + 4, line_len - 13); //"GET  HTTP/1.x" 13bit
 91                 getlen = line_len - 13;
 92             }   
 93             /*get url host of pcaket*/
 94             if (line_len > 6 
 95                 && memcmp(&payload[b], "Host:", 5) == 0) {
 96                 if(*(payload + b + 5) == ' ') {
 97                     hstrlen = b + 6;
 98                 } else {
 99                     hstrlen = b + 5;
100                 }
101                 hostlen = a - hstrlen;   
102                 memcpy(host, payload + hstrlen, (a - hstrlen));
103             }   
104             b = a + 2;
105         }   
106     }
107     offset =  7;
108     memcpy(url, "http://", offset);
109     memcpy(url + offset, host, hostlen);
110     offset += hostlen;
111     memcpy(url + offset, get, getlen);
112 
113     return strlen(url);
114 }
115 
116 void packet_http_handle(const u_char *tcp_payload, int payload_len)
117 {    
118     int url_len;
119     char url[URL_MAX_LEN];
120     
121     url_len = parse_http_head(tcp_payload, payload_len, url);
122     if (url_len <= 7) {
123         return;    
124     }
125     printf("----------------HTTP---------------------\n");
126     printf("url_len: %d\n", url_len);
127     printf("url: %s\n", url);
128 }
129 
130 int prase_packet(const u_char *buf,  int caplen)
131 {
132     uint16_t e_type;
133     uint32_t offset;
134     int payload_len;
135     const u_char *tcp_payload;
136     
137     /* ether header */
138     struct ethhdr *eth = NULL;
139     eth = (struct ethhdr *)buf;
140     e_type = ntohs(eth->h_proto);
141     offset = sizeof(struct ethhdr);
142     show_ethhdr(eth);
143 
144     /*vlan 802.1q*/    
145     while(e_type == ETH_P_8021Q) {
146         e_type = (buf[offset+2] << 8) + buf[offset+3];
147         offset += 4;
148     }  
149     if (e_type != ETH_P_IP) {
150         return -1;
151     }   
152 
153     /* ip header */    
154     struct iphdr *ip = (struct iphdr *)(buf + offset);
155     e_type = ntohs(ip->protocol);
156     offset += sizeof(struct iphdr);
157     show_iphdr(ip);
158      
159     if(ip->protocol != IPPROTO_TCP) {
160         return -1;
161     }
162 
163     /*tcp header*/
164     struct tcphdr *tcp = (struct tcphdr *)(buf + offset);
165     offset += (tcp->doff << 2);
166     payload_len = caplen - offset;
167     tcp_payload = (buf + offset);
168     show_tcphdr(tcp);
169 
170     /*prase http header*/
171     packet_http_handle(tcp_payload, payload_len);
172     
173     return 0;
174 }
175 
176 void get_packet(u_char *user, const struct pcap_pkthdr *pkthdr, const u_char *packet)
177 {
178     static int count = 0;
179     printf("\n----------------------------------------\n");
180     printf("\t\tpacket %d\n", count);
181     printf("----------------------------------------\n");
182     printf("Packet id: %d\n", count);
183     printf("Packet length: %d\n", pkthdr->len);  
184     printf("Number of bytes: %d\n", pkthdr->caplen);  
185       printf("Recieved time: %s\n", ctime((const time_t *)&pkthdr->ts.tv_sec));
186 
187     prase_packet(packet, pkthdr->len);
188     count++;
189 }
190 
191 int main()  
192 {  
193     char errBuf[PCAP_ERRBUF_SIZE]; /*error Buff*/
194     struct pcap_pkthdr packet;  /*The header that pcap gives us*/
195     pcap_t *dev; /*network interface*/
196     bpf_u_int32 netp, maskp; 
197     char *net, *mask;
198     struct in_addr addr;
199     int ret;
200 
201     /*look up device network addr and mask*/
202     if(pcap_lookupnet(DEVICE, &netp, &maskp, errBuf)) {
203         printf("get net failure\n");
204         exit(1);
205     }
206     addr.s_addr = netp;
207     net = inet_ntoa(addr);
208     printf("network: %s\n", net);
209     
210     addr.s_addr = maskp;
211     mask = inet_ntoa(addr);
212     printf("mask: %s\n", mask);
213 
214     /*open network device for packet capture*/
215     dev = pcap_open_live(DEVICE, 65536, 1, 0, errBuf);
216     if(NULL == dev) {
217         printf("open %s failure\n", DEVICE);
218         exit(1);
219     }
220     
221     /*process packets from a live capture or savefile*/
222     pcap_loop(dev, 0, get_packet, NULL);
223     
224     /*close device*/
225     pcap_close(dev);
226 
227     return 0; 
228 } 
229

下面是运行结果:

 1 ----------------------------------------
 2                 packet 3667
 3 ----------------------------------------
 4 Packet id: 3667
 5 Packet length: 198
 6 Number of bytes: 198
 7 Recieved time: Mon Aug 15 04:07:20 2016
 8 
 9 ----------------eth---------------------
10 destination eth addr: 00:90:0b:12:58:2b
11 source eth addr: 08:00:27:25:e7:52
12 protocol is: 0800
13 ----------------ip----------------------
14 version: 4
15 head len: 20
16 total len: 184
17 ttl: 64
18 protocol: 6
19 check: f793
20 saddr: 192.168.16.125
21 daddr: 119.84.70.22
22 ----------------tcp---------------------
23 tcp len: 20
24 tcp->doff: 20
25 source port: 55420
26 dest port: 80
27 sequence number: 12053
28 ack sequence: 5286
29 ----------------HTTP---------------------
30 url_len: 54
31 url: http://cc.stream.qqmusic.qq.com/C200003a0iyj2fOc6y.m4a

 

转载于:https://www.cnblogs.com/wenqiang/p/5773336.html

anyifu6885
关注
  • 1
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
原始pcap文件
10-07
使用libpcap库过滤pcap文件中的数据包》文章中使用的原始输入文件。
libpcap文件格式分析
weixin_33724046的博客
08-04 195
第一部分:PCAP包文件格式 一 基本格式:    文件头 数据包头数据报数据包头数据报...... 二、文件头:       文件头结构体  sturct pcap_file_header  {       DWORD           magic;       DWORD           version_major;       DWORD           ver...
c语言编程题报文解析,C语言解析pcap文件得到HTTP信息实例
weixin_35801437的博客
05-19 495
程序功能为解析由Wireshark生成的pcap文件。实现步骤:1)用Wireshark软件抓包得到test.pcap文件2)程序:分析pcap文件头 -> 分析pcap_pkt头 -> 分析帧头 -> 分析ip头 -> 分析tcp头 -> 分析http信息#include#include#include#include#include#define BUFSIZE ...
Winpcap解析HTTP报文
03-25
Winpcap捕获网卡上的数据包,过滤出TCP的包,解析出HTTP报文
libpcap 详解源代码
04-02
Linux 网络编程—— libpcap 详解,相关教程链接如下: http://blog.csdn.net/tennysonsky/article/details/44811899
libpcap报文捕获---例子
02-28
基于libpcap库解析TCP/IP/ETHERNET报文,并可以保存数据流的小程序,环境为LINUX+libpcap. 编译方式:gcc niffer.c list.h -o niffer -lpcap
AndroidStudio 3.1 使用libpcap示例
07-15
AndroidStudio 3.1 使用libpcap研究,没有学过android/java。。。只是业余研究,想自己写个抓包程序。
libpcapy:Python库可通过ctypes使用libpcap
05-10
脂蛋白Libpcapy是libpcap的Python包装器, libpcap是用C编写的用于用户级数据包捕获的接口。 开发该库的动机是在使用Python进行编程时需要高性能的数据包嗅探器(具有较高的数据包处理速率)。 该项目使用ctypes库。...
libpcap库以及使用方法
08-19
pcap下c与java的库
libpcap(winpcap)捕获数据包与存储和读取
10-29
libpcap(winpcap)捕获数据包与存储和读取 环境 libpcap + Qt Creator
协议分析-libpcap的安装与使用
weixin_40021744的博客
07-24 310
下载源代码 http://www.tcpdump.org/release/ 通过 tar zxvf libpcap-1.0.0.tar.gz 解压文件。 进入文件目录后依次执行 ./configure make && make install 配置过程中缺少什么就使用 sudo apt install xx 安装 实例代码 代码的作用是读取一个 .pcap 文件,并解析其中的T...
使用MPLS解决BGP的路由黑洞(详解)
qq_64302290的博客
05-18 297
我们知道在MPLS中数据的转发不再依靠路由表而是靠标签(注意:标签是在路由的基础上形成的)。所以在BGP中,我们依靠的就是这个特性来解决BGP的路由黑洞。BGP路由黑洞的解释:BGP的路由黑洞其实就是路由层面可达,数据层面不可达。(你可以收到对方的路由,但是不能和对方通讯。
【无标题】思科交换路由中路由引入实验指南
m0_74259494的博客
05-20 307
路由引入是网络设计中的一个重要概念,它允许不同路由协议之间的路由信息交换。在思科网络设备中,路由引入可以增强网络的连通性和效率。本文将介绍路由引入的基本概念,并通过一个实验来演示如何在思科路由器中实现路由引入。通过本次实验,我们学习了路由引入的概念,并在思科路由器上成功实现了RIP和OSPF协议之间的路由引入。2. **路由汇总**:将多个路由汇总为一个更广泛的路由,以减少路由表的大小并优化路由信息的传播。1. **重分布**:将一种路由协议的路由信息引入到另一种路由协议中。### 步骤4:路由引入配置。
计算机网络
zengkui198513的博客
05-15 450
上面的每一个问题是每一层都必须面对的也都必须要解决的。每一层而且必须要覆盖上面的信息!
云服务器遇到攻击怎么办,有哪些安全措施
dexunyun的博客
05-18 614
DDoS攻击对云服务器安全构成了严重威胁,但通过采取合适的防护策略,我们可以有效地降低攻击的影响。选择可靠的云服务提供商、部署DDoS防护服务是保护云服务器免受DDoS攻击的有效措施。德迅云安全提供了多种防护解决方案,可以帮助企业有效防止DDoS攻击,保护云服务器的安全,保障业务稳定。
嵌入式学习
qq_46068832的博客
05-19 320
【代码】嵌入式学习。
用docker命令行操作远程的Dockerd daemon服务
zhang197093的博客
05-15 463
本地安装Dockerd服务太耗本机磁盘空间了,共用已有的Dockerd服务能够节省一部分空间。
MQTT 异常断开(一)
最新发布
m0_50668851的博客
05-21 434
MQTT异分析问题总结 前提:MQTT是基于TCP层再次封装,MQTT是不关心TCP层的实现与传输,但是如果TCP链路出现异常(丢失TCP ACK,网络延时TCP ACK等)一定会导致MQTT断开连接。 MQTT代理服务器存在如下问题: a.代理服务器,对于连接时没有及时处理收到模块关于TCP层的 TCP ACK(Seq确认包),出现重传MQTT Connect Ack。模块内部MQTT的处理逻辑,NQTT收到Connect Ack之后,模块已经准备就绪,回码OK, 但是客户......
libpcap报文信息读取
09-05
以下是一个简单的示例代码,演示如何使用libpcap库读取报文信息: ```c #include #include void packet_handler(u_char *user_data, const struct pcap_pkthdr *pkthdr, const u_char *packet) { // 在这里处理...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值