用Pcap获取报文

已于 2024-03-09 12:02:36 修改
阅读量941 收藏
点赞数 1
分类专栏: 网络编程 文章标签: 网络 linux c语言
于 2022-03-10 19:43:03 首次发布
原文链接:https://www.tcpdump.org/pcap.html
版权

1.PCAP工作流程

1.选择嗅探的设备(Linux eth0,FreeBSD xll),或者让PCAP选择一个。

2.初始PCAP,通过会话(session)来区分多个嗅探,通过handle来处理嗅探。

3.捕获想要捕获的报文。设置规则集合(RuleSet)–>编译规则–>应用规则

4.嗅探循环,会话会一直等待指定报文的到来。在抓取到报文后可以存储,或者是打印给用户。

5.关闭会话

一、选择嗅探设备
#include <stdio.h>
#include <stdlib.h>
#include <pcap.h>


int main(int argc, char *argv[]){

        char *dev, errbuf[PCAP_ERRBUF_SIZE];
        pcap_t *handle;

        dev = pcap_lookupdev(errbuf); // interface
        if (dev == NULL) {
            fprintf(stderr, "Couldn't find default device: %s\n", errbuf);
            return(2);
        }
        printf("Device: %s\n", dev);


        exit(0);
}
二、开启嗅探会话
pcap_t *pcap_open_live(char *device, int snaplen, int promisc, int to_ms,
    char *ebuf);
device 是嗅探设备
snaplen捕获报文的最大长度
promisc 混杂模式
to_ms 读取时间间隔
errbuf 错误信息

模式区别:非混杂模式只捕获直连网络的报文

#include <stdio.h>
#include <stdlib.h>
#include <pcap.h>

int main(int argc, char *argv[]){


        char *dev, errbuf[PCAP_ERRBUF_SIZE];
        pcap_t *handle;

        dev = pcap_lookupdev(errbuf); // interface
        if (dev == NULL) {
            fprintf(stderr, "Couldn't find default device: %s\n", errbuf);
            return(2);
        }
        printf("Device: %s\n", dev);

        handle = pcap_open_live(dev, BUFSIZ, 1, 1000, errbuf);
        if (handle == NULL) {
                fprintf(stderr, "Couldn't open device %s: %s\n", dev, errbuf);
                return(2);
        }



        exit(0);
}

测试本机是否支持链路层报文

#include <stdio.h>
#include <stdlib.h>
#include <pcap.h>

int main(int argc, char *argv[]){


        char *dev, errbuf[PCAP_ERRBUF_SIZE];
        pcap_t *handle;

        dev = pcap_lookupdev(errbuf); // interface
        if (dev == NULL) {
            fprintf(stderr, "Couldn't find default device: %s\n", errbuf);
            return(2);
        }
        printf("Device: %s\n", dev);

        handle = pcap_open_live(dev, BUFSIZ, 1, 1000, errbuf);
        if (handle == NULL) {
                fprintf(stderr, "Couldn't open device %s: %s\n", dev, errbuf);
                return(2);
        }

if (pcap_datalink(handle) != DLT_EN10MB) {
	fprintf(stderr, "Device %s doesn't provide Ethernet headers - not supported\n", dev);
	return(2);
}

pcap_close(handle);
        exit(0);
}
三、捕获报文
int pcap_compile(pcap_t *p, struct bpf_program *fp,

	const char *str, int optimize, bpf_u_int32 netmask);
	
p是处理会话的handle
fp是存放编译版本的地方
str是过滤规则字符串参见
optimize是否优化
netmask为ipv4的子网掩码

int pcap_setfilter(pcap_t *p, struct bpf_program *fp)
p是会话的handle
fp同pcap_compile()的fp

int pcap_lookupnet(const char *device, bpf_u_int32 *netp,


        bpf_u_int32 *maskp, char *errbuf)

//为指定嗅探设备找到关联的IP地址与子网掩码
device嗅探的设备
netp与maskp都是bpf_u_int32的指针
errbuf是错误信息

#include <stdio.h>
#include <stdlib.h>
#include <pcap.h>

int main(int argc, char *argv[]){

 pcap_t *handle;                 /* Session handle */
        char *dev;                      /* The device to sniff on */
        char errbuf[PCAP_ERRBUF_SIZE];  /* Error string */
        struct bpf_program fp;          /* The compiled filter */
        char filter_exp[] = "port 53";  /* The filter expression */
        bpf_u_int32 mask;               /* Our netmask */
        bpf_u_int32 net;                /* Our IP */
        struct pcap_pkthdr header;      /* The header that pcap gives us */
        const u_char *packet;           /* The actual packet */

        /* Define the device */
        dev = pcap_lookupdev(errbuf);
        if (dev == NULL) {
                fprintf(stderr, "Couldn't find default device: %s\n", errbuf);
                return(2);
        }
        /* Find the properties for the device */
        if (pcap_lookupnet(dev, &net, &mask, errbuf) == -1) {
                fprintf(stderr, "Couldn't get netmask for device %s: %s\n", dev, errbuf);
                net = 0;
                mask = 0;
        }
        /* Open the session in promiscuous mode */
        handle = pcap_open_live(dev, BUFSIZ, 1, 1000, errbuf);
        if (handle == NULL) {
                fprintf(stderr, "Couldn't open device %s: %s\n", dev, errbuf);
                return(2);
        }
        /* Compile and apply the filter */
        if (pcap_compile(handle, &fp, filter_exp, 0, net) == -1) {
                fprintf(stderr, "Couldn't parse filter %s: %s\n", filter_exp, pcap_geterr(handle));
                return(2);
        }
        if (pcap_setfilter(handle, &fp) == -1) {
                fprintf(stderr, "Couldn't install filter %s: %s\n", filter_exp, pcap_geterr(handle));
                return(2);
        }
pcap_close(handle);

exit(0);
}
分析和使用报文
u_char *pcap_next(pcap_t *p, struct pcap_pkthdr *h)
h是一个有关报文信息的结构体
返回一个指向报文的指针
只返回捕获的第一个
struct pcap_pkthdr {
	struct timeval ts; /* 时间 time stamp */
	bpf_u_int32 caplen; /* 分隔长度 length of portion present */
	bpf_u_int32 len; /* 报文长度 length this packet (off wire) */
};

int pcap_loop(pcap_t *p, int cnt, pcap_handler callback, u_char *user)
cnt需要嗅探的报文数目
callback是一个回调函数

回调函数原型
void got_packet(u_char *args, const struct pcap_pkthdr *header,
    const u_char *packet);
args就是user
header是包的结构体信息指针
u_char *packet如何使用?
  1. 首先定义一些需要用的报文的结构体,以及一些宏定义。
/* Ethernet addresses are 6 bytes */
#define ETHER_ADDR_LEN	6

/* Ethernet header */
struct sniff_ethernet {
	u_char ether_dhost[ETHER_ADDR_LEN]; /* Destination host address */
	u_char ether_shost[ETHER_ADDR_LEN]; /* Source host address */
	u_short ether_type; /* IP? ARP? RARP? etc */
};

/* IP header */
struct sniff_ip {
	u_char ip_vhl;		/* version << 4 | header length >> 2 */
	u_char ip_tos;		/* type of service */
	u_short ip_len;		/* total length */
	u_short ip_id;		/* identification */
	u_short ip_off;		/* fragment offset field */
#define IP_RF 0x8000		/* reserved fragment flag */
#define IP_DF 0x4000		/* don't fragment flag */
#define IP_MF 0x2000		/* more fragments flag */
#define IP_OFFMASK 0x1fff	/* mask for fragmenting bits */
	u_char ip_ttl;		/* time to live */
	u_char ip_p;		/* protocol */
	u_short ip_sum;		/* checksum */
	struct in_addr ip_src,ip_dst; /* source and dest address */
};
#define IP_HL(ip)		(((ip)->ip_vhl) & 0x0f)
#define IP_V(ip)		(((ip)->ip_vhl) >> 4)

/* TCP header */
typedef u_int tcp_seq;

struct sniff_tcp {
	u_short th_sport;	/* source port */
	u_short th_dport;	/* destination port */
	tcp_seq th_seq;		/* sequence number */
	tcp_seq th_ack;		/* acknowledgement number */
	u_char th_offx2;	/* data offset, rsvd */
#define TH_OFF(th)	(((th)->th_offx2 & 0xf0) > 4)
	u_char th_flags;
#define TH_FIN 0x01
#define TH_SYN 0x02
#define TH_RST 0x04
#define TH_PUSH 0x08
#define TH_ACK 0x10
#define TH_URG 0x20
#define TH_ECE 0x40
#define TH_CWR 0x80
#define TH_FLAGS (TH_FIN|TH_SYN|TH_RST|TH_ACK|TH_URG|TH_ECE|TH_CWR)
	u_short th_win;		/* window */
	u_short th_sum;		/* checksum */
	u_short th_urp;		/* urgent pointer */
};
  1. 处理方式
/* ethernet headers are always exactly 14 bytes */
#define SIZE_ETHERNET 14

const struct sniff_ethernet *ethernet; /* The ethernet header */
const struct sniff_ip *ip; /* The IP header */
const struct sniff_tcp *tcp; /* The TCP header */
const char *payload; /* Packet payload */

u_int size_ip;
u_int size_tcp;

----------------------------------------------------
ethernet = (struct sniff_ethernet*)(packet);
ip = (struct sniff_ip*)(packet + SIZE_ETHERNET);
size_ip = IP_HL(ip)*4;
if (size_ip < 20) {
	printf("   * Invalid IP header length: %u bytes\n", size_ip);
	return;
}
tcp = (struct sniff_tcp*)(packet + SIZE_ETHERNET + size_ip);
size_tcp = TH_OFF(tcp)*4;
if (size_tcp < 20) {
	printf("   * Invalid TCP header length: %u bytes\n", size_tcp);
	return;
}
payload = (u_char *)(packet + SIZE_ETHERNET + size_ip + size_tcp);

原文链接: Programming with pcap.
This document is Copyright 2002 Tim Carstens. All rights reserved. Redistribution and use, with or without modification, are permitted provided that the following conditions are met:

Redistribution must retain the above copyright notice and this list of conditions.
The name of Tim Carstens may not be used to endorse or promote products derived from this document without specific prior written permission.
/* Insert ‘wh00t’ for the BSD license here */

_不会dp不改名_
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
报文格式-PCAP文件格式详解
村中少年的专栏
12-17 8406
分析pcap文件格式,在wireshark中显示了pcap文件头的一些信息
Python dpkt模块解析pcap报文
热门推荐
村中少年的专栏
09-07 1万+
介绍一下如何使用python的dpkt模块对于pcap报文进行解析,报文解码,报文解析工具
c语言基于Linux下用libpcap实现抓包程序
qq_28657577的博客
06-20 2255
c语言基于libpcap实现一个抓包程序过程      基于pcap的嗅探器程序的总体架构,其流程如下:(1)首先要决定用哪一个接口进行嗅探开始。在Linux中,这可能是eth0,而在BSD系统中则可能是xl1等等。我们也可以用一个字符串来定义这个设备,或者采用pcap提供的接口名来工作。(...基于pcap的嗅探器程序的总体架构,其流程如下:(1)首先要决定用哪一个接口进行嗅探开始。在Linux...
pcap文件理解
qq_54122067的博客
05-26 1530
Pcap文件中是二进制,使用winhex软件,打开是十六进制数,winhex是只有十六进制数,而wireshake自动将pcap中的数据包按照时间顺序将分开并赋予一个No.标号(标号是时间顺序)。:32位,一个UNIX格式的精确到秒时间值,用来记录数据包抓获的时间,记录方式是记录从格林尼治时间的1970年1月1日 00:00:00 到抓包时经过的秒数;ttl: 占据一个字节(8位),表示生存时间(Time to Live),用于限制数据包在网络中的生存时间,每经过一个路由器,TTL减1,直到为0时被丢弃。
pcap报文
游青的博客
04-23 549
import os import re import codecs import struct ‘’’ 一、pcap文件的格式为: 文件头 24字节 数据报头 + 数据报 数据包头为16字节,后面紧跟数据报 数据报头 + 数据报 … pcap.h里定义了文件头的格式 二、文件头字段 struct pcap_file_header { bpf_u_int32 magic; u_shor...
python解析pcap报文_scapy解析pcap文件
caoyongsheng的博客
09-08 3659
介绍如何使用 Python scapy 从pcap数据包中提取TLS/数据包的基本信息,例如SNI等。scapy 能够从pcap包中提取出数据包对象,可以直接通过pkt.show()输出显示数据包内容。pkts = rdpcap(infliestr) # 打开pcap文件,读取数据包内容nums=29 # 该pcap包中,下标为29的数据包为tls client hello。
DNS传输协议解析!pcap报文中的域名获取
chen1415886044的博客
04-11 3130
回想一下,当我们想访问谷歌的时候,通常输入域名(网址):https://www.google.com,其实这就是一个域名。 DNS 解析过程涉及将主机名(例如 https://www.google.com)转换为计算机友好的 IP 地址(例如 64.233.161.84)。Internet 上的每个设备都被分配了一个 IP 地址,必须有该地址才能找到相应的 Internet 设备 。就像使用街道地址来查找特定住所一样。 我们今天主要做的就是解析DNS协议中的域名。 域名系统(DNS) IP地址是计算机识别I
pcap报文格式和wireshak中的frame层
村中少年的专栏
05-12 4284
本文主要聊一聊pcap报文文件格式以及wireshark frame层的相关内容
Velodyne获取PCAP文件时间戳
Peloponnesian的博客
08-11 737
上一篇文章已经详细说明了利用ROS如何将PCAP文件转化为点云图及消息类型的转换。链接: Velodyne_msgs/VelodyneScan转PointCloud2并在RVIZ显示实时点云图. 第一种方法:直接在命令行添加参数 rosrun velodyne_driver velodyne_node _model:=32C _pcap:=$YOUR_PCAP_DATA_PATH.pcap _pcap_time:=true _read_once:=true 成功发布数据后可以看到INFO信息 Openin
【libpcap获取报文pcap的ns级别的时间戳
xuan196的博客
01-11 597
首先,下载最新的 libpcap 源代码。你可以从 tcpdump.org 获取最新版本。-lpcap 指示编译器链接 libpcap 库。帮助获取网络报文ns级别的时间戳。
pcaper 报文16进制打印转pcap数据包
09-09
Pcaper可以把报文的16进制输出(可包含回车空格)转换成wireshark可以识别的pcap格式报文
用于sip通话pcap音频
03-21
标题中的“用于sip通话pcap音频”表明这是一个与网络通信协议SIP(Session ...通过深入分析提供的pcap文件,我们可以获取到丰富的网络通信细节,这对于网络管理员、开发人员和安全专家来说都是非常有价值的资源。
onvif 抓包报文 onvif 抓包报文
07-07
10. **性能优化**:分析报文还可以评估系统性能,如请求响应时间、带宽使用等,为优化网络配置提供依据。 综上所述,对ONVIF抓包报文的分析是理解和调试ONVIF系统的关键,它揭示了设备与客户端间的通信细节,帮助...
pcap4j 实现本地抓包以及解析DNS
09-10
在标题“pcap4j 实现本地抓包以及解析DNS”中,我们关注的核心知识点是使用Pcap4J进行本地网络数据包的抓取以及DNS(Domain Name System)解析的过程。 首先,我们要理解什么是网络抓包。网络抓包是通过监听网络...
python使用scapy修改替换pcap的payload
01-21
python使用scapy修改替换pcap的payload 例如替换http get请求的内容,替换tcp负载内容
网安科班精选!爱荷华大学教授的网络安全零基础入门教程!
最新发布
互联网架构小马的博客
07-31 336
网络就像一把双刃剑,给我们的生活、交流、工作和发展带来了便利,但同时也给信息安全以及个人隐私带来了威胁。网络和信息安全问题不仅影响了网络的普及和应用,还关系到企国家、军队、企业的信息安全和社会的经济安全,让人又爱又恨。今天给大家分享的这份手册,主要从网络漏洞、协议和安全解决方案等方面来探讨网络安全问题。我们把网络看成是不安全和安全的源头,通过分析网络漏洞、探测、攻击和减少攻击的方法,来研究不同的网络协议。
Linux网络工具“瑞士军刀“集合
分享不一样的技术,与你一起共同成长!
07-26 413
下面结合之前的一些使用经验为大家介绍一下一些经典应用场景下,这个网络命令工具如何使用的。例如怎么查看当前服务器监听哪些端口、连接目标主机端口情况如何?平常我们在进行Linux服务器相关运维的时候,总会遇到一些网络相关的问题。我们可以借助这些小巧、功能强悍的工具帮助我们排查问题、解决问题...
网络安全在2024好入行吗?
2401_84466225的博客
07-29 591
024年的今天,慎重进入网安行业吧,目前来说信息安全方向的就业对于学历的容忍度比软件开发要大得多,还有很多高中被挖过来的大佬。
pcap捕获报文的函数
04-03
C语言中,可以使用libpcap库来捕获网络数据包。以下是一些常见的pcap捕获报文的函数: 1. pcap_open_live:打开网络接口并...以上是一些常见的pcap捕获报文的函数,使用这些函数可以实现网络数据包的捕获和处理。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值