C++解析与生成PCAP抓包数据

最新推荐文章于 2023-07-26 10:47:02 发布
最新推荐文章于 2023-07-26 10:47:02 发布
阅读量7k 收藏 26
点赞数
分类专栏: 代码相关 抓包 PCAP
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/c520120/article/details/23827587
版权
代码相关 同时被 3 个专栏收录
7 篇文章 1 订阅
订阅专栏
抓包
1 篇文章 0 订阅
订阅专栏
PCAP
1 篇文章 0 订阅
订阅专栏 
#include <assert.h>
#include <stdio.h>
#include <stdlib.h>
#include <memory.h>
#include <math.h>
#include <time.h>
#include <WinSock2.h>
#include <io.h>
typedef unsigned int  bpf_u_int32;
typedef unsigned short u_short;
typedef int    bpf_int32;
typedef unsigned char  u_int8_t;
typedef unsigned short int u_int16_t;
typedef unsigned int  u_int32_t;
typedef struct pcap_file_header
{
    bpf_u_int32 magic;
    u_short version_major;
    u_short version_minor;
    bpf_int32 thiszone;
    bpf_u_int32 sigfigs;
    bpf_u_int32 snaplen;
    bpf_u_int32 linktype;
} pcap_file_header;
typedef struct timestamp
{
    bpf_u_int32 timestamp_s;
    bpf_u_int32 timestamp_ms;
} timestamp;
typedef struct pcap_header
{
    timestamp ts;
    bpf_u_int32 capture_len;
    bpf_u_int32 len;
} pcap_header;
typedef struct ether_header
{
    u_int8_t ether_dhost[6];        //destination mac address
    u_int8_t ether_shost[6]; //source mac address
    u_int16_t ether_type;  //ethernet type
} ether_header;

typedef struct ip_hdr
{
#if LITTLE_ENDIAN
    u_int8_t    ihl:4; //
    u_int8_t    version:4; //version
#else
    u_int8_t    version:4;
    u_int8_t    ihr:4;
#endif

    u_int8_t      tos;  //service type
    u_int16_t     tos_len; //total len
    u_int16_t     id;  //
    u_int16_t     frag_off; //offset
    u_int8_t      ttl;  //live time
    u_int8_t      protocol; //
    u_int16_t     chk_sum; //check sum
    struct in_addr    srcaddr; //source ip
    struct in_addr    dstaddr; //destnation ip
} ip_hdr;
//total length : 20Bytes
typedef struct tcp_hdr
{
    u_int16_t     src_port;  //source port
    u_int16_t     dst_port;  //destination port
    u_int32_t     seq_no;  //
    u_int32_t     ack_no;  //

    u_int8_t      reserved_1:4;
    u_int8_t      th1:4;  //tcp header length
    u_int8_t      flag:6;
    u_int8_t      reserverd_2:2;
    u_int16_t     wnd_size;  //16 bit windows
    u_int16_t     chk_sum;  //16 bits check sum
    u_int16_t     urgt_p;  //16 urgent p
} tcp_hdr;
//total length :8 Bytes
typedef struct udp_hdr
{
    u_int16_t src_port;
    u_int16_t dst_port;
    u_int16_t uh1;
    u_int16_t chk_sum;
} udp_hdr;
typedef struct raw_data_pcap
{
    u_int8_t   hostname[20];
    u_int8_t   *timestamp;
    u_int8_t   src_mac[6];
    u_int8_t   dst_mac[6];
    u_int16_t  NetL_type;

    u_int8_t   src_IP[4];
    u_int8_t   dst_IP[4];
    u_int8_t   TransL_type;
    u_int16_t  src_port;
    u_int16_t  dst_port;

    u_int8_t   *data;
} raw_data_pcap;
typedef struct pcap_ip_data_hdr_s {
    ip_hdr __hdr__;
    u_int32_t length;
} pcap_ip_data_hdr;
#define PCAP_IPDATA_HDR(obj) ((pcap_ip_data_hdr*)obj)
#define PCAP_IPHEADER(obj) ((ip_hdr*)obj)
typedef struct pcap_ip_raw_data_s {
    pcap_ip_data_hdr __hdr__;
    u_int8_t* data;
} pcap_ip_raw_data;
typedef struct pcap_raw_data_s {
    u_int8_t length;
    u_int8_t* data;
} pcap_raw_data;
typedef struct pcap_tcp_data_s {
    pcap_ip_data_hdr __hdr__;
    tcp_hdr hdr;
    u_int8_t* data;
} pcap_tcp_data;
typedef struct pcap_udp_data_s {
    pcap_ip_data_hdr __hdr__;
    udp_hdr hdr;
    u_int8_t* data;
} pcap_udp_data;
typedef struct pcap_link_s {
    pcap_header pcaphdr;
    ether_header etherhdr;
    void* data;
    struct pcap_link_s* next;
} pcap_link;
typedef struct pcap_s {
    pcap_file_header fhdr;
    pcap_link* link;
} pcap_data;
void free_pcap(pcap_data** pcap);
typedef enum pcap_result_s {
    PARSE_SUCCESS,
    PARSE_ERROR,
} pcap_result;
pcap_result parse_pcap(const char* fname,pcap_data**pcap)  ;
pcap_result parse_pcap(const char* fname,pcap_data**pcap) { 
    pcap_link* link=NULL;
    pcap_result result=PARSE_SUCCESS;
    ip_hdr iphdr;
    FILE* pRead = fopen(fname, "rb");
    long fsize=0;
    long foffset=0;

    if(!pRead) {
        result=PARSE_ERROR;
        goto Fail;
    }

    *pcap=(pcap_data*)calloc(1,sizeof(pcap_data));
    fseek(pRead,0,SEEK_END);
    fsize=ftell(pRead);
    fseek(pRead,0,SEEK_SET);

    if(sizeof(pcap_file_header)!=fread(&(*pcap)->fhdr, 1, sizeof(pcap_file_header), pRead)) {
        result=PARSE_ERROR;
        free_pcap(pcap);
        goto Fail;
    }

    while((fsize-(foffset=ftell(pRead)))) {
        u_int16_t ether_type=0;

        if(!link) {
            link=(pcap_link*)calloc(1,sizeof(pcap_link));
            (*pcap)->link=link;

        } else {
            link->next=(pcap_link*)calloc(1,sizeof(pcap_link));
            link=link->next;
        }

        if(sizeof(pcap_header)!=fread(&link->pcaphdr,1,sizeof(pcap_header),pRead)) {
            result=PARSE_ERROR;
            free_pcap(pcap);
            goto Fail;
        }

        if(sizeof(ether_header)!=fread(&link->etherhdr,1,sizeof(ether_header),pRead)) {
            result=PARSE_ERROR;
            free_pcap(pcap);
            goto Fail;
        }

        ether_type=ntohs(link->etherhdr.ether_type);

        switch(ether_type) {
            case 0x0800://ip
                if(sizeof(iphdr)!=fread(&iphdr,1,sizeof(iphdr),pRead)) {
                    result=PARSE_ERROR;
                    free_pcap(pcap);
                    goto Fail;
                }

                switch(iphdr.protocol) {
                    case 6://tcp
                    {
                        // tcp_hdr tcphdr;
                        pcap_tcp_data* tcpData=(pcap_tcp_data*)calloc(1,sizeof(pcap_tcp_data));
                        PCAP_IPDATA_HDR(tcpData)->length= link->pcaphdr.capture_len-sizeof(ether_header)-sizeof(ip_hdr)-sizeof(tcp_hdr);
                        *PCAP_IPHEADER(tcpData)=iphdr;

                        if(sizeof(tcp_hdr)!=fread(&tcpData->hdr,1,sizeof(tcp_hdr),pRead)) {
                            result=PARSE_ERROR;
                            free_pcap(pcap);
                            goto Fail;
                        }

                        tcpData->data=(u_int8_t*)calloc(1,PCAP_IPDATA_HDR(tcpData)->length);

                        if(PCAP_IPDATA_HDR(tcpData)->length!=fread(tcpData->data,1,PCAP_IPDATA_HDR(tcpData)->length,pRead)) {
                            result=PARSE_ERROR;
                            free_pcap(pcap);
                            goto Fail;
                        }

                        link->data=tcpData;

                        break;
                    }

                    case 17://udp
                    {
                        pcap_udp_data* udpData=(pcap_udp_data*)calloc(1,sizeof(pcap_udp_data));
                        PCAP_IPDATA_HDR(udpData)->length= link->pcaphdr.capture_len-sizeof(ether_header)-sizeof(ip_hdr)-sizeof(udp_hdr);
                        *PCAP_IPHEADER(udpData)=iphdr;

                        if(sizeof(udp_hdr)!=fread(&udpData->hdr,1,sizeof(udp_hdr),pRead)) {
                            result=PARSE_ERROR;
                            free_pcap(pcap);
                            goto Fail;
                        }

                        udpData->data=(u_int8_t*)calloc(1,udpData->__hdr__.length);

                        if(PCAP_IPDATA_HDR(udpData)->length!=fread(udpData->data,1,PCAP_IPDATA_HDR(udpData)->length,pRead)) {
                            result=PARSE_ERROR;
                            free_pcap(pcap);
                            goto Fail;
                        }

                        link->data=udpData;
                    }
                    break;

                    default:
                    {
                        pcap_ip_raw_data* rawData=(pcap_ip_raw_data*)calloc(1,sizeof(pcap_ip_raw_data));
                        PCAP_IPDATA_HDR(rawData)->length=link->pcaphdr.capture_len-sizeof(ether_header)-sizeof(ip_hdr);
                        *PCAP_IPHEADER(rawData)=iphdr;

                        if(PCAP_IPDATA_HDR(rawData)->length!=fread(rawData->data,1,PCAP_IPDATA_HDR(rawData)->length,pRead)) {
                            result=PARSE_ERROR;
                            free_pcap(pcap);
                            goto Fail;
                        }
                    }
                    break;
                }

                break;

            default:
            {
                pcap_raw_data* rawData=(pcap_raw_data*)calloc(1,sizeof(pcap_raw_data));
                rawData->length=link->pcaphdr.capture_len-sizeof(ether_header);
                rawData->data=(u_int8_t*)calloc(1,rawData->length);

                if(rawData->length!=fread(rawData->data,1,rawData->length,pRead)) {
                    result=PARSE_ERROR;
                    free_pcap(pcap);
                    goto Fail;
                }

                link->data=rawData;
            }
            break;
        }
    }

Fail:

    if(pRead) {
        fclose(pRead);
    }

    return result;
}
void free_pcap(pcap_data** pcap) {
    pcap_link* link=NULL;
    pcap_link* prv=NULL;
    link=(*pcap)->link;

    while(link) {
        int ether_type;
        ether_type=ntohs(link->etherhdr.ether_type);

        switch(ether_type) {
            case 0x0800:
            {
                switch(PCAP_IPDATA_HDR(link->data)->__hdr__.protocol)
                {
                    case 6://tcp
                    {
                        pcap_tcp_data* tcpData=(pcap_tcp_data*)link->data;
                        free(tcpData->data),tcpData->data=NULL;
                        free(tcpData),link->data=NULL;
                    }
                    break;

                    case 17://udp
                    {
                        pcap_udp_data* udpData=(pcap_udp_data*)link->data;
                        free(udpData->data),udpData->data=NULL;
                        free(udpData),link->data=NULL;

                    }
                    break;

                    default:
                    {
                        pcap_ip_raw_data* rawData=(pcap_ip_raw_data*)link->data;
                        free(rawData->data),rawData->data=NULL;
                        free(rawData),link->data=NULL;
                    }
                    break;
                }
            }
            break;

            default:
            {
                pcap_raw_data* rawData=(pcap_raw_data*)link->data;
                free(rawData->data),rawData->data=NULL;
                free(rawData),link->data=NULL;
            }
            break;
        }

        prv=link;
        link=link->next;
        free(prv);
        (*pcap)->link=link;
    }

    free(*pcap);
    *pcap=NULL;
}
int main()
{
    const char* readfile="C:/111.pcap";
	const char* writefile="C:/111_2.pcap";
    pcap_data* pcap=NULL;
    pcap_link* link=NULL; 
    FILE* pWrite = NULL;
    if(PARSE_SUCCESS!=parse_pcap(readfile,&pcap)) 
	{
		printf("parse pcap file error.");
		goto OVER;
	}
	pWrite=fopen(writefile, "wb");
	if(!pWrite){
		printf("con't create write file:%s",writefile);
		goto OVER;
	}
    link=pcap->link; 
    fwrite(&pcap->fhdr, 1, sizeof(pcap_file_header), pWrite);

    while(link) {
        int ether_type;
        fwrite(&link->pcaphdr, 1, sizeof(pcap_header), pWrite);
        fwrite(&link->etherhdr, 1, sizeof(ether_header), pWrite);
        ether_type=ntohs(link->etherhdr.ether_type);

        switch(ether_type) {
            case 0x0800:
                fwrite(&PCAP_IPDATA_HDR(link->data)->__hdr__, 1, sizeof(ip_hdr), pWrite);

                switch(PCAP_IPDATA_HDR(link->data)->__hdr__.protocol) {
                    case 6://tcp
                    {
                        pcap_tcp_data* tcpData=(pcap_tcp_data*)link->data;
                        fwrite(&tcpData->hdr, 1, sizeof(tcp_hdr), pWrite);
                        fwrite(tcpData->data, 1, PCAP_IPDATA_HDR(tcpData)->length, pWrite);
                    }
                    break;

                    case 17://udp
                    {
                        pcap_udp_data* udpData=(pcap_udp_data*)link->data;
                        fwrite(&udpData->hdr, 1, sizeof(udp_hdr), pWrite);
                        fwrite(udpData->data, 1, PCAP_IPDATA_HDR(udpData)->length, pWrite);

                    }
                    break;

                    default:
                    {
                        pcap_ip_raw_data* rawData=(pcap_ip_raw_data*)link->data;
                        fwrite(rawData->data, 1, PCAP_IPDATA_HDR(rawData)->length, pWrite);
                    }
                    break;
                }

                break;

            default:
            {
                pcap_raw_data* rawData=(pcap_raw_data*)link->data;
                fwrite(rawData->data, 1, rawData->length, pWrite);
            }
            break;
        }

        link=link->next;
    }
OVER:
    if(pWrite) fclose(pWrite);
    if(pcap) free_pcap(&pcap);
    return 0;
}

c520120
关注
  • 0
    点赞
  • 26
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
C++ 捕获与解析IP数据包 (winpcap
Fuguir™的博客
12-28 2万+
源代码链接:https://download.csdn.net/download/chd_lcj/10891420 (不知道为什么积分涨到4积分了。。。原先只是单纯的想分享下的,结果最低只能设置1积分) //网络编程学习经验记录贴 winpcap简介 WinPcap 是由伯克利分组捕获库派生而来的分组捕获库,它是在Windows 操作平台上来实现对底层包的截取过滤。 WinPcap...
C++基于WinPcap抓UDP包并解析内容
11-14
C++基于WinPcap抓UDP包并解析内容,VS2013环境,宽字节
PCAP文件的解析软件
07-12
具备WIRESHARK的大部分功能,主要是指针的偏移来完成的。对初学者有一定的帮助。
C++ 解析pcap文件
fulianzhou的专栏
06-08 3059
C++解析tcpdump抓取的包
c++ 读取pcap文件
小x的博客
04-06 3240
pcap.h #pragma once typedef unsigned int bpf_u_int32; typedef unsigned short u_short; typedef int bpf_int32; typedef struct pcap_file_header { bpf_u_int32 magic; u_short version_major; u_short version_minor; bpf_int32 thiszone; b
VS下c++解析pcap文件
最新发布
ljjjjjjjjjjj的博客
07-26 816
https://www.cnblogs.com/Chary/articles/15716063.html
C++实现pcap解析,并提取指定特征帧
weixin_47658332的博客
11-01 5215
最近这几天观察到了一个木马的网络通信特征,于是就打算通过代码实现针对该木马的检测过滤。刚开始学长提供了python编写的代码。但是在实际的工作中,每天所捕获的pcap包的数据总量很大,通常在5到15个G左右。这种情况下,python的运行时间极长,且占用大量的系统运行内存,甚至会出现卡死情况。于是我尝试用C去实现木马的过滤,因为C是偏底层的编程语言,可以自定义通信协议,所以其运行效率会更高。
java抓包后对pcap文件解析示例
09-04
Pcap文件是一种常见的抓包格式,它包含在网络中捕获的数据包信息。本示例将详细介绍如何使用Java解析pcap文件。 首先,我们需要理解Pcap文件的结构。Pcap文件由两部分组成:全局头部和数据包头部。全局头部提供了...
python 抓包保存为pcap文件并解析的实例
09-19
Python在网络安全领域中被广泛用于数据包的抓取和分析,本实例主要讲解如何使用Python的Scapy库来抓包并保存为pcap文件,以及后续如何解析这些pcap文件。 首先,我们要导入必要的模块,包括`os`用于文件操作,以及...
pcap4j 实现本地抓包以及解析DNS
09-10
前段时间搞抓包程序,使用Pcap4J实现,简单写了一个demo小程序,有需要的下。
libpcap(winpcap)捕获数据包与存储和读取
10-29
libpcap(winpcap)捕获数据包与存储和读取 环境 libpcap + Qt Creator
pcap文件解析
hola_f的博客
06-15 8596
看了很久终于搞清楚怎么解析pcap文件啦~以前的一个版本是我把pcap包保存成.txt,删除冗余项,然后再依照格式读入,输出相应格式。后来,我发现其他同学都是用.pcap格式直接读入的,然后我就不懂了,直接读入的pcap文件格式应该是什么样子的?根据实战经验,应该就是网上各种教程解析的那种格式,根据那种格式按字节读入就可以啦!下面上代码: 这个是pcap.h 里面定义了pcap文件的主要结构体。
Pcap解析
weixinhum
01-31 1万+
之前一直做视觉相关的工作,近期接触激光雷达才发现,激光雷达传感器厂商保存数据的方式一般采用Pcap包的形式,虽然不太清楚为什么要这么做,但不管清不清楚总归只能跟着它这么搞。 一个Pcap文件包括“Pcap报头”,“数据区”两个部分,其中数据区又分成多个数据包,每个包有报头和数据两个部分,总体结构可见下图: 其中固定大小的为“Pcap报头”和数据包中的“数据报头”。 “Pcap报头”大小为24个字...
C++编程->Winpcap网络数据保存为pcap文件
Rana专栏
08-26 2352
#ifdef _MSC_VER /* * we do not want the warnings about the old deprecated and unsecure CRT functions * since these examples can be compiled under *nix as well */ #define _CRT_SECURE_NO_WARNINGS #en
pcap读写pcap文件
weixin_30235225的博客
03-15 551
1 #include <stdio.h> 2 #include <stdint.h> 3 #include <stdlib.h> 4 5 #include <pcap.h> 6 7 /////////////////////////////////////////////////////////////////////////////...
C++使用winpcap生成wireshark可解析文件
gongxie0235的博客
09-14 763
#define HAVE_REMOTE #include "pcap.h" int test() { pcap_if_t* alldevs; pcap_if_t* d; pcap_t* adhandle; char errbuf[PCAP_ERRBUF_SIZE]; int inum; int i = 0; u_int netmask; char packet_filter[] = "ip and tcp"; struct bpf_program fcode;
C语言解析pcap文件得到HTTP信息实例(原创,附源码)
weixin_33854644的博客
01-08 563
原文:http://xiexiaohui.com.host2.ugocn.com/index.php/archives/34 转载请注明出处。来自 hello xiexh (xiexiaohui0921@163.com) 这是进公司写的一个练手程序,程序功能为解析由Wireshark生成pcap文件。 实现步骤:1)用Wireshark软件抓包得到test.pcap文件2)程序:分析pca...
pcap文件格式及写pcap文件
热门推荐
misslio的专栏
04-01 1万+
主题:pcap文件格式及写pcap文件   Pcap文件格式,这个网络上资料比较多,参考即可。   一、pcap文件格式(该部分引用网络资料) 原文网址:http://www.cnblogs.com/kernel0815/p/3803304.html 第一部分:PCAP包文件格式 (一)、基本格式:    文件头 数据包头数据数据包头数据报...... (二)、文件头: 文件
pcap 解析 c语言,C语言解析pcap文件得到HTTP信息实例(原创,附源码)
weixin_42392438的博客
05-19 410
#include#define BUFSIZE 10240#define STRSIZE 1024typedef long bpf_int32;typedef unsigned long bpf_u_int32;typedef unsigned short u_short;typedef unsigned long u_int32;typedef unsigned short u_int16;t...
使用pcap抓包要用到哪些方法
04-03
1. 打开网络适配器:使用pcap_open_live函数打开网络适配器,并指定需要监听的网络接口。 2. 设置过滤规则:可以使用pcap_compile函数编译BPF过滤规则,并使用pcap_setfilter函数设置过滤器。 3. 循环抓包:使用pcap_loop或pcap_dispatch函数循环抓包,将捕获到的数据包传给回调函数进行处理。 4. 关闭网络适配器:使用pcap_close函数关闭网络适配器,释放资源。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值