PCAP网络编程

前段时间项目用过pcap做网络编程，主要做的是截包，发包等。以前想过用SOCKET_RAW，但是socket比pcap的报文要少一层。

好，下面开始记笔记 ：

 pcap_if_t * alldevs;//
pcap_findalldevs(&alldevs,szErrbuf);初始化所有的设备

     for(d= alldevs; d != NULL; d= d->next)
    {
        printf("%d. %s", ++i, d->name);
        if (d->description)
            printf(" (%s)/n", d->description);
        else
            printf(" (No description available)/n");
        ///通常在这里做比较 如 strcmp(d->name, devname);
    }

 

下面是打开设备：

 pcap_t *adhandle;
adhandle = pcap_open(d->name, 65536, PCAP_OPENFLAG_PROMISCUOUS, 1, NULL, szErrbuf);
//用混杂模式打开设备，形如：eth1,eth0 

这个时候还不能接包，这比socket方法要复杂一点

    //编译，设置filter,可以起到过滤的作用。
    pcap_compile(adhanle,&bpf_filter,bpf_filter_string,0,net_mask);

   //如果想包进行过滤，可以配置bpf_filter_string，
   //如"ip and tcp"
pcap_compile(adhandle, &fcode, "ip and tcp", 1, netmask
    pcap_setfilter(adhanle, &bpf_filter);  

好了，现在用可以抓包了，pcap提供了两套取包函数，pcap_next_ex，和pcap_loop，pcap_loop貌似挺简单的，
不过，当你的程序复杂点时，如多线程时，就你就要多考虑考虑了。使用pcap_loop需要使用一个回调函数，意思就是取包
过程是一个被动过程。当然，pcap_next_ex也有不少好处，你可以程序中主动的取包，你处理完后，才主动取下一个包。

struct pcap_pkthdr **  pkt_header;
const u_char  * pkt_data  = NULL;
pcap_next_ex( adhandle, (struct pcap_pkthdr**)&pkt_header, &pkt_data);
//pkt_header为pcap包头结构
//pkt_data为pcap包的上层报文，通常是以太包头了 

好了,开始一层一层的扒皮吧。