pcap工作流程
在inux中,这可能是eth0,而在BSD系统中则可能是x11等等。
我们也可以用一个字符串来定义这个设备,或者采用Pcap提供的接口名来工作。
我们要告诉pcap对什么设备进行嗅探
如果我们只想嗅探特定的传输(如TCP/IP包,发往端口23的包等等),我们必须创建一个规则集 合,然后要对这个规则集合进行编译,最后才能使用它
这个过程分为三个相互紧密关联的阶段:
将规则集合存于一个字符串变量内
将规则集合转换成能被Pcap理解的格式
告诉 Pcap使用这个规则集合来过滤出哪一个会话
每当它收到一个包就调用另一个已经定义好的函数,这个函数可以做我们想要的任何工作,它可以 剖析所捕获的包并给用户打印出结果,它可以将结果保存为一个文件,或者什么也不作。
在嗅探到所需的数据后,我们要关闭会话并结束。