tcpdump and libpcap

最新推荐文章于 2017-12-26 17:29:45 发布
最新推荐文章于 2017-12-26 17:29:45 发布
阅读量355 收藏
点赞数
分类专栏: 源码解析
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hpp205/article/details/49585383
版权

linux tcpdump执行过程: tcpdump -i wlan0 -w tcpdump.pcap

main()  // tcpdump.c
    pcap_open_live()
        pcap_create()
            pcap_create_interface()
                handle->activate_op = pcap_activate_linux // 设置activate函数指针
        pcap_activate()    
            p->activate_op(p)  // 即pcap_activate_linux
                handle->read_op = pcap_read_linux  // 设置读操作指针
                activate_new()
                    sock_fd = socket(PF_PACKET, SOCK_RAW, htons(ETH_P_ALL))
    p = pcap_dump_open(pd, dumpinfo.CurrentFileName)  // open dump文件,得到文件指针
    callback = dump_packet    // 设置dump回调函数
    pcap_userdata = (u_char *)p    // 设置文件指针
    pcap_loop(pd, cnt, callback, pcap_userdata)   // 循环抓包函数
        for(;;)
            p->read_op(p, cnt, callback, user)   // 即pcap_read_linux
                pcap_read_packet(handle, callback, user)
                    recvfrom(...)
                    callback(userdata, &pcap_header, bp)

PCAP文件格式: pcap文件头:pcap数据包:pcap数据包:pcap数据包:...

struct pcap_file_header {
	bpf_u_int32 magic;
	u_short version_major;
	u_short version_minor;
	bpf_int32 thiszone;	/* gmt to local correction */
	bpf_u_int32 sigfigs;	/* accuracy of timestamps */
	bpf_u_int32 snaplen;	/* max length saved portion of each pkt */
	bpf_u_int32 linktype;	/* data link type (LINKTYPE_*) */
};


struct pcap_sf_pkthdr {
    struct pcap_timeval {
        bpf_int32 tv_sec;        /* seconds */
        bpf_int32 tv_usec;        /* microseconds */
    } ts;	/* time stamp */
    bpf_u_int32 caplen;		/* length of portion present */
    bpf_u_int32 len;		/* length this packet (off wire) */
};


libpcap编程思路

---------------------------------------------------------------------------------------------

char * device; /* 用来捕获数据包的网络接口的名称 */
pcap_t * p; /* 捕获数据包句柄,最重要的数据结构 */
struct bpf_program fcode; /* BPF 过滤代码结构 */
  
/* 第一步:查找可以捕获数据包的设备 */
device = pcap_lookupdev(errbuf);
  
/* 第二步:创建捕获句柄,准备进行捕获 */
p = pcap_open_live(device, 8000, 1, 500, errbuf);
 
/* 第三步:如果用户设置了过滤条件,则编译和安装过滤代码 */
pcap_compile(p, &fcode, filter_string, 0, netmask);
pcap_setfilter(p, &fcode);
  
/* 第四步:进入(死)循环,反复捕获数据包 */
for( ; ; )
{
  while((ptr = (char *)(pcap_next(p, &hdr))) == NULL);
  
  /* 第五步:对捕获的数据进行类型转换,转化成以太数据包类型 */
  eth = (struct libnet_ethernet_hdr *)ptr;
  
  /* 第六步:对以太头部进行分析,判断所包含的数据包类型,做进一步的处理 */
  if(eth->ether_type == ntohs(ETHERTYPE_IP))
  …………
  if(eth->ether_type == ntohs(ETHERTYPE_ARP))
  …………
}
  
/* 最后一步:关闭捕获句柄,一个简单技巧是在程序初始化时增加信号处理函数,
以便在程序退出前执行本条代码 */
pcap_close(p);

---------------------------------------------------------------------------------------------

小小黄
关注
专栏目录
tcpdumplibpcap(2020年11月20日)
11-20
同时,TCPDump支持逻辑运算符如and、or、not,使得过滤规则更加灵活和精准。 Libpcap库提供了丰富的API,包括打开网络设备、设置过滤器、开始捕获数据包、处理捕获到的数据包等功能。开发者可以利用这些API开发...
tcpdumplibpcap原理分析
dillanzhou的博客
07-30 2485
tcpdump是linux上常用的网络报文抓取分析工具,主要功能是抓取系统中的网络报文,根据条件过滤出需要的报文,最后将报文打印或保存到文件中。本文将对tcpdump的实现原理进行分析,由于报文解析展示和保存的逻辑比较直观,本文主要关注报文获取和过滤部分。 为了兼容各类平台和不同版本的内核,tcpdump的代码中有大量用于兼容的逻辑和分支,本文只介绍面向最新版本linux平台接口的分支逻辑。 ...
linux的抓包程序tcpdump及其依赖
最新发布
12-12
例如,`tcpdump 'src host 192.168.1.1 and dst port 22'` 将只显示来自192.168.1.1到本地主机的SSH(22端口)连接的流量。 除了基本的捕包功能,tcpdump还可以将捕获的数据包保存到文件中,便于后续分析,例如`...
tcpdump-4.5.1-2.el7.x86_64.rpm
05-21
Centos 7.x tcpdump 离线安装所需的软件, tcpdump是一个用于截取网络分组,并输出分组内容的工具。...tcpdump 支持针对网络层、协议、主机、网络或端口的过滤,并提供and、or、not等逻辑语句来帮助你去掉无用的信息
install tcpdump
01-10
1. 下载依赖库:libpcaptcpdump的核心库,用于数据包的捕获。flex和bison是解析器生成器,用于处理tcpdump的配置文件。m4则是一个宏处理器,可能在编译过程中需要用到。因此,需要先下载这些库的源代码,例如...
libpcap-1.2.1
06-07
This is the official web site of tcpdump, a powerful command-line packet analyzer; and libpcap, a portable C/C++ library for network traffic capture.
wpa_supplicant-2.5源码解析
hpp205的专栏
02-25 6056
主程序 wpa_supplicant/main.c/main() wpa_supplicant_init(&params) wpa_supplicant_add_iface(global, &ifaces[i], NULL) wpa_supplicant_run(global) wpa_supplicant_init wpa_supplicant_init(
wpa_supplicant事件分析
hpp205的专栏
05-20 5550
WPA Client Persistent Connect Event [Thu May 19 11:50:52.031 2016] P2P-INVITATION-RECEIVED sa=f6:5c:89:91:82:1b persistent=1 [Thu May 19 11:50:53.062 2016] CTRL-EVENT-SCAN-STARTED [Thu May 19 11
socket类型
hpp205的专栏
11-02 2321
参考:http://blog.csdn.net/jnu_simba/article/details/12371127 int socket(int domain, int type, int protocol) domain :地址族,主要有PF_INET,PF_PACKET,PF_NETLINK等 ( /usr/src/linux-headers-3.16.0-30/incl
netlink_进程与进程_进程与内核间通信
hpp205的专栏
11-02 2040
进程与进程间通信方式IPC: 1. 早期unix IPC:管道,FIFO,信号 2. System V IPC(贝尔实验室): system V消息队列,system V信号灯,system V共享内存 3. socket IPC (BSD) 4. Posix IPC: Posix消息队列,Posix信号灯,Posix共享内存   线程间通信: 1. 全局变量 2. 线程锁 3....
wpa_supplicant-0.8源码解析
hpp205的专栏
11-06 1918
【启动】 main() global = wpa_supplicant_init(&params) eap_register_methods() eloop_init() random_init() wpa_supplicant_global_ctrl_iface_init(global) wpas_notify_supplicant_
Linux显卡驱动
hpp205的专栏
11-17 1331
显示器的接口,早期的有D-SUB(即VGA),S-Video,近期的有DVI,HDMI和DisplayPort。 D-SUB接口:即VGA接口,D型头三排15针,模拟信号。由于带宽限制,不能传输较大分辨率的图像。目前只有低端的显卡和显示器支持。 S-Video接口:全称Separate Video,模拟信号,日本开发,将亮度和色度分离传输,避免了混合视频信号传输时亮度和色度的相互干扰。五芯接口
Busybox源码
hpp205的专栏
06-03 1086
Busybox-1.22.1 注意:头文件applet_tables.h是在编译时生成的,还有其他几个文件如autoconf.h/usage.h/...也是。 libbb/appletlib.c/main() applet_name = argv[0]  // 命令name run_applet_and_exit(applet_name, argv)
USB2.0驱动分析Kernel3.10.24
hpp205的专栏
12-26 1019
可以用wireshark+usbmon捕捉usb协议数据包。 /****************************************************** * *    加载usbcore *        添加hub interface driver *        添加hub interface device * *************
用ioctl配置网络
hpp205的专栏
12-02 1003
#include #include #include #include #include #include #include #include #include #define AEIDEBUGERROR printf #define AEIDEBUGIMPORTANTINFO printf /*! * * * Return: * * \author Ocean
Debug
hpp205的专栏
08-31 890
Android C/C++ Log system/core/include/cutils/log.h // ALOGV,ALOGD,ALOGI,ALOGW,ALOGE system/core/include/log/log.h // ALOGV ALOGD ... system/core/include/android/log.h // __android_log_print ... And...
Android知识点
hpp205的专栏
05-18 879
-------------------------- Android三种方式设置和获取属性: 1. Native层使用property_get和property_set,头文件cutils/properties.h和libcutil库。 2. Java层使用System.getProperty和System.setProperty方法。该系统属性与native层系统属性存储空间不同。 3. Ja...
Linux常用API
hpp205的专栏
12-05 867
用pthread_cond_timedwait()代替sleep及时唤醒睡眠线程。 1. 初始化mutex和cond。 pthread_mutex_init(&mutex, NULL); pthread_cond_init(&cond, NULL); 2. 在睡眠线程中调用pthread_cond_timedwait()进入睡眠状态。该函数内部睡眠前会自动释放锁,唤醒后自动加锁。 注意
myiwpriv_mywpacli
hpp205的专栏
11-04 783
My iwpriv bug: wifi_iwpriv() socket close need close   #include <sys/types.h> #include <sys/ioctl.h> #include <stdio.h> #include <errno.h> #include <fcntl.h> #include...
tcpdumplibpcap捕获数据包时间戳详解
在深入理解TCPdumplibpcap技术时,捕获数据包的时间戳是一个关键概念。本文档关注于在TCPdumplibpcap框架下如何获取和处理网络数据包的时间戳,这两个工具在网络安全监控和网络分析中扮演着重要角色。 首先,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值