个别数据结构
pcap_if_t
pcap_if_t是一个interface数据结构,表明网络接口的信息。网络接口就是interface,就是我们用来上网的设备,一般为网卡,还有一些虚拟网卡也算作这样的接口。
struct pcap_if {
struct pcap_if *next;
char *name;
char *description;
struct pcap_addr *addresses;
u_int flags;
};
typedef struct pcap_if pcap_if_t;
pcap_createsrcstr
pcap_createsrcstr()函数来初始化一个source,指明我们在哪里查找设备,可以是本地机器,可以是远程机器,可以是本地文件夹(这样找的就是存储好的tcpdump的数据文件)。其函数原型如下:
int pcap_createsrcstr(char *source, int type, const char *host, const char *port, const char *name,char *errbuf)
1、source就是我们要存储的位置信息。
2、type有本地文件、本地机器、远程机器可供选择,分别为:PCAP_SRC_FILE, PCAP_SRC_IFLOCAL, PCAP_SRC_IFREMOTE
3、host是远程机器的名字,可以是"1.2.3.4”这样,也可以是"a.com”这样。本地为NULL。
4、port为远程端口。本地为NULL。
5、name为接口的名字。比如eth0。一般为NULL。如果是本地文件就是本地文件夹地址。
6、errbuf存储错误信息。
pcap_findalldevs_ex()
然后使用函数pcap_findalldevs_ex()这个函数来获取网络设备,其原型如下:
int pcap_findalldevs_ex (char * source,
struct pcap_rmtauth * auth,
pcap_if_t ** alldevs,
char * errbuf
)
1、source可以使用上面设置好的source,也可以使用:PCAP_SRC_FILE_STRING 或者 PCAP_SRC_IF_STRING,分别是文件和接口的字符串。"file://", "rpcap://"。
2、auth是远程登录信息,有用户名、密码、类型。用户名和密码都是字符指针,类型有:RPCAP_RMTAUTH_NULL 和 RPCAP_RMTAUTH_PWD。参看这里。
3、alldevs用于存储返回的接口信息。我们要事先定义pcap_if_t *alldevs,这是一个链表,存储接口信息。
4、errbuf出错信息。
这样所获得的alldevs就是一个接口的链表,如果是文件就是一个文件的链表。我们就可以用指针对这些链表进行操作了。
pcap_freealldevs
最后不用这些设备的时候要把他们释放掉,使用函数pcap_freealldevs(),其原型如下:
void pcap_freealldevs(pcap_if_t *alldevsp)