winpcap 获取数据包源码——可直接编译可用

最新推荐文章于 2023-07-22 17:44:09 发布
最新推荐文章于 2023-07-22 17:44:09 发布
阅读量3.4w 收藏 12
点赞数
分类专栏: 网络安全技术
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/notbaron/article/details/53233743
版权

源码

winpcap 获取数据包 

         定义了TCP头部,IPv4地址,ip头结构体。此外还有一些和pcap相关的结构体和函数。

         结构体:pcap_if_t,pcap_t,bpf_program

         函数:pcap_findalldevs,pcap_freealldevs,pcap_open_live,pcap_datalink,pcap_compile,pcap_setfilter,pcap_loop,packet_handler

         pcap_findalldevs这个函数同pcap_findalldevs_ex,返回系统选中可用的接口。组建一个网络设备表,该表可被pcap_open_live()打开。(注意可能有些网络设备不能被pcap_open_live()通过调用pcap_findalldevs()打开,因为,例如进程不具有打开它们的特权;出现这种情况,这些设备将不会在列表中出现)alldevsp指向列表的第一项,列表的每一项都是一个pcap_if_t结构。

pcap_if_t*

pcap_if* next 如果不是为null,则指向列表的下一个元素;如果是空,则代表当前元素是最后一个元素。

char* name 指向字符串的指针 字符串用来向pcap_open_live()传递设备的名称

char* description 如果不为null,它指向的字符串是对设备的一个简单的描述。

pcap_addr* addresses 指向设备列表中第一个元素的地址;

u_int flags  PCAP_IF_接口标志,当前只有PCAP_IDF_LOOPBACK,考察接口是不是一个自环接口。

pcap_freealldevs(pcap_if_t* alldevsp)

释放由pcap_findalldevs()返回的接口列表。

pcap_t* pcap_open_live(char* device, intsnaplen, int promisc,int to_ms, char* ebuf)

Deprecated: usethe pcap_open() instead. 打开一个物理接口进行捕获。

pcap_open_live() 用来获得一个观察网络数据包的包捕获描述符。Device是一个标识要打开的设备的字符串,on Linux systems with 2.2 or later kernels, a device argument of "any"or NULL can be used to capture packets from all interfaces. Snaplen定义要捕获的最大字节数。promisc定义是否将接口设置为混杂模式 (promiscuousmode.)。(注意:即使这个参数为false,接口也有可能因为其他原因而处于混杂模式下) For now, this doesn't work on the "any" device; if anargument of "any" or NULL is supplied, the promisc flag is ignored.to_ms用毫秒定义读取超时。读取超时用以解决没有必要捕获数据包就开始读取,而是等待一段时间,有较多数据包到达,然后从操作系统内核一次读取多个数据包的问题。并不是所有平台支持读取超时。在不支持的平台上,这个参数被忽略。errbuf用来返回错误或者警告信息。当pcap_open_live()调用失败返回null时,errbuf被设定为错误信息。pcap_open_live() 调用成功时errbuf也可以被设置为警告信息。为得到这个信息,调用者应该在调用pcap_open_live()之前在errbuf中设定一个长度为0的字符串。调用后如果errbuf的长度不再为0,那么警告信息已经发生并可以显示出来。

int pcap_next_ex(pcap_t* p, structpcap_pkthdr** pkt_header, u_char** pkt_data)

Win32 Specific. Read a packet from aninterface or from an offline capture.

该函数用来检索下一个可用的数据包, bypassing the callback method traditionally provided bylibpcap.

pcap_next_ex 用指向下一个捕获的数据包的数据头和数据的指针填充pkt_header和pkt_data参数。(see pcap_handler())

返回值可以是:

l        1如果数据包被顺利读取

l        0如果pcap_open_live()规定的读取超时已经过去。在这种情况下pkt_header和pkt_data指向的不是一个有用的数据包

l        -1如果出现错误

l        -2如果在离线捕获中遇到EOF。

timeval结构如下:

struct timeval{long tv_sec;longtv_usec;}

其中tv_sec为秒数,tv_usec微秒数。

pcap_datalink

返回链路层的类型,链路层的类型包括:

DLT_NULL: BSD回路封装;链路层协议头是一个4字节的域,以主机字节顺序(host byte order),包含一个从socket.h来的PF_value。主机字节顺序(host byte order)是捕获数据包的机器的字节顺序,而PF_value是捕获数据包的机器的OS。如果一个读取一个文件,字节顺序和PF_value不一定是抓取文件的那些机器。

DLT_EN10MB: 以太网(10Mb, 100Mb,1000Mb, 或者更高)。

DLT_IEEE802: IEEE802.5令牌环网。

DLT_ARCNET:ARCNET。

DLT_SLIP:SLIP。

DLT_PPP:PPP;如果第一个字节是0xff或0x03,它是类HDLC帧上的PPP。

DLT_FDDI:FDDI

DLT_ATM_RFC1483:RFC1483LLC/SNAPATM;数据包以IEEE802.2 LLC头开始。

DLT_RAW:原始IP(raw IP);数据包以IP头开始。

DLT_PPP_SERIAL:按照RFC1662,基于类HDLC帧的PPP,或者按照RFC1547的4.3.1,基于HDLC帧的Cisco PPP;前者的第一个字节是0xFF,后者的第一个字节是0x0F或0x8F。

DLT_PPP_ETHER:按照RFC2516,PPPoE;数据包以PPPoE头开始。

DLT_C_HDLC:按照RFC1547的4.3.1,基于HDLC帧的Cisco PPP。

DLT_IEEE802_11:IEEE 802.11无线局域网。

DLT_FRELAY:帧中继(Frame Relay)。

DLT_LOOP:OpenBSD回路封装。

DLT_LINUX_SLL:Linux抓包封装。

DLT_LTALK:苹果的LocalTalk,数据包以AppleTalkLLAP头开始。

DLT_PFLOG:OpenBSD pflog。

DLT_PRISM_HEADER:后接802.11头的棱镜监视器模式(Prismmonitor mode)信息。

DLT_IP_OVER_FC:RFC2625IP-over-Fiber 频道,以RFC2625中定义的Network_Header开始。

DLT_SUNATM:SunATM设备。

DLT_IEEE802_11_RADIO:后接802.11头的链路层信息。

DLT_ARCNET_LINUX:没有异常帧的ARCNET。

DLT_LINUX_IRDA:Linux-IrDA数据包,DLT_LINUX_SLL头后接IrLAP头。

pcap_compile

intpcap_compile(pcap_t*                    p,

struct bpf_program*    fp,

char*                          str,

int                              optimize,

bpf_u_int32                netmask)

编译一个数据包过滤器,将一个能被核心态(kernel-level)过滤器引擎解释的程序中的高层过滤表达式(filtering expression)进行转化。pcap_compile()被用来将字符串str编译进过滤器程序(fp),程序(fp)是一个指向bpf_program结构体并被pcap_compile()赋值的指针。optimize控制是否对目标代码(resulting code)的性能进行优化。Netmask表明IPv4掩码,它仅在检查过滤器程序中的IPv4广播地址的时候被使用。如果网络掩码对于程序是不可知的或者数据包是在Linux的”任何(any)”伪接口上被捕获的,则赋值0;IPv4广播地址的测试将不被正确进行,但过滤器程序中的其他所有的测试都不会有问题。返回-1表示发生了错误,此时,pcap_geterr()将被用来显示错误信息。

pcap_setfilter

intpcap_setfilter(pcap_t*         p,

struct bpf_program* fp)

    把一个过滤器同一次抓包关联起来。pcap_setfilter被用来指定一个过滤器程序。fp是一个指向bpf_program结构体的指针,通常是pcap_compile()执行的结果。当失败时返回-1,此时,pcap_geterr()被用来显示错误信息;返回0表示成功。

pcap_loop

int pcap_loop(pcap_t * p,int cnt, pcap_handler callback, uchar *user);

捕获数据包,不会响应pcap_open_live()函数设置的超时时间

p 是由pcap_open_live()返回的所打开的网卡的指针;cnt用于设置所捕获数据包的个数;pcap_handler是与void packet_handler()使用的一个参数,即回调函数的名称;user值一般为NULL

pcap_loop原型是pcap_loop(pcap_t *p,int cnt,pcap_handler callback,u_char *user)

其中第一个参数是winpcap的句柄,第二个是指定捕获的数据包个数,如果为-1则无限循环捕获。第四个参数user是留给用户使用的。

第三个是回调函数。

packet_handler

可进行包处理,与pcap_loop等回调函数联合使用进行抓包  

u_char *param:数据包存储的文件指针   

struct pcap_pkthdr * header: 并非是数据包的指针,只是与数据包捕获驱动有关的一个header ,是堆文件包的结构体首部指针。可以得到时间值,数据包长度。  

const_char * pkt_data:指向数据包内容的指针,包括了协议头,可以经过计算获得IP数据包头部的位置, UDP首部的位置。 

源码如下

//捕获网络数据包的C++程序

//可以获得数据包长度、通过以太网类型确定上层协议、源以太网地址和目的以太网地址!

 

#include<tchar.h>

#include<stdio.h>

#include"pcap.h"

 

#pragmacomment(lib,"wpcap.lib")  

#pragmacomment(lib,"packet.lib")  

#pragmacomment(lib,"ws2_32.lib")  

 

 

typedefstructip_address{

    u_char byte1;

    u_char byte2;

    u_char byte3;

    u_char byte4;

}ip_address;

 

typedefstructip_header{

    u_char ver_ihl;        // 版本 (4 bits) + 首部长度 (4 bits)

    u_char tos;            // 服务类型(Type of service)

    u_short tlen;          // 总长(Total length)

    u_short identification; //标识(Identification)

    u_short flags_fo;      // 标志位(Flags) (3 bits) + 段偏移量(Fragment offset) (13bits)

    u_char ttl;            // 存活时间(Time to live)

    u_char proto;          // 协议(Protocol)

    u_short crc;           // 首部校验和(Header checksum)

    ip_address saddr;      // 源地址(Source address)

    ip_address daddr;      // 目的地址(Destination address)

    u_int  op_pad;         // 选项与填充(Option + Padding)

}ip_header;

 

typedefstructtcp_header{

    u_short sport;         // 源端口(Source port)

    u_short dport;         // 目的端口(Destination port)

    u_int seqNum;            //tcp请求序列号

    u_int ackNum;            //ack应答序列号

    u_char hLen;   //tcp头长度

    u_char flags;  //标志字段

    u_short winSize; //窗口大小

    u_short checkSum; //校验和

}tcp_header;

 

 

voidpacket_handler(u_char *param, conststructpcap_pkthdr *header, constu_char*pkt_data);

int_tmain(intargc, _TCHAR* argv[])

{

    pcap_if_t *alldevs;

    pcap_if_t *d;

    int inum;

    int i=0;

    pcap_t *adhandle;

    char errbuf[PCAP_ERRBUF_SIZE];

    u_int netmask;

    char packet_filter[] = "tcp and ip";

    structbpf_program fcode;

 

    if (pcap_findalldevs(&alldevs, errbuf) == -1)

    {

        fprintf(stderr,"Error in pcap_findalldevs:%s\n", errbuf);

        exit(1);

    }

 

    for(d=alldevs; d; d=d->next)

    {

        printf("%d. %s", ++i, d->name);

        if (d->description)

            printf(" (%s)\n", d->description);

        else

            printf(" (No description available)\n");

    }

    if(i==0)

    {

        printf("\nNo interfaces found! Make sure WinPcap is installed.\n");

        return -1;

    }

    printf("Enter the interface number (1-%d):",i);

    scanf_s("%d", &inum);

    if(inum < 1 || inum > i)

    {

        printf("\nInterface number out of range.\n");

        pcap_freealldevs(alldevs);

        return -1;

    }

    for(d=alldevs, i=0; i< inum-1 ;d=d->next,i++);

    if ( (adhandle= pcap_open_live(d->name,          //设备名

        65536,            //65535保证能捕获到不同数据链路层上的每个数据包的全部内容

        TRUE,    // 混杂模式

        1000,             //读取超时时间 

        errbuf            //错误缓冲池

        )) == NULL)

    {

        fprintf(stderr,"\nUnable to open theadapter. %s is not supported by WinPcap\n",d->name);

        pcap_freealldevs(alldevs);

        return -1;

    }

 

    if(pcap_datalink(adhandle) != DLT_EN10MB)

    {

        fprintf(stderr,"\nThis program works onlyon Ethernet networks.\n");

        pcap_freealldevs(alldevs);

        return -1;

    }

    if(d->addresses != NULL)

        netmask=((structsockaddr_in *)(d->addresses->netmask))->sin_addr.S_un.S_addr;

    else

        netmask=0xffffff;

 

    //编译过滤器

    if (pcap_compile(adhandle, &fcode,packet_filter, 1, netmask) <0 )

    {

        fprintf(stderr,"\nUnable to compile thepacket filter. Check the syntax.\n");

        pcap_freealldevs(alldevs);

        return -1;

    }

    //设置过滤器

    if (pcap_setfilter(adhandle, &fcode)<0)

    {

        fprintf(stderr,"\nError setting thefilter.\n");

        pcap_freealldevs(alldevs);

        return -1;

    }

 

    printf("\nlistening on %s...\n",d->description);

    pcap_freealldevs(alldevs);

    pcap_loop(adhandle,0, packet_handler, NULL);

    return 0;

 

}

 

voidpacket_handler(u_char *param, conststructpcap_pkthdr *header, constu_char *pkt_data)

{

    structtm*ltime;

    char timestr[16];

    ip_header *ih;

    tcp_header *th;

    u_int ip_len;

    u_short sport,dport;

    time_t local_tv_sec;

 

    local_tv_sec= header->ts.tv_sec;

    ltime=localtime(&local_tv_sec);

    strftime(timestr, sizeof timestr, "%H:%M:%S", ltime);

 

    printf("%s.%.6d len:%d ", timestr, header->ts.tv_usec, header->len);

 

    ih= (ip_header*) (pkt_data+

        14);//以太网头部长度

 

    ip_len= (ih->ver_ihl & 0xf) * 4;

    th= (tcp_header*) ((u_char*)ih + ip_len);

 

    sport= ntohs( th->sport );

    dport= ntohs( th->dport );

 

    printf("%d.%d.%d.%d:%d -> %d.%d.%d.%d:%d\n",

        ih->saddr.byte1,

        ih->saddr.byte2,

        ih->saddr.byte3,

        ih->saddr.byte4,

        sport,

        ih->daddr.byte1,

        ih->daddr.byte2,

        ih->daddr.byte3,

        ih->daddr.byte4,

        dport);

}

badman250
关注
  • 0
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
基于Winpcap实现抓取数据包
12-21
在vs2010上做的一个计算机网路课设,实现抓取数据包,并重点对TCP协议进行分析,附有详细报告
win10_winpcap库_源码.rar
08-07
WinPcapWindows平台上的一款开源网络数据包捕获和网络分析工具,它为应用程序提供了底层的网络访问能力,使得开发者能够直接与网络接口进行通信,进行数据包的捕获和发送。在Windows 10和Windows 7系统中,WinPcap...
如何编译WinPcap
qinqijing198601的专栏
04-23 525
如何编译WinPcap [WinPcap核心资料]   这部分内容将告诉你,在不同的win32平台上,如何编译WinPcap。源代码可以在WinPcap 网站上获得。 编译驱动 编译NPF时,有两个主要的路径:Windows NTx和Windows 9x。注意,因为NPF驱动是与平台相关的,所以,为了连接正确的DDK库,我们强烈建议编译的时候,要选择将来会被使
winpcap编译
gongxie0235的博客
09-14 516
一、编译Packet.dll 1、打开下载winpcap目录下WpcapSrc_4_1_3\winpcap\packetNtx\Dll\Project\Packet.sln 文件 2、选择编译的选项,直接编译即可 二、编译wpcap.dll 1、打开下载winpcap目录下WpcapSrc_4_1_3\winpcap\wpcap\PRJ\wpcap.sln 文件 2、选择编译的选项,直接编译即可 注:编译wpcap遇到的问题: 1、编译 wpcap 需要使用 Packet 库,所以需要检查 vs 中“链接-
从网上搜索到的一些关于pcap源代码,入门级的
热门推荐
IT老兵
09-04 1万+
/*pcap_1.c*/#include #include #include   /* 如果没有pcap的系统,要自己下载一个 */#include #include #include #include int main(int argc, char **argv){  char *dev; /* name of the device to use */   char *net; /* dot
[笔记] winpcap编译及使用
最新发布
二次元怪兽的博客
07-22 902
winpcap官网以上就是今天要讲的内容,本文仅仅简单介绍了winpcap编译和使用。Visual Studio 配置Winpcap环境 详细关于博主码云:https://gitee.com/shiver个人博客:www.shiver.fun。
基于WinPcap的抓包软件源码
02-27
"Sniffer"可能是项目的核心源代码文件或者是一个编译后的可执行文件。在源码中,它可能包含了对WinPcap库的调用,实现上述的网络嗅探功能。如果是个源代码文件,可能包含以下几个关键部分: 1. `main`函数:程序的...
VC 源码 关于封包 截包 的!编译可用!
07-31
编译可用!"的资源中,我们可以预期找到的是使用VC++编写的源代码,这些代码实现了封包和截包的功能,并且已经过编译验证,可以直接运行。 封包是指在数据传输过程中,将数据按照特定的格式和协议打包成一个个独立的...
winpcap4.1.2源码
10-24
源码获取对软件开发者来说非常重要,因为它使得开发者能够查看、学习、修改和扩展WinPcap的功能,同时也便于进行故障排查和性能优化。 描述中提到的两个压缩文件:“WpcapSrc_4_1_2.zip”和“WpdPack_4_1_2.zip”...
基于winpcap综合网络数据包扫描程序源代码
05-19
- **winpcap源代码**:指出程序依赖winpcap库,并且提供的是源代码形式,用户可以查看、学习甚至修改源码来适应自己的需求。 **文件名称列表解析:** 由于只有一个文件名 "综合扫描程序",可以推测这是程序的主要...
pcap 抓包源码
11-15
pcap 抓包源码,原创资源有利于大家共同学习
winPcap最新源代码
08-28
WinPcap 是由伯克利分组捕获库派生而来的分组捕获库,它是在Windows 操作平台上来实现对底层包的截取过滤。 WinPcap 为用户级的数据包提供了Windows 下的一个平台。WinPcap 是 BPF 模型和 Libpcap 函数库 在 Windows 平台下网络数据包捕获和网络状态分析的一种体系结构,这个体系结构是由一个核心的包过滤驱动程序,一个底层的动态连接库 Packet.dll 和一个高层的独立于系统的函数库 Libpcap 组成。底层的包捕获驱动程序实际为一个协议网络驱动程序,通过对NDIS中函数的调用为 Win9x、WinNT、和 Win2000/XP/visa/。。。 提供一类似于 UNIX 系统 下 Berkeley Packet Filter 的捕获和发送原始数据包的能力。Packet.dll 是对这个 BPF 驱动程序进行访问 的 API 接口,同时它有一套符合 Libpcap 接口(UNIX 下的捕获函数库)的函数库。 代码很全, 好东西呀.
基于winPcap的嗅探器源代码
12-20
基于winPcap的嗅探器源代码,界面基于MFC对话框,有“网卡选择功能”,“抓包功能”,“统计数据包功能”,“过滤数据包功能”。数据包具体信息都显示在主界面上,可以显示报文协议,源目端口号,源目IP,时间,报文长度等。
libpcap 详解源代码
04-02
Linux 网络编程—— libpcap 详解,相关教程链接如下: http://blog.csdn.net/tennysonsky/article/details/44811899
Winpcap4.1.3+Winpcap_sdk4.1.2(4.1.3兼容)+Winpcap4.1.3源码
10-31
目前最新版本的winpcap,包含了sdk工具及元源码
深度剖析WinPcap之(五)——编译与使用WinPcap(1)
weixin_34008805的博客
09-03 245
本节主要说明了在各种Win32平台上如何编译WinPcap[1],包括内核层与用户层两部分。所有的源代码可从http://www.winpcap.org网站获取。同时也对WinPcap的使用作了简单介绍,并给出一个简单的使用实例。 1.1.源代码目录结构 WinPcap的所有源代码都可从http://www.winpcap.org网站获取,此处采用的源代码包为Wp...
PCAP基本源码结构
oria2006的专栏
03-13 659
大概了解了一下PCAP的基本源码结构,以及关键函数调用 pcap_t *pcap_create(const char *device, char *errbuf) | |__> p = pcap_create_interface(device_str, errbuf); p->opt.device = device_str; | |____> pcap...
winpcap源码
08-20
这是一个winpcap捕获数据包源码
WinPcap编程:创建与发送数据包队列
内核级别的NPF驱动程序允许WinPcap直接与网络接口驱动交互,实现对原始数据包的访问。 WinPcap的主要功能包括: 1. 捕获数据包:无论数据包是发往本地机器还是在网络中传输,WinPcap都能捕获到。 2. 数据包过滤:...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值