linux下使用libpcap库

已于 2024-06-20 14:18:49 修改
阅读量502 收藏 2
点赞数
分类专栏: Linux 网络 文章标签: c++ libpcap tcpdump tcp
于 2022-01-28 21:17:04 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/photon222/article/details/122736697
版权
Linux 同时被 2 个专栏收录
36 篇文章 1 订阅
订阅专栏
网络
15 篇文章 1 订阅
订阅专栏
Libpcap是一个在Unix衍生操作系统中用于数据链路层数据包捕获的开源C库。它广泛应用于tcpdump和snort等数据包捕获工具,确保跨平台兼容性。本文介绍了如何利用libpcap创建简单的数据包嗅探器,并提供了相关参考资料。
摘要由CSDN通过智能技术生成

Libpcap是一个开源C库,它提供了一个API,用于直接从Unix衍生操作系统的数据链路层捕获数据包。它被流行的数据包捕获应用程序(如tcpdump和snort)使用,使它们能够在几乎任何风格的Unix上运行。

下面是一个基于libpcap的简单数据包嗅探器应用程序的示例, 该示例通过libpcap库接收数据链路层frame数据包,重组为TCP数据流,或UDP数据包,带有TCP重传、乱序缓存等功能

#include <stdio.h>
#include <string.h>
#include <stdlib.h>
#include <pcap.h>
#include <netinet/in.h>
#include <netinet/if_ether.h>
#include <netinet/ip.h>
#include <netinet/tcp.h>
#include <netinet/udp.h>
#include <array>
#include <map>
#include <utility>

#pragma GCC diagnostic ignored "-Wunused-variable"


typedef std::array<u_char, 2048> Buf;
uint32_t nextExpectedSeq;
std::map<uint32_t, std::pair<uint32_t, Buf> > seq2UnprocessedMap;

const size_t buflen = 1024*1000;
u_char buf[buflen];
u_char* stream = buf;
u_char* recvp = buf;
uint32_t streamlen = 0;

void my_packet_handler(u_char *args, const struct pcap_pkthdr *header, const u_char *packet);
void printHex(const u_char *payload, int payload_length);
size_t processStream(u_char *stream, size_t streamlen);

int main(int argc, char **argv)
{
    const char *filename = "p3p1.20220127.2.pcap";
    char error_buffer[PCAP_ERRBUF_SIZE];
    pcap_t *handle;
    /* End the loop after this many packets are captured */
    int total_packet_count = 20;
    u_char *my_arguments = NULL;
    struct bpf_program filter;
    char filter_exp[] = "dst port 60001";

    // handle = pcap_open_live(device, snapshot_length, 0, 10000, error_buffer);
    // Open the device for live capture, as opposed to reading a packet
    // capture file.
    if ((handle = pcap_open_offline(filename, error_buffer)) == NULL)
    {
        printf("pcap_open_offline(): %s\n", error_buffer);
        return 1;
    }
    if (pcap_compile(handle, &filter, filter_exp, 0, 0) == -1) {
        printf("Bad filter - %s\n", pcap_geterr(handle));
        return 2;
    }
    if (pcap_setfilter(handle, &filter) == -1) {
        printf("Error setting filter - %s\n", pcap_geterr(handle));
        return 2;
    }
    pcap_loop(handle, total_packet_count, my_packet_handler, my_arguments);

    return 0;
}

/* Finds the payload of a TCP/IP packet */
void my_packet_handler(
    u_char *args,
    const struct pcap_pkthdr *header,
    const u_char *packet)
{
    printf("------------------------------------------------------------\n");
    /* First, lets make sure we have an IP packet */
    struct ether_header *eth_header;
    eth_header = (struct ether_header *)packet;
    if (ntohs(eth_header->ether_type) != ETHERTYPE_IP)
    {
        printf("Not an IP packet. Skipping...\n\n");
        return;
    }

    /* The total packet length, including all headers
       and the data payload is stored in
       header->len and header->caplen. Caplen is
       the amount actually available, and len is the
       total packet length even if it is larger
       than what we currently have captured. If the snapshot
       length set with pcap_open_live() is too small, you may
       not have the whole packet. */
    printf("Total packet size: %d\n", header->caplen);
    // printf("Expected packet size: %d bytes\n", header->len);

    /* Pointers to start point of various headers */
    // const u_char *ip_header;
    // const u_char *tcp_header;
    // const u_char *udp_header;
    const u_char *payload;

    /* Header lengths in bytes */
    int ethernet_header_length = 14; /* Doesn't change */
    int ip_header_length;
    int tcp_header_length;
    int udp_header_length;
    int payload_length;

    /* Find start of IP header */
    struct iphdr* ip = (struct iphdr*)(packet + ethernet_header_length);
    /* The second-half of the first byte in ip_header
       contains the IP header length (IHL). */
    ip_header_length = ip->ihl;
    /* The IHL is number of 32-bit segments. Multiply
       by four to get a byte count for pointer arithmetic */
    ip_header_length = ip_header_length * 4;
    // printf("IP header length (IHL) in bytes: %d\n", ip_header_length);

    struct sockaddr_in source;
    struct sockaddr_in dest;
    memset(&source, 0, sizeof(source));
    source.sin_addr.s_addr = ip->saddr;
    memset(&dest, 0, sizeof(dest));
    dest.sin_addr.s_addr = ip->daddr;
    printf("%s -> ", inet_ntoa(source.sin_addr));
    printf("%s\n", inet_ntoa(dest.sin_addr));

    /* Now that we know where the IP header is, we can 
       inspect the IP header for a protocol number to 
       make sure it is TCP before going any further. 
       Protocol is always the 10th byte of the IP header */
    u_char protocol = ip->protocol;
    if (protocol == IPPROTO_TCP)
    {
        /* Add the ethernet and ip header length to the start of the packet
       to find the beginning of the TCP header */
        // tcp_header = packet + ethernet_header_length + ip_header_length;
        struct tcphdr* tcp = (struct tcphdr*)(packet + ethernet_header_length + ip_header_length);
        printf("%d -> %d\n", ntohs(tcp->source), ntohs(tcp->dest));
        // tcp_header_length = tcp_header_length * 4;
        tcp_header_length = tcp->doff * 4;
        printf("TCP header length in bytes: %d\n", tcp_header_length);
        printf("TCP seq: %u\n", ntohl(tcp->seq));

        /* Add up all the header sizes to find the payload offset */
        int total_headers_size = ethernet_header_length + ip_header_length + tcp_header_length;
        // printf("Size of all headers combined: %d bytes\n", total_headers_size);
        payload_length = header->caplen -
                         (ethernet_header_length + ip_header_length + tcp_header_length);
        printf("Payload size: %d\n", payload_length);
        if( payload_length < 0)
        {
            printf("Payload size is less than zero!!!\n");
            return;
        }
        payload = packet + total_headers_size;
        // printf("Memory address where payload begins: %p\n\n", payload);

        /* Print payload in ASCII */
        // printHex(payload, payload_length);

        uint32_t tcpseq = ntohl(tcp->seq);
        uint32_t tcplen = tcp->doff * 4;
        uint32_t headerlen = total_headers_size;
        const u_char* data = packet + headerlen;
        uint32_t datalen = payload_length;
        bool syn = (tcp->syn != 0);
        bool fin = (tcp->fin != 0);
        bool rst = (tcp->rst != 0);
        bool psh = (tcp->psh != 0);

        if(syn)
        {
            printf("SYN, will reset the next expected seq:%u\n", nextExpectedSeq);
            seq2UnprocessedMap.clear();
            nextExpectedSeq = 0;
        }
        else
        {
            nextExpectedSeq = tcpseq;
        }

        // if(datalen == 0)
        // {
        //     return;
        // }

        if(nextExpectedSeq !=0  && tcpseq != nextExpectedSeq)
        {
            printf("Arrived seq %u is not expected %u\n", tcpseq, nextExpectedSeq);
            if(seq2UnprocessedMap.find(tcpseq) != seq2UnprocessedMap.end())
            {
                printf("Duplicated packet %u\n", tcpseq);
            }
            else
            {
                Buf buf;
                memcpy(buf.data(), data, datalen);
                seq2UnprocessedMap.emplace(tcpseq, std::make_pair(datalen, buf));
            }
            return;
        }

        if(buflen - streamlen < datalen)
        {
            printf("Not enough buf, exit!!!\n");
            exit(1);
        }

        // move unprocessed stream from buf tail to head
        if(buf + buflen - recvp < datalen)
        {
            memcpy(buf, stream, streamlen);
            stream = buf;
            recvp = buf + streamlen;
        }

        //
        memcpy(recvp, data, datalen);
        recvp += datalen;
        streamlen += datalen;

        nextExpectedSeq = tcpseq + datalen;

        // try to assemble data in cache
        while(seq2UnprocessedMap.size() > 0 && seq2UnprocessedMap.find(nextExpectedSeq) != seq2UnprocessedMap.end())
        {
            const auto& datapair = seq2UnprocessedMap[nextExpectedSeq];
            size_t datasize = datapair.first;

            if(buflen - streamlen < datalen)
            {
                printf("Not enough buf, break!!!\n");
                break;
            }

            // move unprocessed stream from buf tail to head
            if(buf + buflen - recvp < datalen)
            {
                memcpy(buf, stream, streamlen);
                stream = buf;
                recvp = buf + streamlen;
            }

            memcpy(recvp, datapair.second.data(), datasize);
            recvp += datasize;
            streamlen += datasize;

            seq2UnprocessedMap.erase(nextExpectedSeq);
            nextExpectedSeq += datasize;
        }

		// process assembled stream
        size_t res = processStream(stream, streamlen);
        stream += res;
        streamlen -= res;

    }
    else if (protocol == IPPROTO_UDP)
    {
        // udp_header = packet + ethernet_header_length + ip_header_length;
        struct udphdr* udp = (struct udphdr*)(packet + ethernet_header_length + ip_header_length);
        printf("%d -> %d\n", ntohs(udp->source), ntohs(udp->dest));
        udp_header_length = 8;
        int total_headers_size = ethernet_header_length + ip_header_length + udp_header_length;
        payload_length = header->caplen -
                         (ethernet_header_length + ip_header_length + udp_header_length);
        payload = packet + total_headers_size;
        /* Print payload in ASCII */
        printHex(payload, payload_length);
    }
    else
    {
        printf("Not a TCP/UDP packet. Skipping...\n\n");
    }
    return;
}

void printHex(const u_char *payload, int payload_length)
{
    if (payload_length > 0)
    {
        const u_char *temp_pointer = payload;
        int byte_count = 0;
        while (byte_count++ < payload_length)
        {
            printf("%02x", *temp_pointer);
            temp_pointer++;
            if ((byte_count & 0x0F) == 0)
            {
                printf("\n");
            }
            else
            {
                printf(" ");
            }
        }
        printf("\n");
    }
}

size_t processStream(u_char *stream, size_t streamlen)
{
    if(streamlen < sizeof(MDQPHdr))
    {
        return 0;
    }
    MDQPHdr* hdr = reinterpret_cast<MDQPHdr*>(stream);
    size_t bodylen = hdr->Length;
    printf("[MDQPHdr] Flag:%02x, TypeID:%02x, Length:%u, RequestID:%d\n", hdr->Flag, hdr->TypeID, bodylen, hdr->RequestID);
    
    size_t packetlen = bodylen + sizeof(MDQPHdr);
    if(packetlen > streamlen)
    {
        return 0;
    }
    else
    {
        return packetlen;
    }
}

参考:
https://www.tcpdump.org/index.html
https://vichargrave.github.io/programming/develop-a-packet-sniffer-with-libpcap/#tcp-and-udp-header-parsing
https://www.devdungeon.com/content/using-libpcap-c

photon_wa
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Linux网络编程》: libpcap 详解
yexiangCSDN的专栏
01-08 1416
1.概述 libpcap (Packet Capture Library)是一个网络数据包捕获函数,是Unix/Linux平台下的网络数据包捕获函数。它是一个独立于系统的用户层包捕获的API接口,为底层网络监测提供了一个可移植的框架。功能非常强大,Linux 下著名的 tcpdump 就是以它为基础的。该提供的C函数接口用于捕获经过指定网络接口(通过将网卡设置为混杂模式,可以捕获所有经过...
libpcap以及使用方法
08-19
**libpcap详解** libpcap是一个开源的网络数据包捕获,广泛用于开发网络监控、数据分析和安全工具。这个最初是为UNIX系统设计的,但现在已经被移植到许多其他操作系统上,包括Windows。libpcap的核心功能是...
LinuxLibpcap源码分析和包过滤机制
yaoyepeng的专栏
11-23 3638
  libpcap是unix/linux平台下的网络数据包捕获函数包,大多数网络监控软件都以它为基础。Libpcap可以在绝大多数类unix平台下工作,本文分析了libpcaplinux 下的源代码实现,其中重点是linux的底层包捕获机制和过滤器设置方式,同时也简要的讨论了libpcap使用的包过滤机制 BPF。    网络监控    绝大多数的现代操作系统都提供了对底层网络数据包捕获的机
Linux离线安装之libpcap记录
最新发布
weixin_44357871的博客
06-20 531
因工作原因需要在离线的环境安装libpcap,查了许多资料终于解决了环境问题
_Linux 网络编程——libpcap详解
weixin_39775106的博客
10-22 211
libpcap 是一个网络数据包捕获函数,功能非常强大,Linux 下著名的 tcpdump 就是以它为基础的。libpcap主要的作用捕获各种数据包,列如:网络流量统计。过滤网络数据包,列如:过滤掉本地上的一些数据,类似防火墙。分析网络数据包,列如:分析网络协议,数据的采集。存储网络数据包,列如:保存捕获的数据以为将来进行分析。libpcap 的安装libpcap 的抓包框架pcap_look...
linuxlibpcap抓包分析
weixin_30387663的博客
04-28 428
一、首先下载libpcap包http://www.tcpdump.org/#latest-release   然后安装,安装完成后进入安装根目录的tests文件夹,编译运行findalldevstest.c(编译时加上-lpcap),查看是否发现所有网络设备。 二、下载wireshark观察抓包软件的各种功能 三、熟悉libpcap工作原理: 四、了解libpcap抓包基本流程: 五...
linux下安装libpcap
m0_48312352的博客
03-02 1353
linpcap
Linux 网络编程—— libpcap 详解
热门推荐
秋叶原 && Mike || 麦克
04-02 6万+
概述libpcap 是一个网络数据包捕获函数,功能非常强大,Linux 下著名的 tcpdump 就是以它为基础的。libpcap主要的作用1)捕获各种数据包,列如:网络流量统计。2)过滤网络数据包,列如:过滤掉本地上的一些数据,类似防火墙。3)分析网络数据包,列如:分析网络协议,数据的采集。4)存储网络数据包,列如:保存捕获的数据以为将来进行分析。libpcap 的安装libpcap 的抓包框...
Cython封装libpcap
03-16
libpcap与Cython结合使用,可以提高程序运行效率,同时保持Python的易用性和灵活性。 标题中的"Cython封装libpcap"指的是通过Cython将libpcap的功能包装成Python可用的形式,这样Python开发者无需深入理解...
Linux离线安装之libpcap记录文章中的所有安装包
06-20
这个“Linux离线安装之libpcap记录文章中的所有安装包”显然关注的是如何在没有互联网连接的情况下,在Linux系统上安装libpcap。下面将详细介绍libpcap及其安装过程中的关键步骤和注意事项。 **libpcap简介** ...
Linux下采用Libpcap实现IDS的网络数据包监测.pdf
09-06
标题和描述中提到的“Linux下采用Libpcap实现IDS的网络数据包监测”涉及到的主要知识点是使用Linux操作系统和Libpcap来构建一个入侵检测系统(IDS)。Libpcap是一个开源,广泛用于捕获和分析网络数据包,它是...
linux下捕获数据包libpcap所需安装包
04-03
linux下捕获数据包libpcap的安装,包含bison-3.0.tar.gz,flex-2.5.37.tar.gz,libpcap-1.5.3.tar.gz,m4-1.4.13.tar.gz
linux下的libpcap抓包分析程序
11-13
基于linux的用c编写的抓包分析程序,可给出包的端口信息,ip地址信息,包的长度,包的类型及其他。
Linux下实现libpcap抓包并保存在文件里的示例程序及参考文档
03-15
libpcap的示例代码和英文资料,tcpdump-filters的规则同样适用于libpcap的过滤表达式
linux libcap 64
08-15
libcap-1.10-26.x86_64.rpm
linux 安装libpcap
halley333的专栏
04-13 1633
1.安装GCC:   yum -y install gcc-c++ 2.安装flex:   yum -y install flex    没有flex,直接安装libpcap会提示"Your operating system's lex is insufficient to compile libpcap"错误; 3.安装bison   yum -y in
linux安装libpcap
oooooops
12-27 1228
1.下载libpcap www.tcpdump.org 2.安装 GNU M4 命令: sudo apt-get install m4 这个是编译flex 必备的环境,否则会提示“GNU M4 1.4 is required” 的错误 3.安装 flex 命令: sudo apt-get install flex 没有flex ,直接安装libpcap 会提示“Your
Linux libpcap 内核函数,linux平台libpcap函数分析及流程(…
weixin_42366532的博客
04-29 206
本文函数来源,libpcapHakin9LuisMartinGarcia.pdf文档,文档只有9页,是英文版的,不过讲得比较详细,而且能帮助理解,我通过对文档的学习,然后结合网上的一些资料加以总结。这些天一直都在学习写一些抓包代码,由一片空白开始学习,通过在网上搜索资料,不断的摸索,慢慢地有了一些头绪,我将我的一些小小心得与大学分享。我总结的这些函数到处都可见,没有什么特别之处,只是让大家能了解编...
Linux Libpcap源码解析:底层包捕获与BPF过滤机制详解
LinuxLibpcap源码分析和包过滤机制.doc是一篇深入研究Linux平台下的Libpcap的文章,Libpcap是一个核心的网络数据包捕获工具,广泛应用于网络监控软件的基础。该文档主要关注以下几个关键知识点: 1. **Libpcap...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值