网络嗅探函数库Libpcap

1.简介

　　libpcap即Packet Capture Library，是一个Linux常用的数据包捕获函数库。该库全部由C语言编写，为不同的系统提供了统一的编程接口，一共提供了20多个API函数。使用libpcap的API能够轻易地捕获数据包，并且能够进行自定义的过滤，存储以分析等。

2. 工作原理

　　libpcap由两部分组成，分别是网络分接口和数据过滤器。网络分接口负责从监听网络设备驱动程序，拷贝一份其收到的数据帧，数据过滤器则是根据过滤规则决定是否丢弃该数据帧。
　

3. 开发流程

1. 决定从哪个网络端口进行嗅探。可以硬编码，也可以使用pcap的API来寻找。
2. 进行初始化，告诉pcap你要监听哪些网络端口。
3. 告诉pcap的过滤规则，过滤出你想要的数据帧。
4. 循环，每次抓到数据帧后会调用用户定义的回调函数进行处理。
5. 关闭网络端口，结束嗅探。

4. API

1. 网络端口相关

   /***********************
   *功能:用于自动寻找网络设备
   *参数:errbuf,用于存储出错信息
   *返回值:网络设备名
   ***********************/
   char *pcap_lookupdev(char *errbuf)

2. 初始化相关

   /***********************
   *功能:用于打开网络端口
   *参数:device，用来指定网络设备
   *参数:snaplen，指定捕获的最大字节数
   *参数:promisc，指定是否将网络接口置于混杂模式
   *参数:to_ms，参数指定超时时间
   *参数:errbuf，用于存储出错信息
   *返回值:用于捕获网络数据包的描述字
   ***********************/
   pcap_t *pcap_open_live(char *device, int snaplen, int promisc, int to_ms, char *errbuf)

3. 过滤规则相关

   /***********************
   *功能:用于将用户输入的字符串的编译成bpf
   *参数:p，捕获网络数据包的描述字
   *参数:fp，用来存放编译完的bpf
   *参数:str，指定用户输入的过滤表达式
   *参数:optimize，指定是否优化
   *参数:netmask，指定本地网络的网络掩码
   *返回值:用于捕获网络数据包的描述字
   ***********************/
   int pcap_compile(pcap_t *p, struct bpf_program *fp,char *str, int optimize, bpf_u_int32 netmask)
   
   /***********************
   *功能:将bpf应用到对应端口上
   *参数:p,捕获网络数据包的描述字
   *参数:fp，bpf
   *返回值:出错时返回-1
   ***********************/
   int pcap_setfilter(pcap_t *p, struct bpf_program *fp)

   　　BPF是目前linux内核进行过滤的机制，libpcap提供的这个API使得我们不用关注BPF的语法，只需要使用libpcap的过滤表达式的简单语法即可。关于libpcap过滤表达式的语法，请参考TCPDUMP官网的文档。

4. 循环抓包相关

   /***********************
   *功能:捕获并处理数据包
   *参数:p，即捕获网络数据包的描述字
   *参数:callback，每次捕获到数据包会调用该函数
   *参数:user，用户自定义的附加数据
   *返回值:出错时返回-1
   ***********************/
   int pcap_dispatch(pcap_t *p, int cnt,pcap_handler callback, u_char *user) 
   
   /***********************
   *额外描述:该函数与pcap_dispatch不同的是不会受到pacp_open_live的to_ms影响，会一直循环
   *功能:捕获并处理数据包
   *参数:p，即捕获网络数据包的描述字
   *参数:cnt，表示在该函数返回前最多能处理的数据包数
   *参数:callback，每次捕获到数据包会调用该函数
   *参数:user，用户自定义的附加数据
   *返回值:出错时返回-1
   ***********************/
   int pcap_loop(pcap_t *p, int cnt, pcap_handler callback, u_char *user)
   
   /***********************
   *额外描述：该函数与上面两个不同，只能抓取一个包，抓到会立即返回
   *功能:捕获数据包
   *参数:p，即捕获网络数据包的描述字
   *参数:h是一个数据包类型的指针
   *返回值:出错时返回-1
   ***********************/
   u_char * pcap_next(pcap_t *p, struct pcap_pkthdr *h)

5. 关闭相关

   /***********************
   *功能:关闭相应的网络描述字相应的文件，并释放资源
   *参数:p，即捕获网络数据包的描述字
   ***********************/
   void pcap_close(pcap_t *p)