Libpcap是一个提供了针对网络数据包捕获系统的高层接口的开源函数库。其作用是提供独立于平台的应用程序接口,以消除程序中针对不同操作系统所包含的数据包捕获代码模块。这样以来,就解决了程序移植性的问题,有利于提高开发的效率。
Libpcap运行于大多数类UNIX操作系统上,完整的文档和源码可以从tcpdump的官方网站上获得: http://www.tcpdump.org 其Windows版本 Winpcap可已从 http://www.winpcap.org获取。下面介绍如何使用Libpcap来捕获数据包
char *pcap_lookupdev(char *errbuf);
功能:查找用于捕获数据包的缺省设备
errbuf :错误时保存出错信息
返回值:成功时返回设备名称;出错时返回NULL
pcap_t *pcap_open_live(const char *device, int snaplen, int promisc, int to_ms, char *errbuf);
功能:打开用于捕获数据包的网络设备
device:设备名称
snaplen:要捕获的数据包的最大字节数
prosmic:网络设备工作模式(0表示非混杂模式,其他值表示混杂模式)
to_ms: 从内核空间复制数据前等待的时间
err_buf:错误时保存出错信息
返回值:成功时返回pcap_t类型的接口描述符(句柄);出错时返回NULL
const u_char *pcap_next(pcap_t *p, struct pcap_pkthdr *h);
功能:捕获下一个数据包
p:接口描述符
h:捕获的数据包的信息
返回值:成功时返回指向捕获的数据的指针;出错时返回NULL
typedef void (*pcap_handler)(u_char *user, const struct pcap_pkthdr *h, const u_char *bytes);
const u_char *pcap_loop(pcap_t *p, int cnt, pcap_handler callback, u_char *user);
功能: 捕获下一个数据包
cnt :要捕获的数据包的个数
callback :捕获到数据包时执行的回调函数
user:传递给回调函数的参数
返回值:成功时返回0;出错时返回-1
int pcap_compile(pcap_t *p, struct bpf_program *fp, char *str, int optimize, bpf_u_int32 netmask);
功能:创建过滤器
p :接口描述符
fp:指向保存过滤器的结构体的指针
str:要转化的过滤规则
optimize: 过滤器是否要优化
netmask:网络掩码
返回值:成功时返回0;出错时返回-1
int pcap_setfilter(pcap_t *p, struct bpf_program *fp);
功能: 安装过滤器
p:接口描述符
fp:指向包含过滤器的结构体的指针
返回值:成功时返回0;出错时返回-1
以下实例代码实现捕获并显示3个ARP包
复制代码
代码如下:
#include
#include
#include
#include
#define MAXBYTES2CAPTURE 2048
void ProcessPacket(u_char *arg, const struct pcap_pkthdr *pkthdr, const u_char *packet)
{
int i = 0, *counter = (int *)arg;
printf("Packet Count : %d\n", ++(*counter));
printf("Received Packet Size: %d\n", pkthdr->len);
printf("Payload:\n");
for (i=0; ilen; i++)
{
printf("%02x ", (unsigned int)packet[i]);
if ( (i%16 = = 15 && i != 0) || (i = = pkthdr->len -1))
{
printf("\n");
}
}
printf("\n\n************************************************\n");
return;
}
int main(int argc, char *argv[])
{
int i = 0, count = 0;
pcap_t *descr = NULL;
char errbuf[PCAP_ERRBUF_SIZE], *device = NULL;
bpf_u_int32 netaddr = 0, mask = 0;
struct bpf_program filter;
memset(errbuf, 0, sizeof(errbuf));
if (argc != 2)
{
device = pcap_lookupdev(errbuf);
}
else
{
device = argv[1];
}
printf("Try to open device %s\n", device);
if((descr = pcap_open_live(device, MAXBYTES2CAPTURE, 1, 0, errbuf)) = =NULL)
{
printf("error : %s\n", errbuf);
exit(-1);
}
pcap_lookupnet(device, &netaddr, &mask, errbuf);
if (pcap_compile(descr, &filter, "arp and ether host 00:0c:29:b7:f6:33",0, mask) < 0)
{
printf("pcap_compile error\n");
exit(-1);
}
pcap_setfilter(descr, &filter);
pcap_loop(descr, 3, ProcessPacket, (u_char *)&count);
return 0;
}
8226
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
