树莓派（linux）libpcap的安装/应用笔记

安装步骤

参照 libpcap的安装方法详解

安装M4报错Please port gnulib freadahead.c to your platform!
Make 时报错，在安装目录

sed -i 's/IO_ftrylockfile/IO_EOF_SEEN/' lib/*.c
echo "#define _IO_IN_BACKUP 0x100" >> lib/stdio-impl.h

问题解决，继续正常编译
bison-2.5.1 make 时报错
#error "Please port gnulib fseterr.c to your platform!..
解决办法：（同上）

sed -i 's/IO_ftrylockfile/IO_EOF_SEEN/' lib/*.c
echo "#define _IO_IN_BACKUP 0x100" >> lib/stdio-impl.h

qt中添加pcap支持

1、

#include <pcap.h>

2‘、添加外部库libpcap.a

网上资料摘录：

Libpcap是Linux下用来捕获数据包的抓包库，它主要是基于socket的，和winpcap的本质的不同是，winpcap是和tcp/ip协议同层的，而libpcap是应用层的库，在tcp/ip层上对socket的又一次封装，所以从网卡得到的数据包需要经过多次拷贝才能达到应用程序，在千兆网的条件下，捕获包的性能较差，为了提高libpcap的包捕获性能，采用PF_RING对libpcap进行改进，改进后的libpcap采用环状缓冲区从网卡接收数据包，然后通过mmap映射到应用程序，减少内存拷贝的次数。为了更好的理解libpcap，pfring,libpfring等库函数，所以对这些源码进行分析，其中pfring是内核的源码，而libpfring是对pfring的封装，供应用程序调用，其实不采用libpcap，直接采用libpring也能捕获数据包，因为目前大部分的sniff工具都是建立在libpcap之上的，所以还是采用libpcap的接口，在底层采用pfring修改socket的实现过程。

Winpcap和libpcap捕获数据包的不同之处在于winpcap是与tcp/ip同层的协议，而libpcap是应用层的开发包，libpcap+pf_ring补丁后，和winpcap就有点类似了，都是采用环状的内核缓冲区，内核缓冲区的大小都可以设置。而winpcap和libpcap另外一个不同之处在于，它可以设定mintocopysize，即当内核缓冲区有这么多数据的时候，就将数据拷贝到应用程序缓冲区，而libpcap是没有这种功能的。Libpcap主要是基于网卡中断或轮询往上层传替数据的。

对libpcap库关键函数分析下来，它是如何实现最终抓包的呢？其实是它函数内部调用几个真正跟内核交互的几个函数。
pcap_open_live 函数调用了
sock_fd = cooked ?socket(PF_PACKET, SOCK_DGRAM, protocol) :socket(PF_PACKET, SOCK_RAW, protocol); 来创建一个socket套接字
pcap_setfilter 函数调用了
setsockopt(handle->fd, SOL_SOCKET, SO_ATTACH_FILTER, fcode, sizeof(*fcode));
将规则设置到内核，从而内核可以根据该应用层设置的规则，过滤数据
pcap_loop 函数本质就是根据创建的socket循环接收数据包
packet_len = recvfrom(handle->fd, bp + offset,handle->bufsize - offset, MSG_TRUNC,(struct sockaddr *) &from, &fromlen);
pcap_open_live实质就是创建一个用于捕获的原始套接字，而较新版本内核中(支持PACKET_MMAP)，通过mmap机制实现了对捕获效率的大大提升，

那么，LINUX系统应该是直接用SOCKET编程就好了

socket函数摘要：

sock_raw（注意一定要在root下使用）原始套接字编程可以接收到本机网卡上的数据帧或者数据包,对于监听网络的流量和分析是很有作用的.一共可以有3种方式创建这种socket
1.socket(AF_INET, SOCK_RAW, IPPROTO_TCP|IPPROTO_UDP|IPPROTO_ICMP)发送接收ip数据包，不能用IPPROTO_IP，因为如果是用了IPPROTO_IP，系统根本就不知道该用什么协议。
2.socket(PF_PACKET, SOCK_RAW, htons(ETH_P_IP|ETH_P_ARP|ETH_P_ALL))发送接收以太网数据帧
3.socket(AF_INET, SOCK_PACKET, htons(ETH_P_IP|ETH_P_ARP|ETH_P_ALL))过时了,不要用啊

1.介绍
在linux中提供了PF_PACKET接口可以操作链路层的数据。

2.使用方法
定义一个pf_packet = socket(PF_SOCKET, SOCK_RAW, htons(ETH_P_RARP));
就可以利用函数sendto和recefrom来读取和发送链路层的数据包了（当然，发送ARP包，上面第三个参数要变为 htons(ETH_P_ARP)，或者IP的包为ETH_P_IP，可查看文件/usr/include/linux/if_ether.h文件看到所有支持的协议）。

3.在使用SOCK_RAW, SOCK_DGRAM和SOCK_PACKET的区别
在socket的第一个参数使用PF_PACKET的时候，上述三种socket的类型都可以使用。但是有区别。
(1)使用SOCK_RAW发送的数据必须包含链路层的协议头，接受得到的数据包，包含链路层协议头。而使用SOCK_DGRAM则都不含链路层的协议头。
(2)SOCK_PACKET也是可以使用的，但是已经废弃，以后不保证还能支持，不推荐使用。
(3)在使用SOCK_RAW或SOCK_DGRAM和SOCK_PACKET时，在sendto和recvfrom中使用的地址类型不同，前两者使用sockaddr_ll类型的地址，而后者使用sockaddr类型的地址。
(4)如socket的第一个参数使用PF_INET，第二个参数使用SOCK_RAW，则可以得到原始的IP包。