C语言解析pcap数据包格式

最新推荐文章于 2024-05-26 21:17:11 发布
最新推荐文章于 2024-05-26 21:17:11 发布
阅读量9.7k 收藏 98
点赞数 9
分类专栏: C 网络协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xiadeliang1111/article/details/104500709
版权

通过tcpdump命令或者wireshark抓取数据包。

如下图所示:

pcap文件格式: 24字节pcap文件头+(16字节pcap数据包头+数据包)*n

 

解析源码如下:

#include<stdio.h>
#include<string.h>
#include<stdlib.h>
#include<netinet/in.h>
#include<time.h>

#define BUFSIZE 10240
#define STRSIZE 1024
#define FILE_NAME "test.pcap"

typedef int32_t bpf_int32;
typedef u_int32_t bpf_u_int32;
typedef u_int16_t  u_short;
typedef u_int32_t u_int32;
typedef u_int16_t u_int16;
typedef u_int8_t u_int8;

//pacp文件头结构体

struct pcap_file_header
{
    bpf_u_int32 magic;       /* 0xa1b2c3d4 */
    u_short version_major;   /* magjor Version 2 */
    u_short version_minor;   /* magjor Version 4 */
    bpf_int32 thiszone;      /* gmt to local correction */
    bpf_u_int32 sigfigs;     /* accuracy of timestamps */
    bpf_u_int32 snaplen;     /* max length saved portion of each pkt */
    bpf_u_int32 linktype;    /* data link type (LINKTYPE_*) */
};

//时间戳
struct time_val
{
    int tv_sec;         /* seconds 含义同 time_t 对象的值 */
    int tv_usec;        /* and microseconds */
};

//pcap数据包头结构体
struct pcap_pkthdr
{
    struct time_val ts;  /* time stamp */
    bpf_u_int32 caplen; /* length of portion present */
    bpf_u_int32 len;    /* length this packet (off wire) */
};

//数据帧头
typedef struct FramHeader_t
{ //Pcap捕获的数据帧头
    u_int8 DstMAC[6]; //目的MAC地址
    u_int8 SrcMAC[6]; //源MAC地址
    u_short FrameType;    //帧类型
} FramHeader_t;

//IP数据报头
typedef struct IPHeader_t
{ //IP数据报头
    u_int8 Ver_HLen;       //版本+报头长度
    u_int8 TOS;            //服务类型
    u_int16 TotalLen;       //总长度
    u_int16 ID; //标识
    u_int16 Flag_Segment;   //标志+片偏移
    u_int8 TTL;            //生存周期
    u_int8 Protocol;       //协议类型
    u_int16 Checksum;       //头部校验和
    u_int32 SrcIP; //源IP地址
    u_int32 DstIP; //目的IP地址
} IPHeader_t;

//TCP数据报头
typedef struct TCPHeader_t
{ //TCP数据报头
    u_int16 SrcPort; //源端口
    u_int16 DstPort; //目的端口
    u_int32 SeqNO; //序号
    u_int32 AckNO; //确认号
    u_int8 HeaderLen; //数据报头的长度(4 bit) + 保留(4 bit)
    u_int8 Flags; //标识TCP不同的控制消息
    u_int16 Window; //窗口大小
    u_int16 Checksum; //校验和
    u_int16 UrgentPointer;  //紧急指针
}TCPHeader_t;


void match_http(FILE *fp, char *head_str, char *tail_str, char *buf, int total_len); //查找 http 信息函数

int main()
{
    struct pcap_file_header *file_header;
    struct pcap_pkthdr *ptk_header;
    FramHeader_t *mac_header;
    IPHeader_t *ip_header;
    TCPHeader_t *tcp_header;

    FILE *fp, *output;
    int   pkt_offset, i = 0;
    int ip_len, http_len, ip_proto;

    int src_port, dst_port, tcp_flags;

    char buf[BUFSIZE], my_time[STRSIZE];
    char src_ip[STRSIZE], dst_ip[STRSIZE];
    char  host[STRSIZE], uri[BUFSIZE];

    //初始化
    //file_header = (struct pcap_file_header *)malloc(sizeof(struct pcap_file_header));
    ptk_header = (struct pcap_pkthdr *)malloc(sizeof(struct pcap_pkthdr));
    mac_header = (FramHeader_t *)malloc(sizeof(FramHeader_t));
    ip_header = (IPHeader_t *)malloc(sizeof(IPHeader_t));
    tcp_header = (TCPHeader_t *)malloc(sizeof(TCPHeader_t));

    /*memset(buf, 0, sizeof(buf));*/

    //
    if ((fp = fopen(FILE_NAME, "r")) == NULL)
    {
        printf("error: can not open pcap file\n");
        exit(0);
    }

    /*if ((output = fopen("output.txt", "w+")) == NULL)
    {
        printf("error: can not open output file\n");
        exit(0);
    }*/

    //开始读数据包
    pkt_offset = 24; //pcap文件头结构 24个字节

    while (fseek(fp, pkt_offset, SEEK_SET) == 0) //遍历数据包
    {
        i++;
        //pcap_pkt_header 16 byte
        memset(ptk_header, 0, sizeof(struct pcap_pkthdr));
        if (fread(ptk_header, 16, 1, fp) != 1) //读pcap数据包头结构
        {
            printf("\nread end of pcap file\n");
            break;
        }

        pkt_offset += 16 + ptk_header->caplen;   //下一个数据包的偏移值

        //读取pcap包时间戳,转换成标准格式时间
        struct tm *timeinfo;
        time_t t = (time_t)(ptk_header->ts.tv_sec);
        timeinfo = localtime(&t);

        strftime(my_time, sizeof(my_time), "%Y-%m-%d %H:%M:%S", timeinfo); //获取时间
        //printf("%s\n", my_time);

        //数据帧头 14字节
        fseek(fp, 14, SEEK_CUR); //忽略数据帧头

        //IP数据报头 20字节
        memset(ip_header, 0, sizeof(IPHeader_t));
        if (fread(ip_header, sizeof(IPHeader_t), 1, fp) != 1)
        {
            printf("%d: can not read ip_header\n", i);
            break;
        }

        inet_ntop(AF_INET, (void *)&(ip_header->SrcIP), src_ip, 16);

        inet_ntop(AF_INET, (void *)&(ip_header->DstIP), dst_ip, 16);

        ip_proto = ip_header->Protocol;

        printf("time:%s, src_ip:%s, dst_ip:%s, ip protocol:%d\n",my_time, src_ip, dst_ip, ip_proto);
        ip_len = ip_header->TotalLen; //IP数据报总长度

        /*
        if (ip_proto != 6) //判断是否是 TCP 协议
        {
            continue;
        }
        
        //TCP头 20字节
        if (fread(tcp_header, sizeof(TCPHeader_t), 1, fp) != 1)
        {
            printf("%d: can not read ip_header\n", i);
            break;
        }
        printf("AAA\n");
        src_port = ntohs(tcp_header->SrcPort);
        dst_port = ntohs(tcp_header->DstPort);
        tcp_flags = tcp_header->Flags;

        // printf("%d:  src=%x\n", i, tcp_flags);

        //if (tcp_flags == 0×18) // (PSH, ACK) 3路握手成功后
        //{
        //    if (dst_port == 80) // HTTP GET请求
        //    {
        //        http_len = ip_len – 40; //http 报文长度
        //        match_http(fp, "Host: ", "\r\n", host, http_len); //查找 host 值
        //        match_http(fp, "GET ", "HTTP", uri, http_len); //查找 uri 值
        //        sprintf(buf, "%d:  %s  src = %s : %d  dst = %s : %d  %s%s\r\n", i, my_time, src_ip, src_port, dst_ip, dst_port, host, uri);

        //        //printf("%s", buf);
        //        if (fwrite(buf, strlen(buf), 1, output) != 1)
        //        {
        //            printf("output file can not write");
        //            break;
        //        }
        //    }
        //}
        */
    } // end while

    fclose(fp);

    //fclose(output);

    //free(file_header);
    free(ptk_header);
    free(ip_header);
    free(tcp_header);
    return 0;

}

//查找 HTTP 信息

void match_http(FILE *fp, char *head_str, char *tail_str, char *buf, int total_len)
{
    int i;
    int http_offset;
    int head_len, tail_len, val_len;
    char head_tmp[STRSIZE], tail_tmp[STRSIZE];
    //初始化
    memset(head_tmp, 0, sizeof(head_tmp));
    memset(tail_tmp, 0, sizeof(tail_tmp));
    head_len = strlen(head_str);
    tail_len = strlen(tail_str);
    //查找 head_str

    http_offset = ftell(fp); //记录下HTTP报文初始文件偏移
    while ((head_tmp[0] = fgetc(fp)) != EOF) //逐个字节遍历
    {
        if ((ftell(fp) - http_offset) > total_len)//遍历完成
        {
            sprintf(buf, "can not find %s \r\n", head_str);
            exit(0);
        }
        if (head_tmp[0] == *head_str) //匹配到第一个字符
        {
            for (i = 1; i<head_len; i++) //匹配 head_str 的其他字符
            {
                head_tmp[i] = fgetc(fp);
                if (head_tmp[i] != *(head_str + i))
                    break;
            }
            if (i == head_len) //匹配 head_str 成功,停止遍历
                break;
        }
    }
    // printf("head_tmp=%s \n", head_tmp);

    //查找 tail_str
    val_len = 0;
    while ((tail_tmp[0] = fgetc(fp)) != EOF) //遍历
    {
        if ((ftell(fp) - http_offset) > total_len) //遍历完成
        {
            sprintf(buf, "can not find %s \r\n", tail_str);
            exit(0);
        }
        buf[val_len++] = tail_tmp[0]; //用buf 存储 value 直到查找到 tail_str
        if (tail_tmp[0] == *tail_str) //匹配到第一个字符
        {
            for (i = 1; i<tail_len; i++) //匹配 head_str 的其他字符
            {
                tail_tmp[i] = fgetc(fp);
                if (tail_tmp[i] != *(tail_str + i))
                    break;
            }

            if (i == tail_len) //匹配 head_str 成功,停止遍历
            {
                buf[val_len - 1] = 0; //清除多余的一个字符
                break;
            }
        }
    }

    // printf("val=%s\n", buf);

    fseek(fp, http_offset, SEEK_SET); //将文件指针 回到初始偏移
}

编译执行之后:

完!

 

总结:以上代码主要是读取pcap包,获取到网络层的数据,再继续做下去就要根据具体四层协议进行解析。

 

参考:

https://www.cnblogs.com/wocgcow/p/8473736.html

 

soulsoul_god
关注
  • 9
    点赞
  • 98
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
C语言解析IP数据包程序
06-04
点击exe文件可以直接在命令行窗口下运行,支持手动输入时间,输出IP包的信息
工作记录---pcap_pkthdr结构详解
程序狗的成长之路
06-19 5340
原文:http://blog.sina.com.cn/s/blog_94d26ea60100w3kt.html
pcap文件理解
最新发布
qq_54122067的博客
05-26 1368
Pcap文件中是二进制,使用winhex软件,打开是十六进制数,winhex是只有十六进制数,而wireshake自动将pcap中的数据包按照时间顺序将分开并赋予一个No.标号(标号是时间顺序)。:32位,一个UNIX格式的精确到秒时间值,用来记录数据包抓获的时间,记录方式是记录从格林尼治时间的1970年1月1日 00:00:00 到抓包时经过的秒数;ttl: 占据一个字节(8位),表示生存时间(Time to Live),用于限制数据包在网络中的生存时间,每经过一个路由器,TTL减1,直到为0时被丢弃。
libpcap/winpcappcap_pkthdr结构体的说明
多学多思
10-27 8699
from : http://liuzhigong.blog.163.com/blog/static/178272375201122211217959/ pcap_pkthdr中 len 同caplen的区别   libpcap捕获时,使用pcap_loop之类的函数,在调用处理的handle的时候,返回的第一个参数的类型为pcap_pkthdr,第二个参数为uint8_t的指针,
libpcap使用
热门推荐
htttw的专栏
04-28 13万+
libpcap使用 libpcap是一个网络数据包捕获函数库,功能非常强大,Linux下著名的tcpdump就是以它为基础的。今天我们利用它来完成一个我们自己的网络嗅探器(sniffer) 首先先介绍一下本次实验的环境: Ubuntu 11.04,IP:192.168.1.1,广播地址:192.168.1.255,子网掩码:255.255.255.0 可以使用下
pcap抓包库部分函数说明
lyl4301203的专栏
07-28 4085
学习通过侦听网卡获取报文的程序,遇到部分pacp抓包库中的函数,在查阅资料后,作以下整理说明: 1. pcap_next_ex(): 基于非回调函数的捕获数据包,参数有三个,一个网卡描述符,两个指针,两个指针会被初始化并返回给用户,一个是pcap_pkthdr结构,一个是接收数据的缓冲区。pcap_pkthdr结构如下所示: struct pcap_pkthdr {       struc
pcap_t结构体
程序狗的成长之路
03-12 7054
typedef struct pcap pcap_t; pcap结构在libpcap源码的pcap-int.h定义,之所以没有定义仍能编译通过是因为并没有真正使用pcap类型,而是使用了其指针类型(你可以看到所有用到pcap_t的地方都是指针,而如果你使用了非指针的pcat_t定义则会发现编译不过),编译器无需知道pcap的确切定义。用这种方式可以隐藏结构的内部定义。   详细定义
C语言分析pcap文件
04-15
本文档是C语言编写,基于linux下对pcap格式文件的分析,希望能够提供帮助。
pcap数据包 DNS解析
03-05
本文将深入探讨如何使用C语言解析`pcap`文件中的DNS(Domain Name System)数据包,并对数据流进行处理。 首先,理解`pcap`文件的结构至关重要。`pcap`文件包含了一系列网络数据包的原始数据,每个数据包都包括头部...
C语言抓取网络数据包、网络分析器
09-01
pcap库实现源码
基于C语言实现PCAP的网络入侵检测系统源码+项目说明.zip
05-23
本项目将实现一个基本的网络入侵检测系统, 涉及到对TCP/IP网络协议和线程的知识理解. 项目将使用libpcap库在特定的接口拦截 (嗅探) 数据包, 之后分析...├── sniff.c # 使用pcap_loop()持续捕获数据包 └── sniff.h
手写一个Pcap捕包工具及性能优化
一元硬币
05-28 2062
前言这是在项目上遇到的问题。因为项目的缘故,需要实现pcap捕包的功能,在使用后发现libpcap自身API使用比较复杂,就手写了一个API并尝试进行性能优化。部分代码在githuab上。pcapDumperpcap文件格式一个pcap文件的结构如下: (图片来自博客)如上图,一个pcap文件,有两个部分组成,一个Pcap 头部,和一堆包。其中每一个包都有两个字段,分别是Packet Head和
pcap文件分析
tsinghuahkq的专栏
09-09 4646
最近要做关于网络监控方面的东西,首先来了解下pcap文件的格式。在网上搜索的资料,转载到这里,方便查阅。 以下内容转自:http://blog.sina.com.cn/s/blog_63f185f50100gzek.html和http://www.ebnd.cn/2009/09/07/file-format-analysis-of-wireshark-pcap/ pcap文件格式是常用
使用libpcap解析pcappcapng文件
wangzhicheng2013的专栏
02-06 8262
https://github.com/wangzhicheng2013/pcapng_file_process
pcap文件格式及文件解析
JackyOps
09-19 3万+
第一部分:PCAP包文件格式 一 基本格式:    文件头 数据包头数据报数据包头数据报...... 二、文件头:        文件头结构体  sturct pcap_file_header  {       DWORD           magic;       DWORD           version_major;       DWORD           ve
libpcap讲解与API接口函数讲解
eyucham的专栏
03-16 401
ibpcap(Packet Capture Library),即数据包捕获函数库,是Unix/Linux平台下的网络数据包捕获函数库。它是一个独立于系统的用户层包捕获的API接口,为底层网络监测提供了一个可移植的框架。 一、libpcap工作原理 libpcap主要由两部份组成:网络分接头(Network Tap)和数据过滤器(Packet Filter)。网络分接头从网络设备驱动程序中...
pcap文件格式解读
xingxing_lyx的专栏
04-29 1558
pcap格式, 常用的文件格式, 采用tcpdump或者wireshark得到的文件格式. pcap文件的组成如下:   Global Header Packet Header Packet Data Packet Header Packet Data Packet Header Packet Data ...
libpcap解析pcapng文件
weixin_45087979的博客
07-20 1749
libpcap(PacketCaptureLibrary)即数据包捕获函数库,是Unix/Linux平台下的网络数据包捕获函数库。它是独立于系统的用户层包捕获的API接口,为底层网络监测提供了一个可移植的框架。
pcap 解析
weixin_33800593的博客
07-17 368
http://wenku.baidu.com/link?url=BkRDW0md1bM_MRfJVykSTu7_Ppe4mj1Zauxfmb9_gvCFPohUpa59m-IbEq2DWGLmTr1kW_-dkAGCAIOpBhUTk6ormkcfj8vU-Zl-My4MQ9a 该网页内容基本已经够用,下面是一些需要修改或注意的地方。 1. struct pcap_pkthdr { ...
c源解析pcap文件
05-30
要在C语言解析pcap文件,可以使用pcap库。这个库提供了一些函数,可以用来读取pcap文件中的数据包。 以下是一个简单的示例代码,展示了如何打开一个pcap文件并逐个读取其中的数据包: ```c #include <stdio.h> #include <pcap.h> void process_packet(u_char *args, const struct pcap_pkthdr *header, const u_char *buffer) { // 处理数据包,这里只是简单地打印数据包的长度 printf("Packet size: %d\n", header->len); } int main() { pcap_t *handle; char errbuf[PCAP_ERRBUF_SIZE]; struct bpf_program fp; char filter_exp[] = "tcp port 80"; bpf_u_int32 net; bpf_u_int32 mask; // 打开pcap文件 handle = pcap_open_offline("file.pcap", errbuf); if (handle == NULL) { fprintf(stderr, "Couldn't open file %s: %s\n", "file.pcap", errbuf); return 1; } // 获取网络地址和掩码 if (pcap_lookupnet("eth0", &net, &mask, errbuf) == -1) { fprintf(stderr, "Couldn't get netmask for device %s: %s\n", "eth0", errbuf); net = 0; mask = 0; } // 编译和设置过滤器 if (pcap_compile(handle, &fp, filter_exp, 0, net) == -1) { fprintf(stderr, "Couldn't parse filter %s: %s\n", filter_exp, pcap_geterr(handle)); return 1; } if (pcap_setfilter(handle, &fp) == -1) { fprintf(stderr, "Couldn't install filter %s: %s\n", filter_exp, pcap_geterr(handle)); return 1; } // 循环读取pcap文件中的数据包 pcap_loop(handle, -1, process_packet, NULL); // 关闭pcap文件 pcap_close(handle); return 0; } ``` 这个例子中,我们使用pcap_open_offline()函数打开一个pcap文件,并使用pcap_loop()函数循环读取其中的数据包。在每个数据包被读取时,都会调用process_packet()函数进行处理。在这个例子中,我们只是简单地打印数据包的长度。 需要注意的是,这里的过滤器是"tcp port 80",它只会匹配TCP端口号为80的数据包。如果你想要匹配其他的协议或端口号,可以修改过滤器表达式。
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值