libpcap steps (2) 简单的抓包实现。

最新推荐文章于 2022-09-04 19:16:25 发布
最新推荐文章于 2022-09-04 19:16:25 发布
阅读量1.6k 收藏 1
点赞数 1
分类专栏: 2012.3 pcap linux network code snippets 文章标签: function file header struct lambda c
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xulai1001/article/details/7359035
版权
用libpcap抓包的简单流程:
1. 获得设备名:pcap_findalldevs列出所有设备——选择列出的网络设备,在链表中找到。得到设备名以后把链表释放。
或者直接存在字符串里
2. pcap_open_live用设备名打开设备(另一个函数是pcap_open_dead,略猎奇)

3. pcap_loop开始抓包。这里没有使用混杂模式。(第二个参数是0)

4. 利用回调函数处理捕获的数据包。这里直接写在pcap_loop里了。传进来的数据不需要free掉。

note:

其实在linux下 最合适的语言是C。不过libpcap与c++的相性也还不错,没有出现任何坑爹的情况。

本来这个程序是纯C的(所以有scanf/printf),为了精简,使用了lambda函数,也就改成了c++。

revision 3:尝试使用getopt_long处理命令行参数。原来用"%02x"就可以正确输出hex了,而且前面补0.原来一直都没想到怎么在前面补0,输出都是自己写的超复杂函数的说大哭= =。去掉了显示设备名称,改成用-i或者 --iface指定。所以仍然压缩到了50行。

#include "iostream"
#include "ctime"
#include "cstdlib"
#include "cstring"

#include "getopt.h"

#ifndef __USE_BSD
	#define __USE_BSD
#endif
#include <sys/types.h>		//u_short types
#include "pcap.h"

#define str_(x) x		//这样可以解决c++处理format的问题
#define Debug(format, ...) 	fprintf(stderr, "%s:%d: " str_(format) "\n", __FILE__, __LINE__, ##__VA_ARGS__)
#define assert_(expr_, extra_op)	do { if (!(expr_)) { Debug("在函数 `%s'中: 断言错误: " #expr_, __FUNCTION__);\
							extra_op;exit (-1);} } while (0)
#define pcap_try(func_) 	assert_(func_!=-1, Debug("Message: %s", errbuf))
#define pcap_ptr_try(func_)  assert_((func_) != 0, Debug("Message: %s", errbuf))

using namespace std;
static char buf[10000], errbuf[10000];
//options
option options[]={	//长选项
	{"iface", required_argument, 0, 'i'},
};
//global args
char *ifname;
int main(int argc, char **argv)
{
	char opt;
	while (-1!=( opt=getopt_long(argc, argv, "i:", options, 0) ))
	{
		switch(opt)
		{
			case 'i': ifname=optarg; break;
		}
	}
	pcap_t *hdev;
	pcap_ptr_try(hdev = pcap_open_live(ifname, 0xffff, 0, 1000, errbuf));
	Debug("Start capture on %s...", ifname);
	
	pcap_loop(hdev, 0, [buf](u_char *param, const struct pcap_pkthdr *header, const u_char *data){
		strftime(buf, sizeof(buf), "%H:%M:%S", localtime(&header->ts.tv_sec));		 
		Debug("%s,%.6d us, len:%d", buf, header->ts.tv_usec, header->len);
		for(int i=0; i<header->len; i++)
			printf("%02x%c", data[i], i<header->len-1?'-':'\n');
	}, 0);
	return 0;
}
运行: 

$ sudo ./capture -i eth0
capture.cpp:41: Start capture on eth0...
capture.cpp:45: 14:30:31,550031 us, len:121
00-1e-c9-37-c8-10-a0-21-b7-ae-3e-fa-08-00-45-00-00-6b-05-8f-40-00-7b-06-49-ac-de-14-fc-cf-c0-a8-14-c5-0d-3d-a0-76-4a-89-f9-09-74-d1-8b-50-80-18-01-01-5c-22-00-00-01-01-08-0a-00-1f-1c-a0-00-15-f4-a0-80-37-86-6a-4c-a9-3a-b3-65-94-f1-92-a7-ed-0e-bd-0a-f6-4c-48-6d-75-8e-88-4f-7a-33-e4-99-1d-54-f1-ab-53-44-64-72-9c-8d-34-45-4b-53-04-69-f8-fd-9e-a7-74-f6-e1-ca-e9-ad
capture.cpp:45: 14:30:31,550702 us, len:66
a0-21-b7-ae-3e-fa-00-1e-c9-37-c8-10-08-00-45-00-00-34-34-bb-40-00-40-06-55-b7-c0-a8-14-c5-de-14-fc-cf-a0-76-0d-3d-74-d1-8b-50-4a-89-f9-40-80-10-39-f3-b0-78-00-00-01-01-08-0a-00-15-f4-b9-00-1f-1c-a0



revision 2:修改了宏定义里面的"#format"错误。见文章最后,老版本程序后面的note。

#include <cstdio>
#include <cstdlib>
#include <ctime>

#ifndef __USE_BSD
	#define __USE_BSD
#endif
#include <sys/types.h>		//u_short types
#include "pcap.h"

#define str_(x) x		//这样可以解决c++处理format的问题
#define Debug(format, ...) 	fprintf(stderr, "%s:%d: " str_(format) "\n", __FILE__, __LINE__, ##__VA_ARGS__)
#define assert_(expr_, extra_op)	do { if (!(expr_)) { Debug("在函数 `%s'中: 断言错误: " #expr_, __FUNCTION__);\
							extra_op;exit (-1);} } while (0)
#define pcap_try(func_) 	assert_(func_!=-1, Debug("Message: %s", errbuf))
#define pcap_ptr_try(func_)  assert_((func_) != 0, Debug("Message: %s", errbuf))
static char buf[10000], errbuf[10000];

int main()
{
	int i=0, devid;
	pcap_t *hdev;
	pcap_if_t *alldevs, *pdev;
	
	//get device list
	pcap_try(pcap_findalldevs(&alldevs, errbuf));
	for (pdev = alldevs; pdev; pdev=pdev->next)
		printf("#%d: %s %s\n", ++i, pdev->name, pdev->description? pdev->description:"");
	
	//select device
	printf("select a device: "); scanf("%d", &devid);
	pdev=alldevs; while (--devid) pdev=pdev->next;
	printf("Selected %s", pdev->name);
	
	//open device
	pcap_ptr_try(hdev = pcap_open_live(pdev->name, 0xffff, 0, 1000, errbuf));
	Debug("Start capture on %s...", pdev->name);

	//free device list
	pcap_freealldevs(alldevs);
	
	//start capture
	pcap_loop(hdev, 0, [buf](u_char *param, const struct pcap_pkthdr *header, const u_char *data){
			/* 将时间戳转变为易读的标准格式*/
			strftime(buf, sizeof(buf), "%H:%M:%S", localtime(&header->ts.tv_sec));		 
			Debug("%s,%.6d us, len:%d", buf, header->ts.tv_usec, header->len);
		}, 0);
	
	return 0;
}

运行:sudo运行 

viktor@buxiang-OptiPlex-330:~/proj/pcap$ sudo ./capture 
#1: peth0 
#2: eth0 
#3: usbmon1 USB bus number 1
#4: usbmon2 USB bus number 2
#5: usbmon3 USB bus number 3
#6: usbmon4 USB bus number 4
#7: usbmon5 USB bus number 5
#8: any Pseudo-device that captures on all interfaces
#9: lo 
select a device: 2
capture_short.cpp:42: Start capture on �b...               //擦 内存
capture_short.cpp:46: 09:35:39,720743 us, len:79
capture_short.cpp:46: 09:35:39,721226 us, len:66
capture_short.cpp:46: 09:35:39,829933 us, len:79
capture_short.cpp:46: 09:35:39,830169 us, len:66
capture_short.cpp:46: 09:35:39,853439 us, len:60
capture_short.cpp:46: 09:35:39,939339 us, len:79


昨天的程序(rev1)的相关部分:

#define Debug(format, ...) 	fprintf(stderr, "%s:%d: " #format "\n", __FILE__, __LINE__, ##__VA_ARGS__)
#define assert_(expr_, extra_op)	do { if (!(expr_)) { Debug("在函数 `%s'中: 断言错误: " #expr_, __FUNCTION__);\
							extra_op;exit (-1);} } while (0)
#define pcap_assert(func_) 	assert_(func_!=-1, Debug("Message: %s", errbuf))
#define pcap_ptr_assert(func_)  assert_((func_) != 0, Debug("Message: %s", errbuf))

在宏定义的地方出了一个问题:

fprintf(stderr, "%s:%d: " #format "\n", __FILE__, __LINE__, ##__VA_ARGS__)

这里如果写成"%s:%d: "format"\n",C编译正常(我一开始的C代码里面就是这样写的),但是g++会报错:undefined string literal override (operator "" format)

似乎是触发了c++0x的特性“自定义的字面量后缀” 例如 356f, 356adk——这里好像把我准备连接的识别成了一个字面量【 "%s:%d:"format】

如果写成"%s:%d:"#format (也就是上面这样)那么输出时候会多出一堆引号,很难看

如果写成 ##format 他又会把"%s:%d:"format连接成一个标识符,仍然不对。

note:正确的修改办法是

#define str_(x) x
#define Debug(format, ...) 	fprintf(stderr, "%s:%d: " str_(format) "\n", __FILE__, __LINE__, ##__VA_ARGS__)

用一个宏把它套起来,避免在同一遍parse。


精简以后数了数,刚好50行。果然自己一天 只能写50行的有效代码啊……


note:以上代码的几个宏,应该叫做try而不是assert。

如果是assert的话,应该把"!=-1"这个判断条件写在调用里面,这样读程序显得更加清晰,像这样

pcap_assert(func != -1)

但是我的写法完全是为了代替以下的麻烦写法: 

retvar = func(...);
if (retvar == -1)
{
  fprintf(stderr, "error message!\n");
  exit(-1)
}

我的写法: 

pcap_try(func(...));

所以为了处理不同类型的函数的不同的出错值范围(例如这里用到了==-1和==null),我要定义不同类型的宏。完全是为了调用方便。

viktor
关注
专栏目录
java抓取网卡ip数据包_JAVA抓取网卡IP数据包
weixin_35257663的博客
02-25 1301
我们经常使用Httpwatch查看HTTP的传输数据。那java能不能做到呢? 下面我们就讲一下如何通过java在windows上获取网卡的数据包,这里我们使用了开源的WinPcap,还有jNetPcap,jNetPcap是对接了WinPcap来截获网卡数据包。如何截获网卡分3步:1. 在自己的机器上安装WinPcap。 http://www.winpcap.org/install/defa...
libpcap steps (3) pcap内存映射分析
03-16 2006
结论: pcap默认使用mmap方式读取包。所以不需要过多的去考虑抓包的效率问题。内部已经做得很完美了。 ref: http://www.diybl.com/course/3_program/c++/cppxl/20100408/202002_3.html 在libpcap-1.0.0中引入了zerocopy BPF,那么这个zerocopy BPF又是什么呢?PACKET_MMAP
libpcap 库使用(一)
weixin_30827565的博客
04-02 140
参考资料:   http://www.tcpdump.org/ DESCRIPTION The Packet Capture library provides a high level interface to packet capture systems. All packets on the network, even those destined for other hosts, ar...
JAVA抓取网卡IP数据包
anson2003的专栏
03-23 1823
我们经常使用Httpwatch查看HTTP的传输数据。那java能不能做到呢?  下面我们就讲一下如何通过java在windows上获取网卡的数据包,这里我们使用了开源的WinPcap,还有jNetPcap,jNetPcap是对接了WinPcap来截获网卡数据包。 如何截获网卡分3步: 1. 在自己的机器上安装WinPcap。   http://www.winpcap.org/instal...
利用Java进行网络数据包捕捉
biran1980的专栏
06-12 5922
http://jnetpcap.com/examples 在上一期的栏目中我们介绍了通过Fiddler嗅探Http协议网络数据包的方法,并且在文章最后通过开心农场的例子来展示网络嗅探的基本操作。但手工获得数据毕竟耗时耗力,颇为麻烦,不妨将这个工作交给电脑,写一个程序让电脑在点击好友的时候自动嗅探到信息数据包并进行处理。这期我们就来介绍一下如何在Java平台下通过第三方包来进行底层网络
Android源代码结构分析
朱培(知浅_ZLH)
12-23 2320
Google提供的Android包含了:Android源代码,工具链,基础C库,仿真环境,开发环境等,完整的一套。 第一级别的目录和文件如下所示: [cpp] view plaincopy ----------------   ├── Makefile            全局的Makefile   ├── build        
Android framework 源码结构图
唯爱丶卡卡西的博客
03-23 1362
转!转!转! https://blog.csdn.net/iqingfen/article/details/44703035 自己保留的Android framework 源码结构图,以备自己方便查阅. 基本使用的会涉及到前6个,其他的基本不懂 1.frameworks 目录 (核心框架——java及C++语言) |-- base (基本内容) | |-- api (?都是xml文件...
近来开发工作不忙,零零散散整理的Java基础
a605536834的博客
04-02 1228
基本按照下图这个路子来搬运的 一. java基础 1.java 基础语法 1).标识符和关键字 主要是在命名的时候注意别用到了 2).Java基本数据类型、常量和变量 常量 变量:变量其实就是内存中的一块小区域 变量的分类: 按位置划分:局部变量 成员变量 按数据类型划分: 基本数据类型 引用数据类型 3).运算符 (++ – 三目运算:a? b:c 等)...
EtherNet/IP协议开发1:从OpENer开始
09-04 5868
ethernet/ip协议,OpENer初步
基于Libpcap实现的局域网嗅探抓包发包解析工具_嗅探抓包发包解析工具_
10-02
基于Libpcap实现的局域;网嗅探抓包发包解析工具.
linux-get-net-packet-libpcap.rar_libpcap_libpcap抓包
09-24
在提供的"linux 抓包程序libpcap.txt"文件中,可能包含了使用libpcap库在Linux上实现抓包程序源代码。通过阅读和理解这部分代码,你可以了解到如何使用libpcap API来打开网络接口、设置过滤器、接收数据包和处理...
基于C语言使用 libpcap 对 IPv4 抓包实现【100011873】
最新发布
04-12
BPF让你能够通过比较第2、3、4层协议中各个数据字段值的方法对流量进行过滤。BPF中内置了一些“基元”来指代一些常用的协议字段。可以用“host”、"prot"之类的基元写出非常简洁的BPF过滤规则,也可以检测位于指定...
arp.rar_arp抓包工具_libpcap_libpcap qt_pcap arp_qt 抓包
09-19
标题中的“arp.rar_arp抓包工具_libpcap_libpcap qt_pcap arp_qt 抓包”揭示了我们讨论的主题是关于一个基于libpcap库,并使用Qt框架开发的ARP(Address Resolution Protocol)网络数据包捕获工具。这个工具主要用于...
get_tcp_code.rar_libpcap_tcp 抓包
09-24
使用libpcap实现TCP抓包,你需要: 1. **初始化libpcap**: 首先,调用`pcap_open_live()`函数,传入设备名(如"eth0"),缓冲区大小,snaplen(要捕获的最大数据量),是否以非阻塞模式运行,以及一个错误缓冲区。 ...
libpcap steps (1) 使用pcap_findalldevs列出设备
03-15 3776
libpcap版本1.3.0-PRE-GIT #include #include #include #define __USE_BSD #include #include #define Debug(format, ...) fprintf(stderr, "%s:%d: "format "\n", __FILE__, __LINE__, ##__VA_ARGS__)
Xen PV DomU 的安装方法:rsync和xen-tools
03-13 2910
Xen的半虚拟化(PV)虚拟机的安装是比较麻烦的,因为不能像平时安装系统一样,使用GUI来安装(我不了解怎样用命令行安装一个linux系统。唉……)。所以得用一些其他的办法。这里记录一下我使用的两种方法:rsync和xen-tools。 使用xen-tools(推荐) 使用xen-tools来安装DomU,好处是方便省事不折腾。推荐使用这种办法。 apt-get安装依赖包:
Xen 虚拟机使用LVM snapshot镜像
03-13 2810
一般的虚拟机镜像文件,比较直接的做法是存放在一个img镜像文件里,或者直接使用/dev/sda*分区。但是万一把虚拟机分区“玩坏”了就不好恢复了。 qemu支持一种镜像格式qcow2,能够创建增量镜像,这样可以把修改存在新文件里,当出错时可以保护原始镜像。这个功能非常有用,【xen似乎支持qcow2,待查】但是Xen自身不支持。 Xen想要使用增量镜像,只能使用LVM文件系统的snapshot
Linux Mint 12 Lisa 安装笔记(4) 配置LVM和其他软件
03-11 2194
LVM配置: 用apt-get 安装LVM。我还安装了一个图形界面的管理器:KVPM note:ubuntu10.04源里的LVM不支持把快照和原件合并的功能(merge)。11.10的LVM没有测试。 把一个分区作为LVM的物理卷(Physical Volume PV)。注意这一步会不提示直接抹掉分区头部! sudo pvcreate /dev/sda11 -v然后使用kvpm进行后面的
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值