Libpcap四 libpcap基础应用实例

最新推荐文章于 2024-01-19 22:10:00 发布
最新推荐文章于 2024-01-19 22:10:00 发布
阅读量402 收藏
点赞数
分类专栏: wireshark tcp/ip协议 libpcap
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yuanbinquan/article/details/116152149
版权

话不多说,直接上代码。读完这一段代码libpcap库的基础就介绍完了,后续无限的网络数据分析可能任君发挥。。。

1、示例代码

protocal.c
/*
gcc -o protocal protocal.c -I ./../include -I./ -L./../lib -lpcap

*/
#include <pcap.h>
#include <stdio.h>
#include <stdlib.h>
#include "sniff.h"


int pcap_protocal(const struct pcap_pkthdr *pkthdr, const u_char *packet)
{
	printf("packet size:%u, data len:%u\n",  pkthdr->len, pkthdr->caplen); //数据包实际的长度, 抓到时的数据长度

	/*解析数据链路层 以太网头*/
	struct sniff_ethernet *ethernet = (struct sniff_ethernet*)packet;
	unsigned char* src_mac = ethernet->ether_shost;
	unsigned char* dst_mac = ethernet->ether_dhost;

	printf("src_mac:%x:%x:%x:%x:%x:%x\n",src_mac[0],src_mac[1],src_mac[2],src_mac[3],src_mac[4],src_mac[5]);
	printf("dst_mac:%x:%x:%x:%x:%x:%x\n",dst_mac[0],dst_mac[1],dst_mac[2],dst_mac[3],dst_mac[4],dst_mac[5]);
	//printf("ether_type:%u\n",ethernet->ether_type);
  
	int eth_len = sizeof(struct sniff_ethernet);  //以太网头的长度
	int ip_len; //ip头的长度
	int tcp_len = sizeof(struct sniff_tcp);  //tcp头的长度
	int udp_len = sizeof(struct sniff_udp);  //udp头的长度

	/*解析网络层  IP头*/
	if(ntohs(ethernet->ether_type) == ETHERTYPE_IPV4)
	{  //IPV4
		printf("It's IPv4!\n");
		struct sniff_ip* ip = (struct sniff_ip*)(packet + eth_len);
		ip_len = (ip->ip_hl & 0x0f)*4;            //ip头的长度
		unsigned char *saddr = (unsigned char*)&ip->ip_src.s_addr; //网络字节序转换成主机字节序
		unsigned char *daddr = (unsigned char*)&ip->ip_dst.s_addr;

		//printf("eth_len:%u  ip_len:%u  tcp_len:%u  udp_len:%u\n", eth_len, ip_len, tcp_len, udp_len);
		printf("src_ip:%d.%d.%d.%d\n", saddr[0], saddr[1],saddr[2],saddr[3]/*InttoIpv4str(saddr)*/);  //源IP地址
		printf("dst_ip:%d.%d.%d.%d\n", daddr[0],daddr[1],daddr[2],daddr[3]/*InttoIpv4str(daddr)*/);  //目的IP地址
		
		/*解析传输层  TCP、UDP、ICMP*/

		if(ip->ip_p == IPTYPE_TCP)
		{         //TCP
			printf("ip->proto:TCP\n");      //传输层用的哪一个协议
			struct sniff_tcp* tcp = (struct sniff_tcp*)(packet + eth_len + ip_len);
			printf("tcp_sport = %u\n", tcp->th_sport);
			printf("tcp_dport = %u\n", tcp->th_dport);
			/**********(pcaket + eth_len + ip_len + tcp_len)就是TCP协议传输的正文数据了***********/
		}
		else if(ip->ip_p  == IPTYPE_UDP)
		{  //UDP
			printf("ip->proto:UDP\n");      //传输层用的哪一个协议	
			struct sniff_udp* udp = (struct sniff_udp*)(packet + eth_len + ip_len);
			printf("udp_sport = %u\n", udp->sport);
			printf("udp_dport = %u\n", udp->dport);
			/**********(pcaket + eth_len + ip_len + udp_len)就是UDP协议传输的正文数据了***********/
		}
		else if(ip->ip_p == IPTYPE_ICMP)
		{   //ICMP
			printf("ip->proto:CCMP\n");      //传输层用的哪一个协议
		}

	}
	else if(ntohs(ethernet->ether_type) == ETHERTYPE_IPV6)
	{ //IPV6
		printf("It's IPv6!\n");
	}
	printf("============================================\n");
	return 0;
}




int main()
{
	int ret32 = -1;
	pcap_t *handle = NULL; /* 会话的句柄 */
	char dev[] = "eth0"; /* 执行嗅探的设备 */
	char errbuf[PCAP_ERRBUF_SIZE]; /* 存储错误 信息的字符串 */
	struct bpf_program filter; /*已经编译好的过滤表达式*/
	char filter_app[] = "port 22"; /* 过滤表达式*/
	bpf_u_int32 mask; /* 执行嗅探的设备的网络掩码 */
	bpf_u_int32 net; /* 执行嗅探的设备的IP地址 */
	const u_char *packet; /* 实际的包 */
	struct pcap_pkthdr header; /* 由pcap.h定义 */
	
	ret32 = pcap_lookupnet(dev, &net, &mask, errbuf);
	if(ret32 < 0)
	{
		printf("pcap_lookupnet return %d, errbuf:%s\n", ret32, errbuf);
	}
	printf("sizeof(mask) = %d, mask:%#x, net:%#x\n",sizeof(mask), mask, net);
	handle = pcap_open_live(dev, 10*1024, 1, 0, errbuf);
	if(handle == NULL)
	{
		printf("pcap_open_live return err,errbuf:%s...\n", errbuf);
		return -1;
	}
	
	#if 0
	ret32 = pcap_compile(handle, &filter, filter_app, 0, net);
	if(ret32 < 0)
	{
		printf("pcap_compile return %d, errbuf:%s\n", ret32, errbuf);
		return -1;
	}
	ret32 = pcap_setfilter(handle, &filter);
	if(ret32 < 0)
	{
		printf("pcap_setfilter return %d, errbuf:%s\n", ret32, errbuf);
		return -1;
	}
	#endif 
	while(1)
	{
		/* 截获一个包 */
		packet = pcap_next(handle, &header);
		if(packet)
		{
			/* 打印它的长度 */
			//printf("Jacked a packet with length of [%d]\n", header.len);
			//数据包协议解析
			pcap_protocal(&header, packet);
		}
		else
		{
			printf("pcap_next return err, errbuf:%s\n", errbuf);
			break;
		}
	}
	
	/* 关闭会话 */
	pcap_close(handle);
	
	return 0;
}



sniff.h

#ifndef _SNIFF_H_
#if 0
/*pcap头文件定义的,它包括数据包被嗅探的时间、大小等信息*/
struct pcap_pkthdr {
	struct timeval ts; 		/* 时间戳 */
	bpf_u_int32 caplen; 	/* 已捕捉部分的长度,产生分包后的长度 */
	bpf_u_int32 len; 		/* 该包的脱机长度 */
};
#endif

/* 以太网帧头部 */
struct sniff_ethernet {
	#define ETHER_ADDR_LEN	6
	u_char ether_dhost[ETHER_ADDR_LEN]; /* 目的主机的地址 */
	u_char ether_shost[ETHER_ADDR_LEN]; /* 源主机的地址 */
	u_short ether_type; /* IP:0x0800;IPV6:0x86DD; ARP:0x0806;RARP:0x8035 */
};
#define ETHERTYPE_IPV4  (0x0800)
#define ETHERTYPE_IPV6	(0x86DD)
#define ETHERTYPE_ARP	(0x0806)
#define ETHERTYPE_RARP	(0x8035)


/* IP数据包的头部 */
struct sniff_ip {
	#if BYTE_ORDER == LITTLE_ENDIAN
	u_int ip_hl:4, /* 头部长度 */
	ip_v:4; /* 版本号 */
	#if BYTE_ORDER == BIG_ENDIAN
	u_int ip_v:4, /* 版本号 */
	ip_hl:4; /* 头部长度 */
	#endif
	#endif /* not _IP_VHL */
	u_char ip_tos; /* 服务的类型 */
	u_short ip_len; /* 总长度 */
	u_short ip_id; /*包标志号 */
	u_short ip_off; /* 碎片偏移 */
	#define IP_RF 0x8000 /* 保留的碎片标志 */
	#define IP_DF 0x4000 /* dont fragment flag */
	#define IP_MF 0x2000 /* 多碎片标志*/
	#define IP_OFFMASK 0x1fff /*分段位 */
	u_char ip_ttl; /* 数据包的生存时间 */
	u_char ip_p; /* 所使用的协议:1 ICMP;2 IGMP;4 IP;6 TCP;17 UDP;89 OSPF */
	u_short ip_sum; /* 校验和 */
	struct in_addr ip_src,ip_dst; /* 源地址、目的地址*/
};
#define IPTYPE_ICMP		(1)
#define IPTYPE_IGMP		(2)
#define IPTYPE_IP		(4)
#define IPTYPE_TCP		(6)
#define IPTYPE_UDP		(17)
#define IPTYPE_OSPF		(89)

#if 0
//IPV6  正确性待确认
struct sniff_ipv6{
    union
    {
        struct ip6_hdrctl
        {
            u_int32_t ip6_unl_flow;/* 4位的版本,8位的传输与分类,20位的流标识符 */
            u_int16_t ip6_unl_plen;/* 报头长度 */
            u_int8_t ip6_unl_nxt;  /* 下一个报头 */
            u_int8_t ip6_unl_hlim; /* 跨度限制 */
        }ip6_unl ;

        u_int8_t ip6_un2_vfc;/* 4位的版本号,跨度为4位的传输分类 */
    }ip6_ctlun ;

#define ip6_vfc              ip6_ctlun.ip6_un2_vfc
#define ip6_flow             ip6_ctlun.ip6_unl.ip6_unl_flow
#define ip6_plen             ip6_ctlun.ip6_unl.ip6_unl_plen
#define ip6_nxt              ip6_ctlun.ip6_unl.ip6_unl_nxt
#define ip6_hlim             ip6_ctlun.ip6_unl.ip6_unl_hlim
#define ip6_hops             ip6_ctlun.ip6_unl.ip6_unl_hops

    struct in6_addr ip6_src;/* 发送端地址 */
    struct in6_addr ip6_dst;/* 接收端地址 */
};
#endif

typedef u_int tcp_seq;
/* TCP 数据包的头部 */
struct sniff_tcp {
	u_short th_sport; /* 源端口 */
	u_short th_dport; /* 目的端口 */
	tcp_seq th_seq; /* 包序号 */
	tcp_seq th_ack; /* 确认序号 */
	#if BYTE_ORDER == LITTLE_ENDIAN
	u_int th_x2:4, /* 还没有用到 */
	th_off:4; /* 数据偏移 */
	#endif
	#if BYTE_ORDER == BIG_ENDIAN
	u_int th_off:4, /* 数据偏移*/
	th_x2:4; /*还没有用到 */
	#endif
	u_char th_flags;
	#define TH_FIN 0x01
	#define TH_SYN 0x02
	#define TH_RST 0x04
	#define TH_PUSH 0x08
	#define TH_ACK 0x10
	#define TH_URG 0x20
	#define TH_ECE 0x40
	#define TH_CWR 0x80
	#define TH_FLAGS (TH_FINTH_SYNTH_RSTTH_ACKTH_URGTH_ECETH_CWR)
	u_short th_win; /* TCP滑动窗口 */
	u_short th_sum; /* 头部校验和 */
	u_short th_urp; /* 紧急服务位 */
};


/* UDP header */
struct sniff_udp{
	uint16_t sport;		/* source port */
	uint16_t dport;		/* destination port */
	uint16_t udp_length;
	uint16_t udp_sum;		/* checksum */
};

#endif

2、调试输出信息如下:

============================================
packet size:182, data len:182
src_mac:4c:ed:fb:93:b:43
dst_mac:18:31:bf:b2:90:53
It's IPv4!
src_ip:192.168.100.3
dst_ip:192.168.100.162
ip->proto:TCP
tcp_sport = 48385
tcp_dport = 64502
============================================
packet size:95, data len:95
src_mac:88:d7:f6:40:ee:52
dst_mac:33:33:0:1:0:3
It's IPv6!
============================================
packet size:95, data len:95
src_mac:94:de:80:5b:85:95
dst_mac:33:33:0:1:0:3
It's IPv6!
============================================
packet size:75, data len:75
src_mac:88:d7:f6:40:ee:52
dst_mac:1:0:5e:0:0:fc
It's IPv4!
src_ip:192.168.100.107
dst_ip:224.0.0.252
ip->proto:UDP
udp_sport = 27635
udp_dport = 60180

 

yuanbinquan
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
【计网 从头自己构建协议】一、libpcap 介绍 & 手撕以太网帧
XcantloadX的博客
04-24 1960
理论的学习总是枯燥的,想要加深对理论的理解,最好的方法就是自己实践一遍。想要亲手实现各种协议,就必须能够接触底层 API。可惜的是,底层的 API 要么是在驱动里,要么是在系统里,都不对外开放,一般只能接触到运输层的 TCP/UDP。我们必须借助第三方库才能实现对底层操控。libpcap就是这样一个库,它帮我们实现了底层驱动,并将控制权向上开放,提供了发送和监听数据包的功能。著名的网络分析工具 Wireshark 就是基于这个库实现的。
基于libpcap库抓取网卡上的网络数据包
qq_39667609的博客
11-12 560
基于libpcap库抓取网络数据包。
libpcap简明教程
最新发布
大草的博客
01-19 1780
libpcap简明教程
Android上面使用libpcap root权限问题
u011938662的博客
07-06 181
int err;+/*if (!+*/sock->type!
libpcap应用实例
Leeboy_Wang的专栏
01-25 2649
libpcap应用
libpcap-1.10.1.tar.gz
10-13
libpcap是许多网络安全工具,如tcpdump和Wireshark的基础。 **一、libpcap的功能与应用** 1. **数据包捕获**:libpcap能够直接与网络设备驱动交互,获取通过网络接口的数据包,无论是发送还是接收的。 2. **过滤...
get_udp_code.rar_libpcap_libpcap udp_数据包捕获
09-21
这个源代码可以作为一个学习Libpcap和UDP数据包捕获的实例,也可以作为实际项目中网络监控和调试的基础。通过对这段代码的研究,你可以深入理解网络数据包捕获的原理,以及如何利用Libpcap这个强大的工具实现自定义...
libpcap_sendpacket.zip_libpcap_libpcap_sendpacket_libpcap修改_send
07-14
1. **初始化捕获**:首先,我们需要使用`pcap_open_live()`函数创建一个`pcap_t`结构体实例,该实例代表一个打开的网络接口。此函数需要指定设备名称、缓冲区大小、是否以混杂模式捕获等参数。 2. **开始捕获**:...
libpcap-1.7.3.tar.gz
04-25
6. **应用实例**:libpcap是许多著名网络分析工具的基础,如Wireshark(网络封包分析软件)、tcpdump(命令行数据包捕获工具)等。这些工具广泛应用于网络安全检测、故障排查、性能优化等领域。 7. **安全监控**:...
基于libpcap网卡抓包
07-03
libpcap的简单应用中,开发者通常会先打开设备,设置筛选规则,然后开始捕获数据包。以下是一个基本的示例: ```c #include void packet_handler(u_char *user, const struct pcap_pkthdr* pkthdr, const u_...
libpcap的使用示例
04-28
这是libpcap的使用示例,具体请参考: http://blog.csdn.net/htttw/article/details/7521053
libpcap官网指导文档和应用demo
08-22
libpcap官网指导文档 libpcapHakin9LuisMartinGarcia.pdf 9页pdf,arp协议抓包分析示例。
Libpcap使用简介.pdf
11-17
Libpcap使用简介,无线驱动开发技术相关资料,用兴趣可以自行下载。Libpcap使用简介,无线驱动开发技术相关资料,用兴趣可以自行下载。
Linux下Libpcap源码分析和包过滤机制.doc
02-21
Linux下Libpcap源码分析和包过滤机制
ipv6 UDP pcap数据包 ipv6 pcap数据包
08-17
ipv6 UDP pcap数据包 ipv6 pcap数据包 共大家参考是什么样子的,另外可以看下 ipv6的地址如何配置的。
android pacp1,在android平台上编译libpcap-0.9.8 和 jnetpcap-1.2.rc1
weixin_39883705的博客
05-28 216
1、下载源代码$git clonegit://android.git.kernel.org/platform/external/libpcap.git(从android官方源码站点下载libpcap代码,版本为0.9.8)之前在网上查到jnetpcap1.2版本支持libpcap-0.9.8,所以下载jnetpcap-1.2.rc1.zip$wgethttp://ncu.dl.sourcefo...
基于libpcap实现抓包程序
成长之路
04-28 1万+
紧接着上一篇,成功通过tcpdump和wireshark抓包后,试试自己写一个抓包器。这里我们使用libpcap库开发。 原创文章欢迎转载,请保留出处。 若有任何疑问建议,欢迎回复。 邮箱:Maxwell_nc@163.com
linux下libpcap的使用(抓包小程序)
热门推荐
dk_zhe的专栏
03-09 1万+
(1)获取网络接口名字和掩码等信息 (2)捕获数据包(单个数据包和多个数据包两种情况) (3)以太网数据报捕获 (4)ARP数据包捕获 (5)IP数据包捕获 (6)TCP数据包捕获 (7)UDP数据包捕获 (8)ICMP数据包捕获 环境fedora13,vim,gcc #include #include #include #include #include #includ
android NDK libpcap undefined reference to `pcap_parse 等错误解决
fay8048的博客
02-10 3346
/home/jack/rjjni/hello-jni/obj/local/armeabi/libpcap.a(gencode.o): In function `pcap_compile': /home/jack/rjjni/hello-jni/jni/libpcap/gencode.c:389: undefined reference to `pcap_parse' /home/jack/rj

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值