libpcap使用

最新推荐文章于 2022-11-21 01:18:35 发布
最新推荐文章于 2022-11-21 01:18:35 发布
阅读量193 收藏 1
点赞数
文章标签: 网络 数据结构与算法
验证安装
引用pcap.h,确认是否能正常用libpcap开发
#include <stdio.h>
   #include <pcap.h>

  int main(int argc, char *argv[])
  {
     char *dev = argv[1];

     printf("Device: %s\n", dev);
     return(0);
  }


然后用-lpcap选项看能不能连接上
g++ -o a a.cc a.h -lpcap


用pcap_lookupdev获取默认设备
int main(int argc, char *argv[])
   {
    char *dev, errbuf[PCAP_ERRBUF_SIZE];
    dev = pcap_lookupdev(errbuf);
    if (dev == NULL) {
      fprintf(stderr, "%s\n", errbuf);
      return(2);
    }
    printf("Device: %s\n", dev);
    return(0);
  }




打开设备,返回一个pcap_t类型的“handle”。调用这个函数叫做“开启一个嗅探会话(sniffing session)”
pcap_t *pcap_open_live(char *device, int snaplen, int promisc, int to_ms, char *ebuf)
参数
device:pcap_lookupdev返回的设备名,类似ethx的字符串
snaplen:抓包的buffer字节数
promisc:是否开启混杂模式
to_ms:超时,0表述无超时
ebuf:如果出错,会存入错误信息

  1. errbuf[PCAP_ERRBUF_SIZE];
  2.    char* dev = pcap_lookupdev(errbuf);
  3.    pcap_t* handle = pcap_open_live(dev, BUFSIZ, 1, 1000, errbuf);
  4.    if (handle == NULL) {
  5.      fprintf(stderr, "Couldn't open device %s: %s\n", dev, errbuf);
  6.      return(2);
  7.    }

过滤器
先要调用pcap_compile来编译过滤器
int pcap_compile(
   pcap_t *p, 由pcap_open_live返回的“handle”
  struct bpf_program *fp, 存放编译好的过滤器的数据结构
  char *str, 过滤器表达式,如“port 23”
  int optimize, 表达式是否需要被“优化”, 取值0或1
  bpf_u_int32 netmask 有pcap_lookupnet函数获取的netmask
  )

过滤器编译好之后就可以设置到pcap_t里
int pcap_setfilter(pcap_t *p, struct bpf_program *fp)


  1. pcap_t *handle; /* Session handle */
  2.    char dev[] = "rl0"; /* Device to sniff on */
  3.    char errbuf[PCAP_ERRBUF_SIZE]; /* Error string */
  4.    struct bpf_program fp; /* The compiled filter expression */
  5.    char filter_exp[] = "port 23"; /* The filter expression */
  6.    bpf_u_int32 mask; /* The netmask of our sniffing device */
  7.    bpf_u_int32 net; /* The IP of our sniffing device */

  9.    if (pcap_lookupnet(dev, &net, &mask, errbuf) == -1) {
  10.      fprintf(stderr, "Can't get netmask for device %s\n", dev);
  11.      net = 0;
  12.      mask = 0;
  13.    }
  14.    handle = pcap_open_live(dev, BUFSIZ, 1, 1000, errbuf);
  15.    if (handle == NULL) {
  16.      fprintf(stderr, "Couldn't open device %s: %s\n", dev, errbuf);
  17.      return(2);
  18.    }
  19.    if (pcap_compile(handle, &fp, filter_exp, 0, net) == -1) {
  20.      fprintf(stderr, "Couldn't parse filter %s: %s\n", filter_exp, pcap_geterr(handle));
  21.      return(2);
  22.    }
  23.    if (pcap_setfilter(handle, &fp) == -1) {
  24.      fprintf(stderr, "Couldn't install filter %s: %s\n", filter_exp, pcap_geterr(handle));
  25.      return(2);
  26.    }




实际抓包
struct pcap_pkthdr header; /* The header that pcap gives us */
 handle = pcap_open_live(dev, BUFSIZ, 1, 1000, errbuf);
packet = pcap_next(handle, &header); pcap_close(handle);

调用上面的pcap_next函数可以得到header和packet
但是pcap_next只能抓一个包,libpcap提供了循环抓包的函数
int pcap_loop(
   pcap_t *p, //由pcap_open_live返回的“handle”
  int cnt, //抓多少个包
  pcap_handler callback, //抓到包后的回调函数
  u_char *user // 这个参数是用户自定义的,libpcap会自动将这个值传给回调函数
  )


回调函数的形式
重点是header和packet两个参数
void got_packet(
   u_char *args, // 这个就是pcap_loop的最后一个参数u_char *user
  const struct pcap_pkthdr *header,
  const u_char *packet
  );



header的内容

点击(此处)折叠或打开

struct pcap_pkthdr {
     struct timeval ts; /* time stamp */
    bpf_u_int32 caplen; /* length of portion present */
    bpf_u_int32 len; /* length this packet (off wire) */
  };


packet是一个u_char*,执行一块数据,这块数据可以被转换为下面几个结构体
#define SIZE_ETHERNET 14
const struct sniff_ethernet /* The ethernet header */
const struct sniff_ip /* The IP header */
const struct sniff_tcp /* The TCP header */
以及
const char *payload; /* Packet payload */



这些数据结构介绍如下
/* Ethernet addresses are 6 bytes */
 #define ETHER_ADDR_LEN 6

  /* Ethernet header */
  struct sniff_ethernet {
    u_char ether_dhost[ETHER_ADDR_LEN]; /* Destination host address */
    u_char ether_shost[ETHER_ADDR_LEN]; /* Source host address */
    u_short ether_type; /* IP? ARP? RARP? etc */
  };

  /* IP header */
  struct sniff_ip {
    u_char ip_vhl; /* version << 4 | header length >> 2 */
    u_char ip_tos; /* type of service */
    u_short ip_len; /* total length */
    u_short ip_id; /* identification */
    u_short ip_off; /* fragment offset field */
  #define IP_RF 0x8000 /* reserved fragment flag */
  #define IP_DF 0x4000 /* dont fragment flag */
  #define IP_MF 0x2000 /* more fragments flag */
  #define IP_OFFMASK 0x1fff /* mask for fragmenting bits */
    u_char ip_ttl; /* time to live */
    u_char ip_p; /* protocol */
    u_short ip_sum; /* checksum */
    struct in_addr ip_src,ip_dst; /* source and dest address */
  };
  #define IP_HL(ip) (((ip)->ip_vhl) & 0x0f)
  #define IP_V(ip) (((ip)->ip_vhl) >> 4)

  /* TCP header */
  typedef u_int tcp_seq;

  struct sniff_tcp {
    u_short th_sport; /* source port */
    u_short th_dport; /* destination port */
    tcp_seq th_seq; /* sequence number */
    tcp_seq th_ack; /* acknowledgement number */
    u_char th_offx2; /* data offset, rsvd */
  #define TH_OFF(th) (((th)->th_offx2 & 0xf0) >> 4)
    u_char th_flags;
  #define TH_FIN 0x01
  #define TH_SYN 0x02
  #define TH_RST 0x04
  #define TH_PUSH 0x08
  #define TH_ACK 0x10
  #define TH_URG 0x20
  #define TH_ECE 0x40
  #define TH_CWR 0x80
  #define TH_FLAGS (TH_FIN|TH_SYN|TH_RST|TH_ACK|TH_URG|TH_ECE|TH_CWR)
    u_short th_win; /* window */
    u_short th_sum; /* checksum */
    u_short th_urp; /* urgent pointer */
};


将u_char *packet转换成这些结构体的方法:
#define SIZE_ETHERNET 14
  const struct sniff_ethernet *ethernet; /* The ethernet header */
  const struct sniff_ip *ip; /* The IP header */
  const struct sniff_tcp *tcp; /* The TCP header */
  const char *payload; /* Packet payload */

  u_int size_ip;
  u_int size_tcp;

  ethernet = (struct sniff_ethernet*)(packet);
  ip = (struct sniff_ip*)(packet + SIZE_ETHERNET);   size_ip = IP_HL(ip)*4;
  if (size_ip < 20) {
    printf(" * Invalid IP header length: %u bytes\n", size_ip);
    return;
  }
  tcp = (struct sniff_tcp*)(packet + SIZE_ETHERNET + size_ip);   size_tcp = TH_OFF(tcp)*4;
  if (size_tcp < 20) {
    printf(" * Invalid TCP header length: %u bytes\n", size_tcp);
    return;
  }
  payload = (u_char *)(packet + SIZE_ETHERNET + size_ip + size_tcp);



Variable Location (in bytes)
sniff_ethernet X
sniff_ip X + SIZE_ETHERNET
sniff_tcp X + SIZE_ETHERNET + {IP header length}
payload X + SIZE_ETHERNET + {IP header length} + {TCP header length}





程序

  1. [root@localhost cc]# cat cap.c
  2. #include "a.h"

  4. #define SIZE_ETHERNET 14

  6. char errbuf[PCAP_ERRBUF_SIZE];

  8. int addr_ntoa(int i_addr, char* str_addr)
  9. {
  10.     if(str_addr == NULL)
  11.     {
  12.         return -1;
  13.     }
  14.     struct in_addr addr;
  15.     addr.s_addr = i_addr;
  16.     char* tmp = inet_ntoa(addr);
  17.     strcpy(str_addr, tmp);
  18.     return 0;
  19. }


  22. int errstr(int ret, char* str)
  23. {
  24.     if(str != NULL) fprintf(stderr, "%s\n", str);
  25.     exit(ret);
  26. }

  28. int err(int ret)
  29. {
  30.     errstr(ret, errbuf);
  31. }



  35. void got_packet(u_char* args, const struct pcap_pkthdr* header, const u_char* packet)
  36. {
  37.     u_int size_ip;
  38.     u_int size_tcp;
  39.     const struct sniff_ethernet *ethernet;
  40.     const struct sniff_ip *ip;
  41.     const struct sniff_tcp *tcp;
  42.     const char *payload;

  44.     ethernet = (struct sniff_ethernet*)(packet);

  46.     ip = (struct sniff_ip*)(packet + SIZE_ETHERNET);
  47.     if((size_ip = IP_HL(ip)*4) < 20) return;
  48.     tcp = (struct sniff_tcp*)(packet + SIZE_ETHERNET + size_ip);
  49.     if((size_tcp = TH_OFF(tcp)*4) < 20) return;


  52.     char ip_src[16];
  53.     char ip_dst[16];
  54.     addr_ntoa(ip->ip_src.s_addr, ip_src);
  55.     addr_ntoa(ip->ip_dst.s_addr, ip_dst);
  56.     printf("%s:%d>> %s:%d\n", ip_src, ntohs(tcp->th_sport), ip_dst, ntohs(tcp->th_dport));

  58.     struct ether_header *eptr = (struct ether_header *) packet;
  59.         u_int8_t* ptr;
  60.     ptr = eptr->ether_shost;
  61.     int i = ETHER_ADDR_LEN;
  62.     printf("src MAC: [");
  63.     do
  64.     {
  65.     printf("%s%x",(i == ETHER_ADDR_LEN) ? " " : ":",*ptr++);
  66.     }
  67.     while(--i>0);
  68.     printf("]\n");

  70.     ptr = eptr->ether_dhost;
  71.     i = ETHER_ADDR_LEN;
  72.     printf("dest MAC: [");
  73.     do
  74.     {
  75.     printf("%s%x",(i == ETHER_ADDR_LEN) ? " " : ":",*ptr++);
  76.     }
  77.     while(--i>0);
  78.     printf("]\n");

  80.     struct tm* local = localtime(&(header->ts));

  82.     printf("time: %d:%d:%d\n",local->tm_hour,local->tm_min,local->tm_sec);
  83.     printf("package length: %d\n", header->len);
  84.     printf("TTL: %d\n", ip->ip_ttl);


  87.     printf("\n");
  88. }


  91. int main()
  92. {
  93.     char* dev;
  94.     bpf_u_int32 mask;
  95.     bpf_u_int32 net;
  96.     pcap_t *handle;

  98.     if ((dev = pcap_lookupdev(errbuf)) == NULL) err(-1);
  99.     if (pcap_lookupnet(dev, &net, &mask, errbuf) == -1) err(-1);

  101.     char strnet[16];
  102.     char strmask[16];
  103.     addr_ntoa(net, strnet);
  104.     addr_ntoa(mask, strmask);
  105.     printf("\nMonitoring: %s/%s/%s\n\n", dev, strnet, strmask);

  107.     if((handle = pcap_open_live(dev, BUFSIZ, 1, 1000, errbuf)) == NULL) err(-1);
  108.     if((pcap_loop(handle, 10, got_packet, "test1")) < 0) err(-1);

  110.     return 0;
  111. }




头文件里的结构体来自tcpdump官网的文章,其实就是按照包头的格式设置变量大小和顺序。

  1. [root@localhost cc]# cat cap.h
  2. #include <string.h>
  3. #include <pcap.h>
  4. #include <sys/socket.h>
  5. #include <netinet/in.h>
  6. #include <arpa/inet.h>
  7. #include <netinet/if_ether.h>
  8. #include <unistd.h>
  9. #include <stdlib.h>
  10. #include <net/ethernet.h>
  11. #include <time.h>

  13. /* Ethernet addresses are 6 bytes */
  14. //#define ETHER_ADDR_LEN 6

  16. /* Ethernet header */
  17. struct sniff_ethernet {
  18.     u_char ether_dhost[ETHER_ADDR_LEN]; /* Destination host address */
  19.     u_char ether_shost[ETHER_ADDR_LEN]; /* Source host address */
  20.     u_short ether_type; /* IP? ARP? RARP? etc */
  21. };

  23. /* IP header */
  24. struct sniff_ip {
  25.     u_char ip_vhl; /* version << 4 | header length >> 2 */
  26.     u_char ip_tos; /* type of service */
  27.     u_short ip_len; /* total length */
  28.     u_short ip_id; /* identification */
  29.     u_short ip_off; /* fragment offset field */
  30. #define IP_RF 0x8000 /* reserved fragment flag */
  31. #define IP_DF 0x4000 /* dont fragment flag */
  32. #define IP_MF 0x2000 /* more fragments flag */
  33. #define IP_OFFMASK 0x1fff /* mask for fragmenting bits */
  34.     u_char ip_ttl; /* time to live */
  35.     u_char ip_p; /* protocol */
  36.     u_short ip_sum; /* checksum */
  37.     struct in_addr ip_src,ip_dst; /* source and dest address */
  38. };
  39. #define IP_HL(ip) (((ip)->ip_vhl) & 0x0f)
  40. #define IP_V(ip) (((ip)->ip_vhl) >> 4)

  42. /* TCP header */
  43. typedef u_int tcp_seq;

  45. struct sniff_tcp {
  46.     u_short th_sport; /* source port */
  47.     u_short th_dport; /* destination port */
  48.     tcp_seq th_seq; /* sequence number */
  49.     tcp_seq th_ack; /* acknowledgement number */
  50.     u_char th_offx2; /* data offset, rsvd */
  51. #define TH_OFF(th) (((th)->th_offx2 & 0xf0) >> 4)
  52.     u_char th_flags;
  53. #define TH_FIN 0x01
  54. #define TH_SYN 0x02
  55. #define TH_RST 0x04
  56. #define TH_PUSH 0x08
  57. #define TH_ACK 0x10
  58. #define TH_URG 0x20
  59. #define TH_ECE 0x40
  60. #define TH_CWR 0x80
  61. #define TH_FLAGS (TH_FIN|TH_SYN|TH_RST|TH_ACK|TH_URG|TH_ECE|TH_CWR)
  62.     u_short th_win; /* window */
  63.     u_short th_sum; /* checksum */
  64.     u_short th_urp; /* urgent pointer */
  65. };



执行效果
[root@localhost cc]# ./cap

Monitoring: enp0s8/192.168.1.0/255.255.255.0

192.168.1.66:22>> 192.168.1.1:52672
src MAC: [ 8:0:27:80:ff:b0]
dest MAC: [ a:0:27:0:0:0]
time: 15:25:4
package length: 154
TTL: 64

192.168.1.1:52672>> 192.168.1.66:22
src MAC: [ a:0:27:0:0:0]
dest MAC: [ 8:0:27:80:ff:b0]
time: 15:25:4
package length: 60
TTL: 64

192.168.1.66:22>> 192.168.1.1:52672
src MAC: [ 8:0:27:80:ff:b0]
dest MAC: [ a:0:27:0:0:0]
time: 15:25:4
package length: 378
TTL: 64

192.168.1.66:22>> 192.168.1.1:52672
src MAC: [ 8:0:27:80:ff:b0]
dest MAC: [ a:0:27:0:0:0]
time: 15:25:4
package length: 234
TTL: 64
...
...


来自 “ ITPUB博客 ” ,链接:http://blog.itpub.net/26239116/viewspace-2120890/,如需转载,请注明出处,否则将追究法律责任。

转载于:http://blog.itpub.net/26239116/viewspace-2120890/

cmbj68996
关注
网络数据包捕获函数库Libpcap安装使用(非常强大)
weixin_34400525的博客
04-13 3654
1.Libpcap简介   Libpcap是Packet Capture Libray的英文缩写,即数据包捕获函数库。该库提供的C函数接口用于捕捉经过指定网络接口的数据包,该接口应该是被设为混杂模式。这个在原始套接子中有提到。   著名的软件TCPDUMP就是在Libpcap的基础上开发而成的。Libpcap提供的接口函数实现和封装了数据包截获有关的过程。   Libpcap提供了用户级别...
libpcap抓包延时问题分析
weixin_38299404的博客
04-27 2846
按照上面的描述就会有个问题,如果抓取的网络包不是连续的,就会是的pcap_loop进入阻塞模式,如果这个时候有网络数据包过来,触发处理包的回调函数会有约一分钟的延时,对于实时系统或者类似Wireshark、Tcpdump等工具那就能立即反应的系统来说很不实用,因此上述方式并不实用这种场景。因此,如果没有数据包到达,pcap_loop函数就会一直等待。在默认情况下,pcap_loop函数的超时时间是1秒,也就是说,如果1秒内没有数据包到达,pcap_loop函数就会返回,然后再次等待。函数之前是不可用的。
Linux安装libpcap(pcap.h库)(以Ubuntu 18.04为例)
热门推荐
JPLAY的博客
02-08 1万+
做毕业设计需要用到libpcap来抓包,借此次机会完整记录下自己的安装过程,前人种树后人乘凉。 到libpcap官网去下载最新的源码包,下载完成后tar -xzf 文件.tar.gz 解压,于是我们可以看到完整的源码目录。 目录就不贴了,我们查看下安装说明文件 INSTALL.md vi INSTALL.md #自行安装合适编辑器即可 以上为libpcap源码编译的要求,需要ANSI C ...
linux系统安装libpcap
H002399的专栏
11-26 1022
linux系统libpcap安装方法        依此执行下列三条命令即可安装,但如果希望libpcap能在linux上正常工作,则必须使内核支持"packet"协议,也即在编译内核时 打开配置选项 CONFIG_PACKET(选项缺省为打开)。   然后,执行以下命令:   (sudo) ./configure   (sudo) make   s
libpcap
pangenliang的专栏
10-08 1041
一、libpcap工作原理 libpcap主要由两部份组成:网络分接头(Network Tap)和数据过滤器(Packet Filter)。网络分接头从网络设备驱动程序中收集数据拷贝,过滤器决定是否接收该数据包。Libpcap利用BSD Packet Filter(BPF)算
libpcap - 入门
luckywang1103的专栏
04-13 778
loopupdev#include <pcap.h> #include <stdio.h>int main() { char err_buf[PCAP_ERRBUF_SIZE], *device; device = pcap_lookupdev(err_buf); if (device) printf("success: device: %s\n", devic
10_libpcap以及libnet
buhuidage的博客
11-21 1149
10_libpcap以及libnet
Libpcap使用简介.pdf
11-17
根据提供的文件信息,本文将深入探讨Libpcap库的使用以及无线驱动开发技术相关的内容。 ### Libpcap库简介 Libpcap网络嗅探和包捕获技术中的一款重要工具库,主要用于Unix和Unix-like系统上,如Linux、FreeBSD...
Libpcap使用指南
07-06
Libpcap是Linux和类Unix系统中广泛使用网络数据包捕获库,它为开发者提供了在用户空间直接访问网络接口并捕获数据包的能力。Libpcap被许多网络安全工具,如tcpdump和Wireshark,作为核心部分使用,因为它的高效和...
libpcap使用示例程序文档解析
提供一个参考的代码示例(此代码不是从给定文件中提取的,而是根据libpcap使用常规编写的): ```c #include #include #include void packet_handler(u_char *user, const struct pcap_pkthdr *pkthdr, const u...
libpcap库以及使用方法
08-19
在C语言中,使用libpcap通常涉及以下步骤: 1. 打开网络接口:`pcap_t *handle = pcap_open_live(device, snapshot_len, promiscuous, timeout, errbuf);` 2. 设置过滤器:`char filter_exp[] = "port 80";` 和 `...
Libpcap使用总结.htm
04-19
Libpcap使用总结.htmLibpcap使用总结.htm
libpcap+抓包解析示例
最新发布
12-11
该示例可以在win10_x86、麒麟V10_arm_华为擎云9000L、麒麟V10_x86、麒麟V4_arm_飞腾2000上运行。 可以根据过滤器,抓取过滤arp、udp、tcp、icmp数据包。 由于系统限制,包最大每次抓包最大长度为1518字节,建议自定义的基于udp的通信协议包不要超过1450字节,这样的话,通过udp传输数据,就不会分片,可以用libpcap直接抓包,不用后期组包处理数据。 libpcap个人认为主要用于udp高密度数据传输,可以做到零丢包。
Libpcap库主要函数
Mr.L lxdroid的专栏
12-21 740
以下摘自:http://blog.csdn.net/zjl_1026_2001/archive/2008/03/21/2202436.aspx 函数名称:pcap_t *pcap_open_live(char *device, int snaplen, int promisc, int to_ms, char *ebuf) 函数功能:获得用于捕获网络数据包的数据包捕获描述字。 参数说明
libpcap中<pcap.h>定义的结构
liujingjun的专栏
08-28 1241
struct pcap_file_header { bpf_u_int32 magic; u_short version_major; u_short version_minor; bpf_in32 thizone; bpf_u_int32 sigfigs; bpf_u_int32 snaplen; bpf_u_int32 linktype; }; struct pc
Libpcap的介绍简单使用
qq_43688708的博客
04-05 1694
Libpcap的介绍简单使用
libpcap抓包并分析
Silvester123的博客
07-04 1万+
基于libpcap的数据包抓取 1.libpcap安装 前提安装gcc 然后安装输入如下命令: yum -y install flex yum -y install bison 在一个文件夹下下载libpcap源码并解压,在安装如下: wget -c http://www.tcpdump.org/release/libpcap-1.7.4.tar.gz 进入libpcap-...
libpcap api接口及详细教程
小石头
02-26 9257
Libpcap是Packet Capture library的英文缩写,即数据包捕获函数库,该库提供的C函数接口用于捕获经过指定网络接口(通过将网卡设置为混杂模式,可以捕获所有经过该网络接口的数据包)的数据包。 著名的TCPDUMP就是在Libpcap的基础上开发而成的,Libpcap提供的接口函数主要实现和封装了数据包的采集、构造、发送等有关的功能。 Libpcap面向上层应用,提供了用户
libpcap使用socket编程么
05-19
不是,libpcap是一个网络数据包捕获库,它并不使用socket编程。它允许你捕获和分析网络数据包,而不需要深入了解网络协议的细节,因此它被广泛用于网络安全、网络监控和网络故障排查等领域。libpcap提供了一组API来捕获和处理网络数据包,可以用C语言、C++、Python等语言进行编程。在使用libpcap时,你只需要指定要捕获的网络接口或者数据包过滤规则,然后就可以开始捕获和处理网络数据包了。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值