以下代码均运行在Linux环境,需要注意的是,在编译的时候需要链接pcap库
常见函数
1.获取网络接口
char * pcap_lookupdev(char * errbuf)
//上面这个函数返回第一个合适的网络接口的字符串指针,如果出错,则errbuf存放出错信息字符串,errbuf至少应该是PCAP_ERRBUF_SIZE个字节长度的
int pcap_lookupnet(const char * device, bpf_u_int32 * netp, bpf_u_int32 * maskp, char * errbuf)
//可以获取指定设备的ip地址,子网掩码等信息
//netp:传出参数,指定网络接口的ip地址
//maskp:传出参数,指定网络接口的子网掩码
//pcap_lookupnet()失败返回-1
//net,mask的转换方式,inet_ntoa可以把他转换成10机制字符串 头文件 arpa/inet.h
addr.s_addr=netp;
net=inet_ntoa(addr);
addr.s_addr=maskp;
mask=inet_ntoa(addr);
2.打开网络接口
pcap_t * pcap_open_live(const char * device, int snaplen, int promisc, int to_ms, char * errbuf)
//上面这个函数会返回指定接口的pcap_t类型指针,后面的所有操作都要使用这个指针。
//第一个参数是第一步获取的网络接口字符串,可以直接使用硬编码。
//第二个参数是对于每个数据包,从开头要抓多少个字节,我们可以设置这个值来只抓每个数据包的头部,而不关心具体的内容。典型的以太网帧长度是1518字节,但其他的某些协议的数据包会更长一点,但任何一个协议的一个数据包长度都必然小于65535个字节。
//第三个参数指定是否打开混杂模式(Promiscuous Mode),0表示非混杂模式,任何其他值表示混合模式。如果要打开混杂模式,那么网卡必须也要打开混杂模式,可以使用如下的命令打开eth0混杂模式:ifconfig eth0 promisc
//第四个参数指定需要等待的毫秒数,超过这个数值后,第3步获取数据包的这几个函数就会立即返回。0表示一直等待直到有数据包到来。
//第五个参数是存放出错信息的数组。
3.释放网络接口
void pcap_close(pcap_t * p)
//该函数用于关闭pcap_open_live()获取的pcap_t的网络接口对象并释放相关资源。
4.获取数据包
u_char * pcap_next(pcap_t * p, struct pcap_pkthdr * h)
//如果返回值为NULL,表示没有抓到包
//第一个参数是第2步返回的pcap_t类型的指针
//第二个参数是保存收到的第一个数据包的pcap_pkthdr类型的指针
//pcap_pkthdr类型的定义如下
struct pcap_pkthdr
{
struct timeval ts; /* time stamp */
bpf_u_int32 caplen; /* length of portion present */
bpf_u_int32 len; /* length this packet (off wire) */
};
5.回调函数
int pcap_loop(pcap_t * p, int cnt, pcap_handler callback, u_char * user)
//第一个参数是第2步返回的pcap_t类型的指针
//第二个参数是需要抓的数据包的个数,一旦抓到了cnt个数据包,pcap_loop立即返回。负数的cnt表示pcap_loop永远循环抓包,直到出现错误。
//第三个参数是一个回调函数指针,它必须是如下的形式:
void callback(u_char * userarg, const struct pcap_pkthdr * pkthdr, const u_char * packet)
//第一个参数是pcap_loop的最后一个参数,当收到足够数量的包后pcap_loop会调用callback回调函数,同时将pcap_loop()的user参数传递给它
//第二个参数是收到的数据包的pcap_pkthdr类型的指针
//第三个参数是收到的数据包数据
跳出回调函数:
void pcap_breakloop(pcap_t *);
6.过滤
构造过滤表达式
int pcap_compile(pcap_t * p, struct bpf_program * fp, char * str, int optimize, bpf_u_int32 netmask)
//fp:这是一个传出参数,存放编译后的bpf
//str:过滤表达式
//optimize:是否需要优化过滤表达式
//metmask:简单设置为0即可
设置规则
int pcap_setfilter(pcap_t * p, struct bpf_program * fp)
//参数fp就是pcap_compile()的第二个参数,存放编译后的bpf
例子
struct bpf_program filter;
pcap_compile(device, &filter, "dst port 80", 1, 0); //只接受80端口的TCP/UDP数据包
pcap_setfilter(device, &filter);
7.保存为文件
打开用于保存捕获数据包的文件,用于写入
pcap_dumper_t *pcap_dump_open(pcap_t *p, char *fname)
//fname 参数为”-“时表示标准输出。出错时返回NULL。p参数为调用pcap_open_offline()或pcap_open_live()函数后返回的 pcap结构指针。fname参数指定打开的文件名。如果返回NULL,则可调用pcap_geterr()函数获取错误消息。
关闭文件
void pcap_dump_close(pcap_dumper_t *p);
刷新缓冲区,把捕获的数据包从缓冲区真正拷贝到文件
int pcap_dump_flush(pcap_dumper_t *p)
将数据输入到文件
//输出数据到文件,与pcap_loop的第二个参数回调函数void callback(u_char * userarg, const struct pcap_pkthdr * pkthdr, const u_char * packet) 形式完全相同,可以直接当pcap_loop的第二个参数;
void pcap_dump(u_char * userarg, const struct pcap_pkthdr * pkthdr, const u_char * packet)
例子
1.输出设备信息
#include <stdio.h>
#include <pcap.h>
#include <time.h>
#include <netinet/in.h>
#include <arpa/inet.h>
void show_ip_mask(char* dev)
{
char errbuf[1024];
struct in_addr addr;
char *net,*mask;
bpf_u_int32 netp,maskp;
//获取IP地址和子网掩码信息
int err=pcap_lookupnet(dev,&netp,&maskp,errbuf);
if(err==-1){
printf("couldn't detect the ip and maskp: %s\n",errbuf);
return;
}
//ip转换为十进制
addr.s_addr=netp;
net=inet_ntoa(addr);
if(net==NULL){
printf("ip error\n");
return;
}
printf("ip: %s\n",net);
addr.s_addr=maskp;
mask=inet_ntoa(addr);
if(mask==NULL){
printf("mask errorn");
return;
}
printf("mask: %s\n",mask);
}
int main()
{
char *dev, errbuf[1024];
char select='a';
printf("select(dispaly the packet in detail)/n:( Y/N ?))");
scanf("%c",&select);
while(select!='Y'&&select!='y'&&select!='n'&&s
最低0.47元/天 解锁文章
扫一扫
1382
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
