【编程笔记】libpcap应用之保存文件

最新推荐文章于 2025-03-22 21:35:23 发布
最新推荐文章于 2025-03-22 21:35:23 发布
阅读量674 收藏 14
点赞数 26
分类专栏: # 编程笔记 文章标签: 网络协议 c语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/xiongcha/article/details/139903058
版权

一、引言

在实际的工作场景中,会遇到需要将捕获的数据包按照文件大小进行保存,比如按照10M、20M、50M、100M乃至自定义大小的方式来存储文件,方便后期工作以及查看。目前开源工具如**tcpdump、tshark**之类的工具均是支持按文件大小来捕获数据包,那如果基于libpcap库如何来手动实现呢?

二、概述

要手动实现上述需求,需要提前了解PCAP文件的格式,PCAP是一种常用的数据报文存储格式,其按照特定的规格存储,一般来说使用普通文本工具打开PCAP文件会显示乱码,查看该类型文件需要使用十六进制工具或者是指定工具来查看,十六进制工具:https://hexed.it/ 在线可以查看,其他工具如:wireshark、010editor(安装pcap插件即可)等等。
在这里插入图片描述

三、文件格式

PCAP文件格式,主要是由文件头 --> 数据包头1 + 数据包1 --> 数据包头2 + 数据包2 --> ...这类格式组成。其中,文件头(Pcap Header)仅包含一个,而数据包头(Packet Header)+数据包(Packet Data)可以包含多个,如下图所示:
在这里插入图片描述
同样,下图更详细展示了每个区域的字节含义与大小情况:
在这里插入图片描述

1.Pcap Header

Pcap Header的数据结构定义如下,总长度是24字节:

typedef struct pcap_hdr_s {
        guint32 magic_number;   /* magic number */
        guint16 version_major;  /* major version number */
        guint16 version_minor;  /* minor version number */
        gint32  thiszone;       /* GMT to local correction */
        guint32 sigfigs;        /* accuracy of timestamps */
        guint32 snaplen;        /* max length of captured packets, in octets */
        guint32 network;        /* data link type */
} pcap_hdr_t;

各个字段含义如下:

header fieldsizeexplain
Magic4B标记文件开始,并用来识别文件和字节顺序
Major2B当前Pcap文件的主要版本号,一般为0x0200
Minor2B当前Pcap文件的次要版本号,一般为0x0400
ThisZone4B当地的标准事件,如果用的是GMT则全零,一般全零
SigFlags4B时间戳的精度,一般为全零
SnapLen4B所抓获的数据包的最大长度
LinkType4B数据链路类型

2.Packet Header

Packet Header的数据结构定义如下,总长度是16字节。

typedef struct pcaprec_hdr_s {
        guint32 ts_sec;         /* timestamp seconds */
        guint32 ts_usec;        /* timestamp microseconds */
        guint32 incl_len;       /* number of octets of packet saved in file */
        guint32 orig_len;       /* actual length of packet */
} pcaprec_hdr_t;

各个字段含义如下:

header fieldsizeexplain
Timestamp4B时间戳高位,精确到seconds
Timestamp4B时间戳低位,能够精确到microseconds
Caplen4B即抓取到的数据帧长度,由此可以得到下一个数据帧的位置
Len4B实际的数据帧长度

3.Packet Data

Packet是链路层的数据帧,其长度是Packet Header中定义的**Caplen**值,所以Packet Data的长度为Caplen,Packet Header定义的结构:

struct pcap_pkthdr {
    struct timeval ts;  /* 时间戳 */
    bpf_u_int32 caplen; /* 捕获的长度 */
    bpf_u_int32 len;    /* 数据包的实际长度 */
};
struct timeval {
    time_t      tv_sec;     /* seconds */
    suseconds_t tv_usec;    /* microseconds */
};

四、实现思路

  • 开启循环捕获数据包,并设定每个文件的保存大小(阈值):X(字节);
  • 在保存数据包至文件的同时,计算文件的大小:Y(字节),即 Y = Pcap Header(24)+ (Packet Header(16)+ Packet Data(Packet Header->caplen)) * N , N表示数据包数量;
  • 当Y大于X,即达到了设定阈值,应关闭当前文件,并新创建文件来接受数据包;
  • 以此,循环采集即可。

参考示例代码:

  • 使用**pcap_loop()**函数循环采集数据报文
int main(int argc, char *argv[]) {
    char device[256];
    char filter[2048];
    char errbuf[PCAP_ERRBUF_SIZE];
    
    *device = 0;
    *filter = 0;

    int option;
    while((option = getopt(argc, argv, "hi:f:w:b:")) != -1) {
        switch (option) {
            case 'h':
                print_help(argv[0]);
                break;
            case 'i':
                strcpy(device, optarg);
                break;
            case 'f':
                strcpy(filter, optarg);
                break;
            case 'w':
                strcpy(filename, optarg);
                break;
            case 'b':
                packet_cnt = atoi(optarg);
                break;
            default:
                abort();
        }
    }
    if (!*device){
         print_help(argv[0]);
    }
    printf("[*]开始采集: %s, 过滤条件: %s , 文件大小(字节): %d\n",device, filter, packet_cnt);
    handle = pcap_open_live(device, 65535, 1, 0, errbuf);
    if (handle == NULL) {
        fprintf(stderr, "Couldn't open device %s: %s\n", "eth0", errbuf);
        return 1;
    }
    dumpfile = pcap_dump_open(handle, filename);
    if (dumpfile == NULL) {
        fprintf(stderr, "Couldn't open dump file %s: %s\n", filename, pcap_geterr(handle));
        return 2;
    }
    printf("[*]开始写入数据到文件: %s\n", filename);
    if (pcap_loop(handle, -1, packet_handler, (u_char*)NULL) == PCAP_ERROR) {
        fprintf(stderr, "[*]Pcap_loop failed: %s\n", pcap_geterr(handle));
        return -1;
    }
    return 0;
}
  • 定义**packet_size_cnt **变量存储当前采集数据包的大小,即是N个数据包【数据包头(16字节)+数据包大小(**packet_header->caplen**)】,如果超过阈值就新建文件接收数据。
void packet_handler(u_char *user, const struct pcap_pkthdr *packet_header, const u_char *packet_data) {
	// 累加每个数据报文的大小
	packet_size_cnt += (packet_header->caplen + 16);
	
	if ( packet_size_cnt < packet_cnt ) {
	    // 如果没有达到设定值就直接写
	    pcap_dump((char *)dumpfile, packet_header, packet_data);
	} else {
	    // 反之,达到设定值,即关闭文件
	    pcap_dump_close(dumpfile);
	    // 重新改变计数的值
	    packet_size_cnt = 24;
	    // 文件名递增的方式
	    file_id += 1;
	    // 生成新的文件名
	    char tmp_fname[1024];
	    size_t buf_size = strlen(filename) + 20 + 1;
	    snprintf(tmp_fname, buf_size,"%s_%d", filename, file_id);
	    // 创建新文件
	    dumpfile = pcap_dump_open(handle, tmp_fname);
	    if (dumpfile == NULL) {
	        fprintf(stderr, "Couldn't open dump file %s: %s\n", tmp_fname, pcap_geterr(handle));
	        exit(EXIT_FAILURE);
	    }
	    // 将越界的数据报文写入新文件
	    printf("[*]开始写入数据到文件: %s\n", tmp_fname);
	    pcap_dump((char *)dumpfile, packet_header, packet_data);
	    packet_size_cnt += (packet_header->caplen + 16);
	}
  • 实现的效果如下,当然在实际应用的场景中还需要考虑更多的因素。
    在这里插入图片描述
libpcap 抓取lo环路网卡的数据并存储pcap文件
zhuzitop的博客
05-08 728
采集lo网卡数据,简单的函数使用。 pcap_open_live:打开一个捕获的句柄 pcap_dump_open:抓的包保存到本地文件,给出保存路径名 pcap_loop:从pcap_t中读包,直到中断或错误 pcap_dump:抓取的包写入文件 pcap_dump_flush:写文件从缓存到文件 void CCapture::capWork() { char *dev; pcap_t *pcapHand = NULL; char errcont[PCAP_ERRBUF_SIZ
网络编程工程实训(DVB+CentOS+libpcap+分析帧格式)
Sandra_93的博客
07-13 952
内容为实训期间上课笔记兼老师的PPT整理,如果因为个人知识限制原因,有错误部分,欢迎在评论指正。 另外,整理不易,若转发,请注明网址。谢谢 #^ _^# 需求分析文档 (划分模块,每个模块什么功能) 用户意图、测试(根据需求分析测试)、缺陷文档、源代码文档、使用说明、有关代码的部分(类似百度知道、百度百科,格式有什么要求,代码有什么要求等)、 会议纪要,代码高效性、灵活性、健壮性, 在实际任务中...
winPcap的简单应用,能保存捕获数据成文件
09-25
使用WinPcap抓取数据包并且保存抓取的数据包成pcap文件,该文件可以用Wireshark直接 打开。本源代码拆分数据包协议部分来源于网络,源代码允许大家自由拷贝和使用但请保留 代码的完整性,且在自己源代码著名出处。 作者:吴梦龙 版本:V1.0(仅仅是WinPcap最简单的应用,还有其他模块未完成) 时间:2010年9月25日
pcap流量包分析
最新发布
m0_73767377的博客
03-22 254
Wireshark:Wireshark是一款非常流行的开源网络分析工具,它可以帮助您实时分析网络数据包并对PCAP文件进行解析和分析。Zeek (之前称为Bro):Zeek是一个网络安全监控工具,可以对PCAP文件中的流量进行深入分析,识别不同的协议和行为特征。Tshark:Tshark是Wireshark的命令行版本,可以对PCAP文件进行批处理分析,并生成相应的统计信息。Tcpdump:Tcpdump是一个非常强大的命令行网络数据包捕获工具,可以从PCAP文件中提取数据包信息。
Linux下使用libpcap进行网络抓包并保存文件
热门推荐
lvjian_的专栏
03-18 1万+
libpcap是一个抓取网络数据报文的C语言函数库,使用这个库可以非常方便的抓取网络上的报文,方便我们分析经过我们设备上的各种报文; 1.libpcap安装 下载文件libpcap-x.x.x.tar.gz(这个是linux版本,x.x.x代表版本号) 下载地址:http://www.tcpdump.org/#latest-releases 解压(tar -zxvf) ./c...
Linux下实现libpcap抓包并保存文件里的示例程序及参考文档
03-15
libpcap的示例代码和英文资料,tcpdump-filters的规则同样适用于libpcap的过滤表达式
linux 网卡包存储,Linux下使用libpcap进行网络抓包并保存文件-Go语言中文社区
weixin_39938269的博客
05-02 548
libpcap是一个抓取网络数据报文的C语言函数库,使用这个库可以非常方便的抓取网络上的报文,方便我们分析经过我们设备上的各种报文;1.libpcap安装下载文件libpcap-x.x.x.tar.gz(这个是linux版本,x.x.x代表版本号)解压(tar -zxvf)./configuremakesudo make install2.使用pcap自动探测网络接口先通过ifconfig观察...
网络抓包与流量在线分析系统的设计与实现-基于libpcap在MacOS上实现 记录这愉快(DT)的一周
Fatfishlikeswimming的博客
07-09 1327
网络抓包与流量在线分析系统的设计与实现-基于libpcap在MacOS上实现 记录这愉快(DT)的一周 要求: 基于LINUX系统设计并实现一个网络流量的分析系统。该系统具有以下功能:(1)实时抓取网络数据。(2)网络协议分析与显示。(3)将网络数据包聚合成数据流,以源IP、目的IP、源端口、目的端口及协议等五元组的形式存储。(4)计算并显示固定时间间隔内网络连接(双向流)的统计量(如上行与下行的数据包数目,上行与下行的数据量大小等)。在这些统计数据的基础上分析不同网络应用的流量特征。 关键词:linux
kali视频学习笔记
cj1064789374的博客
08-29 3301
kali学习笔记
wireshark代码学习笔记
06-15
Wireshark是一款强大的网络封包分析软件,常用于网络故障排查、网络安全分析和协议开发等...对于网络分析和协议开发人员来说,掌握Wireshark的内部工作原理和编程接口,能够更好地利用其功能进行网络诊断和应用开发。
【进大厂必学】3W字180张图学习Linux基础总结
L的存在的博客
05-26 4824
就不多说这段时间干啥去了吧,期间和很多的同学聊了天,有的童鞋已经开始工作,聊了聊工作上的事儿。有的是今年即将毕业的童鞋,有着自己的小目标,有的想尝试互联网,所以现在基本上都快进行二轮的复习了,有的同学备战公务员,凭着年轻这股劲儿向往自己理想的生活状态,无论怎么样,长路漫漫,走一步,算一步,每一步都算数。 今天分享的这篇文章是 Linux 相关的基础知识,深一点的内容基本上没有,不过对于刚需小伙伴来说,也就够了,有时间的话,最好按照这些命令去试一试,敲一敲,这样记忆更加深刻。 老规矩,先看目录,文章比较长,建
pcap包安装
06-02
实测在ubuntu16.04上面安装成功,并且成功抓包 ,这一点很重要
pcap包 TCP/UDP/FTP分析
07-12
课程学习任务 对抓到的pcap包进行分析 输出 tcp/udp 五元组 可对ftp传输的文件还原 环境:VS2015 + wincap
pcap包解析
08-04
该资源供大家免费下载,如果有更多的资源请您和大家分享
解析pcap数据包
12-04
解析pcap数据包,提取出其中内容,http协议,https,icmp.dns
原始pcap文件
10-07
《使用libpcap库过滤pcap文件中的数据包》文章中使用的原始输入文件
Libpcap和Qt的安装及数据包抓包、过滤、保存
m0_62022097的博客
04-18 3636
是unix/linux平台下的网络数据包捕获函数包,大多数网络监控软件都以它为基础。Libpcap可以在绝大多数类unix平台下工作。Libpcap是一个网络数据包捕获函数库,功能非常强大,Linux下著名的tcpdump就是以它为基础的。
谈谈抓Pcap包
渗透测试
07-21 820
值得一提的是,python中scapy模块功能特别强大,可以用来流量包的嗅探,比如使用sniff函数,可以对特定端口特点网卡等进行过滤嗅探,这也是一种批量获取方式,但是这种方式因为scapy包的缘故,效率特别低,非常可能出现丢包情况(亲测情况属实)还有一种方法使用TcpDump在Linux下进行,这种系统级别的可以有效减少丢包情况(window下为windump)但在一些有规律的批量获取pcap包中,使用wireshark就比较笨重。安装winpcap或者是npcap,可以直接安装nmap,就会很省事。
pcap文件
Shellcode.Cool!
05-10 816
PCAP文件结构: 如上图所示在一个Pcap文件中存在1个Pcap文件头和多个数据包,其中每个数据包都有自己的头和包内容。 下面我们先看看PCAP文件头每个字段: magic为文件识别头,pcap固定为:0xA1B2C3D4。(4个字节) magor version为主版本号(2个字节) minor version为次要版本号(2个字节) timezone为当地
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值