Linux下编写网络抓包程序代码【百科全说】

类UNIX操作系统上提供了三种不同的方式访问数据链路层，分别是BSD的BSD分组过滤器(BPF)、SVR4的数据链路提供者接口(DLPI)和Linux的SOCK_PACKET接口。幸运的是，程序员不需要了解这些不同接口的细节，直接使用Libpcap函数库就可以。
Libpcap是一个提供了针对网络数据包捕获系统的高层接口的开源函数库。其作用是提供独立于平台的应用程序接口，以消除程序中针对不同操作系统所包含的数据包捕获代码模块。这样以来，就解决了程序移植性的问题，有利于提高开发的效率。
Libpcap运行于大多数类UNIX操作系统上，完整的文档和源码可以从tcpdump的官方网站上获得: http://www.tcpdump.org 其Windows版本 Winpcap可已从 http://www.winpcap.org获取。下面介绍如何使用Libpcap来捕获数据包
char *pcap_lookupdev(char *errbuf);
功能：查找用于捕获数据包的缺省设备
errbuf ：错误时保存出错信息
返回值：成功时返回设备名称；出错时返回NULL
pcap_t *pcap_open_live(const char *device, int snaplen, int promisc, int to_ms, char *errbuf);
功能：打开用于捕获数据包的网络设备
device：设备名称
snaplen：要捕获的数据包的最大字节数
prosmic：网络设备工作模式(0表示非混杂模式，其他值表示混杂模式)
to_ms：从内核空间复制数据前等待的时间
err_buf：错误时保存出错信息
返回值：成功时返回pcap_t类型的接口描述符(句柄)；出错时返回NULL
const u_char *pcap_next(pcap_t *p, struct pcap_pkthdr *h);
功能：捕获下一个数据包
p：接口描述符
h：捕获的数据包的信息
返回值：成功时返回指向捕获的数据的指针；出错时返回NULL
typedef void (*pcap_handler)(u_char *user, const struct pcap_pkthdr *h, const u_char *bytes);
const u_char *pcap_loop(pcap_t *p, int cnt, pcap_handler callback, u_char *user);
功能：捕获下一个数据包
cnt ：要捕获的数据包的个数
callback ：捕获到数据包时执行的回调函数
user：传递给回调函数的参数
返回值：成功时返回0；出错时返回-1
int pcap_compile(pcap_t *p, struct bpf_program *fp, char *str, int optimize, bpf_u_int32 netmask);
功能：创建过滤器
p ：接口描述符
fp：指向保存过滤器的结构体的指针
str：要转化的过滤规则
optimize：过滤器是否要优化
netmask：网络掩码
返回值：成功时返回0；出错时返回-1
int pcap_setfilter(pcap_t *p, struct bpf_program *fp);
功能：安装过滤器
p：接口描述符
fp：指向包含过滤器的结构体的指针
返回值：成功时返回0；出错时返回-1
以下实例代码实现捕获并显示3个ARP包

复制代码

代码如下:

#include <stdio.h>
#include <stdlib.h>
#include <string.h>
#include <pcap.h>
#define MAXBYTES2CAPTURE 2048
void ProcessPacket(u_char *arg, const struct pcap_pkthdr *pkthdr, const u_char *packet)
{
int i = 0, *counter = (int *)arg;
printf("Packet Count : %d/n", ++(*counter));
printf("Received Packet Size: %d/n", pkthdr->len);
printf("Payload:/n");
for (i=0; i<pkthdr->len; i++)
{
printf("%02x ", (unsigned int)packet[i]);
if ( (i%16 = = 15 && i != 0) || (i = = pkthdr->len -1))
{
printf("/n");
}
}
printf("/n/n************************************************/n");
return;
}
int main(int argc, char *argv[])
{
int i = 0, count = 0;
pcap_t *descr = NULL;
char errbuf[PCAP_ERRBUF_SIZE], *device = NULL;
bpf_u_int32 netaddr = 0, mask = 0;
struct bpf_program filter;
memset(errbuf, 0, sizeof(errbuf));
if (argc != 2)
{
device = pcap_lookupdev(errbuf);
}
else
{
device = argv[1];
}
printf("Try to open device %s/n", device);
if((descr = pcap_open_live(device, MAXBYTES2CAPTURE, 1, 0, errbuf)) = =NULL)
{
printf("error : %s/n", errbuf);
exit(-1);
}
pcap_lookupnet(device, &netaddr, &mask, errbuf);
if (pcap_compile(descr, &filter, "arp and ether host 00:0c:29:b7:f6:33",0, mask) < 0)
{
printf("pcap_compile error/n");
exit(-1);
}
pcap_setfilter(descr, &filter);
pcap_loop(descr, 3, ProcessPacket, (u_char *)&count);
return 0;
}

Linux下编写网络抓包程序代码

相关推荐