libpcap学习笔记

libpcap函数1）ioctl函数定义ioctl()函数非常庞杂，它可以控制各种文件的属性。

ioctl函数原型为：int ioctl(int handle,int cmd[,int *argdx,int argcx])；2）socket函数定义常用的Socket类型有两种：流式Socket(SOCK_STREAM)和数据包式Socket(SOCK_DGRAM)。

流式是一种面向连接的Socket，针对面向连接的TCP服务应用；数据报式Socket是一种无连接的Socket，针对无连接的UDP服务应用。

Socket函数原型为：int socket(int domain, int type,int protocol)；3）recvfrom()函数定义用recvfrom()函数来实现接收数据包，recvfrom()是具备“阻塞式I/O”特性的函数，能够在没有数据包到达的情况下暂时挂起等待，直至接收到数据包后，再激活转入下一步处理。

recvfrom()函数的原型为：int recvfrom(SOCKET s,char FAR *buf,int len,int flags,structsockaddr FAR *from,int *fromlen)；本函数从已连接套接口上接收数据，并捕获数据发送源的地址。

对于SOCK_STREAM类型的套接口，最多可以接收缓冲区大小个数据。

如果套接口被设置为线内接收带外数据(选项为 SO_OOBINLINE)，且有带外数据未读入，则返回带外数据。

应用程序可通过调用ioctlsocket()的SOCATMARK命令来确定是否有带外数据待读入。

对于SOCK_STREAM类型套接口，忽略from和fromlen参数。

因为面向连接的话不用再指定地址了。

4）一些“字节顺序”转换函数因为网络和主机采用的存储字节时内存顺序安排方式的差异，就存在“字节顺序”的问题。

在网络环境下存储时，高位字节存放在内存的起始位置，而低字节则存放在较高的位置。

1. 入门使用篇本篇讲述如何抓包最简单的libpcap抓包程序只要有以下几句就可以了char ebuf[PCAP_ERRBUF_SIZE];pcap_t *pd = pcap_open_live("eth0", 68, 0, 1000, ebuf);建立libpcap捕捉句柄,若出错,ebuf返回错误字串.ebuf可以为NULL(以后同)struct bpf_program fcode;pcap_compile(pd, &fcode, NULL, 1, 0);添写过滤规则串fcode,可以为空(即第三个参数,格式在后面讲到)pcap_setfilter(pd, &fcode);给pd 设置上过滤规则pcap_loop(pd, 10, eth_printer, NULL);主循环,开始抓包,共抓10个(由第二个参数指定),抓到包后就进入函数eth_printerpcap_close(pd);结束这个就是最简单的程序了,其中还有个不明,在pcap_loop参数eth_printer的类型是pcap_handler,pcap_handler定义如下: typedef void (*pcap_handler)(u_char *, const struct pcap_pkthdr *,const u_char *);当然要包含#include "pcap.h"编译要加上-lpcap至于怎么得到libpcap,还有安装,我就不费话了本文版权所有:doggy(chaujy@) 欢迎转载2. 使用进阶篇刚才我们对程序的要求是能编译通过,能运行成功现在我们让这个程序实用点吧2.1 其它几个函数介绍这几个函数的特点是简单但无关紧要现在我们隆重退出char * pcap_lookupdev ( char * errbuf );这个函数就是查找本机上的网络接口设备,我机器上就返回"eth0",在pcap_open_live之前用,没什么意思吧,反正我是不爱用它int pcap_lookupnet(char *, bpf_u_int32 *, bpf_u_int32 *, char *);第一个参数就是pcap_lookupdev返回的接口名,二三参数都是32位无符号数, 分别是IP网段和掩码,最后那个参数还是ebufint pcap_datalink(pcap_t *);它返回你的网络类型,如DLT_EN10MB 就是10M以太网int pcap_snapshot(pcap_t *);返回最长抓多少字节,就是我们在pcap_open_live中第二个参数设置的int pcap_stats(pcap_t *, struct pcap_stat *);计数,共抓了多少过滤掉了多少,看看struct pcap_stat的定义就明白了struct pcap_stat {u_int ps_recv; /* number of packets received */u_int ps_drop; /* number of packets dropped */u_int ps_ifdrop; /* drops by interface XXX not yet supported */};int pcap_major_version(pcap_t *);int pcap_minor_version(pcap_t *);版本号,你有用么?我的eth_printer如下void eth_printer(u_char * user, const struct pcap_pkthdr * h, const u_char * p) {printf("I get one packet! ");}简单吧:*)2.2 现在的程序(C++)文件名p.cxx#ifdef __cplusplusextern "C" {#endif#include#ifdef __cplusplus}#endifvoid printer(u_char * user, const struct pcap_pkthdr * h, const u_char * p){printf("I get one packet! ");/* 哈哈,我都想喝一杯庆祝一下了! */}#define DEFAULT_SNAPLEN 68/* 别问我为什么是68,我从tcpdump看来的*/int main(){char ebuf[PCAP_ERRBUF_SIZE];char *device = pcap_lookupdev(ebuf);bpf_u_int32 localnet, netmask;pcap_lookupnet(device, &localnet, &netmask, ebuf);printf("%u.%u.%u.%u", localnet&0xff, localnet>>8&0xff,localnet>>16&0xff, localnet>>24&0xff); /*本地IP网段号*/printf(":%d.%d.%d.%d ", netmask&0xff, netmask>>8&0xff,netmask>>16&0xff, netmask>>24&0xff); /*本地IP掩码*/struct pcap_t *pd = pcap_open_live(device, DEFAUL T_SNAPLEN, 0, 1000, ebuf);if(pcap_datalink(pd) == DLT_EN10MB)printf("10Mb以太网");struct bpf_program fcode;pcap_compile(pd, &fcode, NULL, 1, 0);pcap_setfilter(pd, &fcode);pcap_loop(pd, 10, printer, NULL);struct pcap_stat stat;pcap_stats(pd, &stat);printf("recv %d, drop %d. ", stat.ps_recv, stat.ps_drop);pcap_close(pd);}#gcc p.cxx -lpcap#./a.out166.111.168.0:255.255.252.010Mb以太网I get one packet!I get one packet!I get one packet!I get one packet!I get one packet!I get one packet!I get one packet!I get one packet!I get one packet!I get one packet!recv 10, drop 0.#重要提示: libpcap 程序需要root权限2.3 出错处理象其它库一样,libpcap 也有自己的错误处理机制基本上每个函数都有返回值,出错时返回值<0,另外有如下函数void pcap_perror(pcap_t *, char *);char *pcap_strerror(int);char *pcap_geterr(pcap_t *);前两个和perror() strerror() 用法相同,最后一个也很简单在pcap_t 中有一个成员存了错误字串struct pcap {...char errbuf[PCAP_ERRBUF_SIZE];};所以......于是我们在刚才的程序中加上错误处理先加一个函数#includeint err_quit(const char *fmt, ...){va_list ap;va_start(ap, fmt);vfprintf(stderr, fmt, ap);va_end(ap);exit(-1);}之后处理每个函数的异常,在成功建立捕捉句柄pcap_t *pd前,使用ebuf参数char *device = pcap_lookupdev(ebuf);if(device == NULL)err_quit("%s", ebuf);有了句柄pd后if(pcap_compile(pd, &fcode, NULL, 1, 0) < 0)err_quit("%s", pcap_geterr(pd));注意不是每个函数都是出错返回<0pcap_datalink(pd)和pcap_snapshot(pd)等可不要这么处理2.4 参数初步研究前面使用各函数时,并没有具体说明每个函数的意义,现在来探讨一下pcap_t * pcap_open_live(char *device, int snaplen, int promisc,int to_ms, char *ebuf)device指定设备,snaplen指定最长抓多少字节,ebuf出错信息,前面都说过promisc指出是否设置为混杂模式(不懂?我也不懂,整个网都听还有什么安全性可言) to_ms设置超时时间,单位millisecondsint pcap_loop(pcap_t *p, int cnt, pcap_handler callback, u_char *user)cnt为要抓的包数,pcap_loop在正常时抓cnt个包后返回,异常时返回值<0user是要传入callback()的数据,例如我们把上面的程序修改几行file://pcap_loop(pd, 10, printer, NULL);pcap_loop(pd, 10, printer, (u_char*)pd);再在printer()内加pcap_stat stat;pcap_stats((pcap_t*)user, &stat);printf("recv %d, drop %d. ", stat.ps_recv, stat.ps_drop);再编译运行后输出为166.111.168.0:255.255.252.010Mb以太网recv 1, drop 0.recv 2, drop 0.recv 3, drop 0.recv 4, drop 0.recv 5, drop 0.recv 6, drop 0.recv 7, drop 0.recv 8, drop 0.recv 9, drop 0.recv 10, drop 0.recv 10, drop 0.int pcap_compile(pcap_t *p, struct bpf_program *program,char *buf, int optimize, bpf_u_int32 mask)该函数用于解析过滤规则串buf,填写bpf_program结构.optimize为1表示对过滤规则进行优化处理netmask指定子网掩码buf的格式比较复杂int pcap_setfilter(pcap_t *handle, struct bpf_program *filter)把pcap_compile()构造的filter设置到handle上。

libpcap主要函数及过程详解/uid-21556133-id-120228.htmllibpcap（Packet Capture Library），即数据包捕获函数库，是Unix/Linux平台下的⽹络数据包捕获函数库。

它是⼀个独⽴于系统的⽤户层包捕获的API接⼝，为底层⽹络监测提供了⼀个可移植的框架。

⼀、libpcap⼯作原理libpcap主要由两部份组成：⽹络分接头(Network Tap)和数据过滤器(Packet Filter)。

⽹络分接头从⽹络设备驱动程序中收集数据拷贝，过滤器决定是否接收该数据包。

Libpcap利⽤BSD Packet Filter(BPF)算法对⽹卡接收到的链路层数据包进⾏过滤。

BPF算法的基本思想是在有BPF监听的⽹络中，⽹卡驱动将接收到的数据包复制⼀份交给BPF过滤器，过滤器根据⽤户定义的规则决定是否接收此数据包以及需要拷贝该数据包的那些内容，然后将过滤后的数据给与过滤器相关联的上层应⽤程序。

libpcap的包捕获机制就是在数据链路层加⼀个旁路处理。

当⼀个数据包到达⽹络接⼝时，libpcap⾸先利⽤已经创建的Socket从链路层驱动程序中获得该数据包的拷贝，再通过Tap函数将数据包发给BPF过滤器。

BPF过滤器根据⽤户已经定义好的过滤规则对数据包进⾏逐⼀匹配，匹配成功则放⼊内核缓冲区，并传递给⽤户缓冲区，匹配失败则直接丢弃。

如果没有设置过滤规则，所有数据包都将放⼊内核缓冲区，并传递给⽤户层缓冲区。

⼆、libpcap的抓包框架pcap_lookupdev()函数⽤于查找⽹络设备，返回可被pcap_open_live()函数调⽤的⽹络设备名指针。

pcap_open_live()函数⽤于打开⽹络设备，并且返回⽤于捕获⽹络数据包的数据包捕获描述字。

对于此⽹络设备的操作都要基于此⽹络设备描述字。

pcap_lookupnet()函数获得指定⽹络设备的⽹络号和掩码。

pcap_compile()函数⽤于将⽤户制定的过滤策略编译到过滤程序中。

tcpdump原理之利用libpcap实现抓包tcpdump原理之利用libpcap实现(转载请标明出处，请勿用于商业用途)/linux_embedded/article/details/8826429Linux下赫赫有名的抓吧工具tcpdump，想必使用过的人都十分的清楚。

但是，其实现的原理却很少人提及过，今天就tcpdump的实现原理做简单的介绍。

tcpdump 首先利用libpcap工具，将linux网络栈中的数据包抓取上来，然后，tcpdump在按照用户的需求完成数据包的分析工作。

下面就如何通过libpcap实现数据包的抓取做简单的介绍。

开始：libpcap的使用方式首先，我们需要了解一下pcap 嗅探器使用的一般布局，下面分为几个部分简单介绍。

1.首先我们需要定义我们需要使用的网络接口。

在linux下，我们一般会定义eth0或ethx。

在BSD下，可能是xl1。

我们可以把网络接口定义为字符串，或者可以通过pcap获得可用的网络接口的名字。

2.初始化pcap。

现在，我们可以将我们将要监听的网络设备告诉pcap。

如果有需要的话，我们可以使pcap同时监听多个网络接口。

我们可以通过“文件句柄”来区分不同的网络接口，就像我们打开文件进行文件的读取、写入一样，我们必须定义区分我们的监听“回话”，否则我们没有办法区分不同的监听对象(网络设备)。

3.如果我们仅仅想监听特殊的网络数据（例如，我们想监听TCP 业务，或者我们只想监听端口号为23的业务）。

我们可以自己定义一个监听规则的集合，“编译”它，然后在应用它。

上面三个步骤，连接的十分紧密，那一个步骤都不能丢掉。

规则其实就是定义好的字符串，我们需要将其转化为pcap可以是别的格式（所以我们需要编译）。

“编译器”仅仅通过内置的函数就可以实现上述的格式转换。

然后我们可以告诉pcap执行规则完成数据包的过滤。

4.之后，我们会告诉pcap进入主要的循环执行状态。

Libpcap 是 Packet Capture library 的英文缩写，即数据包捕获函数库，该库提供的 C 函数接口用于捕获经过指定网络接口 (通过将网卡设置为混杂模式，可以捕获所有经过该网络接口的数据包 )的数据包。

著名的 TCPDUMP 就是在 Libpcap 的基础上开发而成的， Libpcap 提供的接口函数主要实现和封装了与数据包的采集、构造、发送等有关的功能。

Libpcap 面向上层应用，提供了用户级别的网络数据包捕获接口，在系统部署时充分考虑到应用程序的可以移植性。

Libpcap 主要有如下功能：(1)数据包捕获捕获流经本网卡的所有原始数据包，甚至对交换设备中的数据包也能够进行捕获，本功能是嗅探器的基础。

(2)自定义数据包发送构造任意格式的原始数据包，并发送到目标网络，本功能是新协议验证、甚至攻击验证的基础。

(3)流量采集与统计对所采集到的网络中的流量信息进行按照新规则分类，按指标进行统计，并输出到指定终端。

利用这项功能可以分析目标网络的流量特性。

(4)规则过滤Libpcap 自带规则过滤功能，并提供脚本编程接口，能够按照用户编程的方式对已经采集到的数据包进行过滤，以便提高分析的性能。

Libpcap 的应用范围：由于拥有强大的功能，当前基于 Libpcap 的应用比较广泛，有很多 Unix 上的流量相关的网络系统都是基于 Libpcap 的，它的一些典型应用如下：(1)网络协议分析器Libpcap 应用最多的就是网络协议分析器，也可以称之为网络嗅探。

(2)网络流量发生器网络流量发生器也是 Libpcap 的一大应用，它是基于 Libpcap 的数据构造与发送功能，可以有针对性的构造各种形式的数据包，并执行发送工作，这样的组合便构成了网络流量的产生工具。

(3)网络入侵检测系统网络入侵检测系统(IDS)是发现网络入侵行为的关键，利用 Libpcap 所提供的数据包捕获功能，可以进一步开发出 IDS。