tcpdump libnet libpcap 介绍及编译

在Unix系统平台上的网络安全工具开发中，目前最为流行的C API library有libnet、libpcap、libnids和libicmp等。它们分别从不同层次和角度提供了不同的功能函数。使网络开发人员能够忽略网络底层细节的实现，从而专注于程序本身具体功能的设计与开发。其中， 
* libnet提供的接口函数主要实现和封装了数据包的构造和发送过程。 
* libpcap提供的接口函数主要实现和封装了与数据包截获有关的过程。 
* libnids提供的接口函数主要实现了开发网络入侵监测系统所必须的一些结构框架。 
* libicmp等相对较为简单，它封装的是ICMP数据包的主要处理过程(构造、发送、接收等)。 利用这些C函数库的接口，网络安全工具开发人员可以很方便地编写出具有结构化强、健壮性好、可移植性高等特点的程序，如scanner、sniffer、firewall、IDS等。 

--------------------------------------------------------------------------

libpcap

libpcap是unix/linux平台下的网络数据包捕获函数包，
大多数网络监控软件都以它为基础。
Libpcap可以在绝大多数类unix平台下工作.
Libpcap应用程序框架
Libpcap提供了系统独立的用户级别网络数据包捕获接口，并充分考虑到应用程序的可移植性。Libpcap可以在绝大多数类unix平台下工作，参考资料 A 中是对基于 libpcap 的网络应用程序的一个详细列表。在windows平台下，一个与libpcap 很类似的函数包 winpcap 提供捕获功能，其官方网站是http://winpcap.polito.it/。

Libpcap 软件包可从 http://www.tcpdump.org/ 下载，然后依此执行下列三条命令即可安装，但如果希望libpcap能在linux上正常工作，则必须使内核支持"packet"协议，也即在编译内核时打开配置选项 CONFIG_PACKET(选项缺省为打开)。

编译前需要安装：
apt-get install flex
apt-get install bison
./configure
./make
./make install

libpcap源代码由20多个C文件构成，但在 Linux系统下并不是所有文件都用到。可以通过查看命令make的输出了解实际所用的文件。本文所针对的libpcap版本号为0.8.3，网络类型为常规以太网。Libpcap应用程序从形式上看很简单.

示例：

 #include
 #include
 #include
 #include
 #include
 #include

 #define IP_LEN 20
 #define TRUE 1
 #define FALSE 0

 #define P_IP 0x0800
 #define P_ARP 0x0806
 #define P_RARP 0x8035

 typedef unsigned char BOOL;
 typedef unsigned char UINT1;
 typedef unsigned short UINT2;
 typedef unsigned int UINT4;
 typedef unsigned long long UINT8;
 //typedef unsigned char u_char;
 typedef struct Ethernet_t Ethernet;
 typedef struct Ip_t Ip;
 typedef struct Tcp_t     Tcp;
 typedef struct Udp_t     Udp;

 #pragma pack(1)
 struct Ethernet_t
 {
      UINT1 Dst_Addr[6];
      UINT1 Src_Addr[6];
      UINT2 Protocal;
      UINT1 Data[1];
 };

 struct Ip_t
 {
      UINT1 ver4_len4_b;
      UINT1 Tos;
      UINT2 Total_len;
      UINT2 ID;
      UINT2 Id3_offset13;
      UINT1 TTL;
      UINT1 Protocal;
      UINT2 Check;
      UINT4 S_IP;
      UINT4 D_IP;
      UINT1 Option[1];
 };
 struct Tcp_t
 {
      UINT2 Sport;
      UINT2 Dport;
      UINT4 ID;
      UINT4 OK;
      UINT2 len4_keep6_UAPRSF;
      UINT2 len;
      UINT2 check;
      UINT2 pointer;
      UINT1 data[1];
 };
 struct Udp_t
 {
      UINT2 Sport;
      UINT2 Dport;
      UINT2 len;
      UINT2 check;
      UINT1 data[1];
 };
 #pragma pack(0)

 BOOL Print_E(Ethernet* ethernet)
 {
     if(ethernet == NULL)
         return FALSE;
     int i = 0;
     //printf("DST -> SRC ");


     for(i=0; i<5; i++)
     {
         printf("%.2X:",ethernet->Src_Addr[i]);

     }
     printf("%.2X\n",ethernet->Src_Addr[5]);

     for(i=0; i<5; i++)
     {
         printf("%.2X:",ethernet->Dst_Addr[i]);

     }
     printf("%.2X -> ",ethernet->Dst_Addr[5]);

     return TRUE;
 }
 void process_ip(Ip* arg_ip)
 {
     struct in_addr in_addr_arg;
      in_addr_arg.s_addr = arg_ip->S_IP;

     printf("%s -> ",inet_ntoa(in_addr_arg));

      in_addr_arg.s_addr = arg_ip->D_IP;
     printf("%s\n",inet_ntoa(in_addr_arg));
 }
 void procese_packet (u_char * pass_arg, const struct pcap_pkthdr * arg_pkt, const u_char * real_pkt)
 {
     //process the packet from net

      Ethernet* ethernet= (Ethernet*)real_pkt;
     BOOL ret = Print_E(ethernet);
     if(ret == FALSE)
     {
         printf("Error: Get Packet Error\n");
         exit(-1);
     }

     switch(ntohs(ethernet->Protocal))
     {
         case P_IP:
              process_ip((Ip*)ethernet->Data);
             break;

         case P_ARP:
             break;
         case P_RARP:
             break;
     }

 }
 int main(int argc,char** argv)
 {
     char *dev;
     char errbuf[PCAP_ERRBUF_SIZE];
     const UINT1 *packet;
     const u_char *packet_get;

      pcap_t *handle;

      bpf_u_int32 mask;
      bpf_u_int32 net;
     struct pcap_pkthdr header;

      dev = pcap_lookupdev(errbuf);

      pcap_lookupnet(dev, &net, &mask, errbuf);

      handle = pcap_open_live(dev, BUFSIZ, 1, 0, errbuf);

     //pcap_dispatch(handle,30,procese_packet,NULL);

     while(TRUE)
     {
          packet_get = pcap_next(handle,&header);
         if(packet_get)
         {
              procese_packet(NULL,NULL,packet_get);
         }
         sleep(1);
     };
      pcap_close(handle);
     return(0);
 }

------------------------------------------------------------------------

libnet

libnet是一个小型的接口函数库，
主要用C语言写成，
提供了低层网络数据报的构造、处理和发送功能。

libnet的开发目的是：
建立一个简单统一的网络编程接口以屏蔽不同操作系统低层网络编程的差别，
使得程序员将精力集中在解决关键问题上。

他的主要特点是：
高层接口：libnet主要用C语言写成
可移植性：libnet目前可以在Linux、FreeBSD、Solaris、WindowsNT等操作系统上运行，并且提供了统一的接口
数据报构造：libnet提供了一系列的TCP/IP数据报文的构造函数以方便用户使用
数据报的处理：libnet提供了一系列的辅助函数，利用这些辅助函数，帮助用户简化那些烦琐的事务性的编程工作
数据报发送：libnet允许用户在两种不同的数据报发送方法中选择。
另外libnet允许程序获得对数据报的绝对的控制，其中一些是传统的网络程序接口所不提供的。这也是
libnet的魅力之一。

libnet支持TCP/IP协议族中的多种协议，
比如其上一个版本libnet1.0支持了10种协议，
一些新的协议，比如对IPV6的支持还在开发之中。
libnet目前最新的版本是1.1版本，
在该版本中，作者将这些函数做了进一步的封装，
用户的使用步骤也得到了进一步的简化。
内存的初始化、管理、释放等以及校验和的计算等函数，
在默认情况下，都无须用户直接干预，使得libnet的使用更为方便。
作者还提供了基于老版本的应用程序移植到新版本上的方法指导。

顶

0

踩