Winpcap捕获数据包并转发
WinPcap是一个重要的抓包工具,它是libpcap的Windows版本。
#include "pcap.h" pcap_t *adhandle; //将时间戳转变为标准模式 void packet_handler(u_char *param, const struct pcap_pkthdr *header,const u_char *pkt_data) { struct tm *ltime; char timestr[16]; time_t t=(time_t)header->ts.tv_sec; u_char packet[1000]={0}; ltime=localtime(&t); strftime(timestr,sizeof(timestr),"%H:%M:%S",ltime); printf(" %s.%.6d Len: %d \n", timestr, header->ts.tv_usec, header->len); memcpy(packet,pkt_data,header->len); packet[0]=1; packet[1]=1; packet[2]=1; packet[3]=1; packet[4]=1; packet[5]=1; packet[6]=2; packet[7]=2; packet[8]=2; packet[9]=2; packet[10]=2; packet[11]=2; if (pcap_sendpacket(adhandle, packet,header->len) != 0) { fprintf(stderr,"\nError sending the packet: \n", pcap_geterr(adhandle)); } else { printf("Sending Success!\n"); } } int main() { pcap_if_t * alldevs; pcap_if_t *d; int inum=0,i=0; char errbuf[PCAP_ERRBUF_SIZE]; //获得网卡列表 if(pcap_findalldevs_ex(PCAP_SRC_IF_STRING, NULL,&alldevs,errbuf)==-1) { fprintf(stderr,"Error in finding all devs:%s\n",errbuf); exit(1); } //打印网卡信息 for(d=alldevs;d;d=d->next) { printf("%d. %s",++i,d->name); if(d->description) { printf("%s\n",d->description); } else { printf("no available description!\n"); } } if(i==0) { printf("No interface found!Make sure the Winpcap is installed \n"); return -1; } printf("Input the interface number:1-%d\n",i); scanf("%d",&inum); if(inum<1 inum="">i) { printf("The number is out of range!\n"); pcap_freealldevs(alldevs); return -1; } //找到要选择的网卡结构 for(d=alldevs, i=0; i< inum-1 ;d=d->next, i++); if((adhandle=pcap_open(d->name, 65536, PCAP_OPENFLAG_PROMISCUOUS, 1000, NULL, errbuf))==NULL) { fprintf(stderr,"Can't open the adapter.%s is not supported by Winpcap!\n",errbuf); pcap_freealldevs(alldevs); return -1; } /* 检查数据链路层,为了简单,只考虑以太网 */ if(pcap_datalink(adhandle) != DLT_EN10MB) { fprintf(stderr,"\nThis program works only on Ethernet networks.\n"); /* 释放设备列表 */ pcap_freealldevs(alldevs); return -1; } printf("Started listening on %s... \n",d->description); pcap_freealldevs(alldevs); pcap_loop(adhandle,0,packet_handler,NULL); return 0; }
关于WinPcap的介绍、安装与配置,之后我会单独写一篇文章,这里先介绍下使用Winpcap函数能完成的基本功能:捕获数据包并转发。
首先来看几个函数:
int pcap_findalldevs_ex(char * source, struct pcap_rmtauth * auth,pcap_if_t ** alldevs, char * errbuf)
这个函数可以列出本地机器上的设备,还可以列出远程机器上的设备
网卡信息
struct pcap_if {
struct pcap_if *next;
char *name;
char *description;
struct pcap_addr *addresses;
u_int flags; }可以用pcap_if_t代替pcap_if
每一个包的包头和数据
struct pcap_pkthdr {
structtimeval ts;
bpf_u_int32caplen;
bpf_u_int32len;
}
ts:时间戳 ; cpalen:当前分组的长度 ; len:数据包的长度。
pcap_t*pcap_open (constchar * source, int snaplen, int flags,int read_timeout, struct pcap_rmtauth * auth, char * errbuf)
此函数用于为捕获/发送数据打开一个普通的源。
参数:
source:包含要打开的源名称的字符串。
read_timeout:以毫秒单位。readtimeout用来设置在遇到一个数据包的时候读操作不必立即返回,而是等待一段时间,让更多的数据包到来后从OS内核一次读多个数据包。并非所有的平台都支持readtimeout;在不支持readtimeout的平台上将被忽略。
snaplen:需要保留的数据包的长度。对每一个过滤器接收到的数据包,第一个‘snaplen’字节的内容将被保存到缓冲区,并且传递给用户程序。例如,snaplen等于100,那么仅仅每一个数据包的第一个100字节的内容被保存。简言之就是从每一个包的开头到snaplen的那段内容将被保存。
flags:保存一些由于抓包需要的标志。PCAP_OPENFLAG_PROMISCUOUS定义了适配器(网卡)是否进入混杂模式(promiscuous mode),当要捕获数据包时,就使用这个标志。
auth:一个指向’struct pcap_rmtauth’的指针,保存当一个用户登录到某个远程机器上时的必要信息。假如不是远程抓包,该指针被设置为NULL
int pcap_loop(pcap_t *p, int cnt, pcap_handler callback, u_char *user)
此函数用于捕获数据包,其中,cnt指定了捕获数据包的最大数目,pcap_handler是个回调函数。
int pcap_sendpacket (pcap_t* p, u_char* buf, int size)
此函数用于发送一个原始数据包(raw packet)到网络上。
其中,p是用来发送数据包的那个接口,buf包含着要发送的数据包的数据(包括各种各样的协议头),
size是buf所指的缓冲区的尺寸,也就是要发送的数据包的大小。MAC循环冗余码校验不必被包含,因为它很容易被计算出来并被网络接口驱动添加。如果数据包被成功发送,返回0;否则,返回-1。
下图为捕获数据包并转发的流程图,其中转换时间戳格式和发送数据包使用了回调函数的方式完成。(我承认我没怎么画过流程图,一定很坑,不过领会精神就好了=。=)