Linux下使用libpcap实现抓包
1. 背景
学习PF_RING的过程中,发现对libpcap进行重载。所以回到基础再次学习了一下pcap抓包原理。
2. 相关知识
2.1 原理
这篇文章写的就非常清晰《libpcap实现机制及接口函数》
这里实现的包捕获机制是在数据链路层增加一个旁路处理,并不干扰系统自身的网路协议栈的处理,对发送和接收的数据包通过Linux内核做过滤和缓冲处理,最后直接传递给上层应用程序。因此libpcap在捕获到达网卡的数据包后绕开了传统linux协议栈处理,直接使用链路层PF_PACKET协议族原始套接字方式向用户空间传递报文。
2.2 常用接口
- pcap_lookupdev():函数用于查找网络设备,返回可被 pcap_open_live() 函数调用的网络设备名指针。
- pcap_lookupnet():函数获得指定网络设备的网络号和掩码。
- pcap_open_live():函数用于打开网络设备,并且返回用于捕获网络数据包的数据包捕获描述字。对于此网络设备的操作都要基于此网络设备描述字。
- pcap_compile(): 函数用于将用户制定的过滤策略编译到过滤程序中。 pcap_setfilter():函数用于设置过滤器。
- pcap_loop():函数 pcap_dispatch() 函数用于捕获数据包,捕获后还可以进行处理,此外 pcap_next() 和pcap_next_ex() 两个函数也可以用来捕获数据包。
- pcap_close():函数用于关闭网络设备,释放资源。
2.3 编程思路
打开网络设备 > 设置过滤规则 > 捕获数据 > 用户态处理 > 关闭网络设备
3. 简单实例
class mod_pcap() 直接以类的风格实现了三板斧函数:setup、dispatch、teardown。
#ifndef _MOD_PCAP_H_
#define _MOD_PCAP_H_
#include 主函数使用了该接口,在eth0上面抓取UDP报文,打印出抓取长度:
#include "mod_pcap.h"
static void on_handle_pkt(uint8_t *args, const struct pcap_pkthdr *ph, const uint8_t *sp)
{
printf("Capture: %u, len: %u\n", ph->caplen, ph->len);
}
int main(int argc, char *argv[])
{
class mod_pcap pcap;
if (pcap.setup("eth0", "udp") == 0) {
pcap.dispatch(on_handle_pkt, NULL);
pcap.teardown();
}
exit(EXIT_SUCCESS);
}
4. 结果分析
实验结果如下:
1、使用iperf工具打1KB的payload,小于MTU:
Capture: 1066, len: 1066
Capture: 1066, len: 1066
Capture: 1066, len: 1066
Capture: 1066, len: 1066
Capture: 1066, len: 1066
Capture: 1066, len: 1066
Capture: 1066, len: 1066
Capture: 1066, len: 1066
Capture: 1066, len: 1066
Capture: 1066, len: 1066
Capture: 1066, len: 1066
Capture: 1066, len: 1066
2、使用iperf工具打8KB的payload,大于MTU,libpcap是按数据帧为单位抓取的:
Capture: 1514, len: 1514
Capture: 1514, len: 1514
Capture: 1514, len: 1514
Capture: 1514, len: 1514
Capture: 1514, len: 1514
Capture: 834, len: 834
Capture: 1514, len: 1514
Capture: 1514, len: 1514
Capture: 1514, len: 1514
Capture: 1514, len: 1514
Capture: 1514, len: 1514
Capture: 834, len: 834
Capture: 1514, len: 1514
Capture: 1514, len: 1514
Capture: 1514, len: 1514
Capture: 1514, len: 1514
Capture: 1514, len: 1514
Capture: 834, len: 834
5. 总结
本文提供了快速上手测试的一个demo,方便大家理解libpcap抓包的效果。