1. 安装
下载http://www.tcpdump.org/#old-releases ,我下的libpcap-1.0.0.tar.gz
#tar -zxvf libpcap-1.0.0.tar.gz
#cd libpcap-1.0.0
#./configure
#make;make install
安装到默认的目录/usr/lib/和/usr/include/
2. 使用
使用libcap库编写程序时,需要加入头文件#include <pcap.h>
然后在编译的时候加上-lpcap
3. Libcap编程步骤
1)设置sniff设备
char *dev, errbuf[PCAP_ERRBUF_SIZE];
dev = pcap_lookupdev(errbuf);
if (dev == NULL)
{
fprintf(stderr, "couldn't find default device:%s", errbuf);
return -1;
}
这是查找默认的设备,也可以指定设备,如
char *dev = "eth0";
2)打开设备
pcap_t *pcap_open_live(char *device, int snaplen, int promisc, int to_ms,
char *ebuf)
第一个参数是设备名,snaplen是一个整型值,定义由pcap抓取的包的最大 字节数。 promisc,当设置为true时,使接口处于混杂模式(不管怎样,即 使设置为false,在一些特定情形下接口可能还是 处于混杂模式)。to_ms 是读超时(read time out),单位为毫秒(0表示没有超时;在一些平台上,这 意味着你可能会一直等待直到收到足够数量的包,所以你应该使用一个非零 值)。最后,ebuf用于保存出错信息(如errbuf)。函数返回会话句柄。
pcap_t *handle = pcap_open_live(dev, BUFSIZ, 1, 1000, errbuf);
if (handle == NULL)
{
fprintf(stderr, "couldn't open device %s:%s", dev, errbuf);
return -1;
}
3)通信过滤
int pcap_compile(pcap_t *p, struct bpf_program *fp, char *str, int optimize,
bpf_u_int32 netmask)
第一个参数是会话句柄(如pcap_t *handle)。接下来的参数用于指向存放编译 后过滤器的空间。然后是过滤表达式。下一个optimize整数决定表达式是否 是“优化的”(0为 false、1为true)。最后,要指定网络掩码netmask。函数 失败时返回-1;其它值表示成功。
为了获取网络掩码要用到下面这个函数,
int pcap_lookupnet(const char *device, bpf_u_int32 *netp,
bpf_u_int32 *maskp, char *errbuf);
第一个参数是指定设备名,第二个参数是待获取的嗅探设备的ip,第三个参 数是待嗅探设备的网络掩码,第四个参数是错误信息。返回值为0表示成功, -1表示失败。
if (pcap_compile(handle, &fp, filter_exp, 0, net) == -1)
{
fprintf(stderr, "couldn't parse filter %s:%s ", filter_exp, pcap_geterr(handle));
return -1;
}
4)开始sniff
u_char *pcap_next(pcap_t *p, struct pcap_pkthdr *h)
第一个参数是会话句柄。第二个参数是一个指针,它指向的结构用于存放数 据包的一般信息,如捕获的时间,包长度,组成包的各部分长度。pcap_next() 返回的*u_char指向捕获的包。
pcap_next()获取的是一个数据包,对于多个数据包的获取,就要用pcap_loop()
int pcap_loop(pcap_t *p, int cnt, pcap_handler callback, u_char *user)
第一个参数是会话句柄。接下来的cnt参数告诉pcap_loop()返回之前应该嗅 探到多少个包(负数表示一直嗅探直到出错为止)。第三个就是回调函数。 最后一个参数的作用是传递附加的自定义数据给回调函数,在一些应用时有 用,很多时候直接设为NULL就行。pcap_dispatch()的用法几乎一样,唯一 的区别是pcap_dispatch()只处理第一批从系统中收到的包,而pcap_loop()会 继续处理接下来的包直到达到指定数量为止。
回调函数的原型如下:
void xxx_packet(u_char *args, const struct pcap_pkthdr *header,
const u_char *packet);
第一个参数是传给pcap_loop()的最后一个数据,每次回调函数被调用时都可 以取得这个数据,第二个参数是pcap头结构,包含到达时间,长度等。最 后一个参数packet指向被pcap_loop()嗅探到的整个数据包的首地址,根据这 个首地址就可以解析出以太网头、IP头、TCP头以及正文数据。
pcap头结构如下
struct pcap_pkthdr {
struct timeval ts; /* time stamp */
bpf_u_int32 caplen; /* length of portion present */
bpf_u_int32 len; /* length this packet (off wire) */
};
5)关闭会话
pcap_close(pcap_t *handle);