libcap使用小结

1. 安装

下载http://www.tcpdump.org/#old-releases ,我下的libpcap-1.0.0.tar.gz

#tar -zxvf libpcap-1.0.0.tar.gz

#cd libpcap-1.0.0

#./configure

#make;make install

安装到默认的目录/usr/lib//usr/include/

2. 使用

使用libcap库编写程序时,需要加入头文件#include <pcap.h>

然后在编译的时候加上-lpcap

3. Libcap编程步骤

1)设置sniff设备

char *dev, errbuf[PCAP_ERRBUF_SIZE];

dev = pcap_lookupdev(errbuf);

if (dev == NULL)

{

fprintf(stderr, "couldn't find default device:%s", errbuf);

return -1;

}

这是查找默认的设备,也可以指定设备,如

char *dev = "eth0";

2)打开设备

pcap_t *pcap_open_live(char *device, int snaplen, int promisc, int to_ms,
     char *ebuf)

第一个参数是设备名,snaplen是一个整型值,定义由pcap抓取的包的最大 字节数。 promisc,当设置为true时,使接口处于混杂模式(不管怎样,即 使设置为false,在一些特定情形下接口可能还是 处于混杂模式)。to_ms 是读超时(read time out),单位为毫秒(0表示没有超时;在一些平台上,这 意味着你可能会一直等待直到收到足够数量的包,所以你应该使用一个非零 值)。最后,ebuf用于保存出错信息(如errbuf)。函数返回会话句柄。 

pcap_t *handle = pcap_open_live(dev, BUFSIZ, 1, 1000, errbuf);

if (handle == NULL)

{

fprintf(stderr, "couldn't open device %s:%s", dev, errbuf);

return -1;

}

3)通信过滤

int pcap_compile(pcap_t *p, struct bpf_program *fp, char *str, int optimize,
 bpf_u_int32 netmask)

第一个参数是会话句柄(如pcap_t *handle)。接下来的参数用于指向存放编译 后过滤器的空间。然后是过滤表达式。下一个optimize整数决定表达式是否优化的0为 false1true)。最后,要指定网络掩码netmask。函数 失败时返回-1;其它值表示成功。 

为了获取网络掩码要用到下面这个函数,

int pcap_lookupnet(const char *device, bpf_u_int32 *netp,

bpf_u_int32 *maskp, char *errbuf);

第一个参数是指定设备名,第二个参数是待获取的嗅探设备的ip,第三个参 数是待嗅探设备的网络掩码,第四个参数是错误信息。返回值为0表示成功, -1表示失败。

if (pcap_compile(handle, &fp, filter_exp, 0, net) == -1)

{

fprintf(stderr, "couldn't parse filter %s:%s ", filter_exp,  pcap_geterr(handle));

return -1;

}

4)开始sniff

u_char *pcap_next(pcap_t *p, struct pcap_pkthdr *h)

第一个参数是会话句柄。第二个参数是一个指针,它指向的结构用于存放数 据包的一般信息,如捕获的时间,包长度,组成包的各部分长度。pcap_next() 返回的*u_char指向捕获的包

pcap_next()获取的是一个数据包,对于多个数据包的获取,就要用pcap_loop()

int pcap_loop(pcap_t *p, int cnt, pcap_handler callback, u_char *user)

第一个参数是会话句柄。接下来的cnt参数告诉pcap_loop()返回之前应该嗅 探到多少个包(负数表示一直嗅探直到出错为止)。第三个就是回调函数。 最后一个参数的作用是传递附加的自定义数据给回调函数,在一些应用时有 用,很多时候直接设为NULL就行。pcap_dispatch()的用法几乎一样,唯一 的区别是pcap_dispatch()只处理第一批从系统中收到的包,而pcap_loop() 继续处理接下来的包直到达到指定数量为止。 

回调函数的原型如下:

void xxx_packet(u_char *args, const struct pcap_pkthdr *header,
  const u_char *packet);

第一个参数是传给pcap_loop()的最后一个数据,每次回调函数被调用时都可 以取得这个数据,第二个参数是pcap头结构,包含到达时间,长度等。最 后一个参数packet指向被pcap_loop()嗅探到的整个数据包的首地址,根据这 个首地址就可以解析出以太网头、IP头、TCP头以及正文数据。

pcap头结构如下

struct pcap_pkthdr {
     struct timeval ts; /* time stamp */
     bpf_u_int32 caplen; /* length of portion present */
    bpf_u_int32 len; /* length this packet (off wire) */
};

5)关闭会话

pcap_close(pcap_t *handle);

你可能感兴趣的:(libcap使用小结)