一、首先下载libpcap包http://www.tcpdump.org/#latest-release
然后安装,安装完成后进入安装根目录的tests文件夹,编译运行findalldevstest.c(编译时加上-libpcap),查看是否发现所有网络设备。
二、下载wireshark观察抓包软件的各种功能
三、熟悉libpcap工作原理:
四、了解libpcap抓包基本流程:
五、编程实现
未完待续。。。
PS:整理了一下libpcap常用的数据类型定义
0)、typedef int bpf_int32
1)、typedef u_int bpf_u_int32
32bit 的无类型整形;
2)、typedef pcap pcap_t
Descriptor of an open capture instance(一个打开的捕获实例的描述符?)这个结构对用户是不透明的。
3)、typedef pcap_dumper pcap_dumper_t
libpcap保存文件的描述符。
4)、typedef pcap_if pcap_if_t
网卡链表的一个元素;
5)、typedef pcap_addr pcap_addr_t
网卡地址的表示;
6)、typedef void (*pcap_handler)(u_char *args, const struct pcap_pkthdr *header, const u_char *packet);
其中agrs是从pcap_dispatch()函数传递过来的第四个形参 ,一般我们自己的包捕捉程序不需要提供它,总是为NULL ;header指向
pcap_pkthdr结构,该结构位于真正的物理帧前面,用于消除不同链路层支持的差异 ;packet指向所捕获报文的物理帧。
Libpcap库函数所必须的数据结构定义主要包含在pcap.h和pcap-int.h两个头文件中
1)、pcap结构在pcap-int.h头文件中被定义:
编程时需要涉及到的成员有:int fd; 打开设备的描述符;u_char *buffer; 是指向所捕获到数据的缓冲区指针
struct pcap
{
int fd; /* 文件描述字,实际就是 socket */
int selectable_fd; /* 在 socket 上,可以使用 select() 和 poll() 等 I/O 复用类型函数 */
int snapshot; /* 用户期望的捕获数据包最大长度 */
int linktype; /* 设备类型 */
int tzoff; /* 时区位置,实际上没有被使用 */
int offset; /* 边界对齐偏移量 */
int break_loop; /* 强制从读数据包循环中跳出的标志 */
struct pcap_sf sf; /* 数据包保存到文件的相关配置数据结构 */
struct pcap_md md; /* 具体描述如下 */
int bufsize; /* 读缓冲区的长度 */
u_char buffer; /* 读缓冲区指针 */
u_char *bp;
int cc;
u_char *pkt;
/* 相关抽象操作的函数指针,最终指向特定操作系统的处理函数 */
int (*read_op)(pcap_t *, int cnt, pcap_handler, u_char *);
int (*setfilter_op)(pcap_t *, struct bpf_program *);
int (*set_datalink_op)(pcap_t *, int);
int (*getnonblock_op)(pcap_t *, char *);
int (*setnonblock_op)(pcap_t *, int, char *);
int (*stats_op)(pcap_t *, struct pcap_stat *);
void (*close_op)(pcap_t *);
/*如果 BPF 过滤代码不能在内核中执行,则将其保存并在用户空间执行 */
struct bpf_program fcode;
/* 函数调用出错信息缓冲区 */
char errbuf[PCAP_ERRBUF_SIZE + 1];
/* 当前设备支持的、可更改的数据链路类型的个数 */
int dlt_count;
/* 可更改的数据链路类型号链表,在 linux 下没有使用 */
int *dlt_list;
/* 数据包自定义头部,对数据包捕获时间、捕获长度、真实长度进行描述 [pcap.h] */
struct pcap_pkthdr pcap_header;
};
/* 包含了捕获句柄的接口、状态、过滤信息 [pcap-int.h] */
struct pcap_md {
/* 捕获状态结构 [pcap.h] */
struct pcap_stat stat;
int use_bpf; /* 如果为1,则代表使用内核过滤*/
u_long TotPkts;
u_long TotAccepted; /* 被接收数据包数目 */
u_long TotDrops; /* 被丢弃数据包数目 */
long TotMissed; /* 在过滤进行时被接口丢弃的数据包数目 */
long OrigMissed; /*在过滤进行前被接口丢弃的数据包数目*/
#ifdef linux
int sock_packet; /* 如果为 1,则代表使用 2.0 内核的 SOCK_PACKET 模式 */
int timeout; /* pcap_open_live() 函数超时返回时间*/
int clear_promisc; /* 关闭时设置接口为非混杂模式 */
int cooked; /* 使用 SOCK_DGRAM 类型 */
int lo_ifindex; /* 回路设备索引号 */
char *device; /* 接口设备名称 */
/* 以混杂模式打开 SOCK_PACKET 类型 socket 的 pcap_t 链表*/
struct pcap *next;
#endif
};
(2)bpf_program结构
该结构在pcap_compile()函数中被使用,在bpf.h头文件中定义。
/* [pcap-bpf.h] */
struct bpf_program {
u_int bf_len; /* BPF 代码中谓词判断指令的数目 */
struct bpf_insn *bf_insns; /* 第一个谓词判断指令 */
};
/* 谓词判断指令结构 */
struct bpf_insn {
u_short code;
u_char jt;
u_char jf;
bpf_int32 k;
};
(3)
/usr/include/net/bpf.h
/*
* Structure prepended to each packet.
*/
内核过滤器每输出一个包,将在输出的数据前加了20字节的数据,这就是 struct bpf_hdr
struct bpf_hdr
{
struct timeval bh_tstamp; /* time stamp */
bpf_u_int32 bh_caplen; /* length of captured portion数据长度*/
bpf_u_int32 bh_datalen; /* original length of packet 实际包长度 */
u_short bh_hdrlen; /* length of bpf header (this struct
plus alignment padding) */
};
(4)pcap_stat结构
调用函数 pcap_stats() 可以返回一个该结构
struct pcap_stat {
u_int ps_recv; /* number of packets received */
u_int ps_drop; /* number of packets dropped */
u_int ps_ifdrop; /* drops by interface XXX not yet supported */
};
5)、
struct pcap_addr:网卡地址描述
{
pcap_addr *next;如果非空,指向链表中一个元素的指针;空表示链表中的最后一个元素
sockaddr *addr; 指向包含一个地址的sockaddr的结构的指针
sockaddr *netmask;如果非空,指向包含相对于addr指向的地址的一个网络掩码的结构
sockaddr *broadaddr;如果非空,指向包含相对于addr指向的地址的一个网络掩码的结构
sockaddr *dstaddr; 如果非空,指向一个相对于addr指向的源地址的目的地址,如果网 络不支持点对点通讯,则为空
};
6)、dump文件格式
首先是Dump文件头
struct pcap_file_header {
bpf_u_int32 magic;
u_short version_major;
u_short version_minor;
bpf_int32 thiszone; /* gmt to local correction */
bpf_u_int32 sigfigs; /* accuracy of timestamps */
bpf_u_int32 snaplen; /* max length saved portion of each pkt */
bpf_u_int32 linktype; /* data link type (LINKTYPE_*) */
};
然后是每一个包的包头和数据
pcap_pkthdr结构
/usr/include/pcap.h
/*
* Each packet in the dump file is prepended with this generic header.
* This gets around the problem of different headers for different
* packet interfaces.
*/
/* 自定义头部在把数据包保存到文件中也被使用 */
struct pcap_pkthdr
{
struct timeval ts; /* 捕获时间戳 */
bpf_u_int32 caplen; /* 捕获到数据包的长度 */
bpf_u_int32 len; /* 数据包的真正长度 */
}
/* 单个数据包结构,包含数据包元信息和数据信息 */
struct singleton [pcap.c]
{
struct pcap_pkthdr hdr; /* libpcap 自定义数据包头部 */
const u_char * pkt; /* 指向捕获到的网络数据 */
};
7)、pcap_if (libpcap 自定义的接口信息链表 [pcap.h])
struct pcap_if
{
struct pcap_if *next;
char *name; /* 接口设备名 */
char *description; /* 接口描述 */
/*接口的 IP 地址, 地址掩码, 广播地址,目的地址 */
struct pcap_addr addresses;
bpf_u_int32 flags; /* 接口的参数 */
};
教程在
