从 PCap 文件读取并在 c 中打印出 IP 地址和端口号，但我的结果似乎是错误的

2024-02-01

我正在读取一个 pcap 文件，我想打印出每个数据包的 IP 地址和端口号。我正在使用来自的代码http://www.tcpdump.org/pcap.htm http://www.tcpdump.org/pcap.htm and http://www.rhyous.com/2011/11/13/how-to-read-a-pcap-file-from-wireshark-with-c/ http://www.rhyous.com/2011/11/13/how-to-read-a-pcap-file-from-wireshark-with-c/.

这是我的代码：

#define SIZE_ETHERNET 14
#define ETHER_ADDR_LEN  6


/* Ethernet header */
    struct sniff_ethernet {
        u_char ether_dhost[ETHER_ADDR_LEN]; /* Destination host address */
        u_char ether_shost[ETHER_ADDR_LEN]; /* Source host address */
        u_short ether_type; /* IP? ARP? RARP? etc */
    };

    /* IP header */
    struct sniff_ip {
        u_char ip_vhl;      /* version << 4 | header length >> 2 */
        u_char ip_tos;      /* type of service */
        u_short ip_len;     /* total length */
        u_short ip_id;      /* identification */
        u_short ip_off;     /* fragment offset field */
    #define IP_RF 0x8000        /* reserved fragment flag */
    #define IP_DF 0x4000        /* dont fragment flag */
    #define IP_MF 0x2000        /* more fragments flag */
    #define IP_OFFMASK 0x1fff   /* mask for fragmenting bits */
        u_char ip_ttl;      /* time to live */
        u_char ip_p;        /* protocol */
        u_short ip_sum;     /* checksum */
        struct in_addr ip_src;
        struct in_addr ip_dst; /* source and dest address */
    };
    #define IP_HL(ip)       (((ip)->ip_vhl) & 0x0f)
    #define IP_V(ip)        (((ip)->ip_vhl) >> 4)

    /* TCP header */
    struct sniff_tcp {
        u_short th_sport;   /* source port */
        u_short th_dport;   /* destination port */
        u_int32_t th_seq;       /* sequence number */
        u_int32_t th_ack;       /* acknowledgement number */

        u_char th_offx2;    /* data offset, rsvd */
    #define TH_OFF(th)  (((th)->th_offx2 & 0xf0) >> 4)
        u_char th_flags;
    #define TH_FIN 0x01
    #define TH_SYN 0x02
    #define TH_RST 0x04
    #define TH_PUSH 0x08
    #define TH_ACK 0x10
    #define TH_URG 0x20
    #define TH_ECE 0x40
    #define TH_CWR 0x80
    #define TH_FLAGS (TH_FIN|TH_SYN|TH_RST|TH_ACK|TH_URG|TH_ECE|TH_CWR)
        u_short th_win;     /* window */
        u_short th_sum;     /* checksum */
        u_short th_urp;     /* urgent pointer */
};

int main(int argc, char *argv[])
{

    //get file
     char *filename = argv[1];

     //error buffer
     char errbuff[PCAP_ERRBUF_SIZE];

     //open file and create pcap handler
     pcap_t * handler = pcap_open_offline(filename, errbuff);

     //The header that pcap gives us
    struct pcap_pkthdr *header;

    //The actual packet 
    const u_char *packet;   

      int packetCount = 0;
      int i;

      //write to file 
      FILE *fp = fopen ( "result.txt", "w" ) ;

      //tcp info
    const struct sniff_ethernet *ethernet; /* The ethernet header */
    const struct sniff_ip *ip; /* The IP header */
    const struct sniff_tcp *tcp; /* The TCP header */
    u_int size_ip;
    u_int size_tcp;

    while (pcap_next_ex(handler, &header, &packet) >= 0)
    {
        // Show the packet number
        printf("Packet # %i\n", ++packetCount);
        fprintf(fp,"Packet # %i\n", packetCount);

        // Show the size in bytes of the packet
        printf("Packet size: %d bytes\n", header->len);
        fprintf(fp,"Packet size: %d bytes\n", header->len);

        // Show a warning if the length captured is different
        if (header->len != header->caplen)
            printf("Warning! Capture size different than packet size: %ld bytes\n", header->len);

        // Show Epoch Time
        printf("Epoch Time: %d:%d seconds\n", header->ts.tv_sec, header->ts.tv_usec);
        fprintf(fp,"Epoch Time: %d:%d seconds\n", header->ts.tv_sec, header->ts.tv_usec);

        ethernet = (struct sniff_ethernet*)(packet);
        ip = (struct sniff_ip*)(packet + SIZE_ETHERNET);
        size_ip = IP_HL(ip)*4;
        if (size_ip < 20) {
            printf("   * Invalid IP header length: %u bytes\n", size_ip);
            return;
        }
        tcp = (struct sniff_tcp*)(packet + SIZE_ETHERNET + size_ip);

        printf("src port: %d dest port: %d \n", tcp->th_sport, tcp->th_dport);
        fprintf(fp,"src port: %d dest port: %d \n", tcp->th_sport, tcp->th_dport);

        printf("src address: %s dest address: %s \n",  inet_ntoa(ip->ip_src),  inet_ntoa(ip->ip_dst));
        fprintf(fp,"src address: %s dest address: %s \n",  inet_ntoa(ip->ip_src),  inet_ntoa(ip->ip_dst));

        printf("seq number: %u ack number: %u \n", (unsigned int)tcp-> th_seq, (unsigned int)tcp->th_ack);
        fprintf(fp,"seq number: %u ack number: %u \n", (unsigned int)tcp-> th_seq, (unsigned int)tcp->th_ack);

        // Add two lines between packets
        printf("\n");
        fprintf(fp,"\n");
    }
    fclose (fp);
     return(0);
}

这是我的结果的一部分：

Packet # 1
Packet size: 74 bytes
Epoch Time: 1348895319:643493 seconds
src port: 20480 dest port: 15578
src address: 128.8.126.92 dest address: 128.8.126.92
seq number: 3071009507 ack number: 2490081174

Packet # 2
Packet size: 66 bytes
Epoch Time: 1348895319:643566 seconds
src port: 15578 dest port: 20480
src address: 192.168.5.162 dest address: 192.168.5.162
seq number: 2490081174 ack number: 3087786723

Packet # 3
Packet size: 207 bytes
Epoch Time: 1348895319:643720 seconds
src port: 15578 dest port: 20480
src address: 192.168.5.162 dest address: 192.168.5.162
seq number: 2490081174 ack number: 3087786723

Packet # 4
Packet size: 66 bytes
Epoch Time: 1348895320:127547 seconds
src port: 20480 dest port: 15578
src address: 128.8.126.92 dest address: 128.8.126.92
seq number: 3087786723 ack number: 560766870

Packet # 5
Packet size: 1514 bytes
Epoch Time: 1348895320:129417 seconds
src port: 20480 dest port: 15578
src address: 128.8.126.92 dest address: 128.8.126.92
seq number: 3087786723 ack number: 560766870

即使我使用 src 和 dst IP 地址，IP 地址也是相同的。 seq号和ack号似乎太大了。任何人都可以看到是什么导致了我的问题以及我该如何解决它。提前致谢。

您确定转储中只有 IP 数据包吗？
这些值按网络字节顺序排列。你需要使用ntohl and ntohs来转换它们。
inet_ntoato 使用静态缓冲区，因此后续调用会覆盖该值（因此匹配源地址和目标地址）。

本文内容由网友自发贡献，版权归原作者所有，本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容，请联系:hwhale#tublm.com(使用前将#替换为@)

c

pcap

从 PCap 文件读取并在 c 中打印出 IP 地址和端口号，但我的结果似乎是错误的的相关文章

解析 JWT 令牌以仅获取有效负载内容，无需 C# 或 Blazor 中的外部库

我正在使用 Blazor 编写可以访问 JWT 的客户端应用程序我想知道一种简单的方法来读取令牌有效负载内容而不添加额外的依赖项因为我不需要其他信息也不需要验证令牌我认为解析有效负载内容应该足够简单只需将其写入方法即可 JwtTo
在 C# 中调用 C++ 库 [关闭]

Closed 这个问题不符合堆栈溢出指南 help closed questions 目前不接受答案我有很多用 C 编写的库我想从 C 调用这些库但是我遇到了很多问题我想知道是否有书籍或指南告诉我如何做到这一点 Dll导入 htt
std::call_once 可重入且线程安全吗？

std call once http en cppreference com w cpp thread call once是线程安全的但它也是可重入的吗我使用 VS2012 调试和发布进行的测试表明调用std call once从单
如何使用 SOAP 且不使用 WSE 在 .NET 中签署 Amazon Web 服务请求

亚马逊产品广告 API 以前称为 Amazon Associates Web Service 或 Amazon AWS 实施了一项新规则即自 2009 年 8 月 15 日起向其发送的所有 Web 服务请求都必须经过签名他们在其网站上
检测到堆栈崩溃

我正在执行我的 a out 文件执行后程序运行一段时间然后退出并显示消息 stack smashing detected a out terminated Backtrace lib tls i686 cmov libc so 6 f
如何制作可启动程序？

所以这个问题可能看起来很奇怪但假设我编译了 int main void int x 3 int y 4 int z x y 是否可以让CPU这样运行如何例如这允许我写入监视器吗如果我没记错的话内存中有些地方可以写入要显示的内容
在 omp 并行 for 循环中使用 unique_ptr 会导致 SEG.FAULT

采取以下代码 include
将表（行）与 OpenXML SDK 2.5 保持在一起

我想在 Word 文档中生成多个表每行 2 行但我想将这两行保留在一起如果可能的话 new KeepNext 第一行不起作用 new KeepNext 第一行的最后一段不起作用 new CantSplit 放在桌子上不起作用在所有情
将接口转换为其具体实现对象，反之亦然？

在 C 中当我有一个接口和几个具体实现时我可以将接口强制转换为具体类型还是将具体类型强制转换为接口这种情况下的规则是什么 Java 和 C 中都允许这两个方向向下转型需要显式转型如果对象类型不正确可能会抛出异常然而向上转换
UI 函数在快速事件完成之前触发

我有一个停靠在 Silverlight 应用程序中的 Web 浏览器框架有时会在其上弹出全窗口 XAML Silverlight UI 元素我已经或多或少修复了一个老问题即 Web 框架的内容似乎与 Silverlight 内容不能很
引用/指针失效到底是什么？

我找不到任何定义指针引用无效在标准中我问这个问题是因为我刚刚发现 C 11 禁止字符串的写时复制 COW 据我了解如果应用了 COW 那么p仍然是一个有效的指针并且r以下命令后的有效参考 std string s abc std st
使用 GCC 生成可读的程序集？

我想知道如何使用GCC http en wikipedia org wiki GNU Compiler Collection在我的 C 源文件中转储机器代码的助记符版本这样我就可以看到我的代码被编译成什么你可以使用 Java 来做到这一
英文日期差异

接近重复如何计算相对时间 https stackoverflow com questions 11 how do i calculate relative time 如何在 C 中计算某人的年龄 https stackoverflow c
从浏览器访问本地文件？

您好我想从浏览器访问系统的本地文件由于涉及大量安全检查是否可以通过某种方式实现这一目标或使用 ActiveX 或 Java Applet 的任何其他工作环境请帮帮我要通过浏览器访问本地文件您可以使用签名的 Java Apple
.NET 4 的条件编译[重复]

这个问题在这里已经有答案了可能的重复条件编译和框架目标 https stackoverflow com questions 2923210 c sharp conditional compilation and framework ta
如何停止无限循环？

我正在编写一个程序该程序将计算三角形或正方形的面积然后提示用户是否希望计算另一个我的代码已经运行到可以计算任一形状的面积的程度但随后不再继续执行代码的其余部分例如如果选择了正方形则计算面积然后返回到正方形边长的提示我假设这
在 C#.NET 中安全删除文件

在我正在做的一个项目中我想为用户提供安全删除文件的选项例如用随机位或 0 覆盖它在 C NET 中是否有一种简单的方法可以做到这一点效果如何你可以调用系统内部删除 http technet microsoft com en
通过 Tab 键浏览 XML 文档字段

In VB NET you can move through the fields in the XML member documentation with the Tab key 这在 C 中不起作用还有其他方法吗除了用鼠标将光标放在
使用 using 声明时，非限定名称查找如何工作？

根据 C 标准这是格式错误还是格式良好 namespace M struct i namespace N static int i 1 using M i using N i int main sizeof i Clang 拒绝它 GCC
INotifyPropertyChanged 和 propertyName

我一直不确定它的含义propertyName实施时INotifyPropertyChanged 所以一般来说你实现INotifyPropertyChanged as public class Data INotifyPropertyChan

随机推荐

gensim 错误：导入错误：没有名为“gensim”的模块

我尝试导入 gensim import gensim 但出现以下错误 ImportError Traceback most recent call last
Django 从 models.py 导入类

使用这样的文件夹结构 library django wsgi manage py static all my static files library init py models py settings py urls py views
为什么 $(document).blur() 和 $(document).focus() 不适用于 Safari 或 Chrome？

我正在制作一个计数器当文档聚焦时它会倒计时当它处于模糊状态时它会停止倒计时它在 FF 中工作但在 Safari 和 Chrome 中计数器根本不起作用 Safari Chrome 是否存在兼容性问题我所使用的是 documen
swift：使用存储属性作为计算属性是正确的

我正在尝试实现这个 Objective C 代码 property strong UIView customView UIView customView if customView self customView UIView alloc
当我在 Angular 中加载动态组件时，jQuery 不工作

我已经在 Angular 中实现了动态组件每当加载动态组件时其相应的 jQuery 就无法工作相同的 jQuery 脚本在其他地方工作这是我的动态组件加载的地方 div class listing table outer div
提取前 25 名所有数据的公式

我跟踪了数据集并使用了 Index Large 函数 LARGE INDEX A 2 A 99 B 2 B 99 x y ROW 1 1 找出 x 和 y 组合的前 25 个我如何拉出列出水果的列我不能使用 Large 因为它仅适用于数
SQL 备份版本与此服务器不兼容

当我尝试将数据库备份恢复到客户 SQL Server 2008 时我收到以下消息 System Data SqlClient SqlError 数据库已在服务器上备份运行版本 10 50 1600 该版本与此不兼容服务器运行版本 1
Firebase 数据库规则 – `data.exists()` 似乎总是正确的，可能是错误吗？

我正在尝试保护我的 firebase 数据库以允许创建新记录但不允许删除现有记录最终我计划在我的应用程序中使用 Firebase 身份验证并允许用户更新现有记录如果他们是作者但我试图首先让简单的案例发挥作用然而无论我在数据库
错误：任务“：ProjectName：mergeDebugResources”执行失败。 > 处理 Cruncher *某些文件*失败，请参阅日志

我在尝试制作项目模块时遇到此错误 apply plugin com android library android compileSdkVersion 17 buildToolsVersion 19 1 0 defaultConfig mi
后台应用程序刷新检查，以编程方式启用和禁用整个设备以及 iOS 7 中的每个特定应用程序

我们可以从设置中手动检查整个设备以及 iOS 7 中每个特定应用程序的后台应用程序刷新有什么方法可以在 iOS 7 中以编程方式完成此操作吗简短的答案是否定的您无法检查每个应用程序的后台刷新设置是由于应用程序沙箱造成的应用程序可能会
使用ajax响应呈现数据表列

我正在尝试使用 ajax 响应呈现列内容但尽管 ajax 响应返回数据但它不会在列中显示任何内容 width 20 targets 6 defaultContent render function data type row if ro
gcc 找不到 cc1plus

我正在尝试在 CentOS 6 上安装 python 包 pandas 但我遇到了 gcc 编译器问题 sudo pip install pandas creating build temp linux x86 64 2 7 pandas
是否可以使用 64 位 I/O 块大小来实现 AES？

我正在开发一个具有非常具体的加密要求的应用程序我们需要加密解密各个 64 位值以保护我们内部架构的某些部分免遭通过公共 Web 端点进行逆向工程问题是现有的64位加密方法例如3DES 不够安全无法满足我们的要求据我所知它们
找不到模块 googleapis

这是我的代码 var http require http var express require express var Session require express session var google require googleap
错误 - java.sql.Timestamp 无法转换为 JFreeChart 中的 java.sql.Date

当我使用 JFreeChart 从数据库检索数据以添加到图表时出现错误 java sql Timestamp cannot be cast to java sql Date 我有四列前三列是使用案例正确检索的但在浏览最后一列时它会转
macOS 上的 NASM 间接寻址程序集不正确

在 macOS 上汇编以下代码 global start default rel section text start lea rdx buffer 0 lea rdx buffer 1 lea rdx buffer 2 lea rdx b
在 Rails 和 ActiveRecord 中查询时忽略某些字段

我知道我可以指定某些字段来查询数据库pluck ids Item where due at lt 2 days from now pluck id 但是我想知道是否有一种方法可以指定我想避免从数据库查询的某些字段某种反拔牙 posts P
单击按钮时是否按下了“Ctrl”键？

I need to know whether the user is holding down the ctrl key while clicking a button Since it s a button and not a figur
在颠覆中不重新定位就重新定位？

我需要在 subversion 中切换工作副本的基本 URL 根据1 7的手册我应该能够使用svn relocate http svnbook red bean com en 1 7 svn ref svn c relocate html
从 PCap 文件读取并在 c 中打印出 IP 地址和端口号，但我的结果似乎是错误的

我正在读取一个 pcap 文件我想打印出每个数据包的 IP 地址和端口号我正在使用来自的代码http www tcpdump org pcap htm http www tcpdump org pcap htm and http www

从 PCap 文件读取并在 c 中打印出 IP 地址和端口号，但我的结果似乎是错误的

从 PCap 文件读取并在 c 中打印出 IP 地址和端口号，但我的结果似乎是错误的 的相关文章

随机推荐

热门标签

从 PCap 文件读取并在 c 中打印出 IP 地址和端口号，但我的结果似乎是错误的的相关文章