本文主要是介绍pcap的用法,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!
#include <pcap.h>
char errbuf[PCAP_ERRBUF_SIZE];
数据结构
•1) typedef struct _ADAPTER ADAPTER //描述一个网络适配器;
•2) typedef struct _PACKETPACKET //描述一组网络数据报的结构;
•3) typedef struct NetTypeNetType //描述网络类型的数据结构;
•4) typedef struct npf_if_addr npf_if_addr //描述一个网络适配器的ip地址;
•5) struct bpf_hdr //数据报头部;
•6) struct bpf_stat //当前捕获数据报的统计信息。
函数
1)int pcap_findalldevs ( pcap_if_t **alldevsp, char * errbuf)
功能:列出当前所有可用的网络设备(网卡)
所在头文件:pcap.h
参数说明: pcap_if_t ** alldevsp 指向pcap_if_t结构列表的指针的地址。实际使用时,声明一个pcap_if_t结构的指针(pcap_if_t *alldevsp),然后把该地址作为参数传入即可(&alldevsp)。
char * errbuf 错误缓冲区,要求长度至少为PCAP_ERRBUF_SIZE字节
返回值: -1:出错,将会向错误缓冲中填充错误信息,错误信息为ASCII码,可以直接打印出来。
0:正确返回,可以使用alldevsp访问所有网络硬件
pcap_if的结构
Struct pcap_if {
structpcap_if *next;
char *name;
chat *description;
struct pcap_addraddress;
u_int flags;
}
也可以用pcap_if_t 代替pcap_if
2)pcap_t * pcap_open_live ( char * device, int snaplen, int promisc,int to_ms, char * errbuf );
获取一个包捕捉句柄,类似文件操作函数使用的文件句柄。
device指定网络接口设备名。
snaplen指定单包最大捕捉字节数。
promisc指定网络接口进入混杂模式。
to_ms指定毫秒级读超时,0可能代表永不超时。
errbuf包含失败原因。
如果调用失败返回NULL
3)void pcap_close ( pcap_t *p )
该函数用于关闭pcap_open_live()获取的包捕捉句柄,释放相关资源。
4int pcap_lookupnet ( char * device, bpf_u_int32 * netp, pf_u_int32 * maskp, char * errbuf );
该函数用于获取指定网络接口的IP地址、子网掩码。
5)int pcap_compile ( pcap_t * p, struct bpf_program * fp, char * str,int optimize
, bpf_u_int32 netmask );
该函数用于解析过滤规则串,填写bpf_program结构。str指向过滤规则串。
6)int pcap_setfilter ( pcap_t * p, struct bpf_program * fp );
该函数用于设置pcap_compile()解析完毕的过滤规则,完全可以自己提供过滤规则,无须pcap_compile()介入
7) int pcap_dispatch ( pcap_t * p, int cnt, pcap_handler callback,
u_char * user );
捕捉报文以及分发报文到预先指定好的处理函数(回调函数)。
pcap_dispatch()接收够cnt个报文便返回,如果cnt为-1意味着所有报文集中在一个缓冲区中。如果cnt为0,仅当发生错误、读取到EOF或者读超时到了(pcap_open_live中指定)才停止捕捉报文并返回。
8)int pcap_loop(pcap_t *p, int cnt, pcap_handler callback, u_char*user);
这里pcap_loop的作用是抓包,每抓到一个包之后就调用callback函数来处理之,callback需要你自己编写,callback的类似于这种:
void PacketCallback(u_char *user, const struct pcap_pkthdr *h,const u_char *p);
你给出的代码是定义了一个函数指针grinder_t的类型,就可以用grinder_t来声明函数指针了
grinder应该就是作为一个回调函数来处理pcap抓到的包
pcap_loop和callback之间参数存在联系,pcap_loop的最后一个参数user是留给用户使用的,当callback被调用的时候这 个值会传递给callback的第一个参数(也叫user),callback的最后一个参数p指向一块内存空间,这个空间中存放的就是 pcap_loop抓到的数据包。callback的第二个参数是一个结构体指针,该结构体定义如下:
struct pcap_pkthdr {
struct timeval ts;
bpf_u_int32 caplen;
bpf_u_int32 len;
};
这个结构体是由pcap_loop自己填充的,用来取得一些关于数据包的信息
所以,在callback函数当中只有第一个user指针是可以留给用户使用的,如果你想给callback传递自己参数,那就只能通过pcap_loop的最后一个参数user来实现了
二)
在函数 pcap_open_live(), pcap_open_dead(),pcap_open_offline(), pcap_setnonblock(), pcap_getnonblock(),pcap_findalldevs(), pcap_lookupdev(), 和 pcap_lookupnet()中的errbuf假定至少有 PCAP_ERRBUF_SIZE 个字符。
typedef void(*) pcap_handler (u_char *user, const structpcap_pkthdr *pkt_header, const u_char *pkt_data)
接受数据包的回调函数的原型
pcap_t * pcap_open_live (const char *device, int snaplen, intpromisc, int to_ms, char *ebuf)
在网络中打开一个活动的捕获
pcap_t * pcap_open_dead (int linktype, int snaplen)
在还没开始捕获时,创建一个pcap_t的结构体
pcap_t * pcap_open_offline (const char *fname, char*errbuf)
打开一个 tcpdump/libpcap 格式的存储文件,来读取数据包
pcap_dumper_t * pcap_dump_open (pcap_t *p, const char*fname)
打开一个文件来写入数据包
int pcap_setnonblock (pcap_t *p, int nonblock, char*errbuf)
在阻塞和非阻塞模式间切换
int pcap_getnonblock (pcap_t *p, char *errbuf)
获得一个接口的非阻塞状态信息
int pcap_findalldevs (pcap_if_t **alldevsp, char *errbuf)
构造一个可打开的网络设备的列表 pcap_open_live()
void pcap_freealldevs (pcap_if_t *alldevsp)
释放一个接口列表,这个列表将被 pcap_findalldevs()返回
char * pcap_lookupdev (char *errbuf)
返回系统中第一个合法的设备
int pcap_lookupnet (const char *device, bpf_u_int32 *netp,bpf_u_int32 *maskp, char *errbuf)
返回接口的子网和掩码
int pcap_dispatch (pcap_t *p, int cnt, pcap_handler callback,u_char *user)
收集一组数据包
int pcap_loop (pcap_t *p, int cnt, pcap_handler callback, u_char*user)
收集一组数据包
u_char * pcap_next (pcap_t *p, struct pcap_pkthdr *h)
返回下一个可用的数据包
int pcap_next_ex (pcap_t *p, struct pcap_pkthdr **pkt_header,const u_char **pkt_data)
从一个设备接口,或从一个脱机文件中,读取一个数据包
void pcap_breakloop (pcap_t *)
设置一个标志位,这个标志位会强制 pcap_dispatch() 或 pcap_loop() 返回,而不是继续循环。
int pcap_sendpacket (pcap_t *p, u_char *buf, int size)
发送一个原始数据包
void pcap_dump (u_char *user, const struct pcap_pkthdr *h, constu_char *sp)
将数据包保存到磁盘
long pcap_dump_ftell (pcap_dumper_t *)
返回存储文件的文件位置
int pcap_compile (pcap_t *p, struct bpf_program *fp, char *str,int optimize, bpf_u_int32 netmask)
编译数据包过滤器,将程序中高级的过滤表达式,转换成能被内核级的过滤引擎所处理的东西。 (参见 过滤表达式语法)
int pcap_compile_nopcap (int snaplen_arg, int linktype_arg,struct bpf_program *program, char *buf, int optimize, bpf_u_int32mask)
在不需要打开适配器的情况下,编译数据包过滤器。这个函数能将程序中高级的过滤表达式,转换成能被内核级的过滤引擎所处理的东西。 (参见过滤表达式语法)
int pcap_setfilter (pcap_t *p, struct bpf_program *fp)
在捕获过程中绑定一个过滤器
void pcap_freecode (struct bpf_program *fp)
释放一个过滤器
int pcap_datalink (pcap_t *p)
返回适配器的链路层
int pcap_list_datalinks (pcap_t *p, int **dlt_buf)
列出数据链
int pcap_set_datalink (pcap_t *p, int dlt)
将当前pcap描述符的数据链的类型,设置成dlt给出的类型。返回-1表示设置失败。
int pcap_datalink_name_to_val (const char *name)
转换一个数据链类型的名字,即将具有DLT_remove的DLT_name,转换成符合数据链类型的值。转换是区分大小写的,返回-1表示错误。
const char * pcap_datalink_val_to_name (int dlt)
将数据链类型值转换成合适的数据链类型的名字。返回NULL表示转换失败。
const char * pcap_datalink_val_to_description (int dlt)
将数据链类型值转换成合适的数据链类型的简短的名字。返回NULL表示转换失败。
int pcap_snapshot (pcap_t *p)
返回发送给应用程序的数据包部分的大小(字节)
int pcap_is_swapped (pcap_t *p)
当前存储文件使用与当前系统不同的字节序列时,返回true
int pcap_major_version (pcap_t *p)
返回正在用来写入存储文件的pcap库的主要版本号
int pcap_minor_version (pcap_t *p)
返回正在用来写入存储文件的pcap库的次要版本号
FILE * pcap_file (pcap_t *p)
返回一个脱机捕获文件的标准流
int pcap_stats (pcap_t *p, struct pcap_stat *ps)
返回当前捕获的统计信息
void pcap_perror (pcap_t *p, char *prefix)
在标准错误输出台打印最后一次pcap库错误的文本信息,前缀是prefix。
char * pcap_geterr (pcap_t *p)
返回最后一次pcap库错误的文本信息
char * pcap_strerror (int error)
提供这个函数,以防 strerror() 不能使用。
const char * pcap_lib_version (void)
返回一个字符串,这个字符串保存着libpcap库的版本信息。注意,它除了版本号,还包含了更多的信息。
void pcap_close (pcap_t *p)
关闭一个和p关联的文件,并释放资源
FILE * pcap_dump_file (pcap_dumper_t *p)
返回一个由 pcap_dump_open()打开的存储文件的标准输入输出流
int pcap_dump_flush (pcap_dumper_t *p)
将输出缓冲写入存储文件,这样,任何使用 pcap_dump() 存储,但还没有写入文件的数据包,会被立刻写入文件。返回-1表示出错,返回0表示成功。
void pcap_dump_close (pcap_dumper_t *p)
关闭一个存储文件
Windows平台专用的扩展函数
本节中的函数是从libpcap扩展而来,为了提供更强大的功能(比如远程数据捕获,数据包缓存尺寸变化或高精度的数据包注入)。然而,目前,这些函数只能用于Windows平台。
PAirpcapHandle pcap_get_airpcap_handle (pcap_t *p)
返回一个和适配器相关联的AirPcap句柄。这个句柄可以被用来改变和CACE无线技术有关的设置。
bool pcap_offline_filter (struct bpf_program *prog, const structpcap_pkthdr *header, const u_char *pkt_data)
当给定的过滤器应用于一个脱机数据包时,返回true
int pcap_live_dump (pcap_t *p, char *filename, int maxsize, intmaxpacks)
将捕获保存到文件
int pcap_live_dump_ended (pcap_t *p, int sync)
返回内核堆处理的状态。例如,告诉我们由 pcap_live_dump() 定义的限制条件是否已经满足。
pcap_stat * pcap_stats_ex (pcap_t *p, int *pcap_stat_size)
返回当前捕获的统计信息。
int pcap_setbuff (pcap_t *p, int dim)
设置与当前适配器关联的内核缓存大小
int pcap_setmode (pcap_t *p, int mode)
将接口p的工作模式设置为mode
int pcap_setmintocopy (pcap_t *p, int size)
设置内核一次调用所受到的最小数据总数
HANDLE pcap_getevent (pcap_t *p)
返回与接口p关联的事件句柄
pcap_send_queue * pcap_sendqueue_alloc (u_int memsize)
分配一个发送队列
void pcap_sendqueue_destroy (pcap_send_queue *queue)
销毁一个发送队列
int pcap_sendqueue_queue (pcap_send_queue *queue, const structpcap_pkthdr *pkt_header, const u_char *pkt_data)
将数据包加入到发送队列
u_int pcap_sendqueue_transmit (pcap_t *p, pcap_send_queue*queue, int sync)
将一个发送队列发送至网络
int pcap_findalldevs_ex (char *source, struct pcap_rmtauth*auth, pcap_if_t **alldevs, char *errbuf)
创建一个网络设备列表,它们可以由 pcap_open()打开。
int pcap_createsrcstr (char *source, int type, const char *host,const char *port, const char *name, char *errbuf)
接收一组字符串(hotname,port,...),并根据新的格式,返回一个完整的源字符串(比如:'rpcap://1.2.3.4/eth0')
int pcap_parsesrcstr (const char *source, int *type, char *host,char *port, char *name, char *errbuf)
解析一个源字符串,并返回分离出来的内容。
pcap_t * pcap_open (const char *source, int snaplen, int flags,int read_timeout, struct pcap_rmtauth *auth, char *errbuf)
打开一个用来捕获或发送流量(仅WinPcap)的通用源。
pcap_samp * pcap_setsampling (pcap_t *p)
为数据包捕获定义一个采样方法
SOCKET pcap_remoteact_accept (const char *address, const char*port, const char *hostlist, char *connectinghost, structpcap_rmtauth *auth, char *errbuf)
阻塞,直到网络连接建立。(仅用于激活模式)
int pcap_remoteact_close (const char *host, char *errbuf)
释放一个活动连接 (仅用于激活模式).
void pcap_remoteact_cleanup
这篇关于pcap的用法的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!
