这里需要特别强调的一个数据结构是pcap_t,它相当于一个文件描述符,代表一个已经打开的设备。我们对这个设备进行操作,就是对这个文件描述符进行操作。
首先是打开一个已知的设备,使用pcap_open()这个函数,其原型如下:
pcap_t * pcap_open (const char *source, int snaplen, int flags, int read_timeout, struct pcap_rmtauth *auth, char *errbuf)
1、source是我们所要打开的设备。当我们获取所有的设备之后,这个source就是d->name。如果是文件的话,就是文件的名字,也是d->name。
2、snaplen是我们抓取的数据包的大小,100就是抓取整个数据包的前100bytes,65536最大,把整个包都包括了。不过有时候不管用(看设备)。
3、flags是设置网络设备打开的状态的,最重要的是PCAP_OPENFLAG_PROMISCUOUS,表示这个网络设备以混杂模式打开,可以捕捉局域网中所有数据包。
4、read_timeout是设置延迟时间(milliseconds)用的。捕捉数据包的时候,延迟一定的时间,然后再调用内核中的程序,这样效率较高。0表示没有延迟,没有包到达的时候永不返回。-1表示立即返回。
5、auth是远程机器的登录信息。本地机器则为NULL。
6、errbuf存储出错信息。
return: 返回这个打开设备的描述符,如果出错,返回NULL。
打开设备之后就要开始捕捉数据包了。pcap_loop()函数对捕捉到的数据包进行处理,每次处理一个数据包。其函数原型如下:
int pcap_loop (pcap_t *p, int cnt, pcap_handler callback, u_char *user)
1、p就是我们打开的某个网络设备的描述符。
2、cnt是count,表示这个循环会总共处理多少个数据包。比如30,就是处理30个数据包。0表示没有限定。
3、callback是一个函数指针,用来具体操作如何对数据包进行处理。
4、user是用户信息。我也不知道怎么用,一般为NULL。
下面说一下上面函数中的函数指针,用来具体操作处理数据包。其定义如下:
typedef void(* pcap_handler )(u_char *user, const struct pcap_pkthdr *pkt_header, const u_char *pkt_data)
1、user就是pcap_loop()函数中的user,一般也没什么用,在函数内部都用(VOID)user; 进行标记。
2、pkt_header是捕捉到这个数据包时WinPcap添加的一些信息,有时间戳、捕捉到的包长度、实际包长度这些信息。参看这里。
3、pkt_data就是实际的数据包了,包括ethernet header, ip header, tcp header, real data等等各种不同的信息。
附上一个源代码:
#define _CRT_SECURE_NO_WARNINGS #include "pcap.h" void packet_handler(u_char *user, const struct pcap_pkthdr *pkt_header, const u_char *pkt_data); int main() { pcap_t *cap_ins_des; // descriptor of an opened capture instance pcap_if_t *alldevs; // pcap_if_t is interface type pcap_if_t *d; char errbuf[PCAP_ERRBUF_SIZE]; // store error information int i; //char source[PCAP_BUF_SIZE]; /* find all useful devices in my local host */ if (pcap_findalldevs_ex(PCAP_SRC_IF_STRING, NULL, &alldevs, errbuf) == -1) { printf("%s\n", errbuf); exit(-1); } /* choose one interface */ d = alldevs; while (d != NULL) { printf("%s\n", d->description == NULL ? NULL : d->description); d = d->next; } d = alldevs; scanf("%d", &i); while (i--) d = d->next; /* open this interface */ cap_ins_des = pcap_open(d->name /* char *source */, 100, PCAP_OPENFLAG_PROMISCUOUS, 1000, NULL, errbuf); if (cap_ins_des == NULL) { printf("%s\n", errbuf); exit(-1); } /* free all the devices, because we don't use them any more */ pcap_freealldevs(alldevs); /* start the capture, deal with one packet each loop */ pcap_loop(cap_ins_des, 30 /* capture 30 packets */, packet_handler, NULL); return 0; } void packet_handler(u_char *user, const struct pcap_pkthdr *pkt_header, const u_char *pkt_data) { time_t time = pkt_header->ts.tv_sec; struct tm *ltime = localtime(&time); char timestr[16]; (VOID)user; (VOID)pkt_data; strftime(timestr, sizeof timestr, "%H:%M:%S", ltime); printf("%s. %d, %d, %d\n", timestr, pkt_header->ts.tv_usec, pkt_header->caplen, pkt_header->len); }