第四组-网路封包监控程式函式与相关应用探讨.PPTVIP

擷取封包時，必須選擇所要擷取之網路介面，可利用如下函式達成。 當設定好網路卡後就可以設定抓封包的一些參數了 ，開始抓封包了。 我們將先看看怎樣去捕獲單個封包，然後再看看使用循環的方法。為此，我們使用函數pcap_next()。 第一個參數是指向pcap_open_live之回傳pcaket capture descriptor位址，第二個參數是指向一個包括了當前數據包總體信息（被捕獲時的時間，封包的長度，其被指定的部分長度）的結構體的指針。Pcap_next()返回一個u_char指標值給被這個結構體描述的包。 一個程序正等待某種排序的事件。為了達到這個例子的目的，讓我們假設我的程序想讓用戶在鍵盤上按下一個鍵，每當他們按下了一個鍵，我就想作用一個相應處理的函數。我所用的函數就是一個回應函數。用戶每按一個鍵一次，我的程序就作用回應函數一次。回應函數應用在pcap裡，取代當用戶按下鍵時被作用的函數的這是當pcap檢測到一個數據包時所作用的函數。可以定義它們的回應函數有兩個函數,就是pcap_loop()和pcap_dispatch()。此二者在它們的回應函數的使用上非常的相似。它們都是每當捕獲到一個符合我們過濾器的封包時回應函數將它存到user space（當然是存在一個過濾器時，如果不存在則所有被檢測到的封包都被送到回應函數處理）。 顏色可以點入 最後箭頭到下一個task 目前遇到的問題大概有三類：1.如何截取封包 2.如何解析 3.程式如何撰寫 等問題。 在第一類的問題：如何如何截取封包，在準備Web office 的期末報告時，建立起一些觀念，大概知道使用pcap的函式庫來截取封包比較簡單，它所須要的步驟，須要那些函式來配合等，但是對於有些函式的使用方法並不是很了解，這些函式使用的問題，應該可以在撰寫程式時來了解用法的問題。 在第二類問題：在寫程式之前必須了解封包的架構，才能解析封包進而能撰寫程式。封包如何解析必須知道它的封裝方式，如layer 2的Ethernet的封裝格式，Layer 3 的IP的封裝格式，Layer 4 的 TCP 、UDP、ICMP……等等協定的封裝格式等等，如ICMP Protocol 如何判定須在layer 2 Header的第14 bytes 的type來決定是不是0x0800，如是的話才表示其Payload為IP的資料，那是不是ICMP Protocol 則須在IP Header的Protocol Field來決定第四層所封裝格式等等。因此解析封包必須知道其協定的封裝格式和每個欄位的意義和它所在的位置，這樣才能解析封包。 在第三類問題：程式問題大都出現在如何解析封包，而C程式必須定義每一種封包 Header的結構，每個 Filed 的長度等，以及定義指標等等，這部分大概參考C語言書籍和TCPDUMP的程式碼參考來解決所遇到的問題 597435012 羅淑美597435003 張麗娟597435004 許智威597435010 周玉玲597435015 洪江西 第 四 組 網 路 封 包 監 測 程 式 Agenda Introduction Functions 程式整體介紹 程式相關問題 Appendix Introduction 1.1 Purpose 1.2 System 1.3選擇網路介面 1.4封包抓取參數 1.5封包過濾 1.1 Purpose 1.Packet capture library (libpcap) 網路封包擷取 2.由分析封包結構程式將header和payload 等資訊以較容易觀看的格式輸出 3.提供簡易的選單(IP address/ICMP/ALL)執行封包擷取 4.Filter/All Packet 的內容儲存 5.Save/Load 擷取的封包 1.2 system 作業系統 Linux base 程式語言 C 語言 系統配置 安裝: 方法一: 以rpm包的形式來進行安裝. 方法二: 以根源程式的形式安裝。 (詳細的安裝步驟如附件:tcpdump.doc) 1.3 主程式架構 pcap_lookupdev( ) pcap_open_live( ) pcap_compile( ) pcap_setfilter( ) pcap_next( ) pcap_loop( ) 1.3選擇網路介面 網路介面選擇函數: 此函式回傳值為文字指標內容中第一個網路介面之名稱。 errbuf 為儲存錯誤訊息之空間，可透過此空間了解錯誤之情形。 char *pcap_lookupdev(char *errbuf) 1.4開啟設備抓取封包 //device 為所指定之網路介面名稱 //