数据包的捕获与分析教程.pptVIP

* 接口 struct pcap_if { struct pcap_if *next; //下一个接口 char *name; //接口名 char *description; struct pcap_addr *addresses; bpf_u_int32 flags; //目前只支PCAP_IF_LOOPBACK }; * 接口地址 struct pcap_addr { struct pcap_addr *next; struct sockaddr *addr; struct sockaddr *netmask; struct sockaddr *broadaddr; struct sockaddr *dstaddr; // P2P }; * 3.2 打开接口获取抓包描述符 pcap_t *pcap_open_live( char *device, //接口名 int snaplen,//抓取数据包的最大长度， //多出部分将被截断 int promisc, //是否为混杂模式 int to_ms, //读多少毫秒的包后再返回 char *errorbuf); 用途：用来获取一个抓包的 descriptor； 返回值为NULL表失败 void pcap_close (pcap_t *?p?)? * 3.3 设置filter int pcap_compile (pcap_t *p, struct bpf_program *fp,?char *str, int optimize, bpf_u_int32 netmask)把用户容易理解的字符串形式的过滤规则str翻译成一个程序可以识别的过滤器规则fp Netmask：被抓包的掩码，用于检查ipv4的广播包 返回值为-1时出错 int pcap_setfilter(pcap_t *p, struct bpf_program *fp)设置一个过滤器 * a.捕获 MAC地址为 00:d0:f8:00:00:03 网络设备通信的所有报文 ? ether host 00:d0:f8:00:00:03 b.捕获 IP地址为 网络设备通信的所有报文 ? host c.捕获网络web浏览的所有报文 ? tcp port 80 d.捕获除了http外的所有通信数据报文 ? host and not tcp port 80 这些过滤规则也是软件Ethereal直接使用的规则 过滤规则举例 * 更一般的过滤规则 [src|dst] host host ether [src|dst] host ehost gateway host host [src|dst] net net [{mask mask}|{len len} [tcp|udp] [src|dst] port port less|greater length ip|ether proto protocol ether|ip broadcast|multicast * 3.4 捕获数据 int pcap_loop(pcap_t *p, int cnt, //捕获的最大数目，-1表无限 pcap_handler callback, //用户的处理函数 u_char *user//回调函数的参数) ? 返回值：-1出错，0表cnt耗尽 int pcap_next_ex (pcap_t *?p, struct pcap_pkthdr **?pkt_header, const u_char **?pkt_data?) * 3.5 用户的包处理函数 void CallbackFunc(unsigned char *user, const struct pcap_pkthdr *winpcaphead, const unsigned char *packetdata) 参数winpcaphead：说明包的一些辅助信息，包括时间，长度。 packetdata：捕获的帧 * 以太网帧结构 前导码与帧前定界符：前导码为56bit的1010…101010，帧前定界符目的地址和源地址：MAC地址为48bit 长度/类型：长度（小于0800H），类型（大于等于0800H，如IP为0800H、ARP为0806H） 数据字段：用于携带上层传下来的数据。 帧校验字段：32位的CRC 前导码、帧前定界符和帧校验和三个字段属于物理层内容，在数据链路层不会得到这些字段，因此在MAC层只需解析目的地址、源地址、长度/类型和数据字段。 * 代码阅读 P244-247 改进：识