4_WinPcap之打开适配器并捕获数据包(四).docVIP

前三讲都是一些铺垫，并没有什么实用价值。接下来我将为大家一层一层揭开WinPcap的神秘面纱。WinPcap之打开适配器并捕获数据包。 我们将用到一个新的函数pcap_open(),下面是参数说明 Snaplen： 制定要捕获数据包的那些部分；在一些操作系统中驱动可以被配置成只捕获数据包的初始化部分； Flags ： 指示适配器是否被设置为混杂模式；一般情况下适配器只接受发给自己的数据包，而那些在其他机器之间通讯的数据包将会被丢弃，如果适配器是会混杂模式，那么不管这个数据包是不是发给自己的，适配器都会去捕获。即，混在模式下适配器是不会挑食的，它将捕获所有的数据包。 To_ms ： 指定读取数据的超时时间；以毫秒计算，在统计模式下，to_ms还可以用来定义统计的时间间隔。将to_ms设置为0，可以理解为没有时间限制，即如果没有数据到达的话，读操作将永远不会返回，如果设置为-1，则情况恰好相反，无论有没有数据包到达，读取操作都会立即的返回。 当适配器被打开，捕获工作就可以用pcap_dispatch()或pcap_loop()进行，这两个函数非常的相似，区别就是pcap_dispctch()当超时时间到了就返回，而pcap_loop()只有当cnt数据包被捕获才会返回 Packet_handler指向一个可以接受数据包的函数。这个函数会在收到一个通用状态时被libcap所调用。数据包的首部一般有一些诸如时间戳，数据包长度的信息，还包含了协议首部的实际数据（冗余校验码CRC不再支持，因为帧到达适配器，并经过校验确认后，适配器会将CRC删除与此同时大部分适配器会直接丢弃CRC错误的数据包，所以WinPcap没办法捕捉到） 完整代码： #define HAVE_REMOTE #include pcap.h /* packet handler 函数原型*/ void packet_handler(u_char *param, const struct pcap_pkthdr *header, const u_char *pkt_data); int main() { pcap_if_t *alldevs; pcap_if_t *d; int inum; int i=0; pcap_t *adhandle; char errbuf[PCAP_ERRBUF_SIZE]; /* 获取本机设备列表*/ if (pcap_findalldevs_ex(PCAP_SRC_IF_STRING, NULL, alldevs, errbuf) == -1) { fprintf(stderr,Error in pcap_findalldevs: %s\n, errbuf); exit(1); } /* 打印列表*/ for(d=alldevs; d; d=d-next) { printf(%d. %s, ++i, d-name); if (d-description) printf( (%s)\n, d-description); else printf( (No description available)\n); } if(i==0) { printf(\nNo interfaces found! Make sure WinPcap is installed.\n); return -1; } printf(Enter the interface number (1-%d):,i); scanf(%d, inum); if(inum 1 || inum i) { printf(\nInterface number out of range.\n); /* 释放设备列表*/ pcap_freealldevs(alldevs); return -1; } /* 跳转到选中的适配器*/ for(d=alldevs, i=0; i inum-1 ;d=d-next, i++); /* 打开设备*/ if ( (adhandle= pcap_open(d-name, // 设备名 65536, // 65535保证能捕获到不同数据链路层上的每个数据包的全部内容 PCAP_OPENFLAG_PROMISCUOUS, // 混杂模式 1000, // 读取超时时间 NULL, // 远程机器验证 errbuf // 错误缓冲池 ) ) == NULL) { fprintf(stderr,\nUnable t