libpcap函数

libpcap函数
1）ioctl函数定义
ioctl()函数非常庞杂，它可以控制各种文件的属性。

ioctl函数原型为：int ioctl(int handle,int cmd[,int *argdx,int argcx])；
2）socket
函数定义
常用的Socket类型有两种：流式Socket(SOCK_STREAM)和数据包式Socket
(SOCK_DGRAM)。

流式是一种面向连接的Socket，针对面向连接的TCP服务应用；数据报式Socket是一种无连接的Socket，针对无连接的UDP服务应用。

Socket函数原型为：int socket(int domain, int type,int protocol)；
3）recvfrom()函数定义
用recvfrom()函数来实现接收数据包，recvfrom()是具备“阻塞式I/O”特性的函数，能够在没有数据包到达的情况下暂时挂起等待，直至接收到数据包后，再激活转入下一步
处理。

recvfrom()函数的原型为：
int recvfrom(SOCKET s,char FAR *buf,int len,int flags,struct
sockaddr FAR *from,int *fromlen)；本函数从已连接套接口上接收数据，并捕获数
据发送源的地址。

对于SOCK_STREAM类型的套接口，最多可以接收缓冲区大小个数据。

如
果套接口被设置为线内接收带外数据(选项为 SO_OOBINLINE)，且有带外数据未读入，则
返回带外数据。

应用程序可通过调用ioctlsocket()的SOCATMARK命令来确定是否有带外数据待读入。

对于SOCK_STREAM类型套接口，忽略from和fromlen参数。

因为面向连接
的话不用再指定地址了。

4）一些“字节顺序”转换函数
因为网络和主机采用的存储字节时内存顺序安排方式的差异，就存在“字节顺序”的
问题。

在网络环境下存储时，高位字节存放在内存的起始位置，而低字节则存放在较高
的位置。

主机形式的存放顺序恰好相反，低位字节存放在内存的起始位置。

这就需要以下
相应的字节顺
序转换函数：
inet_ntoa()：将32位的网络二进制数值转换为可读十进制形式的带点分割符的IP
地址。

inet_addr()：将带有分割符的IP地址转换为32位的unsigned long的格式。

ntohs()：将网络字节顺序转换为32位的主机字节顺序。

ntohl()：将网络字节顺序转换成16位的主机字节顺序。

htonl()：将32位u_long的值由主机字节顺序转换为网络字节顺序。

htons()：将16位u_long的值由主机字节顺序转换为网络字节顺序。

本文设计的数据捕获程序需要使用SOCK_PACKET设备，SOCK_PACKET只在基于Linux的操作系统中有效定义。

为此，美国洛仑兹伯克利国家实验室编写了专用于数据包截获的API函数库“Libpcap”。

该函数的设计目标是统一不同系统上所提供的用于数据包截获的不同类型接口，并使得类似的高层应用程序的编写和移植变得简单有效，不再需要对每一个应用都使用不同的依赖于具体系统的数据包截获模块。

函数名称：int pcap_loop(pcap_t * p,int cnt, pcap_handler callback, uchar * user);
函数功能：捕获数据包,不会响应pcap_open_live()函数设置的超时时间
参数说明:p 是由pcap_open_live()返回的所打的网卡的指针;cnt用于设置所捕获数据包的个数;pcap_handler 是与void packet_handler()使用的一个参数,即回调函数的名称;user值一般为NULL
pcap_loop原型是pcap_loop(pcap_t *p,int cnt,pcap_handler callback,u_char *user)
其中第一个参数是winpcap的句柄,第二个是指定捕获的数据包个数,如果为-1则无限循环捕获。

第四个参数user是留给用户使用的。

第三个是回调函数其原型如下:
pcap_callback(u_char* argument,const struct pcap_pkthdr*
packet_header,const u_char* packet_content)
其中参数pcap_content表示的捕获到的数据包的内容
参数argument是从函数pcap_loop()传递过来的。

注意：这里的参数就是指
pcap_loop中的 *user 参数
参数pcap_pkthdr 表示捕获到的数据包基本信息,包括时间,
长度等信息.
另外:回调函数必须是全局函数或静态函数,其参数默认,比如pcap_loop()可以写成
pcap_loop(pcap_handle,10,pcap_callback,NULL)不能往里面传递实参.
--------------------------------------------------------------------------
---------------------------------------
pcap_loop和callback之间参数存在联系：
pcap_loop的最后一个参数user是留给用户使用的，当callback被调用的时候这个
值会传递给callback的第一个参数(也叫user)，callback的最后一个参数p指向一块内
存空间，这个空间中存放的就是pcap_loop抓到的数据包。

callback的第二个参数是一个结构体指针，该结构体定义如下：
struct pcap_pkthdr {
struct timeval ts; /* 时间戳 */
bpf_u_int32 caplen; /* 已捕获部分的长度 */ bpf_u_int32 len; /* 该包的脱
机长度 */ };
这个结构体是由pcap_loop自己填充的，用来取得一些关于数据包的信息
所以，在callback函数当中只有第一个user指针是可以留给用户使用的，如果你想
给callback传递自己参数，那就只能通过pcap_loop的最后一个参数user来实现了
/pcap.htm （官方向导，英文，写得很适合新手）
/bat603/archive/2021/09/04/1175729.aspx （主要函数中文说明）/bat603/archive/2021/09/04/1176251.aspx （入门源码）
#include #include #include #include #include #include #include
int main(int argc,char *argv[]) {
char *dev; char *net; char *mask; int ret;
char errbuf[PCAP_ERRBUF_SIZE]; bpf_u_int32 netp; bpf_u_int32 maskp; struct in_addr addr;
dev=pcap_lookupdev(errbuf); if(dev==NULL) {printf(\exit(1); }
printf(\
ret=pcap_lookupnet(dev,&netp,&maskp,errbuf); if(ret==-1)
{printf(\exit(1);
}
addr.s_addr=netp; net=inet_ntoa(addr); if(net==NULL) {perror(\exit(1); }
printf(\addr.s_addr=maskp; mask=inet_ntoa(addr); if(mask==NULL) {perror(\exit(1); }
printf(\return 0; }
#include #include #include #include #include #include #include
#include /* includes net/ethernet.h */
int main(int argc, char **argv) { int i;
感谢您的阅读，祝您生活愉快。