libpcap是数据包捕获函数库。该库提供的C函数接口可用于需要捕获经过网络接口数据包的系统开发上。libpcap提供的接口函数主要实现和封装了与数据包截获有关的过程。这个库为不同的平台提供了一致的编程接口,在安装了libpcap的平台上,以libpcap为接口写的程序,能够自由的跨平台使用。
linux下libpcap的安装:sudo apt-get install libpcap-dev
linux下gcc编译程序:gcc my_pcap.c -lpcap
执行程序的时候如果报错:no suitable device found,以管理员权限运行程序即可,sudo ./my_pcap
libpcap的抓包框架:
头文件: #include <pcap.h> 在/usr/local/include/pcap目录下
1.查找网络设备
char *pcap_lookupdev(char *errbuf)
该函数用于返回可被pcap_open_live()或pcap_lookupnet()函数调用的网络设备名(一个字符串指针)。如果函数出错,则返回NULL,同时errbuf中存放相关的错误消息。
2.获得指定网络设备的网络号和掩码
int pcap_lookupnet(char *device, bpf_u_int32 *netp, bpf_u_int32 *maskp, char *errbuf)
netp参数和maskp参数都是bpf_u_int32指针。如果函数出错,则返回-1,同时errbuf中存放相关的错误消息。
Bpf_u_int32:32位无符号数
Struct in_addr
{
unsigned long s_addr;
}
inet_ntoa();以a.b.c.d的形式显示地址。
3.打开网络设备
pcap_t *pcap_open_live(char *device, int snaplen, int promisc, int to_ms, char *ebuf)
获得用于捕获网络数据包的数据包捕获描述字。device参数为指定打开的网络设备名。snaplen参数定义捕获数据的最大字节数,65535是最大值。promisc指定 是否将网络接口置于混杂模式,设置为1表示混杂模式。to_ms参数指定超时时间(毫秒),设置为0表示超时时间无限大。ebuf参数则仅在pcap_open_live()函数出错返回NULL时用于传递 错误消息。
typedef struct pcap pcap_t;
pcap结构在libpcap源码的pcap-int.h定义,使用时一般都是使用其指针类型)。
4.打开已有的网络数据包 //如果是抓取数据包,这个过程不需要
pcap_t *pcap_open_offline(char *fname, char *errbuf)
fname参数指定打开的文件名。该文件中的数据格式与tcpdump兼容。errbuf参数则仅在pcap_open_offline()函数出错返回NULL时用于传递错误消息。
pcap_t *pcap_fopen_offline(FILE *fp, char *errbuf)打开文件指针。
5.编译和设置过滤条件
int pcap_compile(pcap_t *p, struct bpf_program *fp, char *str, int optimize, bpf_u_int32 netmask)
设置过滤条件,举一些例子:
- src host 192.168.1.1:只接收源ip地址是192.168.1.1的数据包
- dst port 80:只接收tcp、udp的目的端口是80的数据包
- not tcp:只接收不使用tcp协议的数据包
- tcp[13] == 0x02 and (dst port 22 or dst port 23) :只接收 SYN 标志位置位且目标端口是 22 或 23 的数据包( tcp 首部开始的第 13 个字节)
- icmp[icmptype] == icmp-echoreply or icmp[icmptype] == icmp-echo:只接收 icmp 的 ping 请求和 ping 响应的数据包
- ehter dst 00:e0:09:c1:0e:82:只接收以太网 mac 地址是 00:e0:09:c1:0e:82 的数据包
- ip[8] == 5:只接收 ip 的 ttl=5 的数据包(ip首部开始的第8个字节)
将str参数指定的字符串编译到过滤程序中。fp是一个bpf_program结构的指针,在pcap_compile()函数中被赋值。optimize参数控制结果代码的优化。netmask参数指定本地网络的网络掩码,当不知道的时候可以设为0。出错时返回-1.
int pcap_setfilter(pcap_t *p, struct bpf_program *fp)
指定一个过滤程序。fp参数是bpf_program结构指针,通常取自pcap_compile()函数调用。出错时返回-1。
6.抓取和读取数据包
int pcap_dispatch(pcap_t *p, int cnt, pcap_handler callback, u_char *user)
捕获并处理数据包。cnt参数指定函数返回前所处理数据包的最大值。cnt=-1表示在一个缓冲区中处理所有的数据包。callback参数指定一个带有三个参数的回调函数,这三个参数为:一个从 pcap_dispatch()函数传递过来的u_char指针,一个pcap_pkthdr结构的指针,和指向caplen大小的数据包的u_char指针。
struct pcap_pkthdr {
struct tim ts; // ts是一个结构struct timeval,它有两个部分,第一部分是1900开始以来的秒数,第二部分是当前秒之后的毫秒数
bpf_u_int32 caplen; //表示抓到的数据长度
bpf_u_int32 len; //表示数据包的实际长度
};
user参数是留给用户使用的,当callback被调用的时候这个值会传递给callback的第一个参数(也叫user)。
成功 则返回读到的数据包数。返回0没有抓到数据包。出错时则返回-1,此时可调用pcap_perror()或pcap_geterr()函数获取错误消息。返回-2表示调用了pcap_breakloop().
int pcap_loop(pcap_t *p, int cnt, pcap_handler callback, u_char *user)
功能基本与pcap_dispatch()函数类似,只不过此函数在cnt个数据包被处理或出现错误时才返回,但读取超时不会返回。
u_char *pcap_next(pcap_t *p, struct pcap_pkthdr *h)
读取下一个数据包,类似于pcap_dispatch()中cnt参数设为1,返回指向读到的数据包的指针,但是不返回这个包的pcap_pkthdr结构的参数。
7.关闭文件释放资源
void pcap_close(pcap_t *p)
关闭P指针。
1 #include <stdio.h> 2 #include <stdlib.h> 3 #include <pcap.h> 4 5 #define PCAP_DATABUF_MAX 65535 6 7 #define ETHERTYPE_IPV4 0x0800 8 #define ETHERTYPE_IPV6 0x86DD 9 10 typedef unsigned char u_int8; 11 typedef unsigned short u_int16; 12 typedef unsigned int u_int32; 13 typedef unsigned long u_int64; 14 15 /*MAC头,总长度14字节 */ 16 typedef struct _eth_hdr{ 17 u_int8 dst_mac[6]; 18 u_int8 src_mac[6]; 19 u_int16 eth_type; 20 }eth_hdr; 21 eth_hdr *ethernet; 22 23 /*IP头*/ 24 typedef struct _ip_hdr{ 25 u_int8 ver_hl; //版本和头长 26 u_int8 serv_type; //服务类型 27 u_int16 pkt_len; //包总长 28 u_int16 re_mark; //重组标志 29 u_int16 flag_seg; //标志位和段偏移量 30 u_int8 surv_tm; //生存时间 31 u_int8 protocol; //协议码(判断传输层是哪一个协议) 32 u_int16 h_check; //头检验和 33 u_int32 src_ip; //源ip 34 u_int32 dst_ip; //目的ip 35 u_int32 option; //可选选项 36 }ip_hdr; 37 ip_hdr *ip; 38 39 /*TCP头,总长度20字节,不包括可选选项*/ 40 typedef struct _tcp_hdr{ 41 u_int16 sport; //源端口 42 u_int16 dport; //目的端口 43 u_int32 seq; //序列号 44 u_int32 ack; //确认序号 45 u_int8 head_len; //头长度 46 u_int8 flags; //保留和标记位 47 u_int16 wind_size; //窗口大小 48 u_int16 check_sum; //校验和 49 u_int16 urgent_p; //紧急指针 50 }tcp_hdr; 51 tcp_hdr *tcp; 52 53 /*UDP头,总长度8个字节*/ 54 typedef struct _udp_hdr{ 55 u_int16 sport; //源端口 56 u_int16 dport; //目的端口 57 u_int16 pktlen; //UDP头和数据的总长度 58 u_int16 check_sum; //校验和 59 }udp_hdr; 60 udp_hdr *udp; 61 62 //ip整型转换点分十进制 63 char *InttoIpv4str(u_int32 num){ 64 char* ipstr = (char*)calloc(128, sizeof(char*)); 65 66 if (ipstr) 67 sprintf(ipstr, "%d.%d.%d.%d", num >> 24 & 255, num >> 16 & 255, num >> 8 & 255, num & 255); 68 else 69 printf("failed to Allocate memory..."); 70 71 return ipstr; 72 } 73 74 void pcap_callback(u_char *useless,const struct pcap_pkthdr *pkthdr, const u_char *packet) 75 { 76 printf("data len:%u\n", pkthdr->caplen); //抓到时的数据长度 77 printf("packet size:%u\n", pkthdr->len); //数据包实际的长度 78 79 /*解析数据链路层 以太网头*/ 80 ethernet = (struct _eth_hdr*)packet; 81 u_int64 src_mac = ntohs( ethernet->src_mac ); 82 u_int64 dst_mac = ntohs( ethernet->dst_mac ); 83 84 printf("src_mac:%lu\n",src_mac); 85 printf("dst_mac:%lu\n",dst_mac); 86 printf("eth_type:%u\n",ethernet->eth_type); 87 88 u_int32 eth_len = sizeof(struct _eth_hdr); //以太网头的长度 89 u_int32 ip_len; //ip头的长度 90 u_int32 tcp_len = sizeof(struct _tcp_hdr); //tcp头的长度 91 u_int32 udp_len = sizeof(struct _udp_hdr); //udp头的长度 92 93 /*解析网络层 IP头*/ 94 if(ntohs(ethernet->eth_type) == ETHERTYPE_IPV4){ //IPV4 95 printf("It's IPv4!\n"); 96 97 ip = (struct _ip_hdr*)(packet + eth_len); 98 ip_len = (ip->ver_hl & 0x0f)*4; //ip头的长度 99 u_int32 saddr = (u_int32)ntohl(ip->src_ip); //网络字节序转换成主机字节序 100 u_int32 daddr = (u_int32)ntohl(ip->dst_ip); 101 102 printf("eth_len:%u ip_len:%u tcp_len:%u udp_len:%u\n", eth_len, ip_len, tcp_len, udp_len); 103 104 printf("src_ip:%s\n", InttoIpv4str(saddr)); //源IP地址 105 printf("dst_ip:%s\n", InttoIpv4str(daddr)); //目的IP地址 106 107 printf("ip->proto:%u\n", ip->protocol); //传输层用的哪一个协议 108 109 /*解析传输层 TCP、UDP、ICMP*/ 110 if(ip->protocol == 6){ //TCP 111 tcp = (struct _tcp_hdr*)(packet + eth_len + ip_len); 112 printf("tcp_sport = %u\n", tcp->sport); 113 printf("tcp_dport = %u\n", tcp->dport); 114 115 /**********(pcaket + eth_len + ip_len + tcp_len)就是TCP协议传输的正文数据了***********/ 116 117 }else if(ip->protocol == 17){ //UDP 118 udp = (struct _udp_hdr*)(packet + eth_len + ip_len); 119 printf("udp_sport = %u\n", udp->sport); 120 printf("udp_dport = %u\n", udp->dport); 121 122 /**********(pcaket + eth_len + ip_len + udp_len)就是UDP协议传输的正文数据了***********/ 123 124 }else if(ip->protocol == 1){ //ICMP 125 126 } 127 128 }else if(ntohs(ethernet->eth_type) == ETHERTYPE_IPV6){ //IPV6 129 printf("It's IPv6!\n"); 130 } 131 132 printf("============================================\n"); 133 } 134 135 int main() 136 { 137 char *dev; //设备名 138 char errbuf[PCAP_ERRBUF_SIZE] = {}; //PCAP_ERRBUF_SIZE在pcap.h中已经定义 139 bpf_u_int32 netp, maskp; //网络号和掩码 140 pcap_t *handler; //数据包捕获描述字 141 struct bpf_program *fp; 142 char *filter_str = "port 9000"; //过滤条件 143 144 /*Find network devices*/ 145 if((dev = pcap_lookupdev(errbuf)) == NULL){ 146 printf("lookupdev failed:%s\n", errbuf); 147 exit(1); 148 }else{ 149 printf("Device:%s\n", dev); 150 } 151 152 /*Get the network number and mask of the network device*/ 153 if(pcap_lookupnet(dev, &netp, &maskp, errbuf) == -1){ 154 printf("%s\n", errbuf); 155 exit(1); 156 } 157 158 /*Open network device*/ 159 if((handler = pcap_open_live(dev, PCAP_DATABUF_MAX, 1, 0, errbuf)) == NULL){ 160 printf("%s\n", errbuf); 161 exit(1); 162 } 163 164 /*Compiling and setting filtering conditions*/ 165 if(pcap_compile(handler, fp, filter_str, 0, maskp) == -1){ 166 printf("pcap_compile error...\n"); 167 exit(1); 168 } 169 if(pcap_setfilter(handler, fp) == -1){ 170 printf("pcap_setfilter error...\n"); 171 exit(1); 172 } 173 174 /*Capturing and processing data packets*/ 175 if(pcap_loop(handler, -1, pcap_callback, NULL) == -1){ 176 printf("pcap_loop error...\n"); 177 pcap_close(handler); 178 } 179 180 return 0; 181 }