对于最常用的 pcap_loop:
pcap_loop原型是pcap_loop(pcap_t *p,int cnt,pcap_handler callback,u_char *user)
其中第一个参数是pcap的句柄,第二个是指定捕获的数据包个数,如果为-1则无限循环捕获。第四个参数user是留给用户使用的。
第三个是回调函数其原型如下:
pcap_callback(u_char* argument,const struct pcap_pkthdr* packet_header,const u_char* packet_content)
其中参数pcap_content表示的捕获到的数据包的内容
参数argument是从函数pcap_loop()传递过来的。注意:这里的参数就是指 pcap_loop中的 *user 参数
参数pcap_pkthdr 表示捕获到的数据包基本信息,包括时间,长度等信息.
另外:回调函数必须是全局函数或静态函数,其参数默认,比如pcap_loop()可以写成
pcap_loop(pcap_handle,10,pcap_callback,NULL)不能往里面传递实参.
------------------------------------------------------------------------------------------
pcap_loop和callback之间参数存在联系:
pcap_loop的最后一个参数user是留给用户使用的,当callback被调用的时候这个值会传递给callback的第一个参数(也叫user),callback的最后一个参数p指向一块内存空间,这个空间中存放的就是pcap_loop抓到的数据包。callback的第二个参数是一个结构体指针,该结构体定义如下:
struct pcap_pkthdr {
struct timeval ts; /* 时间戳 */
bpf_u_int32 caplen; /* 已捕获部分的长度 */
bpf_u_int32 len; /* 该包的脱机长度 */
};
这个结构体是由pcap_loop自己填充的,用来取得一些关于数据包的信息
所以,在callback函数当中只有第一个user指针是可以留给用户使用的,如果你想给callback传递自己参数,那就只能通过pcap_loop的最后一个参数user来实现了
-------------------------------------------------------------------------------------------
pcap捕获数据包时,使用pcap_loop之类的函数,其回调函数(报文处理程序handler) 有一个参数的类型为pcap_pkthdr,其中有两个数据域caplen和len,如下:
struct pcap_pkthdr {
struct timeval ts; /* time stamp */
bpf_u_int32 caplen; /* length of portion present */
bpf_u_int32 len; /* length this packet (off wire) */
};
ts:时间戳
cpalen:当前分组的长度
len:数据包的长度
caplen——真正实际捕获的包的长度
len——该包在发送端发出时的长度
因为在某些情况下你不能保证捕获的包是完整的,例如一个包长1480,但是你捕获到1000的时候,可能因为某些原因就中止捕获了,所以caplen是记录实际捕获的包长,也就是1000,而len就是1480。len可以根据ip头部的u_short total_len域计算出来。
阅读(17668) | 评论(0) | 转发(3) |