Chinaunix首页 | 论坛 | 博客
  • 博客访问: 3020519
  • 博文数量: 272
  • 博客积分: 5544
  • 博客等级: 大校
  • 技术积分: 5496
  • 用 户 组: 普通用户
  • 注册时间: 2011-03-08 00:48
个人简介

  每个人都要有一个骨灰级的爱好,不为金钱,而纯粹是为了在这个领域享受追寻真理的快乐。

文章分类

全部博文(272)

文章存档

2015年(2)

2014年(5)

2013年(25)

2012年(58)

2011年(182)

分类: LINUX

2012-02-11 22:42:57

对于最常用的 pcap_loop:

pcap_loop原型是pcap_loop(pcap_t *p,int cnt,pcap_handler callback,u_char *user)

其中第一个参数是pcap的句柄,第二个是指定捕获的数据包个数,如果为-1则无限循环捕获。第四个参数user是留给用户使用的。

第三个是回调函数其原型如下:

pcap_callback(u_char* argument,const struct pcap_pkthdr* packet_header,const u_char* packet_content)

其中参数pcap_content表示的捕获到的数据包的内容

参数argument是从函数pcap_loop()传递过来的。注意:这里的参数就是指 pcap_loop中的 *user 参数

参数pcap_pkthdr 表示捕获到的数据包基本信息,包括时间,长度等信息.

另外:回调函数必须是全局函数或静态函数,其参数默认,比如pcap_loop()可以写成

pcap_loop(pcap_handle,10,pcap_callback,NULL)不能往里面传递实参.

------------------------------------------------------------------------------------------

pcap_loop和callback之间参数存在联系:

pcap_loop的最后一个参数user是留给用户使用的,当callback被调用的时候这个值会传递给callback的第一个参数(也叫user),callback的最后一个参数p指向一块内存空间,这个空间中存放的就是pcap_loop抓到的数据包。callback的第二个参数是一个结构体指针,该结构体定义如下:
struct pcap_pkthdr {
struct timeval ts; /* 时间戳 */ 
bpf_u_int32 caplen; /* 已捕获部分的长度 */ 
bpf_u_int32 len;   /* 该包的脱机长度 */ 
};
这个结构体是由pcap_loop自己填充的,用来取得一些关于数据包的信息
所以,在callback函数当中只有第一个user指针是可以留给用户使用的,如果你想给callback传递自己参数,那就只能通过pcap_loop的最后一个参数user来实现了

-------------------------------------------------------------------------------------------

pcap捕获数据包时,使用pcap_loop之类的函数,其回调函数(报文处理程序handler) 有一个参数的类型为pcap_pkthdr,其中有两个数据域caplen和len,如下:

struct pcap_pkthdr { 
struct timeval ts; /* time stamp */ 
bpf_u_int32 caplen; /* length of portion present */ 
bpf_u_int32 len; /* length this packet (off wire) */ 
};

ts:时间戳 
cpalen:当前分组的长度 
len:数据包的长度

caplen——真正实际捕获的包的长度
len——该包在发送端发出时的长度

因为在某些情况下你不能保证捕获的包是完整的,例如一个包长1480,但是你捕获到1000的时候,可能因为某些原因就中止捕获了,所以caplen是记录实际捕获的包长,也就是1000,而len就是1480。len可以根据ip头部的u_short total_len域计算出来。
阅读(17602) | 评论(0) | 转发(3) |
0

上一篇:libpcap函数库说明

下一篇:awk之printf详解

给主人留下些什么吧!~~