4)一些“字节顺序”转换函数
因为网络和主机采用的存储字节时内存顺序安排方式的差异,就存在“字节顺序”的问题。在网络环境下存储时,高位字节存放在内存的起始位置,而低字节则存放在较高的位置。主机形式的存放顺序恰好相反,低位字节存放在内存的起始位置。这就需要以下相应的字节顺序转换函数:
inet_ntoa():将32位的网络二进制数值转换为可读十进制形式的带点分割符的IP地址。
inet_addr():将带有分割符的IP地址转换为32位的unsigned long的格式。
ntohs():将网络字节顺序转换为32位的主机字节顺序。
ntohl():将网络字节顺序转换成16位的主机字节顺序。
htonl():将32位u_long的值由主机字节顺序转换为网络字节顺序。
htons():将16位u_long的值由主机字节顺序转换为网络字节顺序。
本文设计的数据捕获程序需要使用SOCK_PACKET设备,SOCK_PACKET只在基于Linux的操作系统中有效定义。为此,美国洛仑兹伯克利国家实验室编写了专用于数据包截获的API函数库“Libpcap”。该函数的设计目标是统一不同系统上所提供的用于数据包截获的不同类型接口,并使得类似的高层应用程序的编写和移植变得简单有效,不再需要对每一个应用都使用不同的依赖于具体系统的数据包截获模块。
四、基于Linux的数据包捕获模块设计实现
1、 数据包捕获模块设计流程图
在数据包捕获程序中,通过设置网卡工作于混杂状态,对网络链路进行监听并收集数据包,从而获得数据包头信息。其流程图如图2所示:
图2 数据包捕获模块流程图
2、数据包捕获模块实现
该数据包捕获程序用C语言来编写,程序中用到很多Linux网络编程中的函数。
(1)设置网络接口为混杂模式
网络接口的混杂模式使得一个网络接口设备从只能读取目标地址为6字节MAC地址的数据包,变为可读取网络广播媒体中的所有数据包。该部分通过两次ioctl函数调用实现:
ioctl(sock, SIOCGIFFLAGS, &ifr)
ifr.ifr_flags |= IFF_PROMISC
ioctl(sock, SIOCGIFFLAGS, &ifr)
第一次的ioctl函数调用,用来截获ifr(struct ifreq)结构中所含接口名称所指接口的标记。第一个参数是打开的原始套接字描述符“sock”,第二个参数是所要执行的请求操作。第三个参数是接口请求数据结构的地址指针,该结构中包含了所以进行请求操作的接口名称值。
我们通过将混合标记(IFF_PROMISC)应用到接口请求结构的标记位变量中来改变接口标记位。操作符“|=”将混合标记符与原有的接口标记进行“或”操作来设置新的接口标记。获得新的接口标记后,将其设置到实际接口中。第二次的ioctl调用,将接口设备设置为混合模式。正如第一个ioctl调用是获得网络接口的标记,这次调用是设置ifr结构中修改过的新标记写到物理接口上。
(2)打开Socket设备
用socket函数来打开Socket设备。
sock = socket(AF_PACKET, SOCK_RAW, htons(ETH_P_ALL))
domain域使用AF_PACKET,能够既接收链路层也接收网络层的数据包。
