Chinaunix首页 | 论坛 | 博客

谷歌先生的ChinaUnix博客mrgoogle.blog.chinaunix.net

首页 |  博文目录 |  关于我

谷歌先生

  • 博客访问: 474309
  • 博文数量: 120
  • 博客积分: 1853
  • 博客等级: 上尉
  • 技术积分: 1177
  • 用 户 组: 普通用户
  • 注册时间: 2011-10-22 22:40
文章分类

全部博文(120)

文章存档

2013年(16)

2012年(104)

我的朋友
最近访客
推荐博文
相关博文
winpcap 获取tcp数据包

分类: WINDOWS

2013-02-27 01:53:25

需注意的有一下几点:

1.pcap_next_ex返回的是从数据链路层开始的包,因此分析ip包应先去掉帧头

2.包由外而内数据链路层->ip层->tcp

3.结构体中位域的变量也有大小端的问题,因为我的机器是x86的,是小端,因此结构体定义没有考虑大端的情况

3.winpcap需要先complie然后才能filter,filter的规则为,我使用的是tcp and src host *.*.*.*,过滤源地址为*.*.*.*的tcp包

4.winpcap开发需要下载winpcap的开发包http://www.winpcap.org/devel.htm。然后在vs2010中的加入include和lib的目录,然后在链接器中加入lib目录下的.lib文件名,然后就能#include

源代码有两个文件

贴一下:

tcp.h


点击(此处)折叠或打开

  1. #include <WinSock2.h>
  2. /* 4字节的IP地址 */
  3. typedef struct ip_address
  4. {
  5.     u_char byte1;
  6.     u_char byte2;
  7.     u_char byte3;
  8.     u_char byte4;
  9. } ip_address;

  11. /* IPv4 首部 */

  13. typedef struct header_tcp
  14. {
  15.     u_short src_port;
  16.     u_short dst_port;
  17.     u_int seq;
  18.     u_int ack_seq;
  19.     u_short doff:4,hlen:4,fin:1,syn:1,rst:1,psh:1,ack:1,urg:1,ece:1,cwr:1;
  20.     u_short window;
  21.     u_short check;
  22.     u_short urg_ptr;
  23. }tcp_header;
  24. typedef struct ip_header
  25. {
  26.     u_char ver_ihl; // 版本 (4 bits) + 首部长度 (4 bits)
  27.     u_char tos; // 服务类型(Type of service)
  28.     u_short tlen; // 总长(Total length)
  29.     u_short identification; // 标识(Identification)
  30.     u_short flags_fo; // 标志位(Flags) (3 bits) + 段偏移量(Fragment offset) (13 bits)
  31.     u_char ttl; // 存活时间(Time to live)
  32.     u_char proto; // 协议(Protocol)
  33.     u_short crc; // 首部校验和(Header checksum)
  34.     ip_address saddr; // 源地址(Source address)
  35.     ip_address daddr; // 目的地址(Destination address)
  36.     u_int op_pad; // 选项与填充(Option + Padding)
  37. } ip_header;


main.cpp

点击(此处)折叠或打开

  1. #include <stdio.h>
  2. #include <tchar.h>
  3. #include <WinSock2.h>
  4. #include <Windows.h>

  6. #include <stdlib.h>
  7. #include <iostream>
  8. #include <string>
  9. #define HAVE_REMOTE
  10. #include <pcap.h>
  11. #include "tcp_ip.h"
  12. int main()
  13. {
  14.     pcap_if_t *alldevs;
  15.     pcap_if_t *d;
  16.     int inum;
  17.     int i=0;
  18.     pcap_t *adhandle;
  19.     char errbuf[PCAP_ERRBUF_SIZE];
  20.     u_int netmask;
  21.     char packet_filter[] = "tcp and (src host *.*.*.*)";//自己定义ip地址即可
  22.     struct bpf_program fcode;


  25.     /* 获取本机设备列表 */
  26.     if (pcap_findalldevs_ex(PCAP_SRC_IF_STRING, NULL, &alldevs, errbuf) == -1)
  27.     {
  28.         fprintf(stderr,"Error in pcap_findalldevs: %sn", errbuf);
  29.         exit(1);
  30.     }

  32.     /* 打印列表 */
  33.     for(d=alldevs; d; d=d->next)
  34.     {
  35.         printf("%d. %s", ++i, d->name);
  36.         if (d->description)
  37.             printf(" (%s)n", d->description);
  38.         else
  39.             printf(" (No description available)n");
  40.     }

  42.     if(i==0)
  43.     {
  44.         printf("nNo interfaces found! Make sure WinPcap is installed.n");
  45.         return -1;
  46.     }

  48.     printf("Enter the interface number (1-%d):",i);
  49.     scanf("%d", &inum);

  51.     if(inum < 1 || inum > i)
  52.     {
  53.         printf("nInterface number out of range.n");
  54.         /* 释放设备列表 */
  55.         pcap_freealldevs(alldevs);
  56.         return -1;
  57.     }

  59.     /* 跳转到选中的适配器 */
  60.     for(d=alldevs, i=0; i< inum-1 ; d=d->next, i++);

  62.     /* 打开设备 */
  63.     if ( (adhandle= pcap_open(d->name, // 设备名
  64.         65535, // 65535保证能捕获到不同数据链路层上的每个数据包的全部内容
  65.         PCAP_OPENFLAG_PROMISCUOUS, // 混杂模式
  66.         1000, // 读取超时时间
  67.         NULL, // 远程机器验证
  68.         errbuf // 错误缓冲池
  69.         ) ) == NULL)
  70.     {
  71.         fprintf(stderr,"nUnable to open the adapter. %s is not supported by WinPcapn", d->name);
  72.         /* 释放设备列表 */
  73.         pcap_freealldevs(alldevs);
  74.         return -1;
  75.     }

  77.     printf("nlistening on %s...n", d->description);


  80.     /* 检查数据链路层,为了简单,我们只考虑以太网 */
  81.     if(pcap_datalink(adhandle) != DLT_EN10MB)
  82.     {
  83.         fprintf(stderr,"nThis program works only on Ethernet networks.n");
  84.         /* 释放设备列表 */
  85.         pcap_freealldevs(alldevs);
  86.         return -1;
  87.     }
  88.     printf("datalink:[%d]n", pcap_datalink(adhandle));
  89.     if(d->addresses != NULL)
  90.         /* 获得接口第一个地址的掩码 */
  91.         netmask=((struct sockaddr_in *)(d->addresses->netmask))->sin_addr.S_un.S_addr;
  92.     else
  93.         /* 如果接口没有地址,那么我们假设一个C类的掩码 */
  94.         netmask=0xffffff;


  97.     //编译过滤器
  98.     if (pcap_compile(adhandle, &fcode, packet_filter, 1, netmask) <0 )
  99.     {
  100.         fprintf(stderr,"nUnable to compile the packet filter. Check the syntax.n");
  101.         /* 释放设备列表 */
  102.         pcap_freealldevs(alldevs);
  103.         int x;
  104.         scanf("%d",&x);
  105.         return -1;
  106.     }

  108.     //设置过滤器
  109.     if (pcap_setfilter(adhandle, &fcode)<0)
  110.     {
  111.         fprintf(stderr,"nError setting the filter.n");
  112.         /* 释放设备列表 */
  113.         pcap_freealldevs(alldevs);
  114.         return -1;
  115.     }

  117.     printf("nlistening on %s...n", d->description);

  119.     /* 释放设备列表 */
  120.     pcap_freealldevs(alldevs);
  121.     


  124.     /* 开始捕获 */
  125.     int ret;
  126.     struct pcap_pkthdr *header;
  127.     const u_char *pkt_data;


  130.     while ((ret = pcap_next_ex(adhandle, &header, &pkt_data)) >= 0)
  131.     {
  132.         if(ret == 0)
  133.         {
  134.             /* 超时时间到 */
  135.             printf("time over!n");
  136.             continue;
  137.         }
  138.         char buffer[20000];
  139.         if (header->len > 0)
  140.         {
  141.             printf("len:[%d]n",header->len);
  142.             ip_header *ip =(ip_header *) (pkt_data +14);
  143.             printf("daddr:[%u.%u.%u.%u]n", ip->daddr.byte1,ip->daddr.byte2,ip->daddr.byte3,ip->daddr.byte4);
  144.             printf("saddr:[%u.%u.%u.%u]n", ip->saddr.byte1,ip->saddr.byte2,ip->saddr.byte3,ip->saddr.byte4);
  145.             tcp_header *tcp = (tcp_header *)((u_char*)ip + (ip->ver_ihl&0xf)*4);
  146.             char *data = (char *)tcp + (tcp->hlen)*4;
  147.             u_int datalen = ntohs(ip->tlen)-(ip->ver_ihl&0xf)*4-(tcp->hlen)*4;
  148.             
  149.             
  150.             memcpy(buffer, data, datalen);
  151.             buffer[datalen] = '';
  152.             printf("buffer:[%s]n", buffer+20);
  153.         }
  154.     }
  155.     return 0;
  156. }


阅读(11321) | 评论(0) | 转发(0) |
0

上一篇:win7 ubuntu 12.04 xp 双盘3系统 grub配置

下一篇:c++的赋值构造函数以及vector::push_back的问题

给主人留下些什么吧!~~
关于我们 | 关于IT168 | 联系方式 | 广告合作 | 法律声明 | 免费注册

Copyright 2001-2010 ChinaUnix.net All Rights Reserved 北京皓辰网域网络信息技术有限公司. 版权所有

感谢所有关心和支持过ChinaUnix的朋友们

16024965号-6