上一篇博客简单讲述了libpcap的工作流程及简单使用,今天我们需要做的是继续使用libpcap抓取我们感兴趣的流量,并进行简单的解析:

测试环境是centos 7

下面贴一张arp帧结构图:

下面我们实现的是通过pcap过滤抓取arp报文,解析其中的Ethernet address 和proctocal address并打印出来

分析是arp request还是reply,前面就不做过多解释,代码比较简单,直接贴:

 #include <stdio.h>

 #include <string.h>

 #include <stdlib.h>

 #include <stdint.h>

 #include <pcap.h>

 #include <arpa/inet.h>

 #define MAXBYTES2CAPTURE 2048

 #define ARP_REQUEST     1

 #define ARP_REPLY       2

 typedef struct arphdr {

     u_int16_t htype;        //hardware type

     u_int16_t ptype;        //protocol type

     u_char hlen;            //hardware address length

     u_char plen;            //protocol address length

     u_int16_t oper;         //operation code

     u_char sha[];          //sendHardware address

     u_char spa[];          //sender ip address

     u_char tha[];          //target hardware address

     u_char tpa[];          //target ip address

 } arphdr_t;

 int main(int argc, char **argv)

 {

     int i = ;

     bpf_u_int32 net = ;

     bpf_u_int32 mask = ;

     struct bpf_program filter; /*place to store the filter program*/

     char errbuf[PCAP_ERRBUF_SIZE];

     pcap_t *handle = NULL;   /*interface handle*/

     struct pcap_pkthdr pkthdr; /**/

     const unsigned char *packet = NULL; /*received raw data*/

     arphdr_t *arpheader = NULL; /*point to arp header*/

     if (argc != ) {

         printf("USAGE: arpsniffer <interface>\n");

         exit();

     }

     memset(errbuf, , PCAP_ERRBUF_SIZE);

     /*open network device for packet capture*/

     handle = pcap_open_live(argv[], MAXBYTES2CAPTURE, , , errbuf);

     if (handle == NULL) {

         fprintf(stderr, "Couldn't open device %s: %s\n", argv[], errbuf);

         exit();

     }

     /*look up device network addr and mask*/

     if (pcap_lookupnet(argv[], &net, &mask, errbuf) == -) {

         fprintf(stderr, "Couldn't get netmask for device %s: %s\n", argv[], errbuf);

         exit();

     }

     /*complie the filter expression of filter program*/

     pcap_compile(handle, &filter, "arp", , mask);

     pcap_setfilter(handle, &filter);

     while() {

         /*Get one packet if null continue wait*/

         if ((packet = pcap_next(handle, &pkthdr)) == NULL) {

             continue;

         }

         arpheader = (struct arphdr *)(packet + ); /*Point to the ARP header*/

         printf("\n------------- ARP --------------\n");

         printf("Received Packet Size: %d bytes\n", pkthdr.len);

         printf("Hardware type: %s\n", (ntohs(arpheader->htype) == )?"Ethernet":"Unknown");

         printf("Protocol type: %s\n", (ntohs(arpheader->ptype) == 0x0800)?"IPv4":"Unknown");

         printf("Operation : %s\n", (ntohs(arpheader->oper) == ARP_REQUEST)?"ARP_REQUEST":"ARP_REPLY");

         /*If is Ethernet and IPv4 print packet contents*/

         if (ntohs(arpheader->htype) ==  && ntohs(arpheader->ptype) == 0x0800) {

             printf("\nSoucre MAC:%02x:%02x:%02X:%02x:%02x:%02x\n",

                             arpheader->sha[], arpheader->sha[],

                             arpheader->sha[], arpheader->sha[],

                             arpheader->sha[], arpheader->sha[]);

             printf("Soucre IP:%d.%d.%d.%d\n",

                             arpheader->spa[], arpheader->spa[],

                             arpheader->spa[], arpheader->spa[]);

             printf("\nDestination MAC:%02x:%02x:%02X:%02x:%02x:%02x\n",

                             arpheader->tha[], arpheader->tha[],

                             arpheader->tha[], arpheader->tha[],

                             arpheader->tha[], arpheader->tha[]);

             printf("Destination IP:%d.%d.%d.%d\n",

                             arpheader->tpa[], arpheader->tpa[],

                             arpheader->tpa[], arpheader->tpa[]);

         }

     }

     return ;

 }

下面是运行结果:

 [root@localhost pcap_arp]# ./pcap enp0s3

 ------------- ARP --------------

 Received Packet Size:  bytes

 Hardware type: Ethernet

 Ptotocol type: IPv4

 Operation : ARP_REQUEST

 Soucre MAC:b0::FE::5a:5b

 Soucre IP:192.168.16.139

 Destination MAC:::::e7:

 Destination IP:192.168.16.125

 ------------- ARP --------------

 Received Packet Size:  bytes

 Hardware type: Ethernet

 Ptotocol type: IPv4

 Operation : ARP_REPLY

 Soucre MAC:::::e7:

 Soucre IP:192.168.16.125

 Destination MAC:b0::FE::5a:5b

 Destination IP:192.168.16.139

Makefile:

 #

 #design of ARP sniffer

 #

 CFLAGS = -g

 LDFLAGS = -lpcap

 OBJS = test.o

 TARGET = pcap

 RM = rm -f  

 $(TARGET):$(OBJS)

     $(CC) $(LDFLAGS) -o $@ $^

 %.o:%.c

     $(CC) $(CFLAGS) -c -o $@ $<

 .PHONY:clean

 clean:

     $(RM) $(TARGET) $(OBJS)

使用libpcap过滤arp的更多相关文章

  1. 基于ARP的局域网IP劫持——C语言实现

      我站在 烈烈风中   恨不能 荡尽绵绵心痛   望苍天 四方云动   剑在手   问天下谁是英雄 ——<霸王别姬> 阅读这篇文章之前,请确认已经熟悉ARP报文伪造的方法,可参考< ...

  2. Python黑帽编程 3.2 ARP监控

    Python黑帽编程 3.2 ARP监控 在第3.1节<ARP欺骗>中,我们学习了ARP的基本原理,使用Python实现了我们自己的ARP欺骗工具.在上一节的基础上,我们来实现一个ARP监 ...

  3. Python黑客编程ARP欺骗

    Python灰帽编程 3.1 ARP欺骗 ARP欺骗是一种在局域网中常用的攻击手段,目的是让局域网中指定的(或全部)的目标机器的数据包都通过攻击者主机进行转发,是实现中间人攻击的常用手段,从而实现数据 ...

  4. 图解ARP协议(三)ARP防御篇-如何揪出“内鬼”并“优雅的还手”

    一.ARP防御概述 通过之前的文章,我们已经了解了ARP攻击的危害,黑客采用ARP软件进行扫描并发送欺骗应答,同处一个局域网的普通用户就可能遭受断网攻击.流量被限.账号被窃的危险.由于攻击门槛非常低, ...

  5. Wireshark命令行工具tshark

    Wireshark命令行工具tshark 1.目的 写这篇博客的目的主要是为了方便查阅,使用wireshark可以分析数据包,可以通过编辑过滤表达式来达到对数据的分析:但我的需求是,怎么样把Data部 ...

  6. iptables命令、规则、参数详解

    表    (table)包含4个表:4个表的优先级由高到低:raw-->mangle-->nat-->filterraw---RAW表只使用在PREROUTING链和OUTPUT链上 ...

  7. Wireshark命令行工具tshark详解(含例子)-01

    Wireshark命令行工具tshark使用小记 1.目的 写这篇博客的目的主要是为了方便查阅,使用wireshark可以分析数据包,可以通过编辑过滤表达式来达到对数据的分析:但我的需求是,怎么样把D ...

  8. TCP/IP详解卷1 - wireshark抓包分析

    TCP/IP详解卷1 - 系列文 TCP/IP详解卷1 - 思维导图(1) TCP/IP详解卷1 - wireshark抓包分析 引言 在初学TCP/IP协议时,会觉得协议是一种很抽象的东西,通过wi ...

  9. 结合Wireshark捕获分组深入理解TCP/IP协议栈

    摘要:     本文剖析了浏览器输入URL到整个页面显示的整个过程,以百度首页为例,结合Wireshark俘获分组进行详细分析整个过程,从而更好地了解TCP/IP协议栈.   一.俘获分组 1.1 准 ...

随机推荐

  1. ERP-非财务人员的财务培训教(一.一)------基本会计知识

    一.基本会计知识 第一节 会计是企业的语言 反映企业经济状况的两组会计语言词汇 四个层次的会计语言规则 财务会计报告的组成 会计语言要素 会计工作主要是把企业杂乱的会计数据归纳整理,加工编制成有用的财 ...

  2. iOS中NSBundle的介绍

    bundle是一个目录,其中包含了程序会使用到的资源.这些资源包含了如图像,声音,编译好的代码,nib文件(用户也会把bundle称为plug-in).对应bundle,cocoa提供了类NSBund ...

  3. C++语言之析构函数与构造函数

    #include <iostream> using namespace std ; class Dog { //默认情况下定义变量为私有 int a ; public: //两个函数都只能 ...

  4. linux下64位汇编的系统调用(5)

    看到这里大家都基本知道了如何进行linux下的汇编系统调用:不过有些童鞋可能会问:那些C库中函数里为我们解决的额外汇编代码你是怎么知道的? 好吧,我承认:我是通过逆向知道的,这貌似有点犯规的嫌疑- 比 ...

  5. 单片机PWM调制技术

    我们可以看看下图,下图就是一个典型的PWM的波形图. T是一个周期,T1就是高电平所占用的时间,T2就是低电平所占用的时间. 如上图所示T1为脉冲宽度(就是导通时间),周期为T,则输出电压的平均值为U ...

  6. C# 创建Word项目标号列表、多级编号列表

    在Word文档中,对于有多条并列的信息内容或者段落时,我们常以添加项目标号的形式来使文档条理化,在阅读时,文档也更具美观性.另外,对于在逻辑上存在一定层级结构的内容时,也可以通过多级编号列表来标明文档 ...

  7. 万水千山ABP - 系统发布后迁移 CodeFirst 数据库[原创]

    在项目开发的过程中,常会遇到项目发布后还变更数据库的情况.这时如何方便地进行数据库迁移呢 ? 下面直接列出操作的步骤: 1. 发布修改后的应用: 将最新版本的应用更新到目标机器中.更新的文件当然不包括 ...

  8. add two numbers(将两个链表相加)

    You are given two non-empty linked lists representing two non-negative integers. The digits are stor ...

  9. ORACLE之TO_DATE (转载)

    转自 http://www.cnblogs.com/anran_guojianjun/archive/2009/09/11/1564535.html 一.在使用Oracle的to_date函数来做日期 ...

  10. 小议 HashMap

    大家都知道,在Java里对对象的操作是基于引用的.而当我们需要对一组对象操作的时候,就需要有接收这一组引用的容器.平时我们最常用的就是数组.在Java里可以定义一个对象数组来完成许多操作.可是,数组长 ...