libpcap是一个网络数据包捕获函数库,功能非常强大,提供了系统独立的用户级别网络数据包捕获接口,Libpcap可以在绝大多数类unix 平台下工作。大多数网络监控软件都以它为基础,著名的tcpdump就是以它为基础的。tcpdump是linux下一个非常重要的网络工具,可以将网络 中传送的数据包的“头”完全截获下来提供分析。它支持针对网络层、协议、主机、网络或端口的过滤,并提供and、or、not等逻辑语句来帮助你去掉无用 的信息。很多时候为了提升捕包性能,我们通常使用修改过的驱动或者专用网卡来收包,这样就导致libpcap无法工作了,但我们又需要tcpdump来进 行调试等工作。这样就需要我们修改libpcap,以支持我们的收包方式。比如pfring就是这样处理的。

这是本文在我自己搭建博客的地址 欢迎访问  http://www.itblogs.ga/blog/20150404222832/

为libpcap添加一个捕包方法非常简单,下面代码先实现捕获内存中一个固定包的功能,保证能够工作后,再去支持专有驱动或者专用网卡的收包。以下所涉及的libpcap代码和tcpdump代码,版本分别为libpcap-1.7.2,tcpdump-4.1.1。

首先添加两个文件,编写收包的代码,可以参考的代码还是挺多的,比如pcap-snoop.c、pcap-can-linux.c等。

pcap-ring.h

pcap_t *ring_create(const char *device, char *ebuf, int *is_ours);

int ring_findalldevs(pcap_if_t **alldevsp, char *errbuf);

pcap-ring.c

#ifdef HAVE_CONFIG_H

# include "config.h"

#endif

#include <sys/param.h>	/* optionally get BSD define */

#include <string.h>

#ifdef HAVE_OS_PROTO_H

# include "os-proto.h"

#endif

#include "pcap-int.h"

#include "errno.h"

struct pcap_ring {

	int pad;

};

/*

 * 192.168.19.105 -> 202.106.4.151

 * DNS

 * Name: offlintab.firefoxchina.cn

 * Type: A

 * Class: IN

 */

char peer0_0[] = {

		0x8c,0x21,0x0a,0x6d,0x72,0x58,0x00,0x26,0xc7,0x35,0x2f,0x58,0x08,0x00,0x45,0x00

		,0x00,0x47,0x72,0x51,0x00,0x00,0x40,0x11,0x3b,0x42,0xc0,0xa8,0x13,0x69,0xca,0x6a

		,0x2e,0x97,0xe5,0x30,0x00,0x35,0x00,0x33,0x5a,0x2e,0x67,0xcb,0x01,0x00,0x00,0x01

		,0x00,0x00,0x00,0x00,0x00,0x00,0x09,0x6f,0x66,0x66,0x6c,0x69,0x6e,0x74,0x61,0x62

		,0x0c,0x66,0x69,0x72,0x65,0x66,0x6f,0x78,0x63,0x68,0x69,0x6e,0x61,0x02,0x63,0x6e

		,0x00,0x00,0x01,0x00,0x01

	};

static int pcap_read_ring(pcap_t *p, int cnt, pcap_handler callback, u_char *user)

{

	int wirelen = sizeof(peer0_0);

	int caplen  = wirelen;

	if (caplen > p->snapshot) {

		caplen = p->snapshot;

	}

	memcpy(p->buffer, peer0_0, caplen);

	if (bpf_filter(p->fcode.bf_insns, p->buffer, wirelen, caplen)) {

		struct pcap_pkthdr h;

		gettimeofday(&h.ts, NULL);

		h.len    = wirelen;

		h.caplen = caplen;

		(*callback)(user, &h, p->buffer);

		return 1;

	}

	return 0;

}

static int pcap_stats_ring(pcap_t *p, struct pcap_stat *ps)

{

	/* not yet implemented */

	ps->ps_recv = 0;    /* number of packets received */

	ps->ps_drop = 0;    /* number of packets dropped */

	ps->ps_ifdrop = 0;  /* drops by interface -- only supported on some platforms */

	return (0);

}

static int pcap_getnonblock_ring(pcap_t *p, char *errbuf)

{

	return (0);

}

static int pcap_setnonblock_ring(pcap_t *p, int nonblock, char *errbuf)

{

	return (0);

}

static int pcap_inject_ring(pcap_t *p, const void *buf _U_, size_t size _U_)

{

	strlcpy(p->errbuf, "Sending packets isn't supported", PCAP_ERRBUF_SIZE);

	return (-1);

}

int pcap_activate_ring(pcap_t *handle)

{

	handle->bufsize  = 2048;

	handle->linktype = DLT_EN10MB;

	handle->selectable_fd = -1;

	handle->read_op   = pcap_read_ring;

	handle->stats_op  = pcap_stats_ring;

	handle->inject_op = pcap_inject_ring;

	handle->setfilter_op    = install_bpf_program;

	handle->setdirection_op = NULL;

	handle->set_datalink_op = NULL;

	handle->getnonblock_op = pcap_getnonblock_fd; //pcap_getnonblock_ring;

	handle->setnonblock_op = pcap_setnonblock_fd;//pcap_setnonblock_ring;

	handle->buffer = (u_char *)malloc(handle->bufsize);

	if (handle->buffer == NULL) {

		snprintf(handle->errbuf, PCAP_ERRBUF_SIZE,

			"Can't allocate dump buffer: %s", pcap_strerror(errno));

		pcap_cleanup_live_common(handle);

		return (PCAP_ERROR);

	}

	return 0;

}

pcap_t *ring_create(const char *device, char *ebuf, int *is_ours)

{

	pcap_t *p;

	if(strncmp(device, "ring", 4) != 0) {

			*is_ours = 0;

			return NULL;

	}

	*is_ours = 1;

	p = pcap_create_common(device, ebuf, sizeof(struct pcap_ring));

	if (p == NULL) {

		return (NULL);

	}

	p->activate_op = pcap_activate_ring;

	return (p);

}

int ring_findalldevs(pcap_if_t **alldevsp, char *errbuf)

{

	return (0);

}

修改pcap.c,支持新的收包方式。

pcap.c

#include "pcap-ring.h"

... ...

struct capture_source_type {

    int (*findalldevs_op)(pcap_if_t **, char *);

    pcap_t *(*create_op)(const char *, char *, int *);

} capture_source_types[] = {

#ifdef PCAP_SUPPORT_DBUS

    ... ...

    { dbus_findalldevs, dbus_create },

#endif

    { ring_findalldevs, ring_create },    /* new !!! */

    { NULL, NULL }

};

修改  Makefile.in ,将新添加的文件编译进去。

PSRC =  pcap-@V_PCAP@.c @USB_SRC@ @BT_SRC@ @BT_MONITOR_SRC@ \

@CAN_SRC@ @NETFILTER_SRC@ @CANUSB_SRC@ @DBUS_SRC@ pcap-ring.c

接下来可以编译了:

./configure

make

可以看到libpcap.a了。

接下编译tcpdump-4.1.1

./configure

make

运行:

[root@localhost tcpdump-4.1.1]# ./tcpdump  -i ring1 -c 2

tcpdump: WARNING: SIOCGIFADDR: ring1: No such device

tcpdump: verbose output suppressed, use -v or -vv for full protocol decode

listening on ring1, link-type EN10MB (Ethernet), capture size 65535 bytes

02:17:45.465535 IP localhost.58672 > dialdns.bta.net.cn.domain: 26571+ A? offlintab.firefoxchina.cn. (43)

02:17:45.485310 IP localhost.58672 > dialdns.bta.net.cn.domain: 26571+ A? offlintab.firefoxchina.cn. (43)

2 packets captured

0 packets received by filter

0 packets dropped by kernel

可以看到,tcpdump能拿到包并解析了。

How to add support for new capture interface.

原文链接:http://www.itblogs.ga/blog/20150404222832/ 转载请注明出处

给libpcap增加一个新的捕包方法的更多相关文章

  1. Android开发之清除缓存功能实现方法,可以集成在自己的app中,增加一个新功能。

    作者:程序员小冰,CSDN博客:http://blog.csdn.net/qq_21376985 Android开发之清除缓存功能实现方法,可以集成在自己的app中,增加一个新功能. 下面是一个效果图 ...

  2. 关于新feature对应的增加一个新的测试单子(QA)和文档单子(Doucmentation)的步骤

    一,增加一个new feature的文档单子. 1.new feature 增加对应的文档单子(公司有一个组是专门写产品说明的)所以增加一个新的功能就要有这个新的功能对应的一个文档(Documenta ...

  3. 使用layui 做后台管理界面,在Tab中的链接点击后添加一个新TAB的解决方法

    给链接或按钮  添加 onclick="self.parent.addTab('百度','http://www.baidu.com','icon-add')" 如: <a h ...

  4. easyui 后台页面,在Tab中的链接点击后添加一个新TAB的解决方法

    1.示例1 新增一个按钮 添加点击事件 onclick="self.parent.addTab('百度','http://www.baidu.com','icon-add')" 如 ...

  5. go CD 用虚拟机快速增加一个新agent

    背景 最近项目在用go CD做持续交付.为了最大化利用硬件,所有的agent都是用的vbox的虚拟机.随着pipelines的增加,就需要增加更多的agent. 步骤 为了快速增加新的agent,最简 ...

  6. (repost)在ARM Linux内核中增加一个新的系统调用

    实验平台内核版本为4.0-rc1,增加一仅仅打印Hello World的syscall,最后我们在用户空间swi验证 实验平台内核版本为4.0-rc1,增加的系统调用仅仅是简单打印一个Hello Wo ...

  7. 给MySQL中某表增加一个新字段,设为主键值为自动增长。

    alter table test_tb  add ID int(10) primary key AUTO_INCREMENT; 设定完成后,原有记录的该字段会增加并自动设上值.以后的值会在已有记录的最 ...

  8. win10 增加一个新磁盘

    1.右键我的电脑,选择管理 可以看到C盘的空间相比较大,拿出来250G的空间做成E盘 2.选择OS(C:),右键,压缩卷,请稍后,点击压缩 3.此刻会看到,有一块黑色区域就是新建的未分配空间,这时我们 ...

  9. 真正解决vbox不能为虚拟电脑打开一个新任务的解决方法

    今天小编电脑上出现了一个问题,如上图,经过了一个朋友的帮助终于问题解决了,解决方法: 在每一个中把 红框中打上勾号即可

随机推荐

  1. python 学习(二)--关于类

    1.没有权限控制,在类方法或变量前加 "__" 两下划线,则变为"私有"变量(实际通过_<类名>__<变量或方法名> 可以访问) 2.类 ...

  2. 如何清除WebBrowser的Cookies

    var document = webBrowser1.Document; document.ExecCommand("ClearAuthenticationCache", fals ...

  3. netty 解决TCP粘包与拆包问题(二)

    TCP以流的方式进行数据传输,上层应用协议为了对消息的区分,采用了以下几种方法. 1.消息固定长度 2.第一篇讲的回车换行符形式 3.以特殊字符作为消息结束符的形式 4.通过消息头中定义长度字段来标识 ...

  4. 30分钟学会反向Ajax

    场景1:当有新邮件的时候,网页自动弹出提示信息而无需用户手动的刷新收件箱. 场景2:当用户的手机扫描完成页面中的二维码以后,页面会自动跳转. 场景3:在类似聊天室的环境中有任何人发言,所有登录用户都可 ...

  5. PRINCE2的思维结构

    PRINCE2的思维结构   PRINCE是PRoject IN Controlled Environment(受控环境下的项目管理)的简称.PRINCE2是这种方法的第二个重要版本,由英国政府商务部 ...

  6. 关于Android中ArrayMap/SparseArray比HashMap性能好的深入研究

    由于网上有朋友对于这个问题已经有了很详细的研究,所以我就不班门弄斧了: 转载于:http://android-performance.com/android/2014/02/10/android-sp ...

  7. Mac OS Terminal 几个快捷键

    在Mac系统中几个键位组合可以使Terminal的操作更加灵活方便. 1.将光标移动到行首:ctrl + a 2.将光标移动到行尾:ctrl + e 3.清除屏幕:            ctrl + ...

  8. C++多线程のpackage_task

    可以异步获取可调用对象的结果.

  9. com.opensymphony.xwork2.ognl.OgnlValueStack] - target is null for setProperty(null, "emailTypeNo", [Ljava.lang.String;@6f205e]

    情况1,查询结果未转换为与前台交互的实体类DTO 实体类:EmailTypeDto package com.manage.email.dto; public class EmailTypeDto { ...

  10. 用户识别APP项目开发计划书

    用户识别APP项目开发计划书        项目介绍: 用户识别APP,通过在有限时间内引导用户A交互,提取用户的行为特征,然后将APP交给用户X(可能是A也可能是陌生人),在1分钟内引导X交互,判断 ...