libpcap是一个网络数据包捕获函数库,功能非常强大,提供了系统独立的用户级别网络数据包捕获接口,Libpcap可以在绝大多数类unix 平台下工作。大多数网络监控软件都以它为基础,著名的tcpdump就是以它为基础的。tcpdump是linux下一个非常重要的网络工具,可以将网络 中传送的数据包的“头”完全截获下来提供分析。它支持针对网络层、协议、主机、网络或端口的过滤,并提供and、or、not等逻辑语句来帮助你去掉无用 的信息。很多时候为了提升捕包性能,我们通常使用修改过的驱动或者专用网卡来收包,这样就导致libpcap无法工作了,但我们又需要tcpdump来进 行调试等工作。这样就需要我们修改libpcap,以支持我们的收包方式。比如pfring就是这样处理的。

这是本文在我自己搭建博客的地址 欢迎访问  http://www.itblogs.ga/blog/20150404222832/

为libpcap添加一个捕包方法非常简单,下面代码先实现捕获内存中一个固定包的功能,保证能够工作后,再去支持专有驱动或者专用网卡的收包。以下所涉及的libpcap代码和tcpdump代码,版本分别为libpcap-1.7.2,tcpdump-4.1.1。

首先添加两个文件,编写收包的代码,可以参考的代码还是挺多的,比如pcap-snoop.c、pcap-can-linux.c等。

pcap-ring.h

pcap_t *ring_create(const char *device, char *ebuf, int *is_ours);

int ring_findalldevs(pcap_if_t **alldevsp, char *errbuf);

pcap-ring.c

#ifdef HAVE_CONFIG_H

# include "config.h"

#endif

#include <sys/param.h>	/* optionally get BSD define */

#include <string.h>

#ifdef HAVE_OS_PROTO_H

# include "os-proto.h"

#endif

#include "pcap-int.h"

#include "errno.h"

struct pcap_ring {

	int pad;

};

/*

 * 192.168.19.105 -> 202.106.4.151

 * DNS

 * Name: offlintab.firefoxchina.cn

 * Type: A

 * Class: IN

 */

char peer0_0[] = {

		0x8c,0x21,0x0a,0x6d,0x72,0x58,0x00,0x26,0xc7,0x35,0x2f,0x58,0x08,0x00,0x45,0x00

		,0x00,0x47,0x72,0x51,0x00,0x00,0x40,0x11,0x3b,0x42,0xc0,0xa8,0x13,0x69,0xca,0x6a

		,0x2e,0x97,0xe5,0x30,0x00,0x35,0x00,0x33,0x5a,0x2e,0x67,0xcb,0x01,0x00,0x00,0x01

		,0x00,0x00,0x00,0x00,0x00,0x00,0x09,0x6f,0x66,0x66,0x6c,0x69,0x6e,0x74,0x61,0x62

		,0x0c,0x66,0x69,0x72,0x65,0x66,0x6f,0x78,0x63,0x68,0x69,0x6e,0x61,0x02,0x63,0x6e

		,0x00,0x00,0x01,0x00,0x01

	};

static int pcap_read_ring(pcap_t *p, int cnt, pcap_handler callback, u_char *user)

{

	int wirelen = sizeof(peer0_0);

	int caplen  = wirelen;

	if (caplen > p->snapshot) {

		caplen = p->snapshot;

	}

	memcpy(p->buffer, peer0_0, caplen);

	if (bpf_filter(p->fcode.bf_insns, p->buffer, wirelen, caplen)) {

		struct pcap_pkthdr h;

		gettimeofday(&h.ts, NULL);

		h.len    = wirelen;

		h.caplen = caplen;

		(*callback)(user, &h, p->buffer);

		return 1;

	}

	return 0;

}

static int pcap_stats_ring(pcap_t *p, struct pcap_stat *ps)

{

	/* not yet implemented */

	ps->ps_recv = 0;    /* number of packets received */

	ps->ps_drop = 0;    /* number of packets dropped */

	ps->ps_ifdrop = 0;  /* drops by interface -- only supported on some platforms */

	return (0);

}

static int pcap_getnonblock_ring(pcap_t *p, char *errbuf)

{

	return (0);

}

static int pcap_setnonblock_ring(pcap_t *p, int nonblock, char *errbuf)

{

	return (0);

}

static int pcap_inject_ring(pcap_t *p, const void *buf _U_, size_t size _U_)

{

	strlcpy(p->errbuf, "Sending packets isn't supported", PCAP_ERRBUF_SIZE);

	return (-1);

}

int pcap_activate_ring(pcap_t *handle)

{

	handle->bufsize  = 2048;

	handle->linktype = DLT_EN10MB;

	handle->selectable_fd = -1;

	handle->read_op   = pcap_read_ring;

	handle->stats_op  = pcap_stats_ring;

	handle->inject_op = pcap_inject_ring;

	handle->setfilter_op    = install_bpf_program;

	handle->setdirection_op = NULL;

	handle->set_datalink_op = NULL;

	handle->getnonblock_op = pcap_getnonblock_fd; //pcap_getnonblock_ring;

	handle->setnonblock_op = pcap_setnonblock_fd;//pcap_setnonblock_ring;

	handle->buffer = (u_char *)malloc(handle->bufsize);

	if (handle->buffer == NULL) {

		snprintf(handle->errbuf, PCAP_ERRBUF_SIZE,

			"Can't allocate dump buffer: %s", pcap_strerror(errno));

		pcap_cleanup_live_common(handle);

		return (PCAP_ERROR);

	}

	return 0;

}

pcap_t *ring_create(const char *device, char *ebuf, int *is_ours)

{

	pcap_t *p;

	if(strncmp(device, "ring", 4) != 0) {

			*is_ours = 0;

			return NULL;

	}

	*is_ours = 1;

	p = pcap_create_common(device, ebuf, sizeof(struct pcap_ring));

	if (p == NULL) {

		return (NULL);

	}

	p->activate_op = pcap_activate_ring;

	return (p);

}

int ring_findalldevs(pcap_if_t **alldevsp, char *errbuf)

{

	return (0);

}

修改pcap.c,支持新的收包方式。

pcap.c

#include "pcap-ring.h"

... ...

struct capture_source_type {

    int (*findalldevs_op)(pcap_if_t **, char *);

    pcap_t *(*create_op)(const char *, char *, int *);

} capture_source_types[] = {

#ifdef PCAP_SUPPORT_DBUS

    ... ...

    { dbus_findalldevs, dbus_create },

#endif

    { ring_findalldevs, ring_create },    /* new !!! */

    { NULL, NULL }

};

修改  Makefile.in ,将新添加的文件编译进去。

PSRC =  pcap-@V_PCAP@.c @USB_SRC@ @BT_SRC@ @BT_MONITOR_SRC@ \

@CAN_SRC@ @NETFILTER_SRC@ @CANUSB_SRC@ @DBUS_SRC@ pcap-ring.c

接下来可以编译了:

./configure

make

可以看到libpcap.a了。

接下编译tcpdump-4.1.1

./configure

make

运行:

[root@localhost tcpdump-4.1.1]# ./tcpdump  -i ring1 -c 2

tcpdump: WARNING: SIOCGIFADDR: ring1: No such device

tcpdump: verbose output suppressed, use -v or -vv for full protocol decode

listening on ring1, link-type EN10MB (Ethernet), capture size 65535 bytes

02:17:45.465535 IP localhost.58672 > dialdns.bta.net.cn.domain: 26571+ A? offlintab.firefoxchina.cn. (43)

02:17:45.485310 IP localhost.58672 > dialdns.bta.net.cn.domain: 26571+ A? offlintab.firefoxchina.cn. (43)

2 packets captured

0 packets received by filter

0 packets dropped by kernel

可以看到,tcpdump能拿到包并解析了。

How to add support for new capture interface.

原文链接:http://www.itblogs.ga/blog/20150404222832/ 转载请注明出处

给libpcap增加一个新的捕包方法的更多相关文章

  1. Android开发之清除缓存功能实现方法,可以集成在自己的app中,增加一个新功能。

    作者:程序员小冰,CSDN博客:http://blog.csdn.net/qq_21376985 Android开发之清除缓存功能实现方法,可以集成在自己的app中,增加一个新功能. 下面是一个效果图 ...

  2. 关于新feature对应的增加一个新的测试单子(QA)和文档单子(Doucmentation)的步骤

    一,增加一个new feature的文档单子. 1.new feature 增加对应的文档单子(公司有一个组是专门写产品说明的)所以增加一个新的功能就要有这个新的功能对应的一个文档(Documenta ...

  3. 使用layui 做后台管理界面,在Tab中的链接点击后添加一个新TAB的解决方法

    给链接或按钮  添加 onclick="self.parent.addTab('百度','http://www.baidu.com','icon-add')" 如: <a h ...

  4. easyui 后台页面,在Tab中的链接点击后添加一个新TAB的解决方法

    1.示例1 新增一个按钮 添加点击事件 onclick="self.parent.addTab('百度','http://www.baidu.com','icon-add')" 如 ...

  5. go CD 用虚拟机快速增加一个新agent

    背景 最近项目在用go CD做持续交付.为了最大化利用硬件,所有的agent都是用的vbox的虚拟机.随着pipelines的增加,就需要增加更多的agent. 步骤 为了快速增加新的agent,最简 ...

  6. (repost)在ARM Linux内核中增加一个新的系统调用

    实验平台内核版本为4.0-rc1,增加一仅仅打印Hello World的syscall,最后我们在用户空间swi验证 实验平台内核版本为4.0-rc1,增加的系统调用仅仅是简单打印一个Hello Wo ...

  7. 给MySQL中某表增加一个新字段,设为主键值为自动增长。

    alter table test_tb  add ID int(10) primary key AUTO_INCREMENT; 设定完成后,原有记录的该字段会增加并自动设上值.以后的值会在已有记录的最 ...

  8. win10 增加一个新磁盘

    1.右键我的电脑,选择管理 可以看到C盘的空间相比较大,拿出来250G的空间做成E盘 2.选择OS(C:),右键,压缩卷,请稍后,点击压缩 3.此刻会看到,有一块黑色区域就是新建的未分配空间,这时我们 ...

  9. 真正解决vbox不能为虚拟电脑打开一个新任务的解决方法

    今天小编电脑上出现了一个问题,如上图,经过了一个朋友的帮助终于问题解决了,解决方法: 在每一个中把 红框中打上勾号即可

随机推荐

  1. Hello Spring Framework——依赖注入(DI)与控制翻转(IoC)

    又到年关了,还有几天就是春节.趁最后还有些时间,复习一下Spring的官方文档. 写在前面的话: Spring是我首次开始尝试通过官方文档来学习的框架(以前学习Struts和Hibernate都大多是 ...

  2. 基于webrtc的资源释放问题(二)

    基于webrtc的资源释放问题(二) ——建立连接的过程中意外中断 应用背景: 我们在打电话的时候会不会遇到这种情况?打电话的时候未接通之前挂掉了电话,或者在接通之后建立的连接的过程中挂掉电话? 特别 ...

  3. [课程设计]Scrum 3.2 多鱼点餐系统开发进度(页面优化&下单详细信息页面)

    Scrum 3.2 多鱼点餐系统开发进度(页面优化&下单详细信息页面)  1.团队名称:重案组 2.团队目标:长期经营,积累客户充分准备,伺机而行 3.团队口号:矢志不渝,追求完美 4.团队选 ...

  4. 用eclipse打开已经编译的工程

    第一种方法: eciplise------>File------>Import------>General------>Existing Project into Worksp ...

  5. JS跨域

    //2011-7-25 (function(){ //闭包 function load_script(xyUrl, callback){ var head = document.getElements ...

  6. 使用MegaCli工具查看Raid磁盘阵列状态

    转载自:http://home.51.com/chenjianghui1987/diary/item/10051836.html 文章本身我不做过多修改了,在这里我就把自己在安装时候碰到的难点跟大家提 ...

  7. Sublime Text的常用插件

    工欲善其事,必先利其器.好的插件会更多的帮助我们装逼. 最新感悟:也不要装太多的插件.有些无用的插件可以删除,有时反而臃肿.bloger下载官方最新稳定版st3 3126下载下来25M左右.安装十来个 ...

  8. PHP入门【一】$_SERVER

    这几天要个同事写php的程序,就开始学习了PHP ,基础语法不用说了语言都是基本相通的,只是有若类型和强类型的区别(声明数据类型) 把现在看到的感觉有用的记录一下. $_SERVER['PHP_SEL ...

  9. React 快速入门小记

    大约半个月前,我一直在思考一个问题,Angular.React 和 Vue,究竟该学什么? 听取了几位前辈的意见,也综合考虑了各方面的原因,最终选择了 React,希望我"没有选错" ...

  10. Linux多线程与同步

    作者:Vamei 出处:http://www.cnblogs.com/vamei 欢迎转载,也请保留这段声明.谢谢! 典型的UNIX系统都支持一个进程创建多个线程(thread).在Linux进程基础 ...