这个抓包库给抓包系统提供了一个高层次的接口。所有网络上的
数据包,甚至是那些发送给其他主机的,通过这种机制,都是可以捕获的。它也支持把捕获的
数据包保存为本地文件和从本地文件读取信息。
工作流程
打开网络接口
这一步需要告诉程序我们的网卡接口,或者让程序自己检测。
下面这段程序
检测系统中所有可用的网卡接口并且逐一打印名称和描述信息。
注意:由于是底层的
系统调用,所以需要
root权限。否则系统会检测不到网卡。
pcap_findalldevs();
代码:
#include
int main(int argc, char *argv[])
{
pcap_if_t *alldevs;
pcap_if_t *device;
char errbuf[PCAP_ERRBUF_SIZE];
if(pcap_findalldevs(&alldevs, errbuf) == -1)
{
}
device = alldevs;
for(; device != NULL; device = device->next)
{
}
/* 不再需要设备列表了,释放它 */
pcap_freealldevs(alldevs);
return 0;
}
个人不推荐用,官方也不推荐用pcap_lookupdev()来找网卡,
windows 环境推荐 pcap_findalldevs_ex() 。
捕获规则
pcap_t *handle;
handle =
pcap_open_live(device, 1000, 1, 1000, errbuf);
if(handle == NULL)
{
exit(EXIT_FAILURE);
}
mac[0],mac[1],
mac[2], mac[3],
mac[4], mac[5]);
编制规则
if (pcap_compile(handle, &fp, filter_exp, 0, 0) == -1) {
filter_exp, pcap_geterr(handle));
exit(EXIT_FAILURE);
}
应用规则
if (pcap_setfilter(handle, &fp) == -1) {
filter_exp, pcap_geterr(handle));
exit(EXIT_FAILURE);
}
pcap_freecode(&fp);
pcap_freealldevs(alldevs);
pcap_setfilter();
关闭会话
pcap_close();