用C写深度包检测检测ftp，http（能L7和L34识别），https，url7层识别

这是一个比较复杂的任务，需要使用底层的网络编程接口和协议解析技术。以下是一些思路和示例代码，希望能对你有所帮助。

首先，需要使用socket API在C语言中创建一个原始套接字，以便能够捕获和分析网络数据包。示例代码如下：

#include <stdio.h>
#include <stdlib.h>
#include <string.h>
#include <sys/socket.h>
#include <netinet/in.h>
#include <netinet/ip.h>
#include <netinet/tcp.h>

int main() {
    int sockfd = socket(AF_INET, SOCK_RAW, IPPROTO_TCP);
    if (sockfd < 0) {
        perror("socket");
        exit(EXIT_FAILURE);
    }

    // 设置网卡为混杂模式，以便能够捕获所有数据包
    struct ifreq ifr;
    strncpy(ifr.ifr_name, "eth0", IFNAMSIZ);
    if (ioctl(sockfd, SIOCGIFFLAGS, &ifr) < 0) {
        perror("ioctl");
        exit(EXIT_FAILURE);
    }
    ifr.ifr_flags |= IFF_PROMISC;
    if (ioctl(sockfd, SIOCSIFFLAGS, &ifr) < 0) {
        perror("ioctl");
        exit(EXIT_FAILURE);
    }

    // 开始捕获数据包并进行分析
    while (1) {
        char buf[4096];
        ssize_t n = recv(sockfd, buf, sizeof(buf), 0);
        if (n < 0) {
            perror("recv");
            exit(EXIT_FAILURE);
        }

        // 分析数据包，判断是否为FTP/HTTP/HTTPS协议
        struct iphdr* ip = (struct iphdr*)buf;
        if (ip->protocol == IPPROTO_TCP) {
            struct tcphdr* tcp = (struct tcphdr*)(buf + sizeof(struct iphdr));
            if (tcp->dest == htons(21)) {
                // FTP协议
                printf("FTP packet detected\n");
            } else if (tcp->dest == htons(80)) {
                // HTTP协议
                printf("HTTP packet detected\n");
            } else if (tcp->dest == htons(443)) {
                // HTTPS协议
                printf("HTTPS packet detected\n");
            }
        }
        
        // TODO: 进一步分析数据包，进行L7和L34识别
    }

    return 0;
}

上述代码中，创建了一个原始套接字，并将网卡设置为混杂模式，以便能够捕获所有数据包。然后，通过循环调用recv函数，不断从套接字中读取数据包，并分析数据包中的IP和TCP头部信息，判断是否为FTP/HTTP/HTTPS协议。如果是这些协议之一，则可以输出相应的提示信息。

接下来，需要进一步分析数据包，进行L7和L34识别。这可以通过解析网络协议的数据结构来实现。以下是一些示例代码，展示如何解析HTTP和HTTPS协议：

// 解析HTTP协议
void parse_http(const char* buf, size_t len) {
    const char* end = buf + len;
    const char* ptr = buf;

    // 读取HTTP头部
    while (ptr < end) {
        const char* line_end = strstr(ptr, "\r\n");
        if (line_end == NULL) {
            break;
        }

        printf("%.*s\n", (int)(line_end - ptr), ptr);

        ptr = line_end + 2; // 跳过\r\n
    }

    // TODO: 解析HTTP正文
}

// 解析HTTPS协议
void parse_https(const char* buf, size_t len) {
    // TODO: 解密SSL/TLS流量，并解析HTTPS协议
}

// 处理数据包
void handle_packet(const char* buf, size_t len) {
    struct iphdr* ip = (struct iphdr*)buf;
    if (ip->protocol == IPPROTO_TCP) {
        struct tcphdr* tcp = (struct tcphdr*)(buf + sizeof(struct iphdr));

        // 判断是否为HTTP协议
        if (tcp->dest == htons(80)) {
            const char* payload = buf + sizeof(struct iphdr) + sizeof(struct tcphdr);
            size_t payload_len = len - sizeof(struct iphdr) - sizeof(struct tcphdr);
            parse_http(payload, payload_len);
        }

        // 判断是否为HTTPS协议
        if (tcp->dest == htons(443)) {
            const char* payload = buf + sizeof(struct iphdr) + sizeof(struct tcphdr);
            size_t payload_len = len - sizeof(struct iphdr) - sizeof(struct tcphdr);
            parse_https(payload, payload_len);
        }
    }
}

上述代码中，定义了两个函数parse_http和parse_https，分别用于解析HTTP和HTTPS协议。在解析HTTP协议时，可以读取HTTP头部信息，并进一步解析HTTP正文内容。在解析HTTPS协议时，需要先解密SSL/TLS流量，然后再解析HTTPS协议。这部分代码需要使用专门的SSL/TLS库进行实现，比较复杂，这里不再展开。

最后，在数据包处理函数handle_packet中，判断TCP端口号是否为80或443，如果是则调用相应的协议解析函数。该函数可以根据需要进行扩展，实现更复杂的L7和L34识别功能。

总之，实现深度包检测技术需要涉及到底层的网络编程和协议解析技术，需要一定的专业知识和经验。希望以上内容能够对你有所启发。