libpcap linux c 抓包

libpcap是Linux系统下的一个网络封包捕获库，它提供了一组用于捕获数据包、分析网络流量的函数和工具。使用libpcap提供的函数，我们可以编写C语言程序来实现网络封包的捕获和分析。

在使用libpcap进行封包捕获时，首先需要打开网络设备或者读取一个保存封包的文件。然后，通过设置过滤规则可以选择捕获特定类型的封包，如指定捕获源IP或目的IP、指定捕获的协议类型等。接下来，通过不断调用libpcap提供的捕获函数，可以逐个地获取封包数据和信息。

捕获到的封包数据可以进行各种处理，如解析分析报文头部、提取关键信息等。libpcap提供了一些辅助函数来解析IP、TCP、UDP等常见协议头部，方便我们获取数据包中的字段。我们还可以对封包进行筛选、过滤、统计等操作，帮助我们分析网络流量和识别网络攻击。

此外，libpcap还支持同时打开多个网络设备，可以在多个接口上进行封包捕获和分析。通过设置回调函数，我们可以在捕获到每个封包时执行自定义的操作，例如实时存储到数据库、输出到文件、进行实时分析等。

总结来说，libpcap是Linux下实现网络封包捕获的重要工具，它提供了丰富的函数和工具，方便我们编写C语言程序进行封包捕获和分析。它在网络安全、网络性能监测、协议分析等领域都有广泛的应用。

相关问题

c写socket网络抓包功能带过滤，不用libpcap，直接使用socket抓包

要使用socket来抓包，需要在程序中创建一个原始套接字。下面是一个简单的示例程序，可以抓取指定IP地址和端口号的网络数据包：

#include <stdio.h>
#include <stdlib.h>
#include <string.h>
#include <unistd.h>
#include <arpa/inet.h>
#include <sys/socket.h>
#include <netinet/in.h>
#include <netinet/ip.h>
#include <netinet/tcp.h>

#define BUFSIZE 65536

int main(int argc, char *argv[]) {
    int sock_raw, sock_tcp, recv_len;
    char buffer[BUFSIZE];
    struct sockaddr_in saddr;
    struct iphdr *iph;
    struct tcphdr *tcph;

    if (argc != 3) {
        printf("Usage: %s <source IP> <destination IP>\n", argv[0]);
        exit(1);
    }

    // 创建原始套接字
    sock_raw = socket(AF_INET, SOCK_RAW, IPPROTO_TCP);
    if (sock_raw < 0) {
        perror("socket() error");
        exit(1);
    }

    // 绑定原始套接字到指定源IP地址
    saddr.sin_family = AF_INET;
    saddr.sin_addr.s_addr = inet_addr(argv[1]);
    if (bind(sock_raw, (struct sockaddr *)&saddr, sizeof(saddr)) < 0) {
        perror("bind() error");
        close(sock_raw);
        exit(1);
    }

    // 过滤指定目的IP地址和端口号的数据包
    struct sockaddr_in daddr;
    daddr.sin_family = AF_INET;
    daddr.sin_addr.s_addr = inet_addr(argv[2]);

    struct sock_filter filter[] = {
        {0x28, 0, 0, 0x0000000c},
        {0x15, 0, 5, 0x00000800},
        {0x20, 0, 0, 0x0000001e},
        {0x15, 0, 3, daddr.sin_addr.s_addr},
        {0x20, 0, 0, 0x00000022},
        {0x15, 0, 1, 0x0000006f},
        {0x6, 0, 0, 0x0000ffff},
        {0x6, 0, 0, 0x00000000},
    };

    struct sock_fprog fprog;
    fprog.len = sizeof(filter)/sizeof(filter[0]);
    fprog.filter = filter;

    if (setsockopt(sock_raw, SOL_SOCKET, SO_ATTACH_FILTER, &fprog, sizeof(fprog)) < 0) {
        perror("setsockopt() error");
        close(sock_raw);
        exit(1);
    }

    // 创建TCP套接字
    sock_tcp = socket(AF_INET, SOCK_STREAM, IPPROTO_TCP);
    if (sock_tcp < 0) {
        perror("socket() error");
        close(sock_raw);
        exit(1);
    }

    // 接收网络数据包并分析
    while (1) {
        recv_len = recv(sock_raw, buffer, BUFSIZE, 0);
        if (recv_len < 0) {
            perror("recv() error");
            close(sock_raw);
            close(sock_tcp);
            exit(1);
        }

        iph = (struct iphdr *)buffer;
        if (iph->protocol == IPPROTO_TCP) {
            tcph = (struct tcphdr *)(buffer + iph->ihl*4);
            if (ntohs(tcph->dest) == 80) {
                printf("Source IP: %s\n", inet_ntoa(*(struct in_addr *)&iph->saddr));
                printf("Destination IP: %s\n", inet_ntoa(*(struct in_addr *)&iph->daddr));
                printf("Source port: %d\n", ntohs(tcph->source));
                printf("Destination port: %d\n", ntohs(tcph->dest));
            }
        }
    }

    close(sock_raw);
    close(sock_tcp);
    return 0;
}

该示例程序使用了一个过滤器来过滤指定目的IP地址和端口号的数据包。过滤器是一个由一组过滤规则组成的程序，用于过滤网络数据包。在本示例中，过滤器使用了Linux内核提供的BPF虚拟机进行解释和执行。可以通过修改过滤器规则来实现更复杂的过滤功能。