网络数据包的获取及libpcap应用.ppt

2、函数名称：int pcap_loop(pcap_t *p, int cnt,pcap_handler callback, u_char *user) 参数说明： 这个函数类似于pcap_dispatch函数，除了它继续读取数据报直至完成cnt个报的处理，或者文件处理完（在offline情况下），或者有错误 发生为止。它不会在实时读超时时返回（而如果为pcap_open_live()函数指定了一个非零值的超时设置，然后调用 pcap_dispatch()函数，则当超时发生时pcap_dispatch()函数会返回。） 2、函数名称：int pcap_loop(pcap_t *p, int cnt,pcap_handler callback, u_char *user) 参数说明： 注意第三个参数，callback是pcap_handler类型的变量。这是一个用户提供的有着三个参数的子函数。定义为： void user_routine(u_char *user, struct pcap_pkthdr *phrd, u_char *pdata) 这三个参数中，user,是传递给pcap_dispatch（）的那个参数；phdr,是个pcap_pkthdr类型的指针，是savefile中的数据报的头指针，pdata，指向数据报数据；这个函数允许用户定义子集的数据报过滤程序； 参数： pcap_t * p:pcap_open_live返回的数据报捕获的指针； int cnt:规定了函数返回前应处理的数据报数目； pcap_handler callback:指向一个用户自定义的函数，在处理每个报后自动调用该函数进行再处理； u_char *user:该指针用于传递给callback.(不知道有什么用？） 返回值： 如果函数成功执行（包括读文件时读到EOF)，则返回0.否则返回-1,那么错误信息将由函数pcap_geterr或pcap_perror给出； 3、函数名称：u_char *pcap_next(pcap_t *p, struct pcap_pkthdr *h) 函数功能：捕获一个网络数据包，然后返回此数据包。 参数说明：参数p表示Libpcap句柄；参数h表示数据包头部信息 4、函数名称：int pcap_datalink(pcap_t *p) 函数功能：返回数据链路层类型。 5、函数名称：void pcap_close(pcap_t *p) 函数功能：关闭Libpcap 操作，并释放资源。 七、示例 获取接口名称和掩码等信息 捕获一个数据包 捕获多个数据包 一个以太网数据包的捕获 多个以太网数据包的捕获 ARP数据包的捕获 IP数据包的捕获 TCP数据包的捕获 综合实例 * 第一层物理层和第二层数据链路层是TCP/IP的基础，而TCP/IP本身并不 十分关心低层，因为处在数据链路层的网络设备驱动程序将上层的协议 和实际的物理接口隔离开来。网络设备驱动程序位于介质访问子层(MAC)。 * * * * * * * * * * 网络数据获取方法 1 网络信息获取 网络信息获取是指通过物理线路接入到实际的网络中，实现获取该网络当前传输的所有信息，即获取当前传输的数据包，并根据信息的源主机、目标主机、服务协议和端口等信息简单过滤掉不关心的垃圾数据，然后提交给上层应用程序进行进一步处理。 一、TCP/IP体系结构 ---------------------------------------------------- | SMTP | DNS | HTTP | FTP | TELNET| 应用层 ---------------------------------------------------- | 　 　TCP 　 　|　 　UDP 　 　 　| 传输层 ---------------------------------------------------- | 　IP　 | 　 ICMP 　　| ARP RARP | 网络层　 --------------------------------------------------- | IEEE 802 以太网 SLIP/PPP PDN etc| 数据链路层 ---------------------------------------------------  数据包接收过程 二、以太网 以太网最初是由XEROX公司研制,并且在1980年由数据设备公司DEC(DIGIAL EQUIPMENT CORPOR ATION)、INTEL公司和