本人现在需要做Linux下的入侵检测系统，基础部分就是网络数据包的提取。前一段时间在网上下载了libpcap库，看了源代码，好多－－没办法全部理解。现在的设想是借鉴libpcap库，自己做一个跟libpcap差不多的，功能不需要那么全，只要能提取出数据包来就行，哪位高手指点指点。
－－或者给一下Linux下抓包功能的最基本实现(不要基于libpcap库的，只用Linux自带的库函数)
－－推荐几本书或网上的资料也可以。

－－－先谢过各位了！

其实也没那么复杂啦，关键是你要用tcpdump之类的程序跑起来，然后动态的跟踪一下，看看一个数据包都经过些什么处理过程。一个开源代码应当经过静态分析和动态分析两个过程，相互结合才能确知其工作过程，光看源代码是不行的，你会对很多非主流代码过于关注，失去你的注意焦点。从代码看一个大概结构，然后用KDBG动态跟踪，你就能找到程序的主流程在哪里，以此为依据，一步步化繁为简，也没什么难了。

应用程序通过PF_PACKET协议簇直接利用网络驱动程序发送和接收报文。
recvfrom将数据拷贝到用户空间。

发生漏包现象首先要看看是不是自己的代码有问题。
收包与处理可以分开做，有足够多的方法保证正确性。

再有的话就用module吧，避免多次在内核空间与用户空间切换。

用socket(PF_PACKET, SOCK_RAW, int protocol)抓包

或者写个module，用netfilter抓。。。

buf中就是读到的数据包，层层判断协议头就可以了。

    

 

请教终端编程&curses编程高手

请教一个shell编程的问题，就是如何在shell编程中读一个文件的内容？谢谢啦！

请教linux下的编程的选择：我听说有gtk+gnome的编程，也有kde里的 什么编程，到底应该选择哪个呢？好象一个是技术好一点，一个是市场占有

请教：我想在unix编程领域发展，我应该在哪些方面努力？

请教Linux下的编程工具

新手请教，linux网络编程。

请教一个多进程编程问题

请教高手：如何学习内核编程？

请教gcc编程 问题 关于调用中断 实现 图形模式

请教高手, 如何用expect实现BBS的自动登陆? iis7站长之家

急!!请教关于linux socket编程的一个问题!!

请教LINUX下的网络编程?

请教：想学LINUX内核编程，请指点

请教：Linux下的C＋＋编程和Windows下有什么不同，要注意什么？

请教一下哪里有UNIX下C编程标准下载？

请教串口通信的编程

请教一下：Linux下如何编程制作系统托盘

arm串口缓冲和c编程请教

菜鸟请教linux下的网络编程

请教如何学习Linux上的编程

谁用Ias成功实现过ejb呢,我成了！！可是我想实现分布式时却失败了，请教！

请教在soket中怎样实现断点续传？

请教包过滤c实现原理细节

请教java中如何实现vb中chr() ,asc() 类似的功能？

请教,怎样实现IIS和resin 整合?

请教如何用b shell/awk实现汇总

请教：关于如何实现文件监控的问题

请教一下：在UNIX下怎样实现和Windows下“计划任务”一样的功能。

请教：两服务器之间的HTTP请求（非RMI实现）

sh 脚本：请教实现非root退出

请教高手, 如何用expect实现BBS的自动登陆?