当前位置: 技术问答>linux和unix
请教使用libpcap抓包的几个问题
来源: 互联网 发布时间:2015-05-16
本文导语: 目的是抓通过网卡+ADSL MODEM上网的包, 能知道包的源/目的地址与收发的字节大小. 参考了几个例子后, 我写了以下代码. pcap_lookupdev(...); pcap_lookupnet(...); pcap_open_live(...);//混杂模式 pcap_loop(...); 在回调函数中, ...
目的是抓通过网卡+ADSL MODEM上网的包, 能知道包的源/目的地址与收发的字节大小.
参考了几个例子后, 我写了以下代码.
pcap_lookupdev(...);
pcap_lookupnet(...);
pcap_open_live(...);//混杂模式
pcap_loop(...);
在回调函数中, 我是这样写的:
u_int16_t handle_ethernet(u_char *args, const struct pcap_pkthdr *pkthdr, const u_char *packet)
{
struct ether_header *eptr;
eptr=(struct ether_header*)packet;//转成以太网包头后分析其协议类型
if(ntohs(eptr->ether_type)==ETHERTYPE_IP)
{
printf("ipn");
}
else if(ntohs(eptr->ether_type)==ETHERTYPE_ARP)
{
printf("arpn");
}
elseif(ntohs(eptr->ether_type)==ETHERTYPE_REVARP)
{
printf("revarpn");
}
else
printf("unknownn");
...
}
1.
结果是当我ping 192.168.1.1(我的ADSL MODEM)时, 包是IP型的; 当我ping www.google.com时, 包都属于unknown类型. 我的理解是这个struct ether_header结构体类型只定义了IP,ARP,REVARP, 而与互联网通讯的协议是TCP和UDP, 所以是unknown, 不知对不对?
2.
为此, 我修改了回调函数, 把packet转成struct ip结构体类型, 但是我看过此类型的定义都找不到从哪个成员可看出此包的协议类型(例如TCP,UDP), 请问是哪一个成员? 这个成员的值的宏定义在哪个文件?
3.
因为struct ip的最后两个成员是struct in_addr ip_src和ip_dst, 我就根据别的例子这样写inet_ntoa(ip->ip_src)和inet_ntoa(ip->ip_dst)来取得源IP和目的IP, 结果是当我ping 192.168.1.1(我的ADSL MODEM)时, 显示是正确的; 当我ping www.google.com时, 显示却是错误的. 是什么原因呢? 正确的做法是怎样?
我查阅了这里所有与libpcap有关的文章, 都没有得到答案. 我知道用SOCKET也可实现libpcap的所有功能, 但我想先用libpcap实现了, 再用SOCKET做. 谢谢你的答复.
参考了几个例子后, 我写了以下代码.
pcap_lookupdev(...);
pcap_lookupnet(...);
pcap_open_live(...);//混杂模式
pcap_loop(...);
在回调函数中, 我是这样写的:
u_int16_t handle_ethernet(u_char *args, const struct pcap_pkthdr *pkthdr, const u_char *packet)
{
struct ether_header *eptr;
eptr=(struct ether_header*)packet;//转成以太网包头后分析其协议类型
if(ntohs(eptr->ether_type)==ETHERTYPE_IP)
{
printf("ipn");
}
else if(ntohs(eptr->ether_type)==ETHERTYPE_ARP)
{
printf("arpn");
}
elseif(ntohs(eptr->ether_type)==ETHERTYPE_REVARP)
{
printf("revarpn");
}
else
printf("unknownn");
...
}
1.
结果是当我ping 192.168.1.1(我的ADSL MODEM)时, 包是IP型的; 当我ping www.google.com时, 包都属于unknown类型. 我的理解是这个struct ether_header结构体类型只定义了IP,ARP,REVARP, 而与互联网通讯的协议是TCP和UDP, 所以是unknown, 不知对不对?
2.
为此, 我修改了回调函数, 把packet转成struct ip结构体类型, 但是我看过此类型的定义都找不到从哪个成员可看出此包的协议类型(例如TCP,UDP), 请问是哪一个成员? 这个成员的值的宏定义在哪个文件?
3.
因为struct ip的最后两个成员是struct in_addr ip_src和ip_dst, 我就根据别的例子这样写inet_ntoa(ip->ip_src)和inet_ntoa(ip->ip_dst)来取得源IP和目的IP, 结果是当我ping 192.168.1.1(我的ADSL MODEM)时, 显示是正确的; 当我ping www.google.com时, 显示却是错误的. 是什么原因呢? 正确的做法是怎样?
我查阅了这里所有与libpcap有关的文章, 都没有得到答案. 我知道用SOCKET也可实现libpcap的所有功能, 但我想先用libpcap实现了, 再用SOCKET做. 谢谢你的答复.
|
你ping www.google.com是不是先抓到了域名解析的包? try ping IP of google directly
|
PING使用ICMP协议,封在IP包内,数值在IP包类协议字节部分
|
struct ether_header结构体类型只定义了IP,ARP,REVARP, 而与互联网通讯的协议是TCP和UDP, 所以是unknown, 不知对不对?
错!!!ICMP IGMP TCP UDP都是封装成IP包!
错!!!ICMP IGMP TCP UDP都是封装成IP包!
您可能感兴趣的文章:
本站(WWW.)旨在分享和传播互联网科技相关的资讯和技术,将尽最大努力为读者提供更好的信息聚合和浏览方式。
本站(WWW.)站内文章除注明原创外,均为转载、整理或搜集自网络。欢迎任何形式的转载,转载请注明出处。
本站(WWW.)站内文章除注明原创外,均为转载、整理或搜集自网络。欢迎任何形式的转载,转载请注明出处。