libpcap获取数据包函数库说明

源代码网整理以下libpcap的英文意思是 Packet Capture library，即数据包捕获函数库。该库提供的C函数接口可用于需要捕获经过网络接口（只要经过该接口，目标地址不一定为本机）数据包的系统开发上。由 Berkeley大学Lawrence Berkeley National Laboratory研究院的Van Jacobson、Craig Leres和Steven McCanne编写，目前的最新版本为0.4。该函数库支持Linux、Solaris和*BSD系统平台。


主要接口函数说明如下：


pcap_t *pcap_open_live(char *device, int snaplen,

int promisc, int to_ms, char *ebuf)


获得用于捕获网络数据包的数据包捕获描述字。device参数为指定打开的网络设备名。snaplen参数定义捕获数据的最大字节数。promisc指定是否将网络接口置于混杂模式。to_ms参数指定超时时间（毫秒）。ebuf参数则仅在pcap_open_live()函数出错返回NULL时用于传递错误消息。


pcap_t *pcap_open_offline(char *fname, char *ebuf)


打开以前保存捕获数据包的文件，用于读取。fname参数指定打开的文件名。该文件中的数据格式与tcpdump和tcpslice兼容。"-"为标准输入。ebuf参数则仅在pcap_open_offline()函数出错返回NULL时用于传递错误消息。


pcap_dumper_t *pcap_dump_open(pcap_t *p, char *fname)


打开用于保存捕获数据包的文件，用于写入。fname参数为"-"时表示标准输出。出错时返回NULL。p参数为调用pcap_open_offline()或pcap_open_live()函数后返回的pcap结构指针。fname参数指定打开的文件名。如果返回NULL，则可调用pcap_geterr()函数获取错误消息。


char *pcap_lookupdev(char *errbuf)


用于返回可被pcap_open_live()或pcap_lookupnet()函数调用的网络设备名指针。如果函数出错，则返回NULL，同时errbuf中存放相关的错误消息。


int pcap_lookupnet(char *device, bpf_u_int32 *netp,

bpf_u_int32 *maskp, char *errbuf)


获得指定网络设备的网络号和掩码。netp参数和maskp参数都是bpf_u_int32指针。如果函数出错，则返回-1，同时errbuf中存放相关的错误消息。



int pcap_dispatch(pcap_t *p, int cnt,

pcap_handler callback, u_char *user)


捕获并处理数据包。cnt参数指定函数返回前所处理数据包的最大值。cnt=-1表示在一个缓冲区中处理所有的数据包。cnt=0表示处理所有数据包，直到产生以下错误之一：读取到EOF；超时读取。callback参数指定一个带有三个参数的回调函数，这三个参数为：一个从pcap_dispatch()函数传递过来的u_char指针，一个pcap_pkthdr结构的指针，和一个数据包大小的u_char指针。如果成功则返回读取到的字节数。读取到EOF时则返回零值。出错时则返回-1，此时可调用pcap_perror()或pcap_geterr()函数获取错误消息。 源代码网供稿.