利用 pcap 库和 select 函数实现网络数据包实时捕获

概述

在网络编程中，实时捕获网络数据包是一项常见的任务。这对于网络安全分析、网络流量监控以及网络性能调优等领域都非常重要。在本篇博客中，我们将介绍如何利用 pcap 库和 select 函数实现网络数据包的实时捕获，以及一些相关的技巧和应用场景。

1. 程序示例

下面是一个简单的示例程序，演示了如何使用 pcap 库和 select 函数实现网络数据包的实时捕获：

#include <pcap.h>
#include <stdio.h>
#include <stdlib.h>
#include <unistd.h>
#include <sys/select.h>

int main() {
  char errbuf[PCAP_ERRBUF_SIZE];

  // 打开网络设备或 pcap 文件
  pcap_t *handle = pcap_open_live("eth0", BUFSIZ, 1, 0, errbuf);
  if (handle == NULL) {
    fprintf(stderr, "pcap_open_live(): %s\n", errbuf);
    exit(1);
  }

  // 获取可被 select 监控的文件描述符
  int fd = pcap_get_selectable_fd(handle);
  if (fd < 0) {
    fprintf(stderr, "pcap_get_selectable_fd() failed\n");
    exit(2);
  }

  // 使用 select 函数进行监控
  fd_set fds;
  while (1) {
    FD_ZERO(&fds);
    FD_SET(fd, &fds);
    if (select(fd + 1, &fds, NULL, NULL, NULL) < 0) {
      fprintf(stderr, "select() failed\n");
      break;
    }
    if (FD_ISSET(fd, &fds)) {
      struct pcap_pkthdr header;
      const u_char *packet = pcap_next(handle, &header);
      if (packet == NULL) {
        fprintf(stderr, "pcap_next() failed\n");
        break;
      }
      printf("Packet length: %d\n", header.len);
    }
  }

  // 关闭会话
  pcap_close(handle);
  return 0;
}

2. 数据包处理和解析

在实际应用中，我们通常需要对捕获到的数据包进行处理和解析，以提取有用的信息。这可以通过分析数据包的首部来完成，比如以太网帧头部、IP 头部、TCP/UDP 头部等。下面是一个简单的示例，展示了如何解析数据包的源地址和目标地址：

// 解析以太网帧头部
struct ether_header *eth_header = (struct ether_header *) packet;
printf("Source MAC: %02x:%02x:%02x:%02x:%02x:%02x\n",
       eth_header->ether_shost[0], eth_header->ether_shost[1],
       eth_header->ether_shost[2], eth_header->ether_shost[3],
       eth_header->ether_shost[4], eth_header->ether_shost[5]);
printf("Destination MAC: %02x:%02x:%02x:%02x:%02x:%02x\n",
       eth_header->ether_dhost[0], eth_header->ether_dhost[1],
       eth_header->ether_dhost[2], eth_header->ether_dhost[3],
       eth_header->ether_dhost[4], eth_header->ether_dhost[5]);

3. 过滤器的应用

pcap 库提供了强大的过滤器功能，可以根据不同的条件过滤出特定类型或来源/目标地址的数据包。在 pcap_open_live 函数中，我们可以传递过滤器表达式来实现数据包过滤。下面是一个示例，只捕获 ICMP 协议的数据包：

pcap_t *handle = pcap_open_live("eth0", BUFSIZ, 1, 0, errbuf);
if (handle == NULL) {
  fprintf(stderr, "pcap_open_live(): %s\n", errbuf);
  exit(1);
}

// 设置过滤器
struct bpf_program fp;
char filter_exp[] = "icmp";
if (pcap_compile(handle, &fp, filter_exp, 0, PCAP_NETMASK_UNKNOWN) == -1) {
  fprintf(stderr, "Couldn't parse filter %s: %s\n", filter_exp, pcap_geterr(handle));
  exit(1);
}
if (pcap_setfilter(handle, &fp) == -1) {
  fprintf(stderr, "Couldn't install filter %s: %s\n", filter_exp, pcap_geterr(handle));
  exit(1);
}