本文使用libpcap库在linux下面开发自定义抓包工具，同学们也可以在win下编写同样的代码。

抓包的目的：

1、分析协议

2、伪造数据包

3、获取重要信息，例如用户名和密码

4、做某些攻击使用

抓包的工具

(1)Wireshark 可视化的工具

(2)Tcpdump

是命令行的工具。

(3)自定义抓包工具

原因1: 只抓取感兴趣的部分，去掉无关紧要的东西，为其他目的服务。

原因2：如果有别的目的，例如偷偷安装在别的机器上，有必要保持隐身，保持短小。

抓包工具的构造原理

(1)用原始套接字抓取所有的数据包，然后解析。

(2)使用现成的库来抓包。

Libpcap库，是在linux下面的一个库。如果是windows开发的话，可以使用wincap这个库。两个的函数等都是一样。

欢迎加入学习群【892643663】，获取全套免费C/C++企业实战级课程资源(素材+源码+视频)和编译大礼包

自定义抓包工具的编程过程

(1)想要抓到链路层的包，要打开网卡设备。(在linux下面会把所有的设备当成文件，linux的哲学之一)相当于从这个网卡文件里抓取文件内容。

(2)设置好过滤规则，只保留特定的包

(3)开始抓包，然后输出感兴趣的部分

代码#include

#include   //libpcap库的头文件

#include

#include   //ip协议定义

#include   //tcp协议定义

#include

#include

//用C语言手工写一个抓包工具

int main(void)

{

//1-1 找出可用的网卡

pcap_if_t *pcap_if;

char ErrorBuf[PCAP_ERRBUF_SIZE]={0};

int r=pcap_findalldevs(&pcap_if,ErrorBuf);//寻找所有网卡设备

if(r==-1) //异常

{

printf("finddev error\n");

return -1;//直接返回，不要再往下走

}

printf("第一个网卡的名字是%s\n",pcap_if[0].name);

printf("第二个网卡的名字是%s\n",pcap_if[1].name);

//1-2 打开那个网卡设备

pcap_t *handler;  //用来描述一个打开的网卡设备对象

handler=pcap_open_live(pcap_if[0].name,PCAP_BUF_SIZE,1,100,ErrorBuf);

if(handler==NULL)

{

printf("打开失败\n");

return -1;

}

//2 设置好过滤规则,只抓取tcp的包

unsigned int ip,mask;

r=pcap_lookupnet(pcap_if[0].name,&ip,&mask,ErrorBuf);

if(r==-1)

{

printf("ip获取失败");

return -1;

}

struct bpf_program prog;

r=pcap_compile(handler,&prog,"tcp",0,mask);//规则有n种写法，例如port 80表示抓取80端口的包

if(r==-1)

{

printf("编译失败\n");

return -1;

}

pcap_setfilter(handler,&prog);

//3 抓包

struct pcap_pkthdr pkhdr;//包的信息

while(1)

{

const unsigned char *packet=pcap_next(handler,&pkhdr);//一行就可以拿到一个包

if(packet==NULL)

{

pcap_close(handler);

break;

}

//将包的信息打出来

printf("包的长度是%d\n",pkhdr.len);

// int i;

// for(i=0;i

// {

//     printf("%02x ",packet[i]);

// }

// printf("\n");

//4 输出感兴趣的部分

//例如，只输出包的源头，目标的ip和端口

//包由链路层14个字节+ip层20字节+后面的tcp数据组成

struct ip *ip=(struct ip *)(packet+14);

struct tcphdr *tcp=(struct tcp *)(packet+14+20);

char ipsrc[30],ipdst[30];

//strcpy(ipsrc,inet_ntoa(ip->ip_src));

inet_ntop(AF_INET,&ip->ip_dst,ipsrc,30);

strcpy(ipdst,inet_ntoa(ip->ip_dst));

printf("%s(%d)=====>%s(%d)\n",ipsrc,ntohs(tcp->th_sport),ipdst,ntohs(tcp->th_dport));

}

}

欢迎加入学习群【892643663】，获取全套免费C/C++企业实战级课程资源(素材+源码+视频)和编译大礼包