【笔记】wincap网络数据包的捕获——不使用回调的方式

 

  这次使用pcap_next_ex()来代替pcap_loop()来捕获数据包。基于回调包捕获机制的pcap_loop()在某些情况下是不错的选择。但是在一些情况下处理回调并不特别好：这会使程序变的复杂并且在象多线程或C++类这些情况下它看起来到象一块绊脚石。

  在这些情况下pcap_next_ex()允许直接调用来接收包，它的参数和pcap_loop()相同：有一个网卡描述符和两个指针，这两个指针会被初始化并返回给用户，一个是pcap_pkthdr结构，另一个是接收数据的缓冲区。

程序代码：

 

/////////////////////////////////////////////////////////////////////////////// Name: PackageCapture.cpp// Purpose: wincap网络数据包的捕获[不使用回调的方式]。// Compiler: VS2005// Author: 陈相礼// Modified by:// Created: 09/18/09// Copyright: // Licence: /////////////////////////////////////////////////////////////////////////////#include "pcap.h"#pragma comment(lib,"Packet.lib") #pragma comment(lib,"wpcap.lib")int main(){ pcap_if_t *alldevs; pcap_if_t *d; int inum; int i=0; pcap_t *adhandle; int res; char errbuf[PCAP_ERRBUF_SIZE]; struct tm *ltime; char timestr[16]; struct pcap_pkthdr *header; const u_char *pkt_data; /* 获得网卡的列表 */ if ( pcap_findalldevs( &alldevs, errbuf ) == -1 ) { fprintf_s( stderr, "pcap_findalldevs调用错误: %s/n", errbuf ); exit(1); } /* 打印网卡信息 */ for( d = alldevs; d; d = d->next ) { printf_s( "%d. %s", ++i, d->name ); if ( d->description ) printf_s( " (%s)/n", d->description ); else printf_s( " (无可用描述)/n" ); } if(i==0) { printf_s( "/n没有发现适配器! 确保安装了WinPcap./n" ); return -1; } printf_s( "选择适配器 (1-%d):", i ); scanf_s( "%d", &inum ); // 输入要选择打开的网卡号 if( inum < 1 || inum > i ) // 判断号的合法性 { printf_s( "/n输入有误，没有此网卡./n" ); /* 释放资源 */ pcap_freealldevs( alldevs ); return -1; } /* 找到要选择的网卡结构 */ for( d = alldevs, i = 0; i < inum-1; d = d->next, i++ ); /* 打开选择的网卡 */ if ( (adhandle= pcap_open_live( d->name, // 设备名称 65536, // 65535保证能捕获到不同数据链路层上的每个数据包的全部内容 1, // 混杂模式 1000, // 读超时为1秒 errbuf // 错误缓冲 ) ) == NULL) { fprintf_s( stderr, "/n无法打开适配器. %s 不被WinPcap支持./n", errbuf ); /* 释放资源 */ pcap_freealldevs( alldevs ); return -1; } printf_s( "/n开始监听网卡 %s.../n", d->description ); /* 资源释放 */ pcap_freealldevs( alldevs ); /* 此处循环调用 pcap_next_ex来接受数据报 */ while(( res = pcap_next_ex( adhandle, &header, &pkt_data)) >= 0) { if(res == 0) /* 超时 */ continue; struct tm ltime; char timestr[16]; /* 将时间戳转变为易读的标准格式*/ time_t t = (time_t )&header->ts.tv_sec; localtime_s( &ltime, &t ); strftime( timestr, sizeof timestr, "%H:%M:%S", &ltime); printf_s("%s,/t%.6d毫秒/t长度:%d/n", timestr, header->ts.tv_usec, header->len ); } if( res == -1 ) { printf_s( "读取数据包: %s出错./n", pcap_geterr(adhandle) ); return -1; } return 0;} 

  注：pcap_next_ex()只在Win32环境下才行因为它不是原始libpcap API中的一部分，这就意味着依赖于这个函数的代码不会在UNIX下工作。那么为什么用pcap_next_ex()而不用pcap_next()？因为pcap_next()有许多限制在很多情况下并不鼓励用它。首先它的效率很低因为它隐藏了回掉方法并且还依赖于pcap_dispatch()这个函数。再次它不能够识别文件结束标志EOF所以对来自文件的数据流它几乎无能为力。

  注意当pcap_next_ex()在成功，超时，出错和文件结束的情况下会返回不同的值。