WinPcap笔记（9）：保存数据包到堆文件

这里我们将捕获到的数据包保存到堆文件里。堆文件的格式是libpcap的一种。这种格式中，包含了被捕捉到的包的二进制数据，并且，这种格式是许多网络工具所使用的一种标准，这些工具包括WinDump，Etheral和Snort。堆文件组织的含义是说：一条记录可以放在文件中的任何地方，只要那个地方有空间存放这条记录。在这种记录组织方式中，记录是没有顺序的，是堆积起来的。

WinPcap提供了很多函数保存和读取堆文件。下面介绍两个函数。

1、pcap_dump_open()函数

pcap_dump_open()函数打开一个可以保存数据的文件。具体格式如下：

pcap_dumper_t* pcap_dump_open  ( pcap_t *  p,    const char *  fname    ); 

参数含义:

p：一个libpcap存储文件的描述符，对用户不可见；

fname：要写入的文件名；

只有当接口打开时，调用 pcap_dump_open() 才是有效的。 这个调用将打开一个堆文件，并将它关联到特定的接口上。

2、pcap_dump()函数

pcap_dump()函数将数据包写入用户指定的文件中。具体格式如下：

void pcap_dump  (   u_char *  user,    const struct pcap_pkthdr *  h,    const u_char *  sp    ); 

数据包将会通过 pcap_dump() 函数写入堆文件中，这个函数是packet_handler()的回调函数。 pcap_dump() 的参数和 pcap_handler() 函数中的参数是一一对应的。

下面的程序从一个选定的接口捕获数据包，并将数据包保存在指定的文件中：

#include "pcap.h"/* 回调函数原型 */void packet_handler(u_char *param, const struct pcap_pkthdr *header, const u_char *pkt_data);main(int argc, char **argv){pcap_if_t *alldevs;pcap_if_t *d;int inum;int i = 0;pcap_t *adhandle;char errbuf[PCAP_ERRBUF_SIZE];pcap_dumper_t *dumpfile;/* 检查程序输入参数 */if (argc != 2){printf("usage: %s filename", argv[0]);return -1;}/* 获取本机设备列表 */if (pcap_findalldevs_ex(PCAP_SRC_IF_STRING, NULL, &alldevs, errbuf) == -1){fprintf(stderr, "Error in pcap_findalldevs: %s\n", errbuf);exit(1);}/* 打印列表 */for (d = alldevs; d; d = d->next){printf("%d. %s", ++i, d->name);if (d->description)printf(" (%s)\n", d->description);elseprintf(" (No description available)\n");}if (i == 0){printf("\nNo interfaces found! Make sure WinPcap is installed.\n");return -1;}printf("Enter the interface number (1-%d):", i);scanf("%d", &inum);if (inum < 1 || inum > i){printf("\nInterface number out of range.\n");/* 释放列表 */pcap_freealldevs(alldevs);return -1;}/* 跳转到选中的适配器 */for (d = alldevs, i = 0; i< inum - 1;d = d->next, i++);/* 打开适配器 */if ((adhandle = pcap_open(d->name,          // 设备名65536,            // 要捕捉的数据包的部分   // 65535保证能捕获到不同数据链路层上的每个数据包的全部内容PCAP_OPENFLAG_PROMISCUOUS,    // 混杂模式1000,             // 读取超时时间NULL,             // 远程机器验证errbuf            // 错误缓冲池)) == NULL){fprintf(stderr, "\nUnable to open the adapter. %s is not supported by WinPcap\n", d->name);/* 释放设备列表 */pcap_freealldevs(alldevs);return -1;}/* 打开堆文件 */dumpfile = pcap_dump_open(adhandle, argv[1]);if (dumpfile == NULL){fprintf(stderr, "\nError opening output file\n");return -1;}printf("\nlistening on %s... Press Ctrl+C to stop...\n", d->description);/* 释放设备列表 */pcap_freealldevs(alldevs);/* 开始捕获 */pcap_loop(adhandle, 0, packet_handler, (unsigned char *)dumpfile);return 0;}/* 回调函数，用来处理数据包 */void packet_handler(u_char *dumpfile, const struct pcap_pkthdr *header, const u_char *pkt_data){/* 保存数据包到堆文件 */pcap_dump(dumpfile, header, pkt_data);}

结果如下：

保存的文件如下：