Linux 客户端和服务器 Libpcap 之间的嗅探器
Linux Sniffer Between Client and Server Libpcap
我正在尝试创建一个嗅探器,它使用 inet 地址 127.0.0.1(环回地址)读取从服务器发送到客户端的文本。即使客户端已从服务器接收到数据,程序也会保持暂停状态。
嗅探器代码:
int main(int argc,char **argv)
{
char *dev;
char errbuf[PCAP_ERRBUF_SIZE];
pcap_t* descr;
bpf_u_int32 maskp; /* subnet mask */
bpf_u_int32 netp; /* ip*/
struct bpf_program fp; /* hold compiled program */
char *filter = "host 127.0.0.1";
//char *filter = "port 5000";
dev = pcap_lookupdev(errbuf);
if(dev == NULL)
{ printf("%s\n",errbuf); exit(1); }
printf("call success");
/* ask pcap for the network address and mask of the device */
pcap_lookupnet(dev,&netp,&maskp,errbuf);
descr = pcap_open_live(dev,BUFSIZ,1,-1,errbuf);
if(descr == NULL)
{ printf("pcap_open_live(): %s\n",errbuf); exit(1); }
/* Lets try and compile the program.. non-optimized */
if(pcap_compile(descr,&fp,filter,0,netp) == -1)
{ fprintf(stderr,"Error calling pcap_compile\n"); exit(1); }
/* set the compiled program as the filter */
if(pcap_setfilter(descr,&fp) == -1)
{ fprintf(stderr,"Error setting filter\n"); exit(1); }
pcap_loop(descr,2,callback,NULL);
fprintf(stdout,"\nfinished\n");
return 0;
}
您将 -1 作为 to_ms 参数传递给 pcap_open_live()。负超时的行为是未定义的;您应该指定一个 positive 值。该值以毫秒为单位; tcpdump 使用 1000,即 1 秒,而 Wireshark 使用 250,即 1/4 秒。
您还在默认设备上拍摄,因为您正在使用 pcap_lookupdev()。这很少(如果有的话)环回设备,因此如果您在默认设备上捕获,如果您使用过滤器 host 127.0.0.1,您将很少(如果有的话)看到 任何 流量.如果服务器和客户端 both 运行 与你 运行 你的程序所在的机器在同一台机器上,你需要在环回设备上捕获,在 Linux 上命名为 "lo"。如果服务器和客户端 not 都 运行 在同一台机器上,那么你的流量将 not 使用地址 127.0.0.1,并且您需要选择一个不同的地址。
我正在尝试创建一个嗅探器,它使用 inet 地址 127.0.0.1(环回地址)读取从服务器发送到客户端的文本。即使客户端已从服务器接收到数据,程序也会保持暂停状态。
嗅探器代码:
int main(int argc,char **argv)
{
char *dev;
char errbuf[PCAP_ERRBUF_SIZE];
pcap_t* descr;
bpf_u_int32 maskp; /* subnet mask */
bpf_u_int32 netp; /* ip*/
struct bpf_program fp; /* hold compiled program */
char *filter = "host 127.0.0.1";
//char *filter = "port 5000";
dev = pcap_lookupdev(errbuf);
if(dev == NULL)
{ printf("%s\n",errbuf); exit(1); }
printf("call success");
/* ask pcap for the network address and mask of the device */
pcap_lookupnet(dev,&netp,&maskp,errbuf);
descr = pcap_open_live(dev,BUFSIZ,1,-1,errbuf);
if(descr == NULL)
{ printf("pcap_open_live(): %s\n",errbuf); exit(1); }
/* Lets try and compile the program.. non-optimized */
if(pcap_compile(descr,&fp,filter,0,netp) == -1)
{ fprintf(stderr,"Error calling pcap_compile\n"); exit(1); }
/* set the compiled program as the filter */
if(pcap_setfilter(descr,&fp) == -1)
{ fprintf(stderr,"Error setting filter\n"); exit(1); }
pcap_loop(descr,2,callback,NULL);
fprintf(stdout,"\nfinished\n");
return 0;
}
您将 -1 作为 to_ms 参数传递给 pcap_open_live()。负超时的行为是未定义的;您应该指定一个 positive 值。该值以毫秒为单位; tcpdump 使用 1000,即 1 秒,而 Wireshark 使用 250,即 1/4 秒。
您还在默认设备上拍摄,因为您正在使用 pcap_lookupdev()。这很少(如果有的话)环回设备,因此如果您在默认设备上捕获,如果您使用过滤器 host 127.0.0.1,您将很少(如果有的话)看到 任何 流量.如果服务器和客户端 both 运行 与你 运行 你的程序所在的机器在同一台机器上,你需要在环回设备上捕获,在 Linux 上命名为 "lo"。如果服务器和客户端 not 都 运行 在同一台机器上,那么你的流量将 not 使用地址 127.0.0.1,并且您需要选择一个不同的地址。