最近無意中看到博客園中一篇介紹wireshark的文章，寫得不錯(cuò),它簡(jiǎn)單清楚介紹了wireshark的使用

簡(jiǎn)介

wireshark以前叫做Ethereal, 在大學(xué)時(shí)候的網(wǎng)絡(luò)課程中就常看到它，它是世界上最流行的網(wǎng)絡(luò)抓包分析工具(world's most popular network protocol analyzer)，它是基于圖形界面的，官網(wǎng)有介紹wireshark是1998年的一個(gè)項(xiàng)目衍生出來的，它有比較強(qiáng)大的特性，可以用來分析數(shù)百種網(wǎng)絡(luò)協(xié)議。wireshark是在GNU General Public Lisence下發(fā)布的。

以下是我自己使用wireshark的一個(gè)截圖， 照著上面的博客中去抓取和查看一次http請(qǐng)求前的tcp三次握手，下面詳細(xì)顯示的那行及其上下行就是我從本機(jī)瀏覽器訪問自己博客園博客的時(shí)候產(chǎn)生的tcp三次握手,可以看到是先握手成功才傳輸?shù)膆ttp報(bào)文

可以看到wireshark提供了一個(gè)非常友好和詳細(xì)的界面，可以看到一個(gè)包從鏈路層ethernet，網(wǎng)絡(luò)層ip，傳輸層tcp的包信息。詳細(xì)的使用參加上面提到的博客

tcpdump其實(shí)和wireshark很像，區(qū)別只是tcpdump是命令行界面的，wireshark和tcpdump都共同使用 libpcap作為其底層抓包的庫(kù), ?tcpdump最早是由?Van Jacobson于1987年開發(fā)的，后來在1999年http://www.tcpdump.org/創(chuàng)立，這上面有關(guān)于tcpdump和pcap詳細(xì)的文檔。

?

tcpdump的輸出

tcpdump的輸出格式是和協(xié)議相關(guān)的，在協(xié)議棧的同一層會(huì)有不同的協(xié)議，比如在Transport Layer會(huì)有TCP,UDP協(xié)議。下圖摘自wikipedia

對(duì)于tcpdump，-e表示輸出link level header，以下是一個(gè)例子 ? tcpdump -i eth2 -e -n?

要以看到用了-e打印出了網(wǎng)卡MAC地址，鏈路層的協(xié)議(ethertype), 網(wǎng)絡(luò)層的協(xié)議(IPv4)， 第一個(gè)length是表示鏈路層包的長(zhǎng)度。然后打出的是里面的tcp packet的信息，發(fā)送端和接收端的ip地址，tcp中的Flags等，可以看到后三個(gè)包都是廣播的包。最后一個(gè)是一個(gè)ARP查詢的包

用tcpdump來看一下三次握手

用這樣的命令形式，sudo tcpdump -i eth2 -n '(tcp[13] & 2 == 2 or tcp[13] & 16 ==16)' ?， 注意tcpdump是需要superviser的權(quán)限的，?輸出很多，從中提了一個(gè)三次握手

上面的 -n 表示輸出結(jié)果全用數(shù)字表示而不用域名和端口代表的服務(wù)名，而后面那個(gè)是傳遞給tcpdump中的libpcap模塊的過濾expression, 關(guān)于這個(gè)過濾expression的語(yǔ)法，在man pcap-filter中有詳細(xì)的說明，上面這個(gè)表達(dá)式的意思是 , tcp[13]是包中的tcp子包的第13個(gè)字節(jié)的值，字節(jié)數(shù)是從第0個(gè)字節(jié)開始的。而這個(gè)字節(jié)正好是Flags這個(gè)字節(jié)。 而上面Flags的字段中 S表示SYN, ? .(一個(gè)點(diǎn))表示ACK

上圖是TCP的結(jié)構(gòu)，從圖中可以看出，對(duì)于Flags這個(gè)字節(jié)，2表示只有SYN這一位為1, 16則是只有ACK那一位為1, 而上面的tcp[13] & 2 == 2表示SYN這一位為1, 其他位不管。在tcp協(xié)議中，只有建立連接的兩個(gè)端口發(fā)的第一個(gè)包才會(huì)設(shè)置SYN位，表示起始的sequence number。從上面可以看到起始的seq num是一個(gè)隨機(jī)值。

?

libpcap , 以及基于libpcap實(shí)現(xiàn)一個(gè)簡(jiǎn)單的抓包程序

安裝

libpcap是一個(gè)c庫(kù)，用于網(wǎng)絡(luò)抓包和過濾，源于tcpdump項(xiàng)目，是從最開始tcpdump中剝離出來的一個(gè)庫(kù)， tcpdump中抓包，過濾，capture file的讀寫的代碼被提取出來成了libpcap。現(xiàn)在也是由tcpdump項(xiàng)目的開發(fā)者維護(hù)。

從tcpdump的官網(wǎng)上下載下來后，包里面有一個(gè)INSTALL.txt文件，也就是三步的內(nèi)容，./configure; ? make; ? make install;在這個(gè)過程中我安裝了flex(一個(gè)lexical analyzer generator)和yacc才成功了

寫的一個(gè)簡(jiǎn)單程序

pcap實(shí)際上是從鏈路層抓包的，所以可以從中提出取出從鏈路層開始的包信息，官網(wǎng)里(這里)有詳細(xì)的基于pcap的編程文檔。這個(gè)文檔中有提到基于libpcap編程的基本步驟， 如何應(yīng)用過濾條件，如何拿到一個(gè)包后回調(diào)，以及在回調(diào)函數(shù)中(下面的call_back)怎樣提取包的詳細(xì)信息，因?yàn)槭堑玫竭@個(gè)鏈路層包的實(shí)際內(nèi)容的(以字串的形式)，所以是可以提取出從鏈路層開始，網(wǎng)絡(luò)程ip, 傳輸層如tcp的所有信息的， ?基本上不同的基于libpcap的軟件也就是這里不同了，怎樣提取和展示包的信息。基于這個(gè)文檔我寫了一個(gè)簡(jiǎn)單的程序

1 #include<stdio.h>2 #include<pcap.h>3 #include<string>4 5 using namespace std;6 7 static const unsigned int ETHER_ADDR_LEN = 6; 8 void call_back(u_char * args, const struct pcap_pkthdr * header, const u_char * packet);9 string generate_mac_address(char macChars[ETHER_ADDR_LEN]); 10 11 int main(){ 12 pcap_t * handle; // Sesion handle 13 char dev[] = "eth2"; //device to sniff on 14 char errbuf[PCAP_ERRBUF_SIZE]; // error string 15 char filter_exp[] = ""; //filter expression 16 bpf_u_int32 mask; //The netmask of our sniffing device 17 bpf_u_int32 net; //The IP of our sniffing device 18 19 struct bpf_program fp; //the compiled filter expression 20 21 //查詢device的mask和ip 22 if (pcap_lookupnet(dev, &net, &mask, errbuf) == -1){ 23 fprintf(stderr, "Can't get netmask for device %s\n", dev); 24 net = 0; 25 mask = 0; 26 } 27 28 //obtaining packet capture descriptor 29 handle = pcap_open_live(dev, BUFSIZ, 1, 1000, errbuf); 30 if(handle == NULL){ 31 fprintf(stderr, "Can't open device %s\n", dev); 32 return 2; 33 } 34 35 // before apply filter exp, compile it 36 if(pcap_compile(handle, &fp, filter_exp, 0, net) == -1){ 37 fprintf(stderr, "can't parse filter %s: %s\n", filter_exp, pcap_geterr(handle)); 38 return 2; 39 } 40 //apply filter to this session 41 if(pcap_setfilter(handle, &fp) == -1){ 42 fprintf(stderr, "can't install filter %s: %s\n", filter_exp, pcap_geterr(handle)); 43 return 2; 44 } 45 46 // now the device is prepared to sniff under the filter condition 47 struct pcap_pkthdr header; // packet header struct 48 const u_char * packet; // actual packet 49 50 //5表示積累5個(gè)包pcap_loop才返回，但每個(gè)包都會(huì)調(diào)一次call_back 51 while(!pcap_loop(handle, 5, call_back, NULL)){ 52 printf("-------\n"); //每8行才會(huì)輸出一次這個(gè) 53 } 54 pcap_close(handle); 55 } 56 57 struct sniff_ethernet { 58 char ether_dhost[ETHER_ADDR_LEN]; /* Destination host address */ 59 char ether_shost[ETHER_ADDR_LEN]; /* Source host address */ 60 u_short ether_type; /* IP? ARP? RARP? etc */ 61 }; 62 63 // call_back function的統(tǒng)一原型 64 void call_back(u_char * args, const struct pcap_pkthdr * header, const u_char * packet){ 65 static int count = 0; 66 struct sniff_ethernet * ethernet; //ethernet header 67 ethernet = (struct sniff_ethernet*)(packet); 68 69 //把6字節(jié)的字符串轉(zhuǎn)換成mac地址的表示形式 70 std::string source_mac_address = generate_mac_address(ethernet->ether_shost); 71 std::string dst_mac_address = generate_mac_address(ethernet->ether_dhost); 72 73 printf("wy: call_back called %d, %s->%s, packet length:%d\n", count++, source_mac_address.c_str(), dst_mac_address.c_str(), header->len); 74 } 75 76 //由字節(jié)為單位字符串生成mac地址，16進(jìn)制數(shù)的字串 77 string generate_mac_address(char macChars[ETHER_ADDR_LEN]){ 78 string macAddr; 79 char temp[2]; 80 for(int i = 0; i < ETHER_ADDR_LEN; i++){ 81 //把一個(gè)字節(jié)轉(zhuǎn)化成16進(jìn)制表示形式 82 sprintf(temp, "%x", macChars[i]); 83 if(i != 0){ 84 macAddr.append(":"); 85 } 86 macAddr.append(temp, 2); 87 } 88 return macAddr; 89 }

?

這個(gè)程序上面有比較詳細(xì)的注釋，就是把通用的基于libpcap編程的流程走了一遍，最后打印出每個(gè)包鏈路層from和to的MAC地址,以及每個(gè)包的長(zhǎng)度.

對(duì)于call_back的第二個(gè)參數(shù) struct pcap_pkthdr, 這是pcap.h中定義的一個(gè)結(jié)構(gòu)體,包含了這個(gè)包的一些信息,捕獲時(shí)間,包長(zhǎng)度, 可以看到程序中的包長(zhǎng)度就是從中提取的,定義如下

1 struct pcap_pkthdr { 2 struct timeval ts; /* time stamp */ 3 bpf_u_int32 caplen; /* length of portion present */ 4 bpf_u_int32 len; /* length this packet (off wire) */ 5 };

?

上面的參數(shù)char * packet實(shí)際上是整個(gè)包在內(nèi)存在的地址，為了從這當(dāng)中提取出信息，必須要自己定義相應(yīng)的數(shù)據(jù)結(jié)構(gòu)從這個(gè)純字符串中去提， 可以看到我照著文檔中去定義了一個(gè) struct ?sniff_ethernet，這個(gè)是需要自己定義的，pcap.h中是沒有的，然后可以看到我如何寫了一個(gè)函數(shù) generate_mac_address把這個(gè)6字節(jié)的字符串轉(zhuǎn)換成mac地址標(biāo)準(zhǔn)的表達(dá)形式。以下是程序運(yùn)行輸出

比較奇怪的是，我本機(jī)網(wǎng)卡 eth2的MAC地址是 ?bc:30:5b:a4:40:40, 但是程序的輸出是 ff:30:5b:ff:40:40

本來想選擇就用c來寫這個(gè)程序，但是寫到字串轉(zhuǎn)換那里，對(duì)字符串的操作用c確實(shí)比較麻煩和難看，所以我還是用的c++， 我想到了陳皓的一篇文章，他感慨c的編譯器gcc已經(jīng)開始用c++來實(shí)現(xiàn)了，他列舉出了c++比c優(yōu)雅的地方，就我的感覺是很贊同的。

一個(gè)鏈接錯(cuò)誤

很奇怪的是我編譯程序遇到了一個(gè)錯(cuò)誤，?g++ -o test_pcap test_pcap.cpp -L/usr/local/lib -lpcap

錯(cuò)誤提示是?

/usr/local/lib/libpcap.so: undefined reference to `pcap_parse'
collect2: ld returned 1 exit status

google了一下，發(fā)現(xiàn)這個(gè)問題很普遍卻都沒給出一個(gè)明確的原因解釋，有篇文章提到把libpcap重裝也一遍，也就是cd到下載下來的包目錄，make clean ; ./configure; make ; make install ; ?我這樣試了之后竟然好了，沒有明白是為什么，網(wǎng)上也沒有找到，在這里做一個(gè)記錄吧

轉(zhuǎn)載于:https://www.cnblogs.com/livingintruth/archive/2012/10/17/2721877.html

總結(jié)

以上是生活随笔為你收集整理的网络抓包工具wireshark and tcpdump 及其实现基于的libpcap的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。