显示链路层标头的内容

Question

是否有任何debian Linux程序的命令我可以在C程序中调用，表示数据包的元数据（例如协议，数据包长度，源和目标端口）？我会使用readFrom和sockaddr *结构，但我也希望能够接收TCP流量。

有没有办法使用tcpdump创建包含此信息的字符串？

此问题的表达或内容在概念上是否有任何错误？

Answer 1

您可以在C程序中使用PCAP等数据包捕获库。您可以捕获整个数据包并分析其内容。您甚至可以应用数据包过滤。

就读取而言，您可以通过提供套接字的文件描述符，像读取系统调用的任何其他设备或文件一样从套接字读取数据。

Answer 2

您可以使用各种替代方案： Jewel Thief提到的1-PCAP。示例代码：

int datalink;
char *device;
pcap_t *pd;
int snaplen = MAX_MSG_LEN;
#define CMD "tcp and dst port %d"

void open_pcap()
{
    uint32_t localnet;
    uint32_t netmask;
    char cmd[300];
    char errbuf[PCAP_ERRBUF_SIZE];
    struct bpf_program fcode;

    device = pcap_lookupdev(errbuf);
    if (device == NULL)
    {
        printf("ERROR-1: open_pcap:%s\n", errbuf);
        exit(3);
    }

    printf("DEVICE: %s\n", device);

    pd = pcap_open_live(device, snaplen, 0, 500, errbuf);

    if (pd == NULL)
    {
        printf("ERROR-2-%s\n", errbuf);
        exit(4);
    }

    if (pcap_lookupnet(device, &localnet, &netmask, errbuf) < 0)
    {
        printf("ERROR-3-%s\n", errbuf);
        exit(5);
    }

    snprintf(cmd, sizeof(cmd), CMD, 80);

    if (pcap_compile(pd, &fcode, cmd, 0, netmask) < 0)
    {
        printf("ERROR-4-%s\n", pcap_geterr(pd));
        exit(6);
    }

    if (pcap_setfilter(pd, &fcode) < 0)
    {
        printf("ERROR-5-%s\n", pcap_geterr(pd));
        exit(7);
    }

    datalink = pcap_datalink(pd);

    if (datalink < 0)
    {
        printf("ERROR-6-%s\n", pcap_geterr(pd));
        exit(8);
    }

    printf("DATALINK: %d\n", datalink);
}

int getNext(char *msg)
{
    struct pcap_pkthdr hdr;
    char *ptr = NULL;

    while(ptr == NULL)
    {
        ptr = (char *)pcap_next(pd, &hdr);
    }

    printf("LEN: %d - CAPLEN: %d\n", hdr.len, hdr.caplen);
    memcpy(msg, ptr, hdr.caplen);

    return hdr.caplen;
}

2 - 您可以使用数据包套接字

#include <sys/socket.h>
#include <linux/if_packet.h>
#include <net/ethernet.h> /* the L2 protocols */

packet_socket = socket(AF_PACKET, int socket_type, int protocol);

3 - 如果您不想编码，可以使用shell调用命令tcpdump，这足以满足您的需求（请查看man参数）