Question

在http://www.tcpdump.org/sniffex.c脚本中有TCP结构：

struct sniff_tcp {
    u_short th_sport;               /* source port */
    u_short th_dport;               /* destination port */
    tcp_seq th_seq;                 /* sequence number */
    tcp_seq th_ack;                 /* acknowledgement number */
    u_char  th_offx2;               /* data offset, rsvd */
    #define TH_OFF(th)      (((th)->th_offx2 & 0xf0) >> 4)
    u_char  th_flags;
    #define TH_FIN  0x01
    #define TH_SYN  0x02
    #define TH_RST  0x04
    #define TH_PUSH 0x08
    #define TH_ACK  0x10
    #define TH_URG  0x20
    #define TH_ECE  0x40
    #define TH_CWR  0x80
    #define TH_FLAGS        (TH_FIN|TH_SYN|TH_RST|TH_ACK|TH_URG|TH_ECE|TH_CWR)
    u_short th_win;                 /* window */
    u_short th_sum;                 /* checksum */
    u_short th_urp;                 /* urgent pointer */
};

如何确定是否设置了特定标志？对于每个标志我想知道它是1还是0。

Answer 1

您需要以类似于此的方式测试标志：

struct sniff_tcp *ptr = …;
if (ptr->th_flags & TH_FIN)
  puts ("FIN set");
if (ptr->th_flags & TH_SYN)
  puts ("SYN set");

等等。这是你要问的吗？

（您可能必须在结构定义中应用#pragma pack或pack属性来处理未对齐的访问。）

从Struct访问TCP标志

1 个答案: