2

我正在尝试使用 libpcap 查看 TCP 有效负载信息。为此,我需要定位有效载荷在内存中的位置。我正在使用这个Pcap 编程指南来确定请求有效负载的位置。当嗅探来自与服务(环回适配器)位于同一台机器上的客户端的数据包时,IP 标头长度为 0。我无法成功找到请求有效负载的位置。在收听环回适配器时这是可以预料的吗?我正在使用一个 MacOSx 10.8 系统来监听适配器“lo0”。

这是我正在尝试的:

    //this callback is called when a packet is found
void got_packet(u_char *args, const struct pcap_pkthdr *header, const u_char *packet){
    ethernet = (struct sniff_ethernet*)(packet);
    ip = (struct sniff_ip*)(packet + SIZE_ETHERNET); <-- the result is 0
    size_ip = IP_HL(ip)*4;
    if (size_ip < 20) {
        printf("   * Invalid IP header length: %u bytes\n", size_ip);
        return;
    }
    tcp = (struct sniff_tcp*)(packet + SIZE_ETHERNET + size_ip);
    size_tcp = TH_OFF(tcp)*4;
    if (size_tcp < 20) {
        printf("   * Invalid TCP header length: %u bytes\n", size_tcp);
        return;
    }
    payload = (u_char *)(packet + SIZE_ETHERNET + size_ip + size_tcp);

}

结构嗅探IP:

#define SIZE_ETHERNET 14

 /* IP header */
struct sniff_ip {
    u_char ip_vhl;      /* version << 4 | header length >> 2 */
    u_char ip_tos;      /* type of service */
    u_short ip_len;     /* total length */
    u_short ip_id;      /* identification */
    u_short ip_off;     /* fragment offset field */
#define IP_RF 0x8000        /* reserved fragment flag */
#define IP_DF 0x4000        /* dont fragment flag */
#define IP_MF 0x2000        /* more fragments flag */
#define IP_OFFMASK 0x1fff   /* mask for fragmenting bits */
    u_char ip_ttl;      /* time to live */
    u_char ip_p;        /* protocol */
    u_short ip_sum;     /* checksum */
    struct in_addr ip_src,ip_dst; /* source and dest address */
};
4

1 回答 1

8
ethernet = (struct sniff_ethernet*)(packet);
ip = (struct sniff_ip*)(packet + SIZE_ETHERNET); <-- the result is 0

如果您在环回接口上捕获,则该代码是错误的。并非 OS X(或任何其他支持 libpcap/WinPcap 的操作系统)上的所有接口都提供以太网头;您需要调用pcap_datalink()以查找捕获设备的链路层类型(或捕获文件,如果您正在使用 读取捕获文件pcap_open_offline()),并在此基础上解析数据包的链路层标头。

有关完整列表,请参阅 pcap 链路层标头类型列表。

DLT_EN10MB是以太网设备的链路层报头类型(“10MB”是历史的,指的是 3MB 与 10MB 以太网,它们有不同的报头;DLT_EN10MB适用于 10 MB 和 100 MB 以及 1 GB 和 10 GB 以及 40 GB 和 100 GB和...以太网),以及一些提供虚假以太网标头的非以太网设备。

大多数 BSD 和 OS X 上环回设备的链路层标头类型是DLT_NULL; 正如链路层标头类型页面所说,它有一个 4 字节的链路层标头,其中包含操作系统的PF_协议值,可能是 IPv4 或 IPv6。

于 2013-06-16T02:11:16.340 回答