我正在尝试使用 Windows 中的 npcap SDK ( https://nmap.org/npcap/ ) 获取所有数据包的源地址和目标地址。它适用于 IPv4,但它为 IPv6 地址的源和目标返回相同的地址。这是我的 packet_handler 回调函数的代码:
void packet_handler(u_char* param, const struct pcap_pkthdr* header, const u_char* pkt_data)
{
u_int ip_len;
u_short eth_type;
const sniff_ip* iph;
const in6_addr* orig_saddr6;
const in6_addr* orig_daddr6;
in6_addr swapped_saddr;
in6_addr swapped_daddr;
const struct sniff_ethernet* ethernet; /* The ethernet header */
ip_len = header->len;
ethernet = (struct sniff_ethernet*)(pkt_data);
eth_type = ntohs(ethernet->ether_type);
iph = (sniff_ip*)(pkt_data +
14); //length of ethernet header
if (eth_type == 0x0800) {
char str_saddr[INET_ADDRSTRLEN];
inet_ntop(AF_INET, &(iph->ip_src), str_saddr, INET_ADDRSTRLEN);
char str_daddr[INET_ADDRSTRLEN];
inet_ntop(AF_INET, &(iph->ip_dst), str_daddr, INET_ADDRSTRLEN);
printf("%s %s\n", str_saddr, str_daddr);
}
else if (eth_type == 0x86DD)
{
char str_saddr[INET6_ADDRSTRLEN];
orig_saddr6 = (const in6_addr*)&(iph->ip_src);
ipv6_sbyteswap(orig_saddr6, &swapped_saddr);
inet_ntop(AF_INET6, &swapped_saddr, str_saddr, INET6_ADDRSTRLEN);
char str_daddr[INET6_ADDRSTRLEN];
orig_daddr6 = (const in6_addr*)&(iph->ip_dst);
ipv6_dbyteswap(orig_daddr6, &swapped_daddr);
inet_ntop(AF_INET6, &swapped_daddr, str_daddr, INET6_ADDRSTRLEN);
printf("%s %s\n", str_saddr, str_daddr);
}
}
我看到的问题是,当 eth_type 用于 IPv6 数据包(例如 eth_type == 0x86DD)时,saddr 和 daddr 是相同的 IP 地址,除了字节顺序不同。我已经检查了两倍和三倍的代码,但是当我检查 iph->ip_src 和 iph->ip_dst 时,我看到了相同的类型,所以看起来 npcap 库返回了相同的地址。我看不出我能做些什么来改变这种行为。有没有人遇到过这个?