libpcap,将我的数据包的选择区域保存到pcap。
我在(Linux,c,monitor模式)中使用libpcap捕获信标文件,如下所示
char *filter = "wlan type mgt subtype beacon";
pcap_compile(pcd,&bpg,filter,-1,PCAP_NETMASK_UNKNOWN);
pcap_setfilter(pcd, &bpg);我捕捉到了信标帧,但它包括无线电头。(pcak数据链路返回IEEE_802_11_RADIO)
但我想只保存信标帧(删除无线电龙头头)到pcap。但是我在函数pcap_dump()中找不到这样的选项。
有什么方法可以保存封包的选择性部件(除去无线电抽头部分)吗?还是有任何过滤选项,帮助我只获得信标帧,而没有无线电龙头??
回答 1
Stack Overflow用户
发布于 2013-11-30 19:19:42
有什么方法可以保存封包的选择性部件(除去无线电抽头部分)吗?
是。
首先,如果您正在写入pcap (我假设您正在这样做,正如您刚才提到的pcap_dump()),请不要使用打开Wi适配器时获得的pcap_t作为pcap_dump_open()的参数,因为您不会将带有无线电头的数据包写入pcap,并且将打开Wi适配器时获得的pcap_t传递给pcap_dump_open(),这意味着文件的链接层头类型将是DLT_IEEE802_11_RADIO,这意味着文件将被其他程序解释为具有带有无线点击头的数据包。
相反,使用pcap_open_dead()创建假pcap_t,并使用DLT_IEEE802_11作为其链接层头类型,并在pcap_dump_open()调用中使用该类型。
然后,对于每一个包:
首先,确保“网络上的长度”(由libpcap提供给您的程序的包的len字段)为>= 4字节,如果不是,则拒绝该数据包。这意味着包的长度不足以有一个完整的无线电头,这可能意味着有一个错误的驱动程序。
然后,确保“捕获的数据长度”(由libpcap提供给您的程序的包的caplen字段)为>= 4字节,如果不是,则拒绝该数据包。这意味着没有足够的捕获数据用于一个完整的无线电头,这可能意味着您的程序指定的快照长度太短。
然后在包的开头从it_len字段中提取无线电抽头头字段。请注意,它是小端,而不是大端,所以您不需要在小端处理器(例如32位和64位x86处理器)上对其进行字节交换,并且需要在大端处理器(例如运行Linux时的PowerPC )上对其进行字节交换。
然后检查以确保包的len和caplen字段都是>= ( it_len值)。
然后将数据包的struct pcap_pkthdr复制到单独的struct pcap_pkthdr变量中,从该单独的struct pcap_pkthdr变量的len和caplen变量中减去it_len,获取指向数据包开头的it_len字节的指针,并传递该指针,以及从len和caplen值中减去it_len的指向struct pcap_pkthdr变量的指针,到pcap_dump()。
https://stackoverflow.com/questions/20302713
复制相似问题
腾讯云开发者
