当前位置: 首页 > 文档资料 > WinPcap 中文手册 >

WinPcap: 输出函数

优质
小牛编辑
136浏览
2023-12-01

与Unix兼容的函数

这些函数是libpcap库的一部分,因此,既能运行在Windows平台,也能运行于Linux平台。

注意:
在函数 pcap_open_live(), pcap_open_dead(), pcap_open_offline(), pcap_setnonblock(), pcap_getnonblock(), pcap_findalldevs(), pcap_lookupdev(), 和 pcap_lookupnet() 中的errbuf假定至少有 PCAP_ERRBUF_SIZE 个字符。
typedef void(*)pcap_handler (u_char *user, const struct pcap_pkthdr *pkt_header, const u_char *pkt_data)
接受数据包的回调函数的原型
pcap_t *pcap_open_live (const char *device, int snaplen, int promisc, int to_ms, char *ebuf)
在网络中打开一个活动的捕获
pcap_t *pcap_open_dead (int linktype, int snaplen)
在还没开始捕获时,创建一个pcap_t的结构体
pcap_t *pcap_open_offline (const char *fname, char *errbuf)
打开一个 tcpdump/libpcap 格式的存储文件,来读取数据包
pcap_dumper_t *pcap_dump_open (pcap_t *p, const char *fname)
打开一个文件来写入数据包
intpcap_setnonblock (pcap_t *p, int nonblock, char *errbuf)
在阻塞和非阻塞模式间切换
intpcap_getnonblock (pcap_t *p, char *errbuf)
获得一个接口的非阻塞状态信息
intpcap_findalldevs (pcap_if_t **alldevsp, char *errbuf)
构造一个可打开的网络设备的列表 pcap_open_live()
voidpcap_freealldevs (pcap_if_t *alldevsp)
释放一个接口列表,这个列表将被 pcap_findalldevs()返回
char *pcap_lookupdev (char *errbuf)
返回系统中第一个合法的设备
intpcap_lookupnet (const char *device, bpf_u_int32 *netp, bpf_u_int32 *maskp, char *errbuf)
返回接口的子网和掩码
intpcap_dispatch (pcap_t *p, int cnt, pcap_handler callback, u_char *user)
收集一组数据包
intpcap_loop (pcap_t *p, int cnt, pcap_handler callback, u_char *user)
收集一组数据包
u_char *pcap_next (pcap_t *p, struct pcap_pkthdr *h)
返回下一个可用的数据包
intpcap_next_ex (pcap_t *p, struct pcap_pkthdr **pkt_header, const u_char **pkt_data)
从一个设备接口,或从一个脱机文件中,读取一个数据包
voidpcap_breakloop (pcap_t *)
设置一个标志位,这个标志位会强制 pcap_dispatch() 或 pcap_loop() 返回,而不是继续循环。
intpcap_sendpacket (pcap_t *p, u_char *buf, int size)
发送一个原始数据包
voidpcap_dump (u_char *user, const struct pcap_pkthdr *h, const u_char *sp)
将数据包保存到磁盘
longpcap_dump_ftell (pcap_dumper_t *)
返回存储文件的文件位置
intpcap_compile (pcap_t *p, struct bpf_program *fp, char *str, int optimize, bpf_u_int32 netmask)
编译数据包过滤器,将程序中高级的过滤表达式,转换成能被内核级的过滤引擎所处理的东西。 (参见 过滤表达式语法)
intpcap_compile_nopcap (int snaplen_arg, int linktype_arg, struct bpf_program *program, char *buf, int optimize, bpf_u_int32 mask)
在不需要打开适配器的情况下,编译数据包过滤器。这个函数能将程序中高级的过滤表达式,转换成能被内核级的过滤引擎所处理的东西。 (参见 过滤表达式语法)
intpcap_setfilter (pcap_t *p, struct bpf_program *fp)
在捕获过程中绑定一个过滤器
voidpcap_freecode (struct bpf_program *fp)
释放一个过滤器
intpcap_datalink (pcap_t *p)
返回适配器的链路层
intpcap_list_datalinks (pcap_t *p, int **dlt_buf)
列出数据链
intpcap_set_datalink (pcap_t *p, int dlt)
将当前pcap描述符的数据链的类型,设置成dlt给出的类型。返回-1表示设置失败。
intpcap_datalink_name_to_val (const char *name)
转换一个数据链类型的名字,即将具有DLT_remove的DLT_name,转换成符合数据链类型的值。转换是区分大小写的,返回-1表示错误。
const char *pcap_datalink_val_to_name (int dlt)
将数据链类型值转换成合适的数据链类型的名字。返回NULL表示转换失败。
const char *pcap_datalink_val_to_description (int dlt)
将数据链类型值转换成合适的数据链类型的简短的名字。返回NULL表示转换失败。
intpcap_snapshot (pcap_t *p)
返回发送给应用程序的数据包部分的大小(字节)
intpcap_is_swapped (pcap_t *p)
当前存储文件使用与当前系统不同的字节序列时,返回true
intpcap_major_version (pcap_t *p)
返回正在用来写入存储文件的pcap库的主要版本号
intpcap_minor_version (pcap_t *p)
返回正在用来写入存储文件的pcap库的次要版本号
FILE *pcap_file (pcap_t *p)
返回一个脱机捕获文件的标准流
intpcap_stats (pcap_t *p, struct pcap_stat *ps)
返回当前捕获的统计信息
voidpcap_perror (pcap_t *p, char *prefix)
在标准错误输出台打印最后一次pcap库错误的文本信息,前缀是prefix。
char *pcap_geterr (pcap_t *p)
返回最后一次pcap库错误的文本信息
char *pcap_strerror (int error)
提供这个函数,以防 strerror() 不能使用。
const char *pcap_lib_version (void)
返回一个字符串,这个字符串保存着libpcap库的版本信息。注意,它除了版本号,还包含了更多的信息。
voidpcap_close (pcap_t *p)
关闭一个和p关联的文件,并释放资源
FILE *pcap_dump_file (pcap_dumper_t *p)
返回一个由 pcap_dump_open()打开的存储文件的标准输入输出流
intpcap_dump_flush (pcap_dumper_t *p)
将输出缓冲写入存储文件,这样,任何使用 pcap_dump() 存储,但还没有写入文件的数据包,会被立刻写入文件。 返回-1表示出错,返回0表示成功。
voidpcap_dump_close (pcap_dumper_t *p)
关闭一个存储文件

Windows平台专用的扩展函数

本节中的函数是从libpcap扩展而来,为了提供更强大的功能(比如远程数据捕获,数据包缓存尺寸变化或高精度的数据包注入)。然而,目前,这些函数只能用于Windows平台。

PAirpcapHandlepcap_get_airpcap_handle (pcap_t *p)
返回一个和适配器相关联的AirPcap句柄。这个句柄可以被用来改变和CACE无线技术有关的设置。
boolpcap_offline_filter (struct bpf_program *prog, const struct pcap_pkthdr *header, const u_char *pkt_data)
当给定的过滤器应用于一个脱机数据包时,返回true
intpcap_live_dump (pcap_t *p, char *filename, int maxsize, int maxpacks)
将捕获保存到文件
intpcap_live_dump_ended (pcap_t *p, int sync)
返回内核堆处理的状态。例如,告诉我们由 pcap_live_dump() 定义的限制条件是否已经满足。
pcap_stat *pcap_stats_ex (pcap_t *p, int *pcap_stat_size)
返回当前捕获的统计信息。
intpcap_setbuff (pcap_t *p, int dim)
设置与当前适配器关联的内核缓存大小
intpcap_setmode (pcap_t *p, int mode)
将接口p的工作模式设置为mode
intpcap_setmintocopy (pcap_t *p, int size)
设置内核一次调用所受到的最小数据总数
HANDLEpcap_getevent (pcap_t *p)
返回与接口p关联的事件句柄
pcap_send_queue *pcap_sendqueue_alloc (u_int memsize)
分配一个发送队列
voidpcap_sendqueue_destroy (pcap_send_queue *queue)
销毁一个发送队列
intpcap_sendqueue_queue (pcap_send_queue *queue, const struct pcap_pkthdr *pkt_header, const u_char *pkt_data)
将数据包加入到发送队列
u_intpcap_sendqueue_transmit (pcap_t *p, pcap_send_queue *queue, int sync)
将一个发送队列发送至网络
intpcap_findalldevs_ex (char *source, struct pcap_rmtauth *auth, pcap_if_t **alldevs, char *errbuf)
创建一个网络设备列表,它们可以由 pcap_open()打开。
intpcap_createsrcstr (char *source, int type, const char *host, const char *port, const char *name, char *errbuf)
接收一组字符串(hot name,port,...),并根据新的格式,返回一个完整的源字符串(比如:'rpcap://1.2.3.4/eth0')
intpcap_parsesrcstr (const char *source, int *type, char *host, char *port, char *name, char *errbuf)
解析一个源字符串,并返回分离出来的内容。
pcap_t *pcap_open (const char *source, int snaplen, int flags, int read_timeout, struct pcap_rmtauth *auth, char *errbuf)
打开一个用来捕获或发送流量(仅WinPcap)的通用源。
pcap_samp *pcap_setsampling (pcap_t *p)
为数据包捕获定义一个采样方法
SOCKETpcap_remoteact_accept (const char *address, const char *port, const char *hostlist, char *connectinghost, struct pcap_rmtauth *auth, char *errbuf)
阻塞,直到网络连接建立。(仅用于激活模式)
intpcap_remoteact_close (const char *host, char *errbuf)
释放一个活动连接 (仅用于激活模式).
voidpcap_remoteact_cleanup ()
清除一个正在用来等待活动连接的socket
intpcap_remoteact_list (char *hostlist, char sep, int size, char *errbuf)
返回一个主机名,这个主机和我们建立了活动连接。(仅用于激活模式)