WinPcap: 输出函数

优质

小牛编辑

132浏览

2023-12-01


与Unix兼容的函数
这些函数是libpcap库的一部分，因此，既能运行在Windows平台，也能运行于Linux平台。注意：在函数 pcap_open_live(), pcap_open_dead(), pcap_open_offline(), pcap_setnonblock(), pcap_getnonblock(), pcap_findalldevs(), pcap_lookupdev(), 和 pcap_lookupnet() 中的errbuf假定至少有 PCAP_ERRBUF_SIZE 个字符。
typedef void(*)	pcap_handler (u_char user, const struct pcap_pkthdr pkt_header, const u_char *pkt_data)
	接受数据包的回调函数的原型
pcap_t *	pcap_open_live (const char device, int snaplen, int promisc, int to_ms, char ebuf)
	在网络中打开一个活动的捕获
pcap_t *	pcap_open_dead (int linktype, int snaplen)
	在还没开始捕获时，创建一个pcap_t的结构体
pcap_t *	pcap_open_offline (const char fname, char errbuf)
	打开一个 tcpdump/libpcap 格式的存储文件，来读取数据包
pcap_dumper_t *	pcap_dump_open (pcap_t p, const char fname)
	打开一个文件来写入数据包
int	pcap_setnonblock (pcap_t p, int nonblock, char errbuf)
	在阻塞和非阻塞模式间切换
int	pcap_getnonblock (pcap_t p, char errbuf)
	获得一个接口的非阻塞状态信息
int	pcap_findalldevs (pcap_if_t *alldevsp, char errbuf)
	构造一个可打开的网络设备的列表 pcap_open_live()
void	pcap_freealldevs (pcap_if_t *alldevsp)
	释放一个接口列表，这个列表将被 pcap_findalldevs()返回
char *	pcap_lookupdev (char *errbuf)
	返回系统中第一个合法的设备
int	pcap_lookupnet (const char device, bpf_u_int32 netp, bpf_u_int32 maskp, char errbuf)
	返回接口的子网和掩码
int	pcap_dispatch (pcap_t p, int cnt, pcap_handler callback, u_char user)
	收集一组数据包
int	pcap_loop (pcap_t p, int cnt, pcap_handler callback, u_char user)
	收集一组数据包
u_char *	pcap_next (pcap_t p, struct pcap_pkthdr h)
	返回下一个可用的数据包
int	pcap_next_ex (pcap_t p, struct pcap_pkthdr pkt_header, const u_char *pkt_data)
	从一个设备接口，或从一个脱机文件中，读取一个数据包
void	pcap_breakloop (pcap_t *)
	设置一个标志位，这个标志位会强制 pcap_dispatch() 或 pcap_loop() 返回，而不是继续循环。
int	pcap_sendpacket (pcap_t p, u_char buf, int size)
	发送一个原始数据包
void	pcap_dump (u_char user, const struct pcap_pkthdr h, const u_char *sp)
	将数据包保存到磁盘
long	pcap_dump_ftell (pcap_dumper_t *)
	返回存储文件的文件位置
int	pcap_compile (pcap_t p, struct bpf_program fp, char *str, int optimize, bpf_u_int32 netmask)
	编译数据包过滤器，将程序中高级的过滤表达式，转换成能被内核级的过滤引擎所处理的东西。 (参见过滤表达式语法)
int	pcap_compile_nopcap (int snaplen_arg, int linktype_arg, struct bpf_program program, char buf, int optimize, bpf_u_int32 mask)
	在不需要打开适配器的情况下，编译数据包过滤器。这个函数能将程序中高级的过滤表达式，转换成能被内核级的过滤引擎所处理的东西。 (参见过滤表达式语法)
int	pcap_setfilter (pcap_t p, struct bpf_program fp)
	在捕获过程中绑定一个过滤器
void	pcap_freecode (struct bpf_program *fp)
	释放一个过滤器
int	pcap_datalink (pcap_t *p)
	返回适配器的链路层
int	pcap_list_datalinks (pcap_t p, int *dlt_buf)
	列出数据链
int	pcap_set_datalink (pcap_t *p, int dlt)
	将当前pcap描述符的数据链的类型，设置成dlt给出的类型。返回-1表示设置失败。
int	pcap_datalink_name_to_val (const char *name)
	转换一个数据链类型的名字，即将具有DLT_remove的DLT_name，转换成符合数据链类型的值。转换是区分大小写的，返回-1表示错误。
const char *	pcap_datalink_val_to_name (int dlt)
	将数据链类型值转换成合适的数据链类型的名字。返回NULL表示转换失败。
const char *	pcap_datalink_val_to_description (int dlt)
	将数据链类型值转换成合适的数据链类型的简短的名字。返回NULL表示转换失败。
int	pcap_snapshot (pcap_t *p)
	返回发送给应用程序的数据包部分的大小(字节)
int	pcap_is_swapped (pcap_t *p)
	当前存储文件使用与当前系统不同的字节序列时，返回true
int	pcap_major_version (pcap_t *p)
	返回正在用来写入存储文件的pcap库的主要版本号
int	pcap_minor_version (pcap_t *p)
	返回正在用来写入存储文件的pcap库的次要版本号
FILE *	pcap_file (pcap_t *p)
	返回一个脱机捕获文件的标准流
int	pcap_stats (pcap_t p, struct pcap_stat ps)
	返回当前捕获的统计信息
void	pcap_perror (pcap_t p, char prefix)
	在标准错误输出台打印最后一次pcap库错误的文本信息，前缀是prefix。
char *	pcap_geterr (pcap_t *p)
	返回最后一次pcap库错误的文本信息
char *	pcap_strerror (int error)
	提供这个函数，以防 strerror() 不能使用。
const char *	pcap_lib_version (void)
	返回一个字符串，这个字符串保存着libpcap库的版本信息。注意，它除了版本号，还包含了更多的信息。
void	pcap_close (pcap_t *p)
	关闭一个和p关联的文件，并释放资源
FILE *	pcap_dump_file (pcap_dumper_t *p)
	返回一个由 pcap_dump_open()打开的存储文件的标准输入输出流
int	pcap_dump_flush (pcap_dumper_t *p)
	将输出缓冲写入存储文件，这样，任何使用 pcap_dump() 存储，但还没有写入文件的数据包，会被立刻写入文件。返回-1表示出错，返回0表示成功。
void	pcap_dump_close (pcap_dumper_t *p)
	关闭一个存储文件
Windows平台专用的扩展函数
本节中的函数是从libpcap扩展而来，为了提供更强大的功能（比如远程数据捕获，数据包缓存尺寸变化或高精度的数据包注入）。然而，目前，这些函数只能用于Windows平台。
PAirpcapHandle	pcap_get_airpcap_handle (pcap_t *p)
	返回一个和适配器相关联的AirPcap句柄。这个句柄可以被用来改变和CACE无线技术有关的设置。
bool	pcap_offline_filter (struct bpf_program prog, const struct pcap_pkthdr header, const u_char *pkt_data)
	当给定的过滤器应用于一个脱机数据包时，返回true
int	pcap_live_dump (pcap_t p, char filename, int maxsize, int maxpacks)
	将捕获保存到文件
int	pcap_live_dump_ended (pcap_t *p, int sync)
	返回内核堆处理的状态。例如，告诉我们由 pcap_live_dump() 定义的限制条件是否已经满足。
pcap_stat *	pcap_stats_ex (pcap_t p, int pcap_stat_size)
	返回当前捕获的统计信息。
int	pcap_setbuff (pcap_t *p, int dim)
	设置与当前适配器关联的内核缓存大小
int	pcap_setmode (pcap_t *p, int mode)
	将接口p的工作模式设置为mode
int	pcap_setmintocopy (pcap_t *p, int size)
	设置内核一次调用所受到的最小数据总数
HANDLE	pcap_getevent (pcap_t *p)
	返回与接口p关联的事件句柄
pcap_send_queue *	pcap_sendqueue_alloc (u_int memsize)
	分配一个发送队列
void	pcap_sendqueue_destroy (pcap_send_queue *queue)
	销毁一个发送队列
int	pcap_sendqueue_queue (pcap_send_queue queue, const struct pcap_pkthdr pkt_header, const u_char *pkt_data)
	将数据包加入到发送队列
u_int	pcap_sendqueue_transmit (pcap_t p, pcap_send_queue queue, int sync)
	将一个发送队列发送至网络
int	pcap_findalldevs_ex (char source, struct pcap_rmtauth auth, pcap_if_t *alldevs, char errbuf)
	创建一个网络设备列表，它们可以由 pcap_open()打开。
int	pcap_createsrcstr (char source, int type, const char host, const char port, const char name, char *errbuf)
	接收一组字符串(hot name,port,...)，并根据新的格式，返回一个完整的源字符串(比如：'rpcap://1.2.3.4/eth0')
int	pcap_parsesrcstr (const char source, int type, char host, char port, char name, char errbuf)
	解析一个源字符串，并返回分离出来的内容。
pcap_t *	pcap_open (const char source, int snaplen, int flags, int read_timeout, struct pcap_rmtauth auth, char *errbuf)
	打开一个用来捕获或发送流量(仅WinPcap)的通用源。
pcap_samp *	pcap_setsampling (pcap_t *p)
	为数据包捕获定义一个采样方法
SOCKET	pcap_remoteact_accept (const char address, const char port, const char hostlist, char connectinghost, struct pcap_rmtauth auth, char errbuf)
	阻塞，直到网络连接建立。(仅用于激活模式)
int	pcap_remoteact_close (const char host, char errbuf)
	释放一个活动连接 (仅用于激活模式).
void	pcap_remoteact_cleanup ()
	清除一个正在用来等待活动连接的socket
int	pcap_remoteact_list (char hostlist, char sep, int size, char errbuf)
	返回一个主机名，这个主机和我们建立了活动连接。(仅用于激活模式)

WinPcap: 输出函数

与Unix兼容的函数

Windows平台专用的扩展函数