Как захватить трафик с нескольких интерфейсов, используя pcap

Question

Чтобы прослушать несколько интерфейсов, используя pcap, я бы сделал следующее (в псевдокоде):

foreach interface:
    open a file descriptor using pcap_open_live()
    set the file descriptor to non-blocking

while true:
    check for a ready file descriptor using select() or an equivalent I/O multiplexer
    read data from every ready file descriptor using pcap_dispatch()
    handle EndOfStream or Errors and break out of loop if needed

Достаточно ли этого или есть какие-то особые предостережения, которые необходимо учитывать?

Answer 1

#include <stdio.h>
#include <stdlib.h>
#include <pcap.h>  /* GIMME a libpcap plz! */
#include <errno.h>
#include <sys/socket.h>
#include <netinet/in.h>
#include <arpa/inet.h>  

void callback(u_char *useless,const struct pcap_pkthdr* pkthdr,const u_char* packet)
{
  static int count = 1;
  printf("\nPacket number [%d], length of this packet is: %d\n", count++, pkthdr->len);
}

void pktinit(char *dev) /*function: for individual interface packet capturing*/
{
    char errbuf[PCAP_ERRBUF_SIZE];
    pcap_t* descr;
    struct bpf_program fp;        /* to hold compiled program */
    bpf_u_int32 pMask;            /* subnet mask */
    bpf_u_int32 pNet;             /* ip address*/
    pcap_if_t *alldevs, *d;
    char dev_buff[64] = {0};
    int i =0;
    pcap_lookupnet(dev, &pNet, &pMask, errbuf);
    descr = pcap_open_live(dev, BUFSIZ, 0,-1, errbuf);
    if(descr == NULL)
    {
        printf("pcap_open_live() failed due to [%s]\n", errbuf);
        return -1;
    }
    return 0;
}

int main(int argc, char **argv)
{
    int pid,i;
    if(argc < 2) /*command <eth0> [eth1]...*/
    {
        fprintf(strerr,"command needs ethernet name")
        return 0;
    }
    for(i = 1; i < argc; i++)
    {
        if((pid=fork()) != -1)
        {
            pktinit(argv[i])
        }
        else
        {
            fprintf(stderr,"pacp failed for: %s\n", argv[i]);
        }
    }
    return 0;
}

gcc file.c -lpcap

. / File eth0 eth1 wlan0

Answer 2

Предостережения и методы многократного анализа интерфейса хорошо объяснены здесь

Answer 3

Я столкнулся с некоторыми проблемами при попытке захвата с определенных интерфейсов с помощью pcap и спросил об этом здесь.Казалось, мало кто был знаком с pcap.Мои проблемы и ответ, который я наконец-то получил, указывая на очень полезные детали, можно найти здесь по ссылке ниже, которая может оказаться полезной:

Запутано libcap (pcap) и беспроводной

Answer 4

Для захвата пакетов от нескольких сетевых интерфейсов вам нужно вызвать fork() новый дочерний процесс, а затем выполнить pcap_lookupnet(), а затем pcap_open_live().

Примечание: Нельзя использовать поток вместо создания дочернего процесса для каждого сетевого интерфейса.