Libpcap一 libpcap简介与编译

1、简介

libpcap是unix/linux平台下的网络数据包捕获函数包，大多数网络监控软件都以它为基础。Libpcap可以在绝大多数类unix平台下工作.

2、功能

（1）数据包捕获
      捕获流经本网卡的所有原始数据包，甚至对交换设备中的数据包也能够进行捕获，本功能是嗅探器的基础。
（2）自定义数据包发送
      构造任意格式的原始数据包，并发送到目标网络，本功能是新协议验证、甚至攻击验证的基础。
（3）流量采集与统计
      对所采集到的网络中的流量信息进行按照新规则分类，按指标进行统计，并输出到指定终端。利用这项功能可以分析目标网络的流量特性。
（4）规则过滤
      Libpcap自带规则过滤功能，并提供脚本编程接口，能够按照用户编程的方式对已经采集到的数据包进行过滤，以便提高分析的性能。

3、工作原理

一个包捕获机制包含三个主要部分，分别是面向底层的包捕获引擎，面向中间层的数据包过滤器，面向应用层的用户接口。
      Linux操作系统对于数据包的处理流程是从底到上的方式，依次经历网络接口卡、网卡驱动层、数据链路层、IP层、传输层，最后到达应用程序。
      Libpcap也是基于这种原理，Libpcap的捕获机制并不影响Linux操作系统中网络协议栈对数据包的处理。
      对应用程序而言，Libpcap包捕获机制只是提供了一个统一的API接口，用户只需要按照相关的编程流程，简单地调用若干函数就可以捕获到感兴趣的数据包。

具体来说，Libpcap库主要由三个部分组成，网络分接头、数据包过滤器和用户API。
（1）网络分接头
      网络分接头（Network Tap）是一种链路层旁路机制，负责采集网卡数据包。
（2）数据包过滤器
      数据包过滤器(Packet Filter)是针对数据包的一种过滤机制，在Libpcap中采用BPF(BSD Packet Filter)算法对数据包执行过滤操作，这种算法的基本思想就是基于规则匹配，对伊符合条件的额数据包进行放行。
（3）用户API
      用户API是Libpcap面向上层应用程序提供的编程接口，用户通过调用相关的函数实现数据包的捕获或者发送。
      具体来说，Libpcap的工作原理可以描述为，当一个数据包到达网卡时，Libpcap利用创建的套接字从链路层驱动程序中获得该数据包的拷贝，即旁路机制，同时通过Tap函数将数据包发给BPF过滤器。
      BPF过滤器根据用户已经定义好的过滤过则对数据包进行逐一匹配，若匹配成功则放入内核缓冲区，并传递给用户缓冲区，匹配失败则直接丢弃。如果没有设置过滤规则，所有的数据包都将放入内核缓冲区，并传递给用户缓冲区。
      其具体的工作流程如下图所示：

4、libpcap编译

4.1、下载官网链接：https://www.tcpdump.org/release/

后续所有调试与相关代码环境如下：

ubuntu16.04 libpcap-1.9.1

4.2 编译安装

make clean

./configure --host=arm-linux --with-pcap=linux --prefix=/home/ybq/libpcap-1.9.1/Demo/ CC=gcc
make
make install

configure 修改自己的安装目录（prefix），和编译器即可(CC)。