2. 程式人生 > >使用libpcap抓取所有的http包

使用libpcap抓取所有的http包

阿新 發佈:2018-11-05 
/* Simple Raw Sniffer                                                    */ 
/* Author: Luis Martin Garcia. luis.martingarcia [.at.] gmail [d0t] com  */
/* To compile: gcc httpsniffer.c -o httpsniffer -lpcap               */ 
/* Run as root!                                                          */ 
/*                                                                       */
 

/* This code is distributed under the GPL License. For more info check:  */
/* http://www.gnu.org/copyleft/gpl.html                                  */

#include <pcap.h> 
#include <string.h> 
#include <stdlib.h> 
#include <netinet/ip.h>
#include <netinet/tcp.h>
#include <net/ethernet.h>
 


#define MAXBYTES2CAPTURE 2048 


/* processPacket(): Callback function called by pcap_loop() everytime a packet */
/* arrives to the network card. This function prints the captured raw data in  */
/* hexadecimal.                                                                */
void processPacket(u_char *arg, const
 
 struct pcap_pkthdr* pkthdr, const u_char * packet){ 
struct ether_header *ethernet;
struct iphdr *ip;
struct tcphdr *tcp;
u_char *payload;
 int i=0, *counter = (int *)arg; 
/*
printf("size_ethernet:%d\n",ETHER_HDR_LEN);
printf("size_ip:%d\n",sizeof(struct iphdr));
printf("size_tcp:%d\n",sizeof(struct tcphdr));
 printf("Packet Count: %d\n", ++(*counter)); 
 printf("Received Packet Size: %d\n", pkthdr->len); 
*/
ethernet = (struct ether_header*)(packet);
ip = (struct iphdr*)(packet + ETHER_HDR_LEN);
tcp = (struct tcphdr*)(packet + ETHER_HDR_LEN+ sizeof(struct iphdr));
payload = (u_char *)(packet + ETHER_HDR_LEN + sizeof(struct iphdr) + sizeof(struct tcphdr));    
if(strstr(payload,"HTTP")!=NULL){
printf("%d\tPayload:\n", ++(*counter)); 
printf("%s\n",payload);
}

 return; 
} 



/* main(): Main function. Opens network interface and calls pcap_loop() */
int main(int argc, char *argv[] ){ 

 int i=0, count=0; 
 pcap_t *descr = NULL; 
 char errbuf[PCAP_ERRBUF_SIZE], *device=NULL; 
 memset(errbuf,0,PCAP_ERRBUF_SIZE); 

 if( argc > 1){  /* If user supplied interface name, use it. */
    device = argv[1];
 }
 else{  /* Get the name of the first device suitable for capture */ 

    if ( (device = pcap_lookupdev(errbuf)) == NULL){
        fprintf(stderr, "ERROR: %s\n", errbuf);
        exit(1);
    }
 }

 printf("Opening device %s\n", device); 

 /* Open device in promiscuous mode */ 
 if ( (descr = pcap_open_live(device, MAXBYTES2CAPTURE, 1,  512, errbuf)) == NULL){
    fprintf(stderr, "ERROR: %s\n", errbuf);
    exit(1);
 }

 /* Loop forever & call processPacket() for every received packet*/ 
 if ( pcap_loop(descr, -1, processPacket, (u_char *)&count) == -1){
    fprintf(stderr, "ERROR: %s\n", pcap_geterr(descr) );
    exit(1);
 }

return 0; 

} 

/* EOF*/

執行效果如圖:
這裡寫圖片描述

對程式的修改,添加了過濾器(只處理tcp資料),並把捕捉到的包儲存到pcap檔案

/*capture tcp packet and save as pcap file*/
/* print http payload*/
/*author : StSahana */
#include <pcap.h> 
#include <string.h> 
#include <stdlib.h> 
#include <netinet/ip.h>
#include <netinet/tcp.h>
#include <net/ethernet.h>

#define MAXBYTES2CAPTURE 65535
static pcap_dumper_t* dump_handle = NULL; //output trace dump() handle

void processPacket(u_char *arg, const struct pcap_pkthdr* pkthdr, const u_char * packet) {
    pcap_dump(((u_char*)dump_handle), pkthdr, packet);
    struct ether_header *ethernet;
    struct iphdr *ip;
    struct tcphdr *tcp;
    u_char *payload;
    int *counter = (int *)arg;

    ethernet = (struct ether_header*)(packet);
    ip = (struct iphdr*)(packet + ETHER_HDR_LEN);
    tcp = (struct tcphdr*)(packet + ETHER_HDR_LEN + sizeof(struct iphdr));
    payload = (u_char *)(packet + ETHER_HDR_LEN + sizeof(struct iphdr) + sizeof(struct tcphdr));
    if (strstr(payload, "HTTP") != NULL) {
        printf("%d\tPayload:\n", ++(*counter));
        printf("%s\n", payload);
    }

    return;
}



/* main(): Main function. Opens network interface and calls pcap_loop() */
int main(int argc, char *argv[]) {
    char *filtro = "tcp and port 80";
    struct bpf_program fp;
    int i = 0, count = 0;
    pcap_t *descr = NULL;
    char errbuf[PCAP_ERRBUF_SIZE], *device = NULL;
    static FILE* dump_file = NULL;  //
    bpf_u_int32 mask;       /* Our netmask */
    bpf_u_int32 net;        /* Our IP */
int num_packets=100;/*number of packets to capture,when  -1 will not stop*/


    memset(errbuf, 0, PCAP_ERRBUF_SIZE);

    if (argc > 1) {  /* If user supplied interface name, use it. */
        device = argv[1];
    }
    else {  /* Get the name of the first device suitable for capture */

        if ((device = pcap_lookupdev(errbuf)) == NULL) {
            fprintf(stderr, "ERROR: %s\n", errbuf);
            exit(1);
        }
    }

    printf("Opening device %s\n", device);

    /* Open device in promiscuous mode */
    if ((descr = pcap_open_live(device, MAXBYTES2CAPTURE, 1, 512, errbuf)) == NULL) {
        fprintf(stderr, "ERROR: %s\n", errbuf);
        exit(1);
    }
    /*compile program*/
    if (pcap_compile(descr, &fp, filtro, 0, net) == -1)
    {
        exit(1);
    }
    /*set filter*/
    if (pcap_setfilter(descr, &fp) == -1)
    {
        fprintf(stderr, "Error set Filter\n");
        exit(1);
    }
    dump_file = fopen("test.pcap", "w+");
    if ((dump_handle = pcap_dump_fopen(descr, dump_file)) == NULL) {
        fprintf(stderr, "Error dump fopen\n");
        exit(1);
    };

    /* Loop forever & call processPacket() for every received packet*/
    if (pcap_loop(descr, num_packets, processPacket, (u_char *)&count) == -1) {
        fprintf(stderr, "ERROR: %s\n", pcap_geterr(descr));
        exit(1);
    }
    if(NULL!=dump_handle)
{
   pcap_dump_flush(dump_handle);
   pcap_dump_close(dump_handle);
   dump_handle = NULL;
   dump_file = NULL;
}
    pcap_close(descr);
    return 0;

}

/* EOF*/

相關推薦

使用libpcap所有的http

/* Simple Raw Sniffer */ /* Author: Luis Martin Garcia. luis.martingarcia [.at.] gmail [d0t]

libpcap完整的http分包;http分包的拼機制,

1,建立一個buffer list,  這個buffer list的總體大小不超過4M, 2,抓包: 網路包都大於64byte; 如果小於64,當做壞包處理, 3,如果當前的list 是空,並且整個包長小於 140 (tcp + http head ... 知道出現con

原始套接字所有乙太網資料與分析

If you have any idea, just send comments to me. 1.原始套接字介紹 關於socket使用客戶機/伺服器模型的 SOCK_STREAM 或者 SOCK_DGRAM 用於 TCP 和 UDP 連線的應用更為普遍

ubuntu 下使用tcpdump TCP資料

問題來源: 需要測試一個閘道器(包括機頂盒和路由器),網線直接連線電腦和待測機器。配置IP地址為192.168.1.100,保證IP地址與網線另一端閘道器IP地址192.168.1.1在同一個網段。 手頭有傳送的json報文資料段,直接用win7下的tcp通訊助手傳送總是失敗,得不到正確的響

利用python指令碼執行tcpdump,支援傳參、併發多個、檔案迴圈覆蓋

#!/usr/bin/env python # AUTH: [email protected] """ tcpdump -i any -s 0 -w /opt/log/tcpdump/2018-07-19--10-43-30.pcap tcp and

WIFI空中工具--OmniPeek

1. 簡介 wifi的連線互動,是在路由跟連線裝置之間進行的,而這中間的媒介是空氣,而如何抓取到這空中的互動過程,就有了Sniffer,而這OmniPeek就可以抓取這空中包,以便分析WIFI中間發

wireshark本地資料

windows系統中,本地向自身傳送資料包沒有經過真實的網路介面,而是通過環路(loopback interface)介面傳送,所以使用基於只能從真實網路介面中抓資料的winpcap是無法抓取本地資料包,需要使用npcap,npcap是基於winpcap 4.1.3開發的,api相容WinPcap,

模擬器配置使用burpsuitehttps資料

在利用模擬器對app進行測試時,往往需要抓取資料包進行分析,當app採用HTTPS協議並需要對證書的有效性進行驗證時,在模擬器中設定代理後,app會出現“網路狀況不佳”或“當期網路錯誤” 部分內容無法顯示等問題: 解決該問題的主要步驟為: 一、在模擬器中安裝

經驗分享 | BurpsuiteHTTP流量

使用Burp對安卓應用進行滲透測試的過程中,有時候會遇到某些流量無法攔截的情況,這些流量可能不是HTTP協議的,或者是“比較特殊”的HTTP協議(以下統稱非HTTP流量)。遇到這種情況,大多數人會選擇切換到Wireshark等抓包工具來分析。下面要介紹的,是給測試人員另一個選擇——通過Burpsuite外

如何用Charles 軟體https的

1、安裝Charles 電腦端裝Charles的安裝軟體(我裝的是mac 系統 Charles 3.10.2 的版本)。 2、配置Charles 2.1   獲取電腦端的IP地址。如圖: 2.2    手機端設定代理 (1)、 (2) 2.3  請求介

charleshttps請求

說明:用charles抓取https請求,會出現SSL Proxying disabled in Proxy Settings這樣的提示,如下圖。要通過charles抓取資料,還需要進行一些簡單的設定。具體:1. 安裝charles ca證書1.1 選擇 help | In

Mac上面利用charleshttps的(android手機版)

Mac上面利用charles抓取https的包(android手機版)   一、更新charles版本 需要下載最新的charles版本至3.11;   二、配置 help->SSLProxying-> Install Charles Roo

解決windows10下面無法charles資料問題

http://blog.csdn.net/lyhdream/article/details/52288886 在windows10下發現使用charles無法抓取資料包 網上差了一下,說是防火牆的問題 於是關閉防火牆後,發現果然能夠抓取資料包了,但是關閉防火牆後並不是一

網路工具Wireshark如何本機

       筆者在很久之前用過其他的網路抓包工具,最近想著使用鼎鼎大名的網路抓包工具Wireshark,但是一開始始終無法抓取到本機網路包,telnet localhost 8080這種都沒法抓取,查過資料之後才知道,  windows系統沒有提供本地迴環網路的介面,用

手機利用charleshttps請求

說明:PC端 用charles抓取https請求,會出現SSL Proxying disabled in Proxy Settings這樣的提示,如下圖。要通過charles抓取資料,還需要進行一些簡單的設定。具體:1. 安裝charles ca證書1.1 選擇 help | Install Charles

【安全工具】瀏覽器下Burpsuitehttps資料

What 很多人一直在困擾的Burpsuite配置問題,請認真反問下自己以下問題(ps: 都100%確定的話就不用繼續往下看了,免得waste time…): burp的代理選擇地址是否正確? 代理外掛是否禁用?(其實不用禁用,可以往下看) 證書

wireshark如何本機

        在進行通訊開發的過程中,我們往往會把本機既作為客戶端又作為伺服器端來除錯程式碼,使得本機自己和自己通訊。但是wireshark此時是無法抓取到資料包的,需要通過簡單的設定才可以。 

Burp Suitegzip資料

把資料包儲存到檔案,這裡我只需要請求(request)包【如果request/response包都是gzip編碼另說】,因此在Burp→Proxy→HTTP history中不能直接Save item,需要Send to Repeater,然後Copy to file而不是Save item

如何用fiddlerhttps的

  現在很多帶有比較重要資訊的介面都使用了安全性更高的HTTPS,而Fiddler預設是抓取HTTP型別的介面,要想檢視HTTPS型別介面就需要安裝fiddler證書。就來介紹下,如何用fiddler來抓取https的請求。 1、首先確保安裝的 Fiddler 是較

Linux的網路資料命令tcpdump

tcpdump是Linux命令列下常用的的一個抓包工具。 tcpdump的命令格式 tcpdump的引數眾多,通過man tcpdump可以檢視tcpdump的詳細說明。 tcpdump [-i