libpcap是一個C語言庫,，libpcap的英文意思是 Packet Capture library，即數(shù)據(jù)包捕獲函數(shù)庫,，其功能是通過網(wǎng)卡抓取網(wǎng)絡(luò)以太網(wǎng)中的數(shù)據(jù)包,。這個庫為不同的平臺提供了一致的c函數(shù)編程接口,，在安裝了 libpcap 的平臺上,，以 libpcap 為接口寫的程序,、應(yīng)用,，能夠自由地跨平臺使用,。它支持多種操作系統(tǒng)。libpcap 結(jié)構(gòu)簡單，使用方便,；它提供了20多個api封裝函數(shù),，我們利用這些api函數(shù)即可完成本網(wǎng)絡(luò)探測器所需的網(wǎng)絡(luò)數(shù)據(jù)包監(jiān)聽功能,。

• 網(wǎng)絡(luò)統(tǒng)計軟件
• 入侵檢測系統(tǒng)
• 網(wǎng)絡(luò)調(diào)試
• 數(shù)據(jù)包過濾，支持過濾機制BPF

基于pcap的嗅探器程序的總體架構(gòu),，其流程如下：

1. 首先要決定用哪一個接口進行嗅探開始。在Linux中,，這可能是eth0,，而在BSD系統(tǒng)中則可能是xl1等等。我們也可以用一個字符串來定義這個設(shè)備,，或者采用pcap提供的接口名來工作,。
2. 初始化pcap。在這里需要告訴pcap對什么設(shè)備進行嗅探,。假如愿意的話,，我們還可以嗅探多個設(shè)備。怎樣區(qū)分它們呢,？使用 文件句柄。就像打開一個文件進行讀寫一樣，必須命名我們的嗅探“會話”,，以此使它們各自區(qū)別開來,。
3. 如果只想嗅探特定的傳輸（如TCP/IP包，發(fā)往端口23的包等等）,，我們必須創(chuàng)建一個規(guī)則集合,，編譯并且使用它。這個過程分為三個相互緊密關(guān)聯(lián)的階段。規(guī)則集合被置于一個字符串內(nèi),，并且被轉(zhuǎn)換成能被pcap讀的格式(因此編譯它),。編譯實際上就是在我們的程序里調(diào)用一個不被外部程序使用的函數(shù),。接下來我們要告訴 pcap使用它來過濾出我們想要的那一個會話,。(此步驟可選)
4. 最后，我們告訴pcap進入它的主體執(zhí)行循環(huán),。在這個階段內(nèi)pcap一直工作到它接收了所有我們想要的包為止,。每當它收到一個包就調(diào)用另一個已經(jīng)定義好的函數(shù),，這個函數(shù)可以做我們想要的任何工作，它可以剖析所部獲的包并給用戶打印出結(jié)果,，它可以將結(jié)果保存為一個文件,，或者什么也不作。
5. 在嗅探到所需的數(shù)據(jù)后，我們要關(guān)閉會話并結(jié)束,。

函數(shù)名稱：pcap_t *pcap_open_live(char *device, int snaplen, int promisc, int to_ms, char *ebuf)
函數(shù)功能：獲得用于捕獲網(wǎng)絡(luò)數(shù)據(jù)包的數(shù)據(jù)包捕獲描述字,。
參數(shù)說明：device參數(shù)為指定打開的網(wǎng)絡(luò)設(shè)備名。snaplen參數(shù)定義捕獲數(shù)據(jù)的最大字節(jié)數(shù),。promisc指定是否將網(wǎng)絡(luò)接口置于混雜模式。to_ms參數(shù)指*定超時時間（毫秒）。ebuf參數(shù)則僅在pcap_open_live()函數(shù)出錯返回NULL時用于傳遞錯誤消息,。

函數(shù)名稱：pcap_t *pcap_open_offline(char *fname, char *ebuf)
函數(shù)功能：打開以前保存捕獲數(shù)據(jù)包的文件,，用于讀取,。
參數(shù)說明：fname參數(shù)指定打開的文件名,。該文件中的數(shù)據(jù)格式與tcpdump和tcpslice兼容,?！?“為標準輸入。ebuf參數(shù)則僅在pcap_open_offline()函數(shù)出錯返回NULL時用于傳遞錯誤消息。

函數(shù)名稱：pcap_dumper_t *pcap_dump_open(pcap_t *p, char *fname)
函數(shù)功能：打開用于保存捕獲數(shù)據(jù)包的文件,，用于寫入,。
參數(shù)說明：fname參數(shù)為”-“時表示標準輸出,。出錯時返回NULL。p參數(shù)為調(diào)用pcap_open_offline()或pcap_open_live()函數(shù)后返回的pcap結(jié)構(gòu)指針。fname參數(shù)指定打開的文件名,。如果返回NULL,，則可調(diào)用pcap_geterr()函數(shù)獲取錯誤消 息,。

函數(shù)名稱：char *pcap_lookupdev(char *errbuf)
函數(shù)功能：用于返回可被pcap_open_live()或pcap_lookupnet()函數(shù)調(diào)用的網(wǎng)絡(luò)設(shè)備名指針。參數(shù)說明：如果函數(shù)出錯，則返回NULL，同時errbuf中存放相關(guān)的錯誤消息。

函數(shù)名稱：int pcap_lookupnet(char *device, bpf_u_int32 *netp,bpf_u_int32 *maskp, char *errbuf)
函數(shù)功能：獲得指定網(wǎng)絡(luò)設(shè)備的網(wǎng)絡(luò)號和掩碼。
參數(shù)說明：netp參數(shù)和maskp參數(shù)都是bpf_u_int32指針,。如果函數(shù)出錯,，則返回-1,，同時errbuf中存放相關(guān)的錯誤消息,。

函數(shù)名稱：int pcap_dispatch(pcap_t *p, int cnt,pcap_handler callback, u_char *user)
函數(shù)功能：捕獲并處理數(shù)據(jù)包,。
參數(shù)說明：cnt參數(shù)指定函數(shù)返回前所處理數(shù)據(jù)包的最大值。cnt=-1表示在一個緩沖區(qū)中處理所有的數(shù)據(jù)包,。cnt=0表示處理所有數(shù)據(jù)包,，直到產(chǎn)生以下錯誤之一：讀取到EOF,；超時讀取,。callback參數(shù)指定一個帶有三個參數(shù)的回調(diào)函數(shù)，這三個參數(shù)為：一個從pcap_dispatch()函數(shù)傳遞過來的u_char指針,，一個pcap_pkthdr結(jié)構(gòu)的指針,，和一個數(shù)據(jù)包大小的u_char指針。如果成功則返回讀取到的字節(jié)數(shù)。讀取到EOF時則返回零值,。出錯時則返回-1,，此時可調(diào)用pcap_perror()或pcap_geterr()函數(shù)獲取錯誤消息。

函數(shù)名稱：int pcap_loop(pcap_t *p, int cnt,pcap_handler callback, u_char *user)
函數(shù)功能：功能基本與pcap_dispatch()函數(shù)相同,，只不過此函數(shù)在cnt個數(shù)據(jù)包被處理或出現(xiàn)錯誤時才返回,，但讀取超時不會返回。而如果為pcap_open_live()函數(shù)指定了一個非零值的超時設(shè)置,，然后調(diào)用pcap_dispatch()函數(shù),，則當超時發(fā)生時pcap_dispatch()函數(shù)會返回。cnt參數(shù)為負值時pcap_loop()函數(shù)將始終循環(huán)運行,，除非出現(xiàn)錯誤,。

函數(shù)名稱：void pcap_dump(u_char *user, struct pcap_pkthdr *h,u_char *sp)
函數(shù)功能：向調(diào)用pcap_dump_open()函數(shù)打開的文件輸出一個數(shù)據(jù)包。該函數(shù)可作為pcap_dispatch()函數(shù)的回調(diào)函數(shù),。

函數(shù)名稱：int pcap_compile(pcap_t *p, struct bpf_program *fp,char *str, int optimize, bpf_u_int32 netmask)
函數(shù)功能：將str參數(shù)指定的字符串編譯到過濾程序中,。
參數(shù)說明：fp是一個bpf_program結(jié)構(gòu)的指針，在pcap_compile()函數(shù)中被賦值,。optimize參數(shù)控制結(jié)果代碼的優(yōu)化,。netmask參數(shù)指定本地網(wǎng)絡(luò)的網(wǎng)絡(luò)掩碼。

函數(shù)名稱：int pcap_setfilter(pcap_t *p, struct bpf_program *fp)
函數(shù)功能：指定一個過濾程序,。
參數(shù)說明：fp參數(shù)是bpf_program結(jié)構(gòu)指針,，通常取自pcap_compile()函數(shù)調(diào)用。出錯時返回-1,；成功時返回0,。

函數(shù)名稱：u_char *pcap_next(pcap_t *p, struct pcap_pkthdr *h)
函數(shù)功能：返回指向下一個數(shù)據(jù)包的u_char指針。

函數(shù)名稱：int pcap_datalink(pcap_t *p)
函數(shù)功能：返回數(shù)據(jù)鏈路層類型,，例如DLT_EN10MB,。

函數(shù)名稱：int pcap_snapshot(pcap_t *p)
函數(shù)功能：返回pcap_open_live被調(diào)用后的snapshot參數(shù)值。

函數(shù)名稱：int pcap_is_swapped(pcap_t *p)
函數(shù)功能：返回當前系統(tǒng)主機字節(jié)與被打開文件的字節(jié)順序是否不同,。

函數(shù)名稱：int pcap_major_version(pcap_t *p)
函數(shù)功能：返回寫入被打開文件所使用的pcap函數(shù)的主版本號,。

函數(shù)名稱：int pcap_minor_version(pcap_t *p)
函數(shù)功能：返回寫入被打開文件所使用的pcap函數(shù)的輔版本號。

函數(shù)名稱：int pcap_stats(pcap_t *p, struct pcap_stat *ps)
函數(shù)功能：向pcap_stat結(jié)構(gòu)賦值,。成功時返回0。這些數(shù)值包括了從開始捕獲數(shù)據(jù)以來至今共捕獲到的數(shù)據(jù)包統(tǒng)計,。如果出錯或不支持數(shù)據(jù)包統(tǒng)計,，則返回-1，且可調(diào)用pcap_perror()或pcap_geterr()函數(shù)來獲取錯誤消息,。

函數(shù)名稱：FILE *pcap_file(pcap_t *p)
函數(shù)功能：返回被打開文件的文件名,。

函數(shù)名稱：int pcap_fileno(pcap_t *p)
函數(shù)功能：返回被打開文件的文件描述字號碼。

函數(shù)名稱：void pcap_perror(pcap_t *p, char *prefix)
函數(shù)功能：在標準輸出設(shè)備上顯示最后一個pcap庫錯誤消息。以prefix參數(shù)指定的字符串為消息頭,。

函數(shù)名稱：char *pcap_geterr(pcap_t *p)
函數(shù)功能：返回最后一個pcap庫錯誤消息,。

函數(shù)名稱：char *pcap_strerror(int error)
函數(shù)功能：如果strerror()函數(shù)不可用，則可調(diào)用pcap_strerror函數(shù)替代,。

函數(shù)名稱：void pcap_close(pcap_t *p)
函數(shù)功能：關(guān)閉p參數(shù)相應(yīng)的文件,，并釋放資源。

函數(shù)名稱：void pcap_dump_close(pcap_dumper_t *p)
函數(shù)功能：關(guān)閉相應(yīng)的被打開文件,。

1. 到網(wǎng)站www.下載最新版 libpcap-0.9.6.tar.gz
2. 解壓安裝包：tar –zxvf libpcap-0.9.6.tar.gz, 產(chǎn)生目錄libpcap-0.9.6
3. cd libpcap-0.9.6
4. ./configure
5. Make;make installl

在Turbolinux系列產(chǎn)品中,，libpcap已經(jīng)是基本庫之一，不必再進行下載配置,。

下面是一段數(shù)據(jù)包捕獲程序test.c,，每捕獲一個數(shù)據(jù)包時打印信息“A packet is captured!”。

  #include <stdio.h>
  #include <pcap.h>

  int main (int argc, char* argv[])
  {
          /*the printer running when packet have captured*/
          void printer()
          {
                  printf("A packet is captured!\n");
                  return;
          }

          /*the error code buf of libpcap*/
          char ebuf[PCAP_ERRBUF_SIZE];
          /*create capture handler of libpcap*/
          pcap_t *pd = pcap_open_live ("eth0", 68, 0, 1000, ebuf);

          /*start the loop of capture, loop 5 times, enter printer when capted*/
          pcap_loop (pd, 5, printer, NULL);

          pcap_close (pd);
          return 0;
  }

1. 編譯gcc –o test test.c –lpcap
2. 運行./test
3. 輸出結(jié)果：

  A packet is captured!
  A packet is captured!
  A packet is captured!
  A packet is captured!
  A packet is captured!