标签:
WinPcap(windows packet capture)
它包括一个核心态的包过滤器NPF,一个底层的动态链接库(packet.dll)和一个高层的不依赖于系统的库(wpcap.dll)。
[winpcap 中文在线帮助]
http://www.ferrisxu.com/WinPcap/html/main.html
[安装使用帮助]
http://www.cnblogs.com/phinecos/archive/2008/10/20/1315176.html
pcap捕获数据包时,使用pcap_loop之类的函数,其回调函数(报文处理程序handler) 有一个参数的类型为pcap_pkthdr,其中有两个数据域caplen和len,如下:
struct pcap_pkthdr {
struct timeval ts; /* time stamp */
bpf_u_int32 caplen; /* length of portion present */
bpf_u_int32 len; /* length this packet (off wire) */
};
ts:时间戳
cpalen:当前分组的长度
len:数据包的长度
caplen——真正实际捕获的包的长度
len——该包在发送端发出时的长度
因 为在某些情况下你不能保证捕获的包是完整的,例如一个包长1480,但是你捕获到1000的时候,可能因为某些原因就中止捕获了,所以caplen是记录 实际捕获的包长,也就是1000,而len就是1480。len可以根据ip头部的u_short total_len域计算出来
WinPcap 简介
标签:
原文地址:http://www.cnblogs.com/bigworld/p/4484064.html