学习使用Jpcap抓取数据包过程中的一些记录和问题

1. Jpcap
Jpcap是一个基于Java主要用来捕获网络数据包并进行处理的中间件，通过调用外部动态链接库（Windows下.dll,
Linux下 .so）的形式弥补了Java不能处理数据链路层的缺陷。
2. 环境搭建
在http://jpcap.sourceforge.net/下载最新
Jpcap 打包资源

Window jpcap-x.xx.xx-win32.zip
Linux jpcap-x.xx.xx.tar.gz
(x.xx.xx为版本号，具体参考官网)

以下环境在Window系统上搭建
1）把资源包下 lib/jpcab.dll文件拷贝到当前编译环境的jre/bin目录下。

PS：使用 myEclipse作为IDE的同学如果没有设置本地JDK路径会默认在myEclipse安装的同级路径下生成AppData文件夹，以下是我的当前
jre 路径
G:\AppData\Local\Genuitec\Common\binary\com.sun.java.jdk.win32.x86_1.6.0.013\jre

2）资源包下 jars/ net.sourceforge.jpcap-x.xx.xx.jar添加到项目的Reference Libraries里
或者将路径添加到classPath里。Jars/javadoc_net.sourceforge.jpcap-x.xx.xx.jar为Jpcap的API开发文档。
3.
案例

以下是Jpcap官方给出的第一个例子

import net.sourceforge.jpcap.capture.*;

import net.sourceforge.jpcap.net.*;

public classExample1

{

privatestaticfinal intINFINITE = -1;

privatestaticfinal intPACKET_COUNT = 10;

//BPF filter for capturing any packet

privatestaticfinal StringFILTER =  "";

privatePacket Capturem_pcap;

private Stringm_device;

publicExample1()throws Exception {

//Step 1: Instantiate Capturing Engine

m_pcap =newPacketCapture();

//Step 2:  Check for devices

// 此处官方的例子给出的是m_device = m_pcap.findDevice();经过测试，得到两个结果：

// 1）findDevice()方法取到的device的名字额外包括了适配器具体的名字

//   以下是我输出的结果：

//   \Device\NPF_{EB07CCEA-BFDC-4438-B73D-AB507CFDF470}

//   BroadcomNetLink (TM) Gigabit Ethernet Driver

//   红字部分才是 device需要的名字，多出来适配器的名字后，在接下来用open()调用动态链

//   接库的时候会报CaptureDeviceOpenException：Erroropening adapter异常

//    所以我用subString取了前面有效的部分正好是50个字符，具体的PC也许需要具体测试。

// 2）由于我的本机有包括虚拟网卡在内的共5个网卡适配器，findDevice()默认只取了第一个适

//     配器，并不是那个连着外网的适配器，所以抓不到何与外网交互产生的数据包，于是我用

//     PacketCapture.lookupDevices()取得了所有可用的device，然后挨个测试，确定了

//     第4个device就是那个产生多数据包的适配器，同样，这个参数也需要具体测试。

m_device  = PacketCapture.lookupDevices()[4].substring(0, 50);

//Step 3: Open Device for Capturing(requires root)

m_pcap.open(m_device,false);

//Step 4: Add a BPF Filter (seetcpdumpdocumentation)

m_pcap.setFilter(FILTER,true);

//Step 5: Register a Listener for RawPackets

m_pcap.addRawPacketListener(newRawPacketHandler());

// Step 6:  Capture Data (max. PACKET_COUNT packets)

// 这里的参数表示具体指定捕获多少个包，设为-1时将会一直捕获直到报错或程序退出

m_pcap.capture(PACKET_COUNT);

}

publicstaticvoid main(String[] args) {

try {

Example1 example = new Example1();

} catch(Exceptione) {

e.printStackTrace();

System.exit(1);

}

}

}

class RawPacketHandlerimplementsRawPacketListener

{

privatestaticintm_counter = 0;

publicvoidrawPacketArrived(RawPacket data) {

m_counter++;

System.out.println("Receivedpacket (" +m_counter +")");

}

}

之后我重新写了这个捕获包的监听器为了只抓TCP的包
先把 Step5替换成
m_pcap.addPacketListener(newTcpPacketHandler());

接下来改了原来那个RawPacketHandler类

class TcpPacketHandlerimplementsPacketListener {

@Override

publicvoidpacketArrived(Packet packet) {

try {

//only handle TCP packets

if(packetinstanceofTCPPacket) {

TCPPacket tcpPacket = (TCPPacket) packet;

byte[] data= tcpPacket.getTCPData();

StringsrcHost = tcpPacket.getSourceAddress();

StringdstHost = tcpPacket.getDestinationAddress();

StringisoData = new String(data,"ISO-8859-1");

System.out.println(srcHost+" -> " + dstHost +":" + isoData);

}

} catch(Exception e) {

e.printStackTrace();

}

}

}

在我运行后发现一个TCP包都捕获不到。
于是我用System.out.println(packet.getClass().getName());打印了所有捕获的
包的类型

结果如下图：



从中发现，捕获到最多的包是EthernetPackage，然后少数的IPPackage和ARPPackage

研究猜测了一种可能，就是网络层的许多包（包括TCP/UDP）在以太网上传输的时候被封装成了以太包。

具体得到其中TCPPacket的办法还在寻找，有知道的请指教一下，拜谢。