给libpcap增加一个新的捕包方法

原贴:http://www.cnblogs.com/jintianfree/p/4393240.html

libpcap是一个网络数据包捕获函数库，功能非常强大，提供了系统独立的用户级别网络数据包捕获接口，Libpcap可以在绝大多数类unix 平台下工作。大多数网络监控软件都以它为基础，著名的tcpdump就是以它为基础的。tcpdump是linux下一个非常重要的网络工具，可以将网络 中传送的数据包的“头”完全截获下来提供分析。它支持针对网络层、协议、主机、网络或端口的过滤，并提供and、or、not等逻辑语句来帮助你去掉无用 的信息。很多时候为了提升捕包性能，我们通常使用修改过的驱动或者专用网卡来收包，这样就导致libpcap无法工作了，但我们又需要tcpdump来进
行调试等工作。这样就需要我们修改libpcap，以支持我们的收包方式。比如pfring就是这样处理的。

这是本文在我自己搭建博客的地址 欢迎访问 http://www.itblogs.ga/blog/20150404222832/
为libpcap添加一个捕包方法非常简单，下面代码先实现捕获内存中一个固定包的功能，保证能够工作后，再去支持专有驱动或者专用网卡的收包。以下所涉及的libpcap代码和tcpdump代码，版本分别为libpcap-1.7.2，tcpdump-4.1.1。

首先添加两个文件，编写收包的代码，可以参考的代码还是挺多的，比如pcap-snoop.c、pcap-can-linux.c等。

pcap-ring.h

pcap-ring.c

修改pcap.c，支持新的收包方式。

pcap.c

修改 Makefile.in ，将新添加的文件编译进去。

接下来可以编译了：

./configure

make

可以看到libpcap.a了。

接下编译tcpdump-4.1.1

./configure

make

运行：

可以看到，tcpdump能拿到包并解析了。