libpcap可以重新组装TCP段

Question

我需要将TCP流量吸引到我的应用程序中。

libpcap可以重组TCP段吗？我必须手动完成吗？

主页上写着“完整文档以手册页格式提供源包”。在我 sudo apt-get install libpcap-dev 之后我只找到一个人pcap。这是可用的文件还是我错过了什么？

由于

Answer 1

pcap（3）中未提及数据包或流重组。

如果我没记错的话， dsniff 工具会使用 libnids 重新组合IP数据包和TCP流。

Answer 2

三年前，我使用了libpcap，我不得不自己重新组装TCP流，这并不是很困难，但它充满了极端情况。

你可以看看wireshark解剖器和＆＃171;关注TCP流＆＃187;如果许可证（GPLv2）适用于您的项目，则选项。

Answer 3

在我（略显旧）的系统上：

root@tower:~/desktop/ccan/ccan/tap # dpkg -L libpcap0.7-dev
/.
/usr
/usr/lib
/usr/lib/libpcap.a
/usr/include
/usr/include/net
/usr/include/net/bpf.h
/usr/include/pcap.h
/usr/include/pcap-namedb.h
/usr/share
/usr/share/man
/usr/share/man/man3
/usr/share/man/man3/pcap.3.gz

嗯，好像他们应该在那里：

root@tower:~/desktop/ccan/ccan/tap # man 3 pcap
Reformatting pcap(3), please wait...

你应该有man / 3个文档，我看着我的，格式化很糟糕。我通过apt-get源抓取了源代码库，看起来像是手册页中唯一捆绑的文档。

您可以尝试使用他们的邮件列表，如果您这样做，请务必在此处回答您的问题：）

Answer 4

不，libpcap不会进行TCP段重组 - libpcap会捕获数据包，但处理数据包数据会留给应用程序或应用程序使用的库。

至于手册页，旧版本的libpcap只有pcap（3）手册页，除了pcap（3PCAP）之外，新版本还有一些特定例程的其他手册页。