一文教你如何用 C 代码解析一段网络数据包？

本文的目的是通过随机截取的一段网络数据包，然后根据协议类型来解析出这段内存。

学习本文需要掌握的基础知识：

1. 网络协议
2. C语言
3. Linux操作
4. 抓包工具的使用

其中抓包工具的安装和使用见下文：

《一文包你学会网络数据抓包》

一、截取一个网络数据包

通过抓包工具，随机抓取一个tcp数据包

科莱抓包工具解析出的数据包信息如下：数据包的内存信息：数据信息可以直接拷贝出来：

二、用到的结构体

下面，一口君就手把手教大家如何解析出这些数据包的信息。

我们可以从Linux内核中找到协议头的定义

• 以太头：

drivers\staging\rtl8188eu\include\if_ether.h 
struct ethhdr {
 unsigned char h_dest[ETH_ALEN]; /* destination eth addr */
 unsigned char h_source[ETH_ALEN]; /* source ether addr */
 unsigned short h_proto;  /* packet type ID field */
};


• IP头

 include\uapi\linux\ip.h 
struct iphdr {
#if defined(__LITTLE_ENDIAN_BITFIELD)  //小端模式
 __u8 ihl:4,
  version:4;
#elif defined(__BIG_ENDIAN_BITFIELD)    //大端模式
 __u8 version:4,
  ihl:4;
#endif
 __u8 tos;
 __u16 tot_len;
 __u16 id;
 __u16 frag_off;
 __u8 ttl;
 __u8 protocol;
 __u16 check;
 __u32 saddr;
 __u32 daddr;
 /*The options start here. */
};
tcp头

include\uapi\linux\tcp.h
struct tcphdr {
 __be16 source;
 __be16 dest;
 __be32 seq;
 __be32 ack_seq;
#if defined(__LITTLE_ENDIAN_BITFIELD)
 __u16 res1:4,
  doff:4,
  fin:1,
  syn:1,
  rst:1,
  psh:1,
  ack:1,
  urg:1,
  ece:1,
  cwr:1;
#elif defined(__BIG_ENDIAN_BITFIELD)
 __u16 doff:4,
  res1:4,
  cwr:1,
  ece:1,
  urg:1,
  ack:1,
  psh:1,
  rst:1,
  syn:1,
  fin:1;
#else
#error "Adjust your  defines"
#endif 
 __be16 window;
 __sum16 check;
 __be16 urg_ptr;
};
因为协议头长度都是按照标准协议来定义的，

所以以太长度是14，IP头长度是20，tcp头长度是20，

各个协议头对应的内存空间如下：

三、解析以太头

#define MAC_ARG(p) p[0],p[1],p[2],p[3],p[4],p[5]
 struct ethhdr *ethh;
 unsigned char *p = pkt;
 
 ethh = (struct ethhdr *)p;

 printf("h_dest:x:x:x:x:x:x \n", MAC_ARG(ethh->h_dest));
 printf("h_source:x:x:x:x:x:x \n", MAC_ARG(ethh->h_source));
 printf("h_proto:x\n",ntohs(ethh->h_proto));


注意，数据包中的数据是网络字节序，如果要提取数据一定要注意字节序问题ethh->h_proto 是short类型，占2个字节，所以存储到本地需要使用函数ntohs其中：n：network 网络字节序h：host       主机字节序s：short     2个字节l：long       4个字节ntohl()  ：4字节网络字节序数据转换成主机字节序htons() ：2字节主机字节序数据转换成网络字节序ntohs() ：2字节网络字节序数据转换成主机字节序htonl() ：4字节主机字节序数据转换成网络字节序

当执行下面这条语句时，

ethh = (struct ethhdr *)p;
结构体指针变量eth的成员对应关系如下：

最终打印结果如下：

四、解析ip头

解析ip头思路很简单，

就是从pkt头开始偏移过以太头长度(14字节)就可以找到IP头，

解析代码如下：

#define IP_ARG(p)  p[0],p[1],p[2],p[3]
 /*
  解析IP头
 */
 if(ntohs(ethh->h_proto) == 0x0800)
 {
 
  iph = (struct iphdr *)(p   sizeof(struct ethhdr));

  q = (unsigned char *)