为什么libpcap函数捕获的数据包的以太网和ip报头会失真

我使用libpcap函数pcap_next（）从其他主机捕获一些tcp数据包 我检查了捕获的数据包的字节 注意 数据包的以太网和ip报头被扭曲，与大量的0混乱不堪 但是TCP头是好的

可能的原因是什么

代码：

pcap_t* create_pcap_handler()
{
    pcap_t *handle;                 /* Session handle */
    char *dev;                      /* The device to sniff on */
    char errbuf[PCAP_ERRBUF_SIZE];  /* Error string */
    struct bpf_program fp;          /* The compiled filter */
    char filter_exp[] = "port 32000";  /* The filter expression */
    bpf_u_int32 mask;               /* Our netmask */
    bpf_u_int32 net;                /* Our IP subnet*/

    /* Define the device */
    dev = pcap_lookupdev(errbuf);
    if (dev == NULL) {
            fprintf(stderr, "Couldn't find default device: %s\n", errbuf);
            exit(2);
    }
    /* Find the properties for the device */
    if (pcap_lookupnet(dev, &net, &mask, errbuf) == -1) {
            fprintf(stderr, "Couldn't get netmask for device %s: %s\n", dev, errbuf);
            net = 0;
            mask = 0;
    }

    struct in_addr tmp;
    tmp.s_addr=net;
    char IPdotdec[20];
    inet_ntop(AF_INET, (void *)&tmp, IPdotdec, 16);
    printf("net is %s\n", IPdotdec);
    tmp.s_addr=mask;
    inet_ntop(AF_INET, (void *)&tmp, IPdotdec, 16);
    printf("mask is %s\n", IPdotdec);
    printf("dev is %s\n",dev);

    handle = pcap_open_live(dev, BUFSIZ, 0, 0, errbuf);
    if (handle == NULL) {
            fprintf(stderr, "Couldn't open device %s: %s\n", dev, errbuf);
            exit(2) ;
    }
    /* Compile and apply the filter */
    if (pcap_compile(handle, &fp, filter_exp, 0, mask) == -1) {
            fprintf(stderr, "Couldn't parse filter %s: %s\n", filter_exp, pcap_geterr(handle));
            exit(2);
    }
    if (pcap_setfilter(handle, &fp) == -1) {
            fprintf(stderr, "Couldn't install filter %s: %s\n", filter_exp, pcap_geterr(handle));
            exit(2);
    }

    return handle;
}

主要功能是什么

int main()
{
    pcap_t * pcap_handler=create_pcap_handler();
    struct pcap_pkthdr pcap_header;      /* The header that pcap gives us */
    const u_char *pcap_packet;           /* The actual packet */
    pcap_packet = pcap_next(pcap_handler, &pcap_header);
    if(pcap_packet !=NULL)
            printf("capture one packet with length of %d\n", pcap_header.len);
    pcap_close(pcap_handler);


    return 0;
}

那是行不通的

当您关闭

pcap\u处理程序

时，无法保证通过调用

pcap\u next（）

或

pcap\u next\u ex（）

和

pcap\u处理程序

返回的任何指针将继续有效

试一试

相反

那是行不通的

当您关闭

pcap\u处理程序

时，无法保证通过调用

pcap\u next（）

或

pcap\u next\u ex（）

和

pcap\u处理程序

返回的任何指针将继续有效

试一试

---

相反。

这是用于传入还是传出数据包？对于传出数据包，这些层的捕获可能是错误的，因为在捕获后，其中一些可能由网卡填充。传入数据包，我还使用tcpdump捕获tcp数据包，这些数据包很好。您可以提供示例代码吗？我已经粘贴了代码，谢谢！您尚未将代码粘贴到

parse_pkt（）

。也许代码中有一个bug。这是用于传入或传出数据包的吗？对于传出数据包，这些层的捕获可能是错误的，因为在捕获后，其中一些可能由网卡填充。传入数据包，我还使用tcpdump捕获tcp数据包，这些数据包很好。您可以提供示例代码吗？我已经粘贴了代码，谢谢！您尚未将代码粘贴到

parse_pkt（）

。也许代码中有错误。我根据你的建议修改了代码，现在IP头工作正常，但TCP seq_ack字段错误！！！！！TCP seq字段正常，有什么问题吗？？？对于TCP校验和应该有效的传入数据包，请自己进行TCP校验和，并查看其相加情况。如果您在具有良好校验和的数据包中有奇怪的TCP seq ACK，那么您对字段的解释是不正确的。此外，使用pcap_loop或pcap_dispatch比使用pcap_next更好。TCP seq_ack字段在什么意义上是“错误的”？你的解析代码是什么？我根据你的建议修改了代码，现在IP头工作正常，但TCP seq_ack字段是错误的！！！！！TCP seq字段正常，有什么问题吗？？？对于TCP校验和应该有效的传入数据包，请自己进行TCP校验和，并查看其相加情况。如果您在具有良好校验和的数据包中有奇怪的TCP seq ACK，那么您对字段的解释是不正确的。此外，使用pcap_loop或pcap_dispatch比使用pcap_next更好。TCP seq_ack字段在什么意义上是“错误的”？你有什么代码在解析它？

pcap_packet = pcap_next(pcap_handler, &pcap_header);
if(pcap_packet !=NULL)
        printf("capture one packet with length of %d\n", pcap_header.len);
pcap_close(pcap_handler);
parse_pkt(pcap_packet,pcap_header.len);

pcap_packet = pcap_next(pcap_handler, &pcap_header);
if(pcap_packet !=NULL)
        printf("capture one packet with length of %d\n", pcap_header.len);
parse_pkt(pcap_packet,pcap_header.len);
pcap_close(pcap_handler);