• 이전에는 (1) Pcap 드라이버가 연결 가능한 모든 NIC 디바이스를 찾아, (2) NIC 디바이스에 연결하고, (3) 반환된 디바이스 어댑터 핸들러로 프레임을 지속적으로 수집하여 (4) 프레임 내부 패킷을 분석했었다.

====================================================

• NIC 디바이스를 찾아, 연결하지 않고 Offline 의 Pcap 파일을 읽고 파일의 끝까지 패킷의 내용을 분석할 수 있다.

• 따라서

  • 실시간 트래픽 분석이 필요하다 ⇒ NIC 에 연결하고 프레임을 라이브 캡처 후 packet_handler 콜백 함수에서 분석
  • 이미 저장된 Pcap 파일 분석이 필요하다 ⇒ 오프라인 파일을 읽고 dispatcher_handler 콜백 함수에서 분석

• Pcap 파일을 읽는 예제 코드

/* Open the capture file */
if ((fp = pcap_open_offline(
	"C:\\\\SampleTraces\\\\ip-fragments.pcap",
	errbuf)) == NULL)
{
	fprintf(stderr, "\\nUnable to open the file %s.\\n",
		"C:\\\\SampleTraces\\\\ip-fragments.pcap");
	return -1;
}

/* read and dispatch packets until EOF is reached */
pcap_loop(fp, 0, dispatcher_handler, NULL);

//////////////////////////////////////////////////////////////////////
// => packet_handler 와 기능은 똑같다고 보면 된다.

void dispatcher_handler(u_char* temp1,
	const struct pcap_pkthdr* header,
	const u_char* pkt_data)
{
	u_int i = 0;

	/* print pkt timestamp and pkt len */
	printf("%ld:%ld (%ld)\\n", header->ts.tv_sec, header->ts.tv_usec, header->len);

	EtherHeader* pEther = (EtherHeader*)pkt_data;

	printf(
		"SRC: %02X-%02X-%02X-%02X-%02X-%02X -> "
		"DST: %02X-%02X-%02X-%02X-%02X-%02X, type:%04X\\n",
		pEther->srcMac[0], pEther->srcMac[1], pEther->srcMac[2],
		pEther->srcMac[3], pEther->srcMac[4], pEther->srcMac[5],
		pEther->dstMac[0], pEther->dstMac[1], pEther->dstMac[2],
		pEther->dstMac[3], pEther->dstMac[4], pEther->dstMac[5],
		ntohs(pEther->type));

	/* Print the packet */
	for (i = 1; (i < header->caplen + 1); i++)
	{
		printf("%.2x ", pkt_data[i - 1]);
		if ((i % LINE_LEN) == 0) printf("\\n");
	}

	printf("\\n\\n");
}