PcapPlusPlus

PcapPlusPlus es una biblioteca C++ multiplataforma para capturar, analizar y elaborar paquetes de red. Está diseñado para ser eficiente, potente y fácil de usar.

PcapPlusPlus permite capacidades de decodificación y falsificación para una gran variedad de protocolos de red. También proporciona contenedores C++ fáciles de usar para los motores de procesamiento de paquetes más populares, como libpcap, WinPcap, Npcap, DPDK, eBPF AF_XDP y PF_RING.

Tabla de contenido

• Tabla de contenido

• Descargar

• Página de lanzamiento de GitHub

• cerveza casera

• Vcpkg

• Conan

• Constrúyelo tú mismo

• Verifica tus paquetes

• Descripción general de funciones

• Empezando

• Documentación API

• Soporte multiplataforma

• Protocolos de red compatibles

• Capa de enlace de datos (L2)

• Capa de red (L3)

• Capa de transporte (L4)

• Capa de sesión (L5)

• Capa de presentación (L6)

• Capa de aplicación (L7)

• Soporte DPDK y PF_RING

• Puntos de referencia

• Proporcionar comentarios

• Contribuyendo

• Licencia

Descargar

Puede elegir entre descargar desde la página de lanzamiento de GitHub, usar un administrador de paquetes o crear PcapPlusPlus usted mismo. Para obtener más detalles, visite la página de descargas en el sitio web de PcapPlusPlus.

Página de lanzamiento de GitHub

https://github.com/seladb/PcapPlusPlus/releases/latest

cerveza casera

 instalar cerveza pcapplusplus

Fórmulas caseras: https://formulae.brew.sh/formula/pcapplusplus

Vcpkg

Ventanas:

.vcpkg install pcapplusplus

MacOS/Linux:

vcpkg install pcapplusplus

Puerto vcpkg: https://github.com/microsoft/vcpkg/tree/master/ports/pcapplusplus

Conan

conan install "pcapplusplus/[>0]@" -u

El paquete en ConanCenter: https://conan.io/center/pcapplusplus

Constrúyelo tú mismo

Clona el repositorio de git:

 clon de git https://github.com/seladb/PcapPlusPlus.git

Siga las instrucciones de compilación según su plataforma en la página Construir desde fuente en el sitio web de PcapPlusPlus.

Verifica tus paquetes

Las versiones de PcapPlusPlus posteriores a la v23.09 están firmadas con la certificación de GitHub. Todas las certificaciones se pueden encontrar aquí. Puede verificar la certificación de estos paquetes con GitHub CLI. Para verificar paquetes, puede seguir las instrucciones más recientes de gh attestation verificar. Para obtener instrucciones sencillas, puede utilizar el siguiente comando:

 gh attestation verificar <ruta-al-paquete-archivo> --repository seladb/PcapPlusPlus

y deberías ver el siguiente resultado en tu terminal:

 ✓ ¡Verificación exitosa!

Descripción general de funciones

• Captura de paquetes a través de un contenedor C++ fácil de usar para motores de captura de paquetes populares como libpcap, WinPcap, Npcap, Intel DPDK, eBPF AF_XDP, PF_RING de ntop y sockets sin formato [Más información]

• Análisis y elaboración de paquetes, incluido el análisis detallado de protocolos y capas, generación y edición de paquetes para una gran variedad de protocolos de red [Más información]

• Leer y escribir paquetes desde/hacia archivos en formatos PCAP y PCAPNG [Más información]

• Procesamiento de paquetes a velocidad de línea a través de un contenedor C++ eficiente y fácil de usar para DPDK, eBPF AF_XDP y PF_RING [Más información]

• Soporte multiplataforma : PcapPlusPlus es totalmente compatible con Linux, MacOS, Windows, Android y FreeBSD.

• Reensamblaje de paquetes : implementación única de Reensamblaje de TCP que incluye retransmisión de TCP, paquetes TCP desordenados y datos TCP faltantes, y fragmentación y desfragmentación de IP para crear y reensamblar fragmentos de IPv4 e IPv6 [Más información]

• Filtrado de paquetes que hace que los filtros BPF de libpcap sean mucho más fáciles de usar [Más información]

• Huellas dactilares TLS : una implementación en C++ de huellas dactilares TLS JA3 y JA3S [Más información]

Empezando

Escribir aplicaciones con PcapPlusPlus es muy fácil e intuitivo. Aquí hay una aplicación sencilla que muestra cómo leer un paquete de un archivo PCAP y analizarlo:

 #include <iostream>#include "IPv4Layer.h"#include "Packet.h"#include "PcapFileDevice.h"int main(int argc, char* argv[])
{// abrir un archivo pcap para leerpcpp::PcapFileReaderDevice Reader("1_packet.pcap");if (!reader.open())
    {
        std::cerr << "Error al abrir el archivo pcap" << std::endl;return 1;
    }// lee el primer (y único) paquete del archivo pcpp::RawPacket rawPacket;if (!reader.getNextPacket(rawPacket))
    {
        std::cerr << "No se pudo leer el primer paquete del archivo" << std::endl;return 1;
    }// analiza el paquete sin procesar en un paquete analizadopcpp::Packet parsedPacket(&rawPacket);// verifica que el paquete sea IPv4if (parsedPacket.isPacketOfType(pcpp::IPv4))
    {// extraer fuente y destino IPspcpp::IPv4Address srcIP = parsedPacket.getLayerOfType<pcpp::IPv4Layer>()->getSrcIPv4Address();
        pcpp::IPv4Address destIP = parsedPacket.getLayerOfType<pcpp::IPv4Layer>()->getDstIPv4Address();// imprime origen y destino IPsstd::cout << "La IP de origen es '" << srcIP << "'; Destino La IP es '" << destIP << "'" << std::endl;
    }// cerrar el lector de archivos.close();return 0;
}

Puede encontrar mucha más información en la página de introducción del sitio web de PcapPlusPlus. Esta página lo guiará a través de algunos pasos sencillos para tener una aplicación en funcionamiento.

Documentación API

PcapPlusPlus consta de 3 bibliotecas:

1. Packet++ : una biblioteca para analizar, crear y editar paquetes de red

2. Pcap++ : una biblioteca para interceptar y enviar paquetes, proporcionar información de red y NIC, estadísticas, etc. En realidad, es un contenedor de C++ para motores de captura de paquetes como libpcap, WinPcap, Npcap, DPDK y PF_RING.

3. Common++ : una biblioteca con algunas utilidades de código comunes utilizadas tanto por Packet++ como por Pcap++

Puede encontrar una documentación API extensa en la sección de documentación API en el sitio web de PcapPlusPlus. Si ve algún dato faltante por favor contáctenos.

Soporte multiplataforma

PcapPlusPlus actualmente es compatible con Windows , linux , Mac OS , androide y FreeBSD . Visite el sitio web de PcapPlusPlus para ver todas las plataformas compatibles y consulte la sección Descargas para comenzar a usar PcapPlusPlus en su plataforma.

Protocolos de red compatibles

PcapPlusPlus actualmente admite el análisis, edición y creación de paquetes de los siguientes protocolos:

Capa de enlace de datos (L2)

1. EthernetII

2. Ethernet IEEE 802.3

3. LLC (solo se admite BPDU)

4. Nulo/bucle invertido

5. Avance de paquete (también conocido como pie de página o relleno)

6. PPPoE

7. SLL (captura cocinada de Linux)

8. SLL2 (captura cocinada de Linux v2)

9. STP

10. VLAN

11. VXLAN

12. Activación en LAN (WoL)

13. NFLOG (Linux Netfilter NFLOG): solo análisis (sin capacidades de edición)

Capa de red (L3)

14. ARP

15. GRE

16. ICMP

17. ICMPv6

18. IGMP (se admiten IGMPv1, IGMPv2 e IGMPv3)

19. IPv4

20. IPv6

21. MPLS

22. PND

23. IP sin formato (IPv4 e IPv6)

24. VRRP (IPv4 e IPv6)

25. AlambreGuardia

Capa de transporte (L4)

26. COTP

27. GTP (v1)

28. IPSec AH y ESP: solo análisis (sin capacidades de edición)

29. tcp

30. TPKT

31. UDP

Capa de sesión (L5)

32. partido socialdemócrata

33. SORBO

Capa de presentación (L6)

34. SSL/TLS: solo análisis (sin capacidades de edición)

Capa de aplicación (L7)

35. Decodificador y codificador ASN.1

36. BGP (v4)

37. DHCP

38. DHCPv6

39. DNS

40. ftp

41. Encabezados HTTP (solicitud y respuesta)

42. LDAP

43. NTP (v3, v4)

44. Radio

45. Comunicación S7 (S7comm)

46. SMTP

47. ALGUNOS/IP

48. SSH: solo análisis (sin capacidades de edición)

49. Telnet: solo análisis (sin capacidades de edición)

50. Carga útil genérica

Soporte DPDK y PF_RING

El kit de desarrollo de plano de datos (DPDK) es un conjunto de bibliotecas de plano de datos y controladores de controlador de interfaz de red para un procesamiento rápido de paquetes.

PF_RING™ es un nuevo tipo de socket de red que mejora drásticamente la velocidad de captura de paquetes.

Ambos marcos proporcionan un procesamiento de paquetes muy rápido (hasta la velocidad de la línea) y se utilizan en muchas aplicaciones de red, como enrutadores, firewalls, equilibradores de carga, etc. PcapPlusPLus proporciona una capa de abstracción de C++ sobre DPDK y PF_RING. Esta capa de abstracción proporciona una interfaz fácil de usar que elimina gran parte del texto estándar involucrado en el uso de estos marcos. Puede obtener más información visitando las páginas de soporte de DPDK y PF_RING en el sitio web de PcapPlusPlus.

Puntos de referencia

Usamos el proyecto de puntos de referencia de captura de paquetes de Matias Fontanini para comparar el rendimiento de PcapPlusPlus con otras bibliotecas de C++ similares (como libtins y libcrafter ).

Puede ver los resultados en la página de puntos de referencia en el sitio web de PcapPlusPlus.

Proporcionar comentarios

Estaremos más que felices de recibir comentarios; no dude en comunicarse con nosotros de cualquiera de las siguientes maneras:

• Abrir un ticket de GitHub

• Publique un mensaje en el grupo de Google PcapPlusPlus: https://groups.google.com/d/forum/pcapplusplus-support

• Haga una pregunta sobre Stack Overflow: https://stackoverflow.com/questions/tagged/pcapplusplus

• Envíe un correo electrónico a: [email protected]

• Síguenos en X: https://x.com/seladb

Si te gusta este proyecto , ponnos una estrella en GitHub: ¡ayuda! ⭐ ⭐

Visite el sitio web de PcapPlusPlus para obtener más información.

Contribuyendo

Agradeceríamos mucho cualquier contribución a este proyecto. Si está interesado en contribuir, visite la página de contribuciones en el sitio web de PcapPlusPlus.

Licencia

PcapPlusPlus se publica bajo la licencia sin licencia.