首先说下存储tcp分段的数据结构：一个二维链表，我把它叫作重装表。具有相同socket对（源ip地址、目的ip地址、源端口号、目的端口号）的tcp数据包放在一个横向的链表里，该链表的头节点只保存了源ip地址、目的ip地址、源端口号、目的端口号这些信息。如下图所示：

    然后介绍重装TCP数据段的方法：

1.每到来一个tcp数据包(pkt)，我先将该数据包的源ip地址、目的ip地址、源端口号、目的端口号取出来在重装表（tpq_tbl）中纵向的链表中查找有没有与它相匹配的链表(fp)存在，如果有，就把pkt数据包放入与它有相同socket对的fp链中，放入链表的时，我先查找pkt的顺序号在链表中的适当位置，然后才放入；如果没有，则在tpq_tbl中新创建一个该类型的链表头节点，然后再将其放入新创建的链表中。

2.每当在fp中放入一个tcp数据段后，我就检查fp链表中的数据段是否已经到齐了（判断方法下面介绍），若到齐，就将个链表中所有数据段的数据部分拼接到一起，得到应用层报文，然后释放该链表，然后重复1－2步骤；若没到齐，直接重复1－2步骤。

 关于判断一个链表中tcp数据段是否到齐的方法：
    使用的变量说明：
    count计数器，表示当前链表中的所有tcp数据段数据部分的长度之和。每当在该链表中加入一个新tcp数据段时，我都会将count累加上该tcp数据段的数据部分的长度。
    syn_seq，表示本次tcp连接的第一个数据包的顺序号，也就是建立tcp连接时的第一次握手的SYN包的顺序号。
    fin_seq，表示本次tcp连接的最后一个数据包的顺序号，也就是关闭tcp连接时的第二个FIN包的顺序号。

    判断：当(fin_seq - syn_seq)与count相等时，就说明tcp数据段已经到齐，否则就是没有到齐。

libpcap获取数据包函数库说明

libpcap的英文意思是 Packet Capture library，即数据包捕获函数库。该库提供的C函数接口可用于

需要捕获经过网络接口（只要经过该接口，目标地址不一定为本机）数据包的系统开发上。由

Berkeley大学Lawrence Berkeley National  Laboratory研究院的Van Jacobson、Craig Leres和

Steven McCanne编写，目前的最新版本为0.4。该函数库支持Linux、Solaris和*BSD系统平台。

主要接口函数说明如下：
 
pcap_t *pcap_open_live(char *device, int snaplen, int promisc, int to_ms, char *ebuf)
获得用于捕获网络数据包的数据包捕获描述字。device参数为指定打开的网络设备名。snaplen参数定

义捕获数据的最大字节数。promisc指定是否将网络接口置于混杂模式。to_ms参数指定超时时间（毫

秒）。ebuf参数则仅在pcap_open_live()函数出错返回NULL时用于传递错误消息。

pcap_t *pcap_open_offline(char *fname, char *ebuf)
打开以前保存捕获数据包的文件，用于读取。fname参数指定打开的文件名。该文件中的数据格式与

tcpdump和tcpslice兼容。"-"为标准输入。ebuf参数则仅在pcap_open_offline()函数出错返回NULL时

用于传递错误消息。

pcap_dumper_t *pcap_dump_open(pcap_t *p, char *fname)
打开用于保存捕获数据包的文件，用于写入。fname参数为"-"时表示标准输出。出错时返回NULL。p参

数为调用pcap_open_offline()或pcap_open_live()函数后返回的pcap结构指针。fname参数指定打开

的文件名。如果返回NULL，则可调用pcap_geterr()函数获取错误消息。

char *pcap_lookupdev(char *errbuf)
用于返回可被pcap_open_live()或pcap_lookupnet()函数调用的网络设备名指针。如果函数出错，则

返回NULL，同时errbuf中存放相关的错误消息。

int pcap_lookupnet(char *device, bpf_u_int32 *netp, bpf_u_int32 *maskp, char *errbuf)
获得指定网络设备的网络号和掩码。netp参数和maskp参数都是bpf_u_int32指针。如果函数出错，则

返回-1，同时errbuf中存放相关的错误消息。

int pcap_dispatch(pcap_t *p, int cnt,pcap_handler callback, u_char *user)
 捕获并处理数据包。cnt参数指定函数返回前所处理数据包的最大值。cnt=-1表示在一个缓冲区中处

理所有的数据包。cnt=0表示处理所有数据包，直到产生以下错误之一：读取到EOF；超时读取。

callback 参数指定一个带有三个参数的回调函数，这三个参数为：一个从pcap_dispatch()函数传递

过来的u_char指针，一个pcap_pkthdr结构libpcap函数库说明。bsp;  的指针，和一个数据包大小的

u_char指针。如果成功则返回读取到的字节数。读取到EOF时则返回零值。出错时则返回-1，此时可调

用pcap_perror()或pcap_geterr()函数获取错误消息。

int pcap_loop(pcap_t *p, int cnt, pcap_handler callback, u_char *user)
功能基本与pcap_dispatch()函数相同，只不过此函数在cnt个数据包被处理或出现错误时才返回，但

读取超时不会返回。而如果为pcap_open_live()函数指定了一个非零值的超时设置，然后调用

pcap_dispatch()函数，则当超时发生时pcap_dispatch()函数会返回。cnt参数为负值时pcap_loop()

函数将始终循环运行，除非出现错误。

void pcap_dump(u_char *user, struct pcap_pkthdr *h, u_char *sp)
向调用pcap_dump_open()函数打开的文件输出一个数据包。该函数可作为pcap_dispatch()函数的回调

函数。

int pcap_compile(pcap_t *p, struct bpf_program *fp, char *str, int optimize, bpf_u_int32

netmask)
将str参数指定的字符串编译到过滤程序中。fp是一个bpf_program结构的指针，在pcap_compile()函

数中被赋值。optimize参数控制结果代码的优化。netmask参数指定本地网络的网络掩码。
        
int pcap_setfilter(pcap_t *p, struct bpf_program *fp)
指定一个过滤程序。fp参数是bpf_program结构指针，通常取自pcap_compile()函数调用。出错时返回

-1；成功时返回0。

u_char *pcap_next(pcap_t *p, struct pcap_pkthdr *h)
返回指向下一个数据包的u_char指针。

int pcap_datalink(pcap_t *p)
返回数据链路层类型，例如DLT_EN10MB。

int pcap_snapshot(pcap_t *p)
返回pcap_open_live被调用后的snapshot参数值。

int pcap_is_swapped(pcap_t *p)
返回当前系统主机字节与被打开文件的字节顺序是否不同。

int pcap_major_version(pcap_t *p)
返回写入被打开文件所使用的pcap函数的主版本号。

int pcap_minor_version(pcap_t *p)
返回写入被打开文件所使用的pcap函数的辅版本号。

int pcap_stats(pcap_t *p, struct pcap_stat *ps)
向pcap_stat结构赋值。成功时返回0。这些数值包括了从开始捕获数据以来至今共捕获到的数据包统

计。如果出错或不支持数据包统计，则返回-1，且可调用pcap_perror()或  pcap_geterr()函数来获

取错误消息。

FILE *pcap_file(pcap_t *p)
返回被打开文件的文件名。

int pcap_fileno(pcap_t *p)
返回被打开文件的文件描述字号码。

void pcap_perror(pcap_t *p, char *prefix)
在标准输出设备上显示最后一个pcap库错误消息。以prefix参数指定的字符串为消息头。

char *pcap_geterr(pcap_t *p)
返回最后一个pcap库错误消息。

char *pcap_strerror(int error)
如果strerror()函数不可用，则可调用pcap_strerror函数替代。

void pcap_close(pcap_t *p)
关闭p参数相应的文件，并释放资源。

void pcap_dump_close(pcap_dumper_t *p)

5、Libpcap的主要数据结构：
 
Libpcap库函数所必须的数据结构定义主要包含在pcap.h和pcap-int.h两个头文件中。其主要数据结构

如下：
 
(1)pcap结构
 
pcap结构在pcap-int.h头文件中被定义：
 
struct pcap
{
    int                fd;
    int                snapshot;
    int                linktype;
    int                tzoff;    /* timezone offset                                   */
    int                offset;   /* offset for proper alignment                       */
    struct pcap_sf     sf;
    struct pcap_md     md;
    int                bufsize;  /* Read buffer                                       */
    u_char *           buffer;
    u_char *           bp;
    int                cc;
    u_char *           pkt;      /* Place holder for pcap_next()                      */
    struct bpf_program fcode;    /* Placeholder for filter code if bpf not in kernel. */
    char               errbuf[PCAP_ERRBUF_SIZE];
};
 
(2)bpf_program结构
 
该结构在pcap_compile()函数中被使用，在bpf.h头文件中定义。
 
/usr/include/net/bpf.h

/* Structure for BIOCSETF. */
struct bpf_program
{
    u_int             bf_len;
    struct bpf_insn * bf_insns;
};

/*
* The instruction data structure.
*/
struct bpf_insn
{
    u_short   code;
    u_char    jt;
    u_char    jf;
    bpf_int32 k;
};
 
(3)pcap_pkthdr结构
 
/usr/include/pcap.h

/*
* Each packet in the dump file is prepended with this generic header.
* This gets around the problem of different headers for different
* packet interfaces.
*/
struct pcap_pkthdr
{
    struct timeval ts;      /* time stamp                    */
    bpf_u_int32    caplen;  /* length of portion present     */
    bpf_u_int32    len;     /* length this packet (off wire) */
};

/usr/include/net/bpf.h

/*
* Structure prepended to each packet.
*/
struct bpf_hdr
{
    struct timeval bh_tstamp;   /* time stamp                 */
    bpf_u_int32    bh_caplen;   /* length of captured portion */
    bpf_u_int32    bh_datalen;  /* original length of packet  */
    u_short        bh_hdrlen;   /* length of bpf header (this struct
                                   plus alignment padding)    */
};
 
(4)pcap_stat结构
 
struct pcap_stat {
        u_int ps_recv; /* number of packets received */
        u_int ps_drop; /* number of packets dropped */
        u_int ps_ifdrop; /* drops by interface XXX not yet supported */
};

int main()
{
        bpf_u_int32 localnet,netmask;
        struct bpf_program fcode;
        pcap_handler printer;

        pcap_dumper_t*p;
        char ebuf[PCAP_ERRBUF_SIZE];
        char * device;
        u_char * pcap_userdata;
        pcap_t * pd;
        int dev_flag=1;
        int cap_len=CAP_LEN;
        int i;

        device=pcap_lookupdev(ebuf);
        if (device == NULL)
                exit(printf("%s n", ebuf));
        #ifdef _DEBUG_
        printf("device is %s \n",device);
        #endif
        pd=pcap_open_live(device,cap_len,dev_flag,1000,ebuf);
        if(pd == NULL)
                exit(printf("%s\n",ebuf));

        i=pcap_snapshot(pd);
                if(cap_len < i) {
                printf("snaplen raised from %d to %d \n", cap_len, i);
                        cap_len=i;
                }
        if(pcap_lookupnet(device, &localnet, &netmask, ebuf) < 0) {
                        localnet=0;

    netmask=0;
                        printf("%s\n", ebuf);
        }
        if (pcap_compile(pd, &fcode, "", 1, netmask) < 0)
                exit(printf("Error %s\n","pcap_compile"));
        if (pcap_setfilter(pd,&fcode) < 0)
                exit(printf("Error %s\n","pcap_setfilter"));

        p=pcap_dump_open(pd,FILENAME);
                if(p == NULL)
                        exit(printf("Error:%s\n","pcap_dump_open"));
                printer=pcap_dump;
                pcap_userdata=(u_char *)p;

        if(pcap_loop(pd, -1, printer, pcap_userdata) < 0)
                exit(printf("Error, %s\n","pcap_loop"));

        pcap_close(pd);
        exit(0);
}

socket编程中需要用到的头文件

建议： 在编写网络程序时，可以直接使用下面这段头文件代码

这个问题一直困绕了我很长时间，今天终于理解了。 


我们可以通过spynet sniffer抓包软件，抓取一个ip数据包进行分析研究。 
下面我以本机抓到的一个完整的ip首部为例（红色字体表示）： 

0000: 00 e0 0f 7d 1e ba 00 13 8f 54 3b 70 08 00 45 00 
0010: 00 2e be 55 00 00 7a 11 51 ac de b7 7e e3 c0 a8 
0020: 12 7a 

45 00 00 2e----4表示ip版本号为ip第4版；5表示首部长度为5个32 bit字长，即为20字节；00 2e表示ip总长度为46字节，其中ip数据部分为 
26字节。 
be 55 00 00----be 55表示标识符；00 00表示3 bit标志及13 bit片偏移量； 
7a 11 51 ac----7a表示ttl值为122；11表示协议号为17的udp协议；51 ac表示16 bit首部检验和值； 
de b7 7e e3----表示32 bit 源ip地址为222.183.126.227 
c0 a8 12 7a----表示32 bit 目的ip地址为192.168.18.122 

检验和计算： 
首先,把检验和字段置为0。 
45 00 00 2e 
be 55 00 00 
7a 11 00 00<----检验和置为0 
de b7 7e e3 
c0 a8 12 7a 
其次，对整个首部中的每个16 bit进行二进制反码求和，求和值为3ae50，然后3+ae50=ae53（这是根据源代码中算法 cksum = (cksum 
>> 16) + (cksum & 0xffff) 进行的 ） 

最后，ae53+51ac=ffff。因此判断ip首部在传输过程中没有发生任何差错。