pcap 예제 코드에서...

http://www.joinc.co.kr/modules/moniwiki/wiki.php/article/Pcap_%C6%D0%C5%B6%C4%B8%C3%C4%C0%C0%BF%EB 에서

"2.4절. 예제코드" 에 있는
콜백함수를 보던 중 궁금한 것이 있습니다!

1. tcph = (struct tcp *)(packet + iph->ip_hl * 4);
??? ip_hl 헤더의 길이이고... 4는 4바이트-_-a를 의미하는 듯 한데... 왜 ip_hl의 값이 혹시 그냥 순수 데이타의 갯수
(string의 갯수를 의미해서...)를 의미해서 여기에 4를 곱한 것인지요?^^aaa

2. packet += (iph->ip_hl * 4) + TCPHEADERSIZE + (sizeof(struct ether_header));
??? 현재 IP헤더의 첫부분을 가리키고 있으니 IP헤더+TCP헤더만 해야 유저 데이타를 가리지키지 않나요?
뒤에 나오는 이더넷 헤더의 정체는 왜 더해줬는지-_-aa

흐흐흐^^;; ;TCP/IP 책을 보긴 봐야 할 것 같은데-_-;;;

void callback(u_char *useless, const struct pcap_pkthdr *pkthdr,
const u_char *packet)
{
struct ether_header *ep;
unsigned short ether_type;

char *uname = NULL;
char *pass = NULL;
char buf[80];

// 이더넷 헤더를 가져온다.
ep = (struct ether_header *)packet;

// IP 헤더를 가져오기 위해서
// 이더넷 헤더 크기만큼 offset 한다.
packet += sizeof(struct ether_header);
ether_type = ntohs(ep->ether_type);

// Network Layer 의 Protocol 타입을 알아낸다.
// 만약 IP 프로토콜을 사용한다면
// IP 정보를 얻어온다.
if (ether_type == ETHERTYPE_IP)
{
iph = (struct ip *)packet;
if (iph->ip_p == IPPROTO_TCP)
{
tcph = (struct tcp *)(packet + iph->ip_hl * 4);
}

memset(buf, 0x00, 80);

// 유저 데이타를 얻어오기 위해서
// IP, TCP, Ethernet 헤더 크기만큼 offset 한다.
packet += (iph->ip_hl * 4)+TCPHEADERSIZE+(sizeof(struct ether_header));

// 패킷에 ID와 password 관련 문자열을 포함하는지 확인한다.
if ( ((uname = strstr(packet, "uname=")) != NULL)
&& ((pass = strstr(packet, "&pass=")) != NULL))
{
// 헤더 정보를 출력한후
printf("HEADER INFO\n");
printf("Src Address : %s\n", inet_ntoa(iph->ip_src));
printf("Dst Address : %s\n", inet_ntoa(iph->ip_dst));

printf("Src Port : %d\n" , ntohs(tcph->source));
printf("Dst Port : %d\n" , ntohs(tcph->dest));

// 문자열에서 필요한 정보 즉 ID와 Password 만을
// 추출해 낸다.
strncpy(buf, uname+6, strstr(uname, "&") - (uname + 6));
printf("Uname : <%s>\n", buf);
memset(buf, 0x00, 80);
strncpy(buf, pass+6, strstr(pass+6, "&") - (pass + 6));
printf("Pass : <%s>\n", buf);
printf("======================\n\n");
}
}
}