libpcap包过滤-pcap_compile()

最新推荐文章于 2020-07-07 14:31:48 发布
最新推荐文章于 2020-07-07 14:31:48 发布
阅读量2.6w 收藏 36
点赞数 5
分类专栏: libpcap 文章标签: 包过滤 libpcap pcap_compile 抓包
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/a1009563517/article/details/47311813
版权


        pcap_compile()是用来把用户输入的过滤字符串编译进过滤信息的,这个过滤信息可以决定哪些包是用户可获取到的 。


        过滤表达式包含一个或多个元素。每个元素通常包含由多个或一个被修饰符修饰的id名称或数字,有三种不同的修饰符:
       类型修饰符     说明id属于那种类型。可以用的类型修饰符有host,net,port,portrange。例如‘host foo’, ‘net      128.3’, ‘port 20’, ‘por-trange 6000-6008’。如果id没有指定类型,则host是默认。
       路径方向修饰符  指定id的路径方向。可以用的路径修饰符有src, dst, src or    dst,srcand dst,   addr1, addr2, addr3,  and  addr4.举例‘src foo’, ‘dst net 128.3’, ‘src  or dst port ftp-data’.如果id没有路径修饰符,默认src or dst。addr1, addr2, addr3, and addr4仅用于无限网络,在链路层,如果是混杂模式,可以用inbound,outbound来指定过滤方向
       协议修饰符      来限制匹配的协议。可以用的协议修饰符ether, fddi, tr, wlan, ip, ip6, arp, rarp, decnet, tcp and udp。举例ether src foo’,‘arp net 128.3’, ‘tcp port 21’, ‘udp portrange 7000-7009’, ‘wlan addr2 0:2:3:4:5:6’. 如果没有制定协议,则默认是所有协议都匹配,比如‘src  foo’,ip arp rarp的协议都匹配
 

       fddi协议等同于ether协议,在语法解析器中,fddi与ether含义一样,fddi头部信息包含以太网源、目的地址,还包含包的类型,可以指定fddi头部域的信息来过滤指定的域。fddi头还包含其他的域,但是不能应用与过滤。


       tr和wlan在过滤解析器中,含义等同于ether。以前版本的fddi头部信息也适用于802.11无线局域网的头。
除了以上三种修饰符,还有一些特殊的修饰符和算术运算式:gateway, broadcast, less, greater。如下所示算术运算式:
       and or not       
       可以用and、or、not来组合复杂的过滤表达式。比如‘host foo and not port ftp and not port ftp-data’,如果多个表达式以and、 or、 not来组合,多个表达式有相同的修饰符,则可以省略除第一个表达式以外,比如‘tcp dst port ftp or ftp-data or domain’等同于‘tcp dst port ftp or tcp dst port ftp-data or tcp dstport domain’
 
       允许的过滤表达式:

       dst host host
       包的目的ip,可以是ip地址也可以是域名


       src host host
       包的源ip


       host host
       匹配包的源或则目的ip
       以上的表达式都可以用ip、arp、rarp、ip6,比如ip host host,包是ip协议,包的源ip或目的ip是host的,如果host是多播ip地址,那么每个地址都会匹配。


       ether dst ehost
       匹配以太网头的目的地址


       ether src ehost
       匹配以太网头的源地址


       ether host ehost
       匹配以太网源或目的地址


       gateway host
       匹配网关地址,以太网头的目的或者源地址是网关但不能以ip头的源或目的地址为网关,网关host必须存在于设备的域名解析文件中,不适用于ipv6


       dst net net
       匹配范围内包的目的ip地址(一段范围的ip地址),net可以是网络文件中的名称,也可以是一个网ip地址,一个ipv4的ip地址可以是以点分制的数字,如192.168.1.1则对应的网络掩码是255.255.255.255,192.168.1则对应的网络掩码是255.255.255.0,192.168则对应的网络掩码是254.254.0.0,ipv6的ip地址必须是完整的,所以ipv6的匹配等同于ip地址匹配
 

       src net net
       匹配范围内包的源ip地址


       net net
       匹配范围内包的源或者目的ip地址
        

       net net mask netmask
       匹配指定的ip地址net以及掩码netmask,可以指定src或者dst。不支持ipv6


       net net/len
       匹配指定的ip地址,类似192.168.10.1/24 等同于 192.168.10.1 和掩码254.254.254.0,可以指定src或dst


       dst port port
       匹配指定的包的目的端port,port可以是数字或者/etc/services 文件中的端口对应的名称,如果使用名称,则只匹 配名称对应的端口和协议,如果是数字,则只匹配端口号


       src port port
       匹配包的指定源端口


       port port
       匹配源或在目的端口为port的包


       dst portrange port1-port2
       匹配目的端口在port1-port2之间的包


       src portrange port1-port2
       匹配源端口在port1-port2之间的包


       portrange port1-port2
       匹配源端口或目的端口在port1-port2之间的包

       以上关于端口和端口范围匹配的表达式可以用tcp或udp来指定协议


       less length
       匹配长度小于指定的长度length的包


       greater length
       匹配长度大于指定长度length的包
          
       ip proto protocol
       匹配协议为protocol的ip包,protocol可以使一个数字也可以是字符串(icmp, icmp6, igmp, igrp, pim, ahesp, vrrp, udp, tcp),注意因为tcp udp icmp本身是修饰符所以可以前面

加用反斜杠来表示
      
       ip6 proto protocol
       匹配协议为protocol的ipv6的包

浪里狼
关注
专栏目录
winpCapcompile和nocap函数
西门吹雪
11-18 1213
int pcap_compile ( pcap_t *p, struct bpf_program *fp, char *str, int optimize, bpf_u_int32 netmask ) 编译数据过滤器,在可由内核级过滤引擎解释的程序中转换高级过滤表达式(请参阅过滤表达式语法)。 pcap_compile()用于将字符串str编译为过滤器程序。 program是指向bpf_program结构的指针,并由pcap_compile()填充。优化控制是否对结果代码执行优
java libpcap_libpcap详解
weixin_33516557的博客
02-19 588
libpcap(Packet Capture Library),即数据捕获函数库,是Unix/Linux平台下的网络数据捕获函数库。它是一个独立于系统的用户层捕获的API接口,为底层网络监测提供了一个可移植的框架。一、libpcap工作原理libpcap主要由两部份组成:网络分接头(Network Tap)和数据过滤器(Packet Filter)。网络分接头从网络设备驱动程序中收集数据拷贝...
Libpcap库编程指南--过滤数据
脱离了低级趣味的流氓
09-13 6343
WinPcapLibpcap的最强大的特性之一,是拥有过滤数据的引擎。 它提供了有效的方法去获取网络中的某些数据,这也是WinPcap捕获机制中的一个组成部分。 用来过滤数据的函数是 pcap_compile() 和 pcap_setfilter() 。 pcap_compile() 它将一个高层的布尔过滤表达式编译成一个能够被过滤引擎所解释的低层的字节码。有关布尔过滤表达式的语法可以参见
pcap_compile手册
ZHANGJNWEI的专栏
07-07 2235
pcap_compile() is used to compile a string into a filter program. The resulting filter program can then be applied to some stream of packets to determine which packets will be supplied topcap_loop(3PCAP),pcap_dispatch(3PCAP),pcap_next(3PCAP), orpcap_ne...
WinPcap过滤串表达式的语法
Why So Serious?
06-18 1973
WinPcap过滤串表达式的语法
libpcap 过滤 pcap_compile
weixin_38168838的博客
02-02 500
libpcap 是使用 lex 和 yacc 生成scanner.c 等文件,用以过滤的规则生成的。 /* make 中的 lex、yacc 部分步骤 */ ./runlex.sh lex -oscanner.c scanner.l mv scanner.c scanner.c.bottom cat ./scanner.c.top scanner.c.bottom >...
MFC使用winpcap 抓包 pcap_compile使用
YYhuyuming的博客
09-20 2556
使用Winpcap编写: 最近工作需要抓取傻瓜交换机的MAC,由于没有IP只能使用Winpcap抓包工具来实现。本人初学者,大佬请绕行。 a, 先获取电脑的网卡信息 在SwithCheckMacDlg.h文件中定义两个全局变量 pcap_if_t *alldevs; // pcap_if 结构体中含了适配器的详细信息 pcap_if_t *d; void CSwithCheckM...
数据过滤处理是流量技术中的难点和重点,Libpcap 提供了最强大的数据流过滤引擎。它采用了一种高效的方法来捕获网络数据流的某些数据且常常和系统的捕获机制相集成。过滤数据的函数是 pcap_compile()和 pcap_setfilter()来实现的。pcap_compile()它将一个高层的布尔过滤表达式编译成一个能够被过滤引擎所解释的低层的字节码,pcap_setfilter()将一个过滤器与内核捕获会话向关联。当 pcap_setfilter()被调用时,这个过滤器将被应用到来自网络的所有数据,并且,所有的符合要求的数据(即那些经过过滤器以后,布尔表达式为真的),将会立即复制给应用程序
06-13
非常好,你对 Libpcap 提供的数据过滤处理函数有很好的理解。下面我来进一步补充一下这两个函数的使用方法。 函数原型: ```c int pcap_compile(pcap_t *p, struct bpf_program *fp, const char *str, int ...
libpcap-1.10.1.tar.gz
最新发布
10-13
3. `pcap_compile()`/`pcap_setfilter()`:构建和设置BPF过滤规则。 4. `pcap_stats()`:获取关于捕获的数据统计信息。 **五、实例应用** 一个简单的libpcap程序示例,捕获并打印所有经过特定网络接口的数据:...
TCPDUMP/LIBPCAP 3-PCAP 中文手册(1)
SoldierJazz的专栏
02-21 1503
SYNOPSIS #include DESCRIPTION PCAP提供为抓包系统提供高级接口。网络上的所有数据,即使是发往其他主机的数据,都可以通过这种机制访问。它还支持将捕获的数据保存到“savefile”,和从“savefile”中读取数据。 Opening a capture handle for reading 调用 pcap_create()
epcap_compile:将 pcap-filter(7) 表达式编译为 BPF 程序
05-30
epcap_compile 是一个 Erlang 库,用于将 PCAP 过滤器编译为 BPF 程序(请参阅 pcap-filter(7))。 epcap_compile 使用 NIF 接口从 libpcap pcap_compile(3PCAP)。 警告 由于库直接将过滤字符串传递给 pcap_compile(3PCAP),因此 pcap_compile() 中的任何错误都可能导致 Erlang VM 崩溃。 不要使用来自不受信任来源的过滤器。 另请注意,非常大的过滤器可能会阻塞调度程序或导致堆栈溢出。 例如: epcap_compile:compile(string:copies("ip and ", 50000) ++ "ip"). 默认情况下不允许大于 8192 字节的过滤器。 请参阅 compile/2 的limit选项。 要求 libpcap 在 Ubuntu 上
libpcap函数库常用的函数详解
05-05
在Linux环境下,会使用libpcap函数库进行抓包,本文档含了libpcap函数库常用的一些主要函数。
libpcap库以及使用方法
08-19
pcap下c与java的库
过滤串表达式的语法---[WinPcap用户指南]
LEAF
08-30 1819
 过滤串表达式的语法[WinPcap用户指南] 注意:这篇文档取自tcpdump的指南。原始的版本 www.tcpdump.org 找到。   wpcap过滤器是以已声明的谓词语法为基础的。过滤器是一个ASCII字符串,它含了一个过滤表达式。pcap_compile()把这个表达式编译成内核级的过滤器。这个表达式会选择那些数据将会被堆存。如果表达式没有给出,那么,网络上所有
Pcap程序设计
liuwbeyond的专栏
04-22 486
Pcap程序设计Tim Carstens 好,让我们从看看这篇文章写给谁开始。显而易见的,需要一些C语言基础知识,除非你只想了解基本的理论。你不必是一个编码专家,因为这个领域只有经验丰富的程序员涉足,而我将尽可能详细的描述这些概念。另外,考虑到这是有关一个嗅探器的,所以对网络基础知识的理解是有帮助的。所有在此出现的代码示例都已在FreeBSD 4.3平台上测试通过。 开始:p
winpcap pcap_compile MAC 地址过滤
学习,思考,记录
11-11 3852
使用Winpcap编写了一个按照mac地址过滤的函数,刚开始怎么设置MAC地址都不正确,最后发现是格式不正确,争取的Filter的格式如下:特别编写如下: char filter =   "ether   dst   00:90:41:C0:C1:C3"; 具体的一段代码如下: char filter[512];  sprintf(filter,"ether proto 0x1111 an
pcap_complie() 和 pcap_setfilter()
10-11 4035
<br />Winpcap 提供(libpcap也提供)的一个强大特性是过滤引擎(filtering engine)。它提供了一个非常有效的接收网络流量的方法,并且它通常与Winpcap提供的抓包机制集成在一起。用于过滤数据的函数是 pcap_complie()和pcap_setfilter()。<br /><br />       pcap_complie()使用一个含高级布尔表达式的字符串并且产生一个能被过滤引擎集成到数据驱动中的低级字节码。<br />       pcap_setf
zz libpcap过滤机制
basketball1h的专栏
03-24 2332
libpcap是unix/linux平台下的网络数据捕获函数,大多数网络监控软件都以它为基础。Libpcap可以在绝大多数类unix平台下工作,本文分析了libpcap在linux 下的源代码实现,其中重点是linux的底层捕获机制和过滤器设置方式,同时也简要的讨论了 libpcap使用的过滤机制 BPF。网络监控绝 大多数的现代操作系统都提供了对底层网络数据捕获的机制,在捕获机制之上可
Ubuntu16.04安装libpcap开发库对pcap文件中的数据进行过滤
yellow的博客
09-30 5429
Ubuntu16.04下安装了Wireshark的话,应该是已经安装了libpcap0.8的,如下图:使用sudo apt-get install libpcap-dev安装开发,安装后系统显示如下图:多了libpcap0.8-dev和libpcap-dev两个。工作可能截取的数据文件(pcap文件)含有一些重要的数据,这时我们需要把他们提取出来保存到新的数据文件(pcap文件)中。比...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值