pcap_compile

已于 2024-04-30 17:06:30 修改
阅读量2.5k 收藏 8
点赞数
文章标签: 网络
于 2021-12-24 20:21:20 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Believer_YU/article/details/122135196
版权

pcap_compile()是用来把用户输入的过滤字符串编译进过滤信息的,这个过滤信息可以决定哪些包是用户可获取到的 。

    过滤表达式包含一个或多个元素。每个元素通常包含由多个或一个被修饰符修饰的id名称或数字,有三种不同的修饰符:
   类型修饰符     说明id属于那种类型。可以用的类型修饰符有host,net,port,portrange。例如‘host foo’, ‘net      128.3’, ‘port 20’, ‘por-trange 6000-6008’。如果id没有指定类型,则host是默认。
   路径方向修饰符  指定id的路径方向。可以用的路径修饰符有src, dst, src or    dst,srcand dst,   addr1, addr2, addr3,  and  addr4.举例‘src foo’, ‘dst net 128.3’, ‘src  or dst port ftp-data’.如果id没有路径修饰符,默认src or dst。addr1, addr2, addr3, and addr4仅用于无限网络,在链路层,如果是混杂模式,可以用inbound,outbound来指定过滤方向
   协议修饰符      来限制匹配的协议。可以用的协议修饰符ether, fddi, tr, wlan, ip, ip6, arp, rarp, decnet, tcp and udp。举例ether src foo’,‘arp net 128.3’, ‘tcp port 21’, ‘udp portrange 7000-7009’, ‘wlan addr2 0:2:3:4:5:6’. 如果没有制定协议,则默认是所有协议都匹配,比如‘src  foo’,ip arp rarp的协议都匹配


   fddi协议等同于ether协议,在语法解析器中,fddi与ether含义一样,fddi头部信息包含以太网源、目的地址,还包含包的类型,可以指定fddi头部域的信息来过滤指定的域。fddi头还包含其他的域,但是不能应用与过滤。


   tr和wlan在过滤解析器中,含义等同于ether。以前版本的fddi头部信息也适用于802.11无线局域网的头。

除了以上三种修饰符,还有一些特殊的修饰符和算术运算式:gateway, broadcast, less, greater。如下所示算术运算式:
and or not
可以用and、or、not来组合复杂的过滤表达式。比如‘host foo and not port ftp and not port ftp-data’,如果多个表达式以and、 or、 not来组合,多个表达式有相同的修饰符,则可以省略除第一个表达式以外,比如‘tcp dst port ftp or ftp-data or domain’等同于‘tcp dst port ftp or tcp dst port ftp-data or tcp dstport domain’

   允许的过滤表达式:

   dst host host
   包的目的ip,可以是ip地址也可以是域名



   src host host
   包的源ip



   host host
   匹配包的源或则目的ip
   以上的表达式都可以用ip、arp、rarp、ip6,比如ip host host,包是ip协议,包的源ip或目的ip是host的,如果host是多播ip地址,那么每个地址都会匹配。



   ether dst ehost
   匹配以太网头的目的地址



   ether src ehost
   匹配以太网头的源地址



   ether host ehost
   匹配以太网源或目的地址



   gateway host
   匹配网关地址,以太网头的目的或者源地址是网关但不能以ip头的源或目的地址为网关,网关host必须存在于设备的域名解析文件中,不适用于ipv6



   dst net net
   匹配范围内包的目的ip地址(一段范围的ip地址),net可以是网络文件中的名称,也可以是一个网ip地址,一个ipv4的ip地址可以是以点分制的数字,如192.168.1.1则对应的网络掩码是255.255.255.255,192.168.1则对应的网络掩码是255.255.255.0,192.168则对应的网络掩码是254.254.0.0,ipv6的ip地址必须是完整的,所以ipv6的匹配等同于ip地址匹配


   src net net
   匹配范围内包的源ip地址


   net net
   匹配范围内包的源或者目的ip地址
    

   net net mask netmask
   匹配指定的ip地址net以及掩码netmask,可以指定src或者dst。不支持ipv6



   net net/len
   匹配指定的ip地址,类似192.168.10.1/24 等同于 192.168.10.1 和掩码254.254.254.0,可以指定src或dst



   dst port port
   匹配指定的包的目的端port,port可以是数字或者/etc/services 文件中的端口对应的名称,如果使用名称,则只匹 配名称对应的端口和协议,如果是数字,则只匹配端口号



   src port port
   匹配包的指定源端口



   port port
   匹配源或在目的端口为port的包



   dst portrange port1-port2
   匹配目的端口在port1-port2之间的包



   src portrange port1-port2
   匹配源端口在port1-port2之间的包



   portrange port1-port2
   匹配源端口或目的端口在port1-port2之间的包

   以上关于端口和端口范围匹配的表达式可以用tcp或udp来指定协议



   less length
   匹配长度小于指定的长度length的包



   greater length
   匹配长度大于指定长度length的包
      
   ip proto protocol
   匹配协议为protocol的ip包,protocol可以使一个数字也可以是字符串(icmp, icmp6, igmp, igrp, pim, ahesp, vrrp, udp, tcp),注意因为tcp udp icmp本身是修饰符所以可以前面

  
   ip6 proto protocol
   匹配协议为protocol的ipv6的包
Believer_YU
关注
  • 0
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
pcap_complie() 和 pcap_setfilter()
10-11 3896
<br />Winpcap 提供(libpcap也提供)的一个强大特性是过滤引擎(filtering engine)。它提供了一个非常有效的接收网络流量的方法,并且它通常与Winpcap提供的抓包机制集成在一起。用于过滤数据包的函数是 pcap_complie()和pcap_setfilter()。<br /><br />       pcap_complie()使用一个包含高级布尔表达式的字符串并且产生一个能被过滤引擎集成到数据包驱动中的低级字节码。<br />       pcap_setf
过滤及分析数据包
weixin_34049948的博客
03-11 242
前面都是讲解如何获取适配器信息以及捕获数据包,从这一节开始讲一下WinPcap中更强大的一些特性。本节主要讲一下如何利用WinPcap来过滤数据包。在WinPcap中用来过滤数据包的函数有两个,pcap_compile()和pcap_setfilter()。pcap_compile()的原理是将高层的布尔过滤表达式编译成能够被过滤引擎所解释的低层的字节码,关于布尔过滤表达式的语法会在后...
winpcap 获取数据包源码——可直接编译可用
badman250的专栏
11-19 3万+
源码 winpcap 获取数据包           定义了TCP头部,IPv4地址,ip头结构体。此外还有一些和pcap相关的结构体和函数。          结构体:pcap_if_t,pcap_t,bpf_program          函数:pcap_findalldevs,pcap_freealldevs,pcap_open_live,pcap_datalink,pcap_c
winpcap pcap_compile MAC 地址过滤
学习,思考,记录
11-11 3795
使用Winpcap编写了一个按照mac地址过滤的函数,刚开始怎么设置MAC地址都不正确,最后发现是格式不正确,争取的Filter的格式如下:特别编写如下: char filter =   "ether   dst   00:90:41:C0:C1:C3"; 具体的一段代码如下: char filter[512];  sprintf(filter,"ether proto 0x1111 an
c++ winpcap开发(10)
swartz_lubel的专栏
07-21 569
过滤表达式语法 wpcap过滤器基于声明性谓词语法。过滤器是包含过滤表达式的ASCII字符串。 pcap_compile()接受表达式并将其转换为内核级包过滤器的程序。 该表达式选择要转储的数据包。如果没有给出表达式,则网络上的所有数据包将被内核级过滤引擎接受。否则,只接受表达式为“true”的数据包。 该表达式由一个或多个 基元组成。 原语通常由 一个或多个限定符前面的id(名称或数字)
epcap_compile:将 pcap-filter(7) 表达式编译为 BPF 程序
05-30
epcap_compile 是一个 Erlang 库,用于将 PCAP 过滤器编译为 BPF 程序(请参阅 pcap-filter(7))。 epcap_compile 使用 NIF 接口从 libpcap 包装 pcap_compile(3PCAP)。 警告 由于库直接将过滤字符串传递给 pcap_...
pcap编程专题.pdf
09-30
- **创建规则集合**:`pcap_compile()`和`pcap_setfilter()`用于创建和应用过滤规则,以筛选出特定类型的网络通信。 - **过滤表达式**:这些表达式遵循tcpdump的语法,需要先编译才能使用。`pcap_compile()`函数用于...
PCAP 编程专题 linux
11-14
pcap_compile() 函数的原型为:int Pcap_compile(Pcap_t *p, struct bpf_program *fp, char *str, int optimize, bpf_u_int32 netmask),其中 p 参数是由 pcap_open_live 返回的会话句柄,fp 参数存储被编译的过滤器...
Programming with pcap 中文翻译
02-24
- **`pcap_compile()`**:将人类可读的过滤表达式(如"port 23")转化为pcap可以理解的BPF(Berkeley Packet Filter)字节码。 - **`pcap_setfilter()`**:应用编译后的过滤规则到当前会话,以便只捕获满足条件的...
libpcap源码
04-07
libpcap是tcpdump的一个依赖文件
C++_开发_PCAP_网络数据包捕获库_学习_了解
最新发布
qq_44681788的博客
11-13 776
C++_开发_PCAP_网络数据包捕获库_学习_了解
指定icmp数据包长度_ICMP重定向攻击(代码实现)
weixin_39630048的博客
11-23 931
一 实验原理ICMP重定向信息是路由器向主机提供实时的路由信息,当一个主机收到ICMP重定向信息时,它就会根据这个信息来更新自己的路由表。由于缺乏必要的合法性检查,如果一个黑客想要被攻击的主机修改它的路由表,黑客就会发送ICMP重定向信息给被攻击的主机,让该主机按照黑客的要求来修改路由表,如果黑客要求该主机将网关修改为黑客自己的机器,就使得该主机在发送数据包时,都会被黑客获取,进一步实现中间人攻击...
libpcap使用
热门推荐
htttw的专栏
04-28 13万+
libpcap使用 libpcap是一个网络数据包捕获函数库,功能非常强大,Linux下著名的tcpdump就是以它为基础的。今天我们利用它来完成一个我们自己的网络嗅探器(sniffer) 首先先介绍一下本次实验的环境: Ubuntu 11.04,IP:192.168.1.1,广播地址:192.168.1.255,子网掩码:255.255.255.0 可以使用下
Linux下Libpcap源码分析和包过滤机制
yaoyepeng的专栏
11-23 3598
  libpcap是unix/linux平台下的网络数据包捕获函数包,大多数网络监控软件都以它为基础。Libpcap可以在绝大多数类unix平台下工作,本文分析了libpcap在linux 下的源代码实现,其中重点是linux的底层包捕获机制和过滤器设置方式,同时也简要的讨论了libpcap使用的包过滤机制 BPF。    网络监控    绝大多数的现代操作系统都提供了对底层网络数据包捕获的机
C/C++网络编程高级应用—— libpcap 详解
xiaoyaGrace的博客
05-15 1669
概述 libpcap 是一个网络数据包捕获函数库,功能非常强大,Linux 下著名的 tcpdump 就是以它为基础的。 libpcap主要的作用 1)捕获各种数据包,列如:网络流量统计。 2)过滤网络数据包,列如:过滤掉本地上的一些数据,类似防火墙。 3)分析网络数据包,列如:分析网络协议,数据的采集。 4)存储网络数据包,列如:保存捕获的数据以为将来进行分析。 libpcap 的安装 ...
Linux libpcap 内核函数,linux平台libpcap函数分析及流程(1)
weixin_39867296的博客
04-29 149
本文函数来源,libpcapHakin9LuisMartinGarcia.pdf文档,文档只有9页,是英文版的,不过讲得比较详细,而且能帮助理解,我通过对文档的学习,然后结合网上的一些资料加以总结。这些天一直都在学习写一些抓包代码,由一片空白开始学习,通过在网上搜索资料,不断的摸索,慢慢地有了一些头绪,我将我的一些小小心得与大学分享。我总结的这些函数到处都可见,没有什么特别之处,只是让大家能了解编...
libpcap库函数介绍(附源代码)
IT老兵
09-04 2万+
libpcap的英文意思是 Packet Capture library,即数据包捕获函数库。该库提供的C函数接口可用于需要捕获经过网络接口(只要经过该接口,目标地址不一定为本机)数据包的系统开发上。由 Berkeley大学Lawrence Berkeley National Laboratory研究院的Van Jacobson、Craig Leres和Steven McCanne编写。该函数库支
libpcap抓包原理
独自登高楼 望断天涯路
05-19 5149
libpcap(Packet Capture Library),即数据包捕获函数库,是Unix/Linux平台下的网络数据包捕获函数库。它是一个独立于系统的用户层包捕获的API接口,为底层网络监测提供了一个可移植的框架。 一、        libpcap工作原理 libpcap主要由两部份组成:网络分接头(Network Tap)和数据过滤器(Packet Filter)。网络
数据包过滤处理是流量技术中的难点和重点,Libpcap 提供了最强大的数据流过滤引擎。它采用了一种高效的方法来捕获网络数据流的某些数据且常常和系统的捕获机制相集成。过滤数据的函数是 pcap_compile()和 pcap_setfilter()来实现的。pcap_compile()它将一个高层的布尔过滤表达式编译成一个能够被过滤引擎所解释的低层的字节码,pcap_setfilter()将一个过滤器与内核捕获会话向关联。当 pcap_setfilter()被调用时,这个过滤器将被应用到来自网络的所有数据包,并且,所有的符合要求的数据包(即那些经过过滤器以后,布尔表达式为真的包),将会立即复制给应用程序
06-13
非常好,你对 Libpcap 提供的数据包过滤处理函数有很好的理解。下面我来进一步补充一下这两个函数的使用方法。 函数原型: ```c int pcap_compile(pcap_t *p, struct bpf_program *fp, const char *str, int optimize, bpf_u_int32 netmask); ``` 参数说明: - `p`:指向 pcap_t 结构体的指针,表示要编译过滤器的会话。 - `fp`:指向 bpf_program 结构体的指针,表示编译后的过滤器。 - `str`:表示要编译的布尔表达式。 - `optimize`:指定是否开启优化。如果这个参数为 1,表示开启优化;如果为 0,表示不开启优化。 - `netmask`:用于指定子网掩码,如果不知道子网掩码,可以将这个参数设置为 0。 使用示例: ```c pcap_t *handle; struct bpf_program filter; // 过滤器 char *devname = "eth0"; char errbuf[PCAP_ERRBUF_SIZE]; char *filter_exp = "tcp and dst port 80"; // 要过滤的表达式 // 打开网卡 handle = pcap_open_live(devname, 65535, 1, 1000, errbuf); if (handle == NULL) { printf("Error: %s\n", errbuf); return 1; } // 编译过滤器 if (pcap_compile(handle, &filter, filter_exp, 0, 0) == -1) { printf("Error: %s\n", pcap_geterr(handle)); return 1; } // 应用过滤器 if (pcap_setfilter(handle, &filter) == -1) { printf("Error: %s\n", pcap_geterr(handle)); return 1; } ``` 上面的代码会打开一个名为 "eth0" 的网卡,并编译一个过滤器,过滤表达式为 "tcp and dst port 80",表示只捕获目的端口为 80 的 TCP 数据包。如果出现错误,会将错误信息输出到控制台。 希望这个示例能够帮助你理解如何使用 pcap_compile() 和 pcap_setfilter() 函数来过滤网络数据包。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值