PCAP数据包过滤器设置 及 过滤表达式语法

最新推荐文章于 2023-11-13 11:41:31 发布
最新推荐文章于 2023-11-13 11:41:31 发布
阅读量3.9k 收藏 5
点赞数
分类专栏: 开发 文章标签: pcap
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Ericdm/article/details/9999397
版权

通常我们只对特定网络通信感兴趣。比如我们只打算监听Telnet服务(port 23)以捕获用户名和口令信息。获知对FTP(port 21)或DNS(UDP port 53)数据流感兴趣。可以通过pcap_compile()和pcap_setfilter来设置数据流过滤规则(filter)

函数原型:

 int pcap_compile(pcap_t *p, struct bpf_program *fp, char *str, int optimize, bpf_u_int32 netmask)

p:表示pcap会话句柄;

fp:存放编译以后的规则;

str:规则表达式格式的过滤规则(filter),同tcpdump中的filter;

optimize:制定优化选项:0 false, true;

netmask:监听接口的网络掩码;

返回值:-1表示操作失败,其他值表成功。

int pcap_setfilter(pcap_t *p, struct bpf_program *fp)

 p:表示pcap的会话句柄;

 fp:表示经过编译后的过滤规则;

 返回值:-1表示操作失败,其他值表成功。

 

示例代码:

#include <pcap.h>
 ...
 pcap_t *handle; 
 char dev[] "rl0"; 
 char errbuf[PCAP_ERRBUF_SIZE]; 
 struct bpf_program filter; 
 char filter_app[] "port 23"; 
 bpf_u_int32 mask; 
 bpf_u_int32 net; 
 pcap_lookupnet(dev, &net, &mask, errbuf);
 handle pcap_open_live(dev, BUFSIZ, 1, 0, errbuf);
 pcap_compile(handle, &filter, filter_app, 0, net);
 pcap_setfilter(handle, &filter); 

上面的代码设备rl0上以混杂模式监听所有发往或源自端口23的数据包。Pcap_lookupnet()函数返回给定接口的IP地址和子网掩码。

 

【语法】

wpcap的过滤器是以已声明的谓词语法为基础的。过滤器是一个ASCII字符串,它包含了一个过滤表达式。pcap_compile()把这个表达式编译成内核级的包过滤器。
这个表达式会选择那些数据包将会被堆存。如果表达式没有给出,那么,网络上所有的包都会被内核过滤引擎所认可。不然,只有那些表达式为'true'的包才会被认可。

这个表达式包含了一个或多个原语。原语通常包含了id(名字或序列),这些id优先于限定词。以下是三种不同的限定词:<

最低0.47元/天 解锁文章
Ericdm
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PCAP过滤器设置PCAP-FILTER )
edger2heaven的专栏
01-06 1万+
NAME 名称 pcap-filter - packet filter syntax  pcap-filter - 包过滤语法 DESCRIPTION 描述 pcap_compile() is used to compile a string into a filter program. The resulting filter program can then be appl
WinPcap过滤表达式语法
Why So Serious?
06-18 1898
WinPcap过滤表达式语法
WinPcap 过滤器语法
阿波的专栏
07-26 4755
Normal 0 7.8 磅 0 2 false false false EN-US ZH-CN X-NONE
winpcap过滤表达式语法
11-08
过滤表达式语法<br><br>WinPcap用户指南<br>
pcap过滤器规则
jlccwss的专栏
01-06 4345
基于pcap的东东几乎都能通用 **************************************************************** dst host host True if the IPv4/v6 destination field of the packet is host, which may be either an address or a name.
使用winpcap对报文进行过滤
05-23
在捕获数据包的过程中,我们可以通过设置过滤规则来筛选出我们感兴趣的特定类型的数据包。 在标题中提到的"使用WinPcap对报文进行过滤",这是WinPcap的一个关键特性。过滤功能允许我们只关注符合特定条件的数据包,...
pcapp:c ++ 11 pcap包装器
07-07
3. 可以设定一个过滤器(通过`pcap_compile()`和`pcap_setfilter()`的C++封装),只捕获满足特定条件的数据包。 4. 调用`capture()`方法开始捕获数据包。这个方法通常会使用异步机制,如C++11的`std::async`或`std::...
pcap编程专题.pdf
09-30
这涉及将规则字符串转换为libpcap可理解的格式,并设置过滤器。 4. **主体循环**:一旦配置完成,主循环开始,每当接收到一个数据包时,就会调用预定义的处理函数。这个函数可以根据需求解析捕获的包,打印结果,...
pcap.cr:libpcap的水晶绑定
02-05
6. **示例代码**:`pcap.cr`项目通常会提供一些示例代码,帮助开发者快速了解如何使用这个库进行数据包捕获和处理,例如,展示如何打开接口、设置过滤器、读取数据包并打印相关信息。 `pcap.cr-master`压缩包中的...
基于winPcap开发嗅探器(c++)
11-12
winPcap支持BPF(Berkeley Packet Filter)语法,通过`pcap_compile()`和`pcap_setfilter()`函数,我们可以设置过滤规则,只捕获满足条件的数据包。例如,`filter.txt`可能包含了过滤表达式,如`tcp port 80`,用于...
SharpPcap实现网络抓包及过滤特定包
03-06
写的一个小软件实现网络抓包,并过滤出特定IP地址传来的UDP包,根据发来的数据内容计算网络性能指标并实时刷新显示
pcap_complie() 和 pcap_setfilter()
10-11 3950
<br />Winpcap 提供(libpcap也提供)的一个强大特性是过滤引擎(filtering engine)。它提供了一个非常有效的接收网络流量的方法,并且它通常与Winpcap提供的抓包机制集成在一起。用于过滤数据包的函数是 pcap_complie()和pcap_setfilter()。<br /><br />       pcap_complie()使用一个包含高级布尔表达式的字符串并且产生一个能被过滤引擎集成到数据包驱动中的低级字节码。<br />       pcap_setf
WinPcap过滤规则
热门推荐
caohao2008的专栏
01-11 1万+
下面对WinPcap过滤表达式语法进行一下简要的介绍,其中关键字用黑体字表示。1) 表达式支持逻辑操作符,可以使用关键字 and、or、not对子表达式进行组合,同时支持使用小括号。2) 基于协议的过滤要使用协议限定符,协议限定符可以为ip、arp、rarp、tcp、udp等。3) 基于MAC地址的过滤要使用限定符ether(代表以太网地址)、当该MAC地址仅作为源地址时表达式为ether sr
PCAP过滤器
deliaodun9945的博客
08-23 570
PCAP-FILTER NAME pcap-filter-packet filter syntax DESCRIPTION pcap_compile() 将字符串编译成过滤器程序。 合理的过滤器程序可以定义什么样的包可以给 pcap_loop(), pcap_dispatch(), pcap_next(), pcap_net_ex(). 过滤器表达式通常由一个 id(名字或者数字)...
函数SetFilter详解!有一个关键例子!不错的
10-27 999
http://www.huarw.com/program/pb/pb07/200609/39726.html  ls_filter = “name like ‘张%’ and article_tITle like ‘%计算机%’” dw_1.SetFilter() dw_1.Filter() 实际上,上面的程序是不能正确执行的。将过滤规则作如下改动就可以了: ls_filter = “
WinPcap编程【6】过滤、分析数据包
B_Silence
07-22 1733
WinPcap和Libpcap的最强大的特性之一,是拥有过滤数据包的引擎。 它提供了有效的方法去获取网络中的某些数据包,这也是WinPcap捕获机制中的一个组成部分。 用来过滤数据包的函数是 pcap_compile() 和pcap_setfilter() 。 pcap_compile() 它将一个高层的布尔过滤表达式编译成一个能够被过滤引擎所解释的低层的字节码。有关布尔过滤表达式语法可以
使用python scapy库根据tcp流分离pcap
新雪兰
07-28 3676
前言:在测试过程中抓了一些包,里面的tcp流太多了,手动分离出来太慢,就写了一个脚本 ps:只适用于分离单条tcp流的情况,像ftp这种有控制流数据流的情况不适用 思路: 1、 首先需要将pcap包里的每条tcp流找出来,由于代码没办法像在wireshark里直接通过tcp.stream eq 1 过滤条件追踪流,所以想了个其他办法,通过syn包的源端口来区分,源或目的端口和syn包端口一致的,视为同一条流。将syn包的的源端口组成port列表,列表的长度就是pcap里流的数量 2、创建一个长...
C++_开发_PCAP_网络数据包捕获库_学习_了解
qq_44681788的博客
11-13 915
C++_开发_PCAP_网络数据包捕获库_学习_了解
过滤及分析数据包
weixin_34049948的博客
03-11 254
前面都是讲解如何获取适配器信息以及捕获数据包,从这一节开始讲一下WinPcap中更强大的一些特性。本节主要讲一下如何利用WinPcap过滤数据包。在WinPcap中用来过滤数据包的函数有两个,pcap_compile()和pcap_setfilter()。pcap_compile()的原理是将高层的布尔过滤表达式编译成能够被过滤引擎所解释的低层的字节码,关于布尔过滤表达式语法会在后...
常见工控协议pcap数据包
最新发布
12-22
工控协议是指用于工业控制系统中的通讯协议,常见的工控协议有Modbus、Profinet、EtherNet/IP、DeviceNet等。PCAP数据包则是一种基于网络抓包工具Wireshark所生成的网络数据文件,可以用来分析网络通讯过程中的各种信息。 工控协议的PCAP数据包通常包含了工控系统中各种设备之间的通讯信息,例如PLC(可编程逻辑控制器)、HMI(人机界面)、传感器、执行器等设备之间的通讯数据。通过分析这些PCAP数据包,可以了解到工控系统中设备之间的通讯过程,包括通讯协议类型、数据帧结构、通讯状态等信息。 对于工业控制系统的安全和维护来说,分析常见的工控协议PCAP数据包是非常重要的。通过对PCAP数据包的分析,可以及时发现系统中可能存在的通讯问题、安全风险、设备故障等,并采取相应的措施进行处理。此外,分析PCAP数据包还可以帮助工程师了解工控系统的运行状态,及时调整系统配置,提高系统的性能和稳定性。 总之,常见工控协议PCAP数据包是工控系统通讯分析的重要工具,它可以为工程师提供关键的信息,帮助确保工控系统的安全和可靠运行。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值