PCAP数据包过滤器设置 及 过滤表达式语法

最新推荐文章于 2024-04-08 17:28:23 发布
最新推荐文章于 2024-04-08 17:28:23 发布
阅读量3.9k 收藏 5
点赞数
分类专栏: 开发 文章标签: pcap
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Ericdm/article/details/9999397
版权

通常我们只对特定网络通信感兴趣。比如我们只打算监听Telnet服务(port 23)以捕获用户名和口令信息。获知对FTP(port 21)或DNS(UDP port 53)数据流感兴趣。可以通过pcap_compile()和pcap_setfilter来设置数据流过滤规则(filter)

函数原型:

 int pcap_compile(pcap_t *p, struct bpf_program *fp, char *str, int optimize, bpf_u_int32 netmask)

p:表示pcap会话句柄;

fp:存放编译以后的规则;

str:规则表达式格式的过滤规则(filter),同tcpdump中的filter;

optimize:制定优化选项:0 false, true;

netmask:监听接口的网络掩码;

返回值:-1表示操作失败,其他值表成功。

int pcap_setfilter(pcap_t *p, struct bpf_program *fp)

 p:表示pcap的会话句柄;

 fp:表示经过编译后的过滤规则;

 返回值:-1表示操作失败,其他值表成功。

 

示例代码:

#include <pcap.h>
 ...
 pcap_t *handle; 
 char dev[] "rl0"; 
 char errbuf[PCAP_ERRBUF_SIZE]; 
 struct bpf_program filter; 
 char filter_app[] "port 23"; 
 bpf_u_int32 mask; 
 bpf_u_int32 net; 
 pcap_lookupnet(dev, &net, &mask, errbuf);
 handle pcap_open_live(dev, BUFSIZ, 1, 0, errbuf);
 pcap_compile(handle, &filter, filter_app, 0, net);
 pcap_setfilter(handle, &filter); 

上面的代码设备rl0上以混杂模式监听所有发往或源自端口23的数据包。Pcap_lookupnet()函数返回给定接口的IP地址和子网掩码。

 

【语法】

wpcap的过滤器是以已声明的谓词语法为基础的。过滤器是一个ASCII字符串,它包含了一个过滤表达式。pcap_compile()把这个表达式编译成内核级的包过滤器。
这个表达式会选择那些数据包将会被堆存。如果表达式没有给出,那么,网络上所有的包都会被内核过滤引擎所认可。不然,只有那些表达式为'true'的包才会被认可。

这个表达式包含了一个或多个原语。原语通常包含了id(名字或序列),这些id优先于限定词。以下是三种不同的限定词:<

最低0.47元/天 解锁文章
Ericdm
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
pcap_complie() 和 pcap_setfilter()
10-11 3915
<br />Winpcap 提供(libpcap也提供)的一个强大特性是过滤引擎(filtering engine)。它提供了一个非常有效的接收网络流量的方法,并且它通常与Winpcap提供的抓包机制集成在一起。用于过滤数据包的函数是 pcap_complie()和pcap_setfilter()。<br /><br />       pcap_complie()使用一个包含高级布尔表达式的字符串并且产生一个能被过滤引擎集成到数据包驱动中的低级字节码。<br />       pcap_setf
PCAP过滤器设置PCAP-FILTER )
edger2heaven的专栏
01-06 1万+
NAME 名称 pcap-filter - packet filter syntax  pcap-filter - 包过滤语法 DESCRIPTION 描述 pcap_compile() is used to compile a string into a filter program. The resulting filter program can then be appl
计算机网络第三次实验: 用 WinPCAP 监听并分析以太网的帧
最新发布
weixin_47301844的博客
04-08 1491
(但是这里输出的目的mac地址是指定ip地址的目的mac地址,上面源mac地址是选择的网络适配器的源mac地址,所以两行mac地址不一定是对应的。我在运行时发现它没有运行GetMacAddress这个程序,而是执行了同一个解决方案里的iflist程序。解决方法:在”解决方案MakeAll“上右键->属性->启动项目 选择GetMacAddress。也可以使用下面这段代码,就实现了遍历所有系统可用的适配器并打印出目的mac地址、源mac地址。解决:项目上右键->属性->链接器->输入 附加依赖项添加。
WinPcap过滤表达式语法
Why So Serious?
06-18 1874
WinPcap过滤表达式语法
WinPcap 过滤器语法
阿波的专栏
07-26 4734
Normal 0 7.8 磅 0 2 false false false EN-US ZH-CN X-NONE
winpcap过滤表达式语法
11-08
过滤表达式语法<br><br>WinPcap用户指南<br>
libpcap过滤-pcap_compile()
热门推荐
懒雄熊的专栏
08-06 2万+
pcap_compile()是用来把用户输入的过滤字符串编译进过滤信息的,这个过滤信息可以决定哪些包是用户可获取到的 。         过滤表达式包含一个或多个元素。每个元素通常包含由多个或一个被修饰符修饰的id名称或数字,有三种不同的修饰符:        类型修饰符     说明id属于那种类型。可以用的类型修饰符有host,net,port,portrang
使用winpcap对报文进行过滤
05-23
在捕获数据包的过程中,我们可以通过设置过滤规则来筛选出我们感兴趣的特定类型的数据包。 在标题中提到的"使用WinPcap对报文进行过滤",这是WinPcap的一个关键特性。过滤功能允许我们只关注符合特定条件的数据包,...
pcapp:c ++ 11 pcap包装器
07-07
3. 可以设定一个过滤器(通过`pcap_compile()`和`pcap_setfilter()`的C++封装),只捕获满足特定条件的数据包。 4. 调用`capture()`方法开始捕获数据包。这个方法通常会使用异步机制,如C++11的`std::async`或`std::...
pcap编程专题.pdf
09-30
这涉及将规则字符串转换为libpcap可理解的格式,并设置过滤器。 4. **主体循环**:一旦配置完成,主循环开始,每当接收到一个数据包时,就会调用预定义的处理函数。这个函数可以根据需求解析捕获的包,打印结果,...
pcap.cr:libpcap的水晶绑定
02-05
6. **示例代码**:`pcap.cr`项目通常会提供一些示例代码,帮助开发者快速了解如何使用这个库进行数据包捕获和处理,例如,展示如何打开接口、设置过滤器、读取数据包并打印相关信息。 `pcap.cr-master`压缩包中的...
SharpPcap实现网络抓包及过滤特定包
03-06
写的一个小软件实现网络抓包,并过滤出特定IP地址传来的UDP包,根据发来的数据内容计算网络性能指标并实时刷新显示
基于winPcap开发嗅探器(c++)
11-12
winPcap支持BPF(Berkeley Packet Filter)语法,通过`pcap_compile()`和`pcap_setfilter()`函数,我们可以设置过滤规则,只捕获满足条件的数据包。例如,`filter.txt`可能包含了过滤表达式,如`tcp port 80`,用于...
函数SetFilter详解!有一个关键例子!不错的
10-27 996
http://www.huarw.com/program/pb/pb07/200609/39726.html  ls_filter = “name like ‘张%’ and article_tITle like ‘%计算机%’” dw_1.SetFilter() dw_1.Filter() 实际上,上面的程序是不能正确执行的。将过滤规则作如下改动就可以了: ls_filter = “
pcap过滤器规则
jlccwss的专栏
01-06 4331
基于pcap的东东几乎都能通用 **************************************************************** dst host host True if the IPv4/v6 destination field of the packet is host, which may be either an address or a name.
使用python scapy库根据tcp流分离pcap
新雪兰
07-28 3652
前言:在测试过程中抓了一些包,里面的tcp流太多了,手动分离出来太慢,就写了一个脚本 ps:只适用于分离单条tcp流的情况,像ftp这种有控制流数据流的情况不适用 思路: 1、 首先需要将pcap包里的每条tcp流找出来,由于代码没办法像在wireshark里直接通过tcp.stream eq 1 过滤条件追踪流,所以想了个其他办法,通过syn包的源端口来区分,源或目的端口和syn包端口一致的,视为同一条流。将syn包的的源端口组成port列表,列表的长度就是pcap里流的数量 2、创建一个长...
C++_开发_PCAP_网络数据包捕获库_学习_了解
qq_44681788的博客
11-13 839
C++_开发_PCAP_网络数据包捕获库_学习_了解
过滤及分析数据包
weixin_34049948的博客
03-11 245
前面都是讲解如何获取适配器信息以及捕获数据包,从这一节开始讲一下WinPcap中更强大的一些特性。本节主要讲一下如何利用WinPcap过滤数据包。在WinPcap中用来过滤数据包的函数有两个,pcap_compile()和pcap_setfilter()。pcap_compile()的原理是将高层的布尔过滤表达式编译成能够被过滤引擎所解释的低层的字节码,关于布尔过滤表达式语法会在后...
WinPcap学习(六)过滤数据包
金溪的博客
12-06 1398
用来过滤数据包的函数是pcap_compile()和pcap_setfilter()。 pcap_complie()它将一个高层的布尔过滤表达式编译成一个能够被过滤引擎所解释的低层的字节码。 pcap_setfilter()将一个过滤器与内核捕获会话相关联。当pcap_setfilter()被调用时,这个过滤器将被应用到来自网络的所有数据包,并且,所有的符合要求的数据包,将会立刻复制给应用程序...
常见工控协议pcap数据包
12-22
工控协议的PCAP数据包通常包含了工控系统中各种设备之间的通讯信息,例如PLC(可编程逻辑控制器)、HMI(人机界面)、传感器、执行器等设备之间的通讯数据。通过分析这些PCAP数据包,可以了解到工控系统中设备之间的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值