139_libpcap工具包(==创建原始套接字+接受数据)_libpcap方式设置抓包规则,完成抓包

最新推荐文章于 2023-04-14 08:15:00 发布
最新推荐文章于 2023-04-14 08:15:00 发布
阅读量267 收藏
点赞数 2
分类专栏: 物联网 网络编程 文章标签: tcp/ip udp linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/HanLongXia/article/details/120569682
版权
本文介绍了如何使用libpcap库在Linux系统中进行数据包过滤。通过设置过滤条件,编译BPF过滤规则,并应用规则,实现对特定协议、端口或IP的数据包进行抓取。示例包括基于源IP、端口和TCP标志的过滤表达式。
摘要由CSDN通过智能技术生成

动图:

在这里插入图片描述

抓包理解:

过滤数据包
我们抓到的数据包往往很多,如何过滤掉我们不感兴趣的数据包呢?

几乎所有的操作系统( BSD, AIX, Mac OS, Linux 等)都会在内核中提供过滤数据包的方法,主要都是基于 BSD Packet Filter( BPF ) 结构的。libpcap 利用 BPF 来过滤数据包。

1)设置过滤条件

BPF 使用一种类似于汇编语言的语法书写过滤表达式,不过 libpcap 和 tcpdump 都把它封装成更高级且更容易的语法了,具体可以通过 man tcpdump查看:

以下是一些例子:
src host 192.168.1.177
只接收源 ip 地址是 192.168.1.177 的数据包

dst port 80
只接收 tcp/udp 的目的端口是 80 的数据包

not tcp
只接收不使用 tcp 协议的数据包

tcp[13] == 0x02 and (dst port 22 or dst port 23)
只接收 SYN

了解本专栏 订阅专栏 解锁全文 超级会员免费看
扳手的海角
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
订阅专栏
linux原始套接字raw获取ip包,Linux网络编程:原始套接字 SOCK_RAW, IPV6 rawsocket
weixin_39576127的博客
05-05 624
比较新的内核才支持socket(fd, SOCK_RAW, IPPROTO_UDP); // 指定 TCP/UDP/ICMPint val = 1;ret = setsockopt(test->state.sockfd, IPPROTO_IPV6, IPV6_HDRINCL, &val, sizeof(val)); // 比较新的内核才支持remote.sin6_port = 0; ...
icmp-spoof:利用原始套接字libpcap的简单ICMP欺骗程序
02-15
恶作剧 一个使用原始套接字libpcap的简单ICMP欺骗程序 相依性 apt install libpcap-dev 编译 gcc file.c -o file -lpcap 描述 icmpspoof.c 将ICMP数据包欺骗到任何IP sns.c 嗅探网络上的任何ICMP数据包并将其欺骗回原始发件人
libpcap/tcpdump—5—捕获方式(AF_PACKET原始套接字
We do not claim to have achieved that goal in every aspect of the software, but we strive for it.
11-21 1089
pcap_loop调用pcap_read_linux_mmap_v3循环捕获数据,此时程序已经进入正常嗅探过程,而我们应该重点关注的点应该是在这之前的启动过程。 整体了解之后发现一切都是围绕着socket展开,这个socket和以往纯应用层tcp/udp的socket不一样,它将Ethernet、iptcp层的数据都暴露出来,被称作原始套接字libpcap/tcpdump就是用原始套接字...
Libpcap 作用 安装 socket 原始套接字 pcap_lookupdev pcap_open_live pcap_lookupnet pcap_compile pcap_loop
记录点点滴滴
04-24 1171
粉丝不过W socket 原始套接字回顾 原始套接字 开发者可发送任意的数据包到网上 开发网络攻击等特殊软件 需要开发者手动组织数据、各种协议包头、校验和计算 创建方法: //创建数据链路层的原始套接字 int sock_raw_fd = 0; sock_...
linux c libpcap统计流量,在Linux C应用程序中的原始套接字VS Libpcap
weixin_39970668的博客
05-15 331
是的,有一个非常大 con:libpcap不是你要找的。lipcap本身对构建/分析TCPUDP,ICMP(甚至IP)数据包的支持绝对为零。这根本不是它制造的。它可以设置过滤器匹配某些TCP/UDP等,但通过这一点,你必须做你自己的所有解析。你应该看看PCAP官方教程:转到节 “实际的嗅探”。看回调的libpcap的原型将调用时,它会捕捉数据包匹配过滤:void got_packet(u_cha...
libpcap接收数据包(三)
smilestone322的专栏
12-29 3167
本文以应用程序的api调用为主线,分析libpcap和pfring源码,当然还有内核PF_RING的源码在以后也会分析,以后可能我会分析从网卡驱动一直分析到应用层,争取把这些都讲清楚。Linux开源就是好,呵呵,闲话少说,继续分析,首先分析pcap_next函数吧,搞过winpcap的都知道这个是数据包的函数,一次只读一个数据包。 constu_char * pcap_next(pcap_t *
windows原始套接字抓包
06-22
本文将深入探讨Windows原始套接字的原理、使用方法以及如何实现网络数据包的抓包分析。 一、原始套接字的原理 原始套接字允许应用程序发送和接收未经处理的IP数据包,这包括IP头部和负载。它们可以用来创建自定义的...
PackInter.zip_MFC抓包
09-21
这些库提供了原始套接字(raw sockets)的功能,允许程序直接访问网络硬件,获取未经过操作系统处理的原始数据包。 2. **数据包过滤**:为了减少不必要的数据处理,工具会使用BPF(Berkeley Packet Filter)或类似...
基于libpcap网卡抓包
07-03
libpcap利用操作系统提供的原始套接字(raw sockets)或者特定的内核驱动(如PF_PACKET在Linux下),直接访问网络接口的数据链路层。当数据包在网卡上传输时,libpcap能够拦截并复制这些数据包到用户空间,供应用...
Linux 网络编程—— libpcap 详解
xiaoxianerqq的专栏
12-07 1179
转自 : http://blog.csdn.net/lianghe_work/article/details/45173295   Linux 网络编程—— libpcap 详解 2015-04-21 17:22 1473人阅读 评论(2) 收藏 举报  分类: libpcap Linux_高级网络编程(40)  版权声明
Scapy构造http协议pcap
最新发布
qq_42067124的博客
04-14 1441
通过python 的scapy库来快速批量构造http的pcap。
macOs 安装liplpcap
Hepburn_Sunsir的博客
04-12 735
1,下载liplpcap http://www.tcpdump.org 1,在tcpdump网站下载libpcap的latest release 2, tar -zxvf ~ 3, ./configure make & make install 4,打开mac 网卡: sudo chmod 777 /dev/bpf* 5, 源码 dev.c 在mac 上安装之后,可以直接使用; #include <stdio.h> #include <pcap.h&gt...
原始报文数据转换为pcap
zrq293的博客
04-02 986
xxd -g 1 *.data > *.txt text2pcap *.txt *.pcap
zz libpcap包过滤机制
basketball1h的专栏
03-24 2326
libpcap是unix/linux平台下的网络数据包捕获函数包,大多数网络监控软件都以它为基础。Libpcap可以在绝大多数类unix平台下工作,本文分析了libpcaplinux 下的源代码实现,其中重点是linux的底层包捕获机制和过滤器设置方式,同时也简要的讨论了 libpcap使用的包过滤机制 BPF。网络监控绝 大多数的现代操作系统都提供了对底层网络数据包捕获的机制,在捕获机制之上可
网络数据包捕获函数库Libpcap安装与使用(非常强大)
weixin_34400525的博客
04-13 3343
1.Libpcap简介   Libpcap是Packet Capture Libray的英文缩写,即数据包捕获函数库。该库提供的C函数接口用于捕捉经过指定网络接口的数据包,该接口应该是被设为混杂模式。这个在原始套接子中有提到。   著名的软件TCPDUMP就是在Libpcap的基础上开发而成的。Libpcap提供的接口函数实现和封装了与数据包截获有关的过程。   Libpcap提供了用户级别...
libpcap使用整理
qq_32038155的博客
09-07 3617
Libpcap是Packet Capture Libray的英文缩写,即数据包捕获函数库。该库提供的C函数接口用于捕捉经过指定网络接口的数据包,该接口应该是被设为混杂模式。这个在原始套接字中有提到。
网络抓包与流量在线分析系统的设计与实现-基于libpcap在MacOS上实现 记录这愉快(DT)的一周
Fatfishlikeswimming的博客
07-09 1151
网络抓包与流量在线分析系统的设计与实现-基于libpcap在MacOS上实现 记录这愉快(DT)的一周 要求: 基于LINUX系统设计并实现一个网络流量的分析系统。该系统具有以下功能:(1)实时抓取网络数据。(2)网络协议分析与显示。(3)将网络数据包聚合成数据流,以源IP、目的IP、源端口、目的端口及协议等五元组的形式存储。(4)计算并显示固定时间间隔内网络连接(双向流)的统计量(如上行与下行的数据包数目,上行与下行的数据量大小等)。在这些统计数据的基础上分析不同网络应用的流量特征。 关键词:linux
libpcap使用
热门推荐
htttw的专栏
04-28 13万+
libpcap使用 libpcap是一个网络数据包捕获函数库,功能非常强大,Linux下著名的tcpdump就是以它为基础的。今天我们利用它来完成一个我们自己的网络嗅探器(sniffer) 首先先介绍一下本次实验的环境: Ubuntu 11.04,IP:192.168.1.1,广播地址:192.168.1.255,子网掩码:255.255.255.0 可以使用下
HTTP数据包处理:从MySQL连接到libpcap抓包技术
此外,资源还提及了如何利用libpcap处理离线数据文件(.pcap格式),以及如何编写抓包程序来配合测量仪器和特定的测量环境。在实际应用中,libpcap被广泛用于网络监控、故障排查、安全审计等场景,而HTTP数据包处理...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

扳手的海角

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值