深度剖析WinPcap之(十)——数据包的内核过滤(7)

最新推荐文章于 2012-01-06 11:01:57 发布
最新推荐文章于 2012-01-06 11:01:57 发布
阅读量668 收藏
点赞数
分类专栏: 开源库 文章标签: freebsd file 优化 unix interface

本文转自http://eslxf.blog.51cto.com/918801/241953

 

TcpdumpWinDump

Tcpdump软件最初是由美国加里福利亚大学伯克利分校洛仑兹实验室的Vin JacobsonCraig LeresSteve McCanne共同开发完成,它可以收集网上的IP报文,井用来分析网络可能存在的问题。现在,Tcpdump已被移植到几乎所有的UNIX系统上,如:HP-UXSCO UNIXSunOSMachLinuxFreeBSD等。更为重要的是,Tcpdump是一个开源软件,可以在Tcpdump的基础上进行改进,诸如添加辅助分析的功能,增强网络分析能力,也可对其离线网络流量文件做进一步分析。
Tcpdump使用语法格式如下:
tcpdump[ -AdDeflLnNOpqRStuUvxX ] [ -c count ]
        [ -C file_size ] [ -F file ]
        [ -i interface ] [ -m module ] [ -M secret ]
        [ -r file ] [ -s snaplen ] [ -T type ] [ -w file ]
        [ -W filecount ][ -E spi@ipaddr algo:secret,...  ]
        [ -y datalinktype ] [ -Z user ]
        [ expression ]
下面列出此处所关心的参数与具体含义,并针对过滤条件ip给出各自对应的输出码:
-d参数 把高层容易理解的过滤字符串编译为代码,以标准格式输出。执行tcpdump -d ip命令,将获得如下输出:
(000) ldh      [12]
(001) jeq      #0x800           jt 2    jf 3
(002) ret      #96
(003) ret      #0
-dd参数 把高层容易理解的过滤字符串编译为代码,以C程序段格式输出。如执行tcpdump -dd ip命令,将获得下面的输出:
{ 0x28, 0, 0, 0x0000000c },
{ 0x15, 0, 1, 0x00000800 },
{ 0x6, 0, 0, 0x00000060 },
{ 0x6, 0, 0, 0x00000000 },
-ddd参数 把高层容易理解的过滤字符串编译成代码,以十进制数值格式输出。如执行tcpdump -ddd ip命令,将获得下面的输出(第一行为输出的指令个数)
4
40 0 0 12
21 0 1 2048
6 0 0 96
6 0 0 0
-O参数 对编译的代码不进行优化。如执行tcpdump -Od ip命令,将获得下面的输出(该过滤条件过于简单,看不出优化与不优化的区别,进一步参见后续章节)
(000) ldh      [12]
(001) jeq      #0x800           jt 2    jf 3
(002) ret      #96
(003) ret      #0
WinDumpWindows实现了Tcpdump的功能,其命令使用格式与功能与Tcpdump一致。

napu_sh
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
深度剖析WinPcap之(三)——内核驱动NPF涉及的基础知识(1)
千江月的专栏
09-10 1769
WinPcap内核驱动程序NPF是一个协议驱动程序,其涉及到一些编写Windows驱动程序的基础知识与NDIS协议驱动程序编写的基础知识。本章主要对这些基础知识进行简要的描述以便于后续的理解。  1.1        Windows驱动的基础知识本节主要描述在WinPcap的NPF中经常使用一些编写Windows驱动程序所需掌握的部分基础知识,以便于后面的理解。1.1.1  
编写一个简单的内核模块
热门推荐
FallingU的博客
07-26 1万+
#include #include #include static int __init lkp_init(void) { printk(KERN_EMERG"Hello,Kernel!\n"); printk(KERN_ALERT"Hello,Kernel!\n"); printk(KERN_CRIT"Hello,Kernel!\n"); printk(KE
深度剖析WinPcap之(一)——WinPcap简介
千江月的专栏
09-06 2489
WinPcapWindows平台下访问网络数据链路层的开源库,该库已达到工业标准的应用要求。WinPcap允许应用程序绕开网络协议栈来捕获与传递网络数据包,并具有额外的有用特性,包括内核层的数据包过滤一个网络统计引擎与支持远程数据包捕获。 1.1.   什么是WinPcap大多数网络应用程序通过被广泛使用的操作系统原语来访问网络,诸如sockets。操作系统已经处理了底层的细节问题
深度剖析WinPcap之(四)——WinPcap的体系架构(1)
理性的幻想
06-22 1314
本文转自http://eslxf.blog.51cto.com/918801/197405   WinPcapWin32平台下用于数据包捕获与网络分析的一个架构。它包含一个内核数据包过滤器一个底层动态链接库(packet.dll),与一个高层并独立于系统的库(wpcap.dll)。 1.1 WinPcap的主要组成 WinPcap的各个主要组成部分如图2-1所示。 图2-1
深度剖析WinPcap之(三)——所涉及的Windows驱动基础知识(3)
理性的幻想
06-22 587
本文转自http://eslxf.blog.51cto.com/918801/196914   1.1.6      内核的内存操作     Windows驱动程序使用的内存资源非常珍贵,分配内存时要尽量节约。和应用程序一样,局部变量是存放在栈( Stack)空间中的。但栈空间不会像应用程序那么大,所以驱动程序不适台递归调用或者局部变量是大型结构体。如果需要大型结构体,请在堆( He
深度剖析WinPcap之(序言)——分析WinPcap源代码的缘由
理性的幻想
06-22 727
本文转自http://eslxf.blog.51cto.com/918801/198054   过去我一直在开发软件,包括Windows操作系统的应用软件,Linux操作系统的应用软件与驱动程序,也开发过一些嵌入式软件,并在后来的工作中逐渐专注于对软件的测试工作,主要从事软件测试技术与测试方法、软件工程的研究。 在此过程中与其他开发人员、测试人员一同工作,帮助他们构建达到工业级标准的软件,
深度剖析WinPcap
09-20
深度剖析WinPcap,对Winpcap进行了详细的分析,如packet.dll, wpcap.dll, npf分析等,同时包含了一些例子
winpcap编程捕获数据包
11-05
WinPcap编程捕获数据包是网络编程领域中的一个重要概念,尤其对于网络监控、数据分析以及安全检测等应用来说,它是核心工具之一。WinPcap一个开源库,它为Windows操作系统提供了底层网络访问能力,允许程序直接与...
深度剖析WinPcap(网络编程进阶必备)
11-06
如果你学了Socket网络编程,那么本资料是你网络编程进阶的得力助手,深度剖析WinPcap
Winpcap 信息截获.rar_arp_hack_winpcap_winpcap 数据包内容_winpcap-pcap
09-21
2. **数据包过滤**:通过Winpcap过滤机制,攻击者可以选择性地拦截特定类型的数据包,如只关注ARP请求或响应。 3. **数据包构造与注入**:除了捕获,Winpcap还允许用户构建自定义的数据包并注入到网络中,因此攻击...
深度剖析WinPcap-获得与释放网络适配器设备列表
lishan9133的专栏
01-06 2767
1.1    wpcap.dll导出的相应函数接口 wpcap.dll为了获得与释放已连接的网络适配器设备列表,提供了下列函数: 文件/wpcap/libpcap/pcap/pcap.h中 struct pcap_if; struct pcap_addr; int pcap_findalldevs(pcap_if_t **alldevsp, char *errbuf); voi
深度剖析WinPcap之(四)——WinPcap的体系架构(2)
理性的幻想
06-22 1259
本文转自http://eslxf.blog.51cto.com/918801/197410     1.3 WinPcap驱动内部说明 WinPcap的结构如图2-4所示,NPF是WinPcap的组件,用来处理网络上传输的数据包,并对用户层导出数据包捕获、发送与分析的能力。下面将描述NPF与操作系统与其基础结构体的交互。 图2-4 NPF的结构 1.3.1 NPF与NDIS 网
深度剖析WinPcap之(二)——网络分析与嗅探的基础知识(1)
千江月的专栏
09-06 1514
工欲善其事,必先利其器。为了有利于深入了解WinPcap的内部机制,我们需要对网络分析与嗅探、网络模型与硬件基础作必要了解。 1.1 什么是网络分析与嗅探网络分析(Network analysis) (也称为网络流量分析、协议分析、嗅探、数据包分析、窃听,等等)就是通过捕获网络流量并深入检查,来决定网络中发生了什么情况的过程。一个网络分析器对通用协议的数据包进行解码,并以可读的格式显示
深度剖析WinPcap之(九)——数据包的发送过程(1)
理性的幻想
06-23 1063
本文转自http://eslxf.blog.51cto.com/918801/211982   NPF允许把原始数据包发送到网络上,而且针对不同的应用提供了下列四种发送方式: n         应用软件每次发送一个数据包一次; n         应用软件每次发送一个数据包大于一次,次数预先设定; n         应用软件每次发送一个数据包队列,并根据时间戳发送各数据包; n
深度剖析WinPcap之()——数据包内核过滤(13)
理性的幻想
06-23 1016
本文转自http://eslxf.blog.51cto.com/918801/278880   数据包过滤过程 数据包到达网络接口时,链路层的设备驱动程序通常是将数据包直接传送给协议栈进行处理。当NPF以一个协议驱动程序注册后,也类似于一个协议栈。链路层驱动程序在将数据包传送给协议栈时也会传递给NPF。NPF负责将此数据包指针传递至内核过滤器(可能有多个),过滤器决定数据包是否被接收以及
深度剖析WinPcap之(六)——驱动程序的初始化与清除(1)
理性的幻想
06-22 1022
本文转自http://eslxf.blog.51cto.com/918801/197413   驱动程序的初始化主要由函数DriverEntry完成,卸载主要由函数DriverUnload完成。下面主要分析驱动程序的初始化与清除过程,以及相关的基础知识。 图5-1 函数调用关系图 1.1 结构体_NDIS_PROTOCOL_CHARACTERISTICS 结构体_NDIS_PRO
深度剖析WinPcap之()——数据包内核过滤(1)
理性的幻想
06-23 1180
本文转自 http://eslxf.blog.51cto.com/918801/226693   WinPcap最强大的特性之一,就是拥有过滤数据包的引擎。它提供非常有效的方法去获取网络流量中的某些数据包,这也是WinPcap捕获机制中的一个重要组成部分。WinPcap过滤引擎直接源自BSD Packet Filter (BPF),所以WinPcap过滤机制与BPF的过滤机制类似。
简述利用WinPcap技术捕获和过滤网络数据包的编程步骤
最新发布
06-01
WinPcap一个Windows平台下的网络抓包库,它可以实现在Windows系统中对网络数据包的抓取、过滤和分析。利用WinPcap技术捕获和过滤网络数据包的编程步骤如下: 1. 安装WinPcap库:在使用WinPcap编程之前,需要先下载和安装WinPcap库。 2. 调用pcap_open_live函数打开网络接口,准备开始抓包。该函数指定了网络接口、抓包缓存大小、是否开启混杂模式等参数。 3. 调用pcap_compile函数编译过滤规则,过滤需要抓取的数据包。该函数指定了过滤规则、是否优化过滤规则等参数。 4. 调用pcap_setfilter函数设置过滤规则。该函数将编译后的过滤规则设置到网络接口中,以便对数据包进行过滤。 5. 调用pcap_loop函数进入循环抓包状态,等待网络数据包的到来。该函数指定了抓包次数、回调函数等参数。 6. 在回调函数中处理抓取到的数据包。回调函数的参数包括抓包缓存、数据包头部指针等信息。 7. 调用pcap_close函数关闭网络接口,结束抓包。 通过上述步骤,可以利用WinPcap技术实现对网络数据包的捕获和过滤。需要注意的是,编写WinPcap程序需要对网络协议和数据包结构有一定的了解,同时需要根据实际情况选择合适的过滤规则。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值