深度剖析WinPcap之(十)——数据包的内核过滤(9)

最新推荐文章于 2021-02-26 13:34:34 发布
最新推荐文章于 2021-02-26 13:34:34 发布
阅读量779 收藏
点赞数
分类专栏: 开源库 文章标签: 存储

本文转自http://eslxf.blog.51cto.com/918801/249589

 

我们现在给出一些实例来解释如何用BPF指令集来表示数据包过滤器(在所有的实例中,我们假设链路层的协议头为以太网的典型帧格式)
实例1 接收所有ip数据包,执行命令tcpdump -d ip,获得如下BPF指令
(000) ldh      [12]                        //加载数据包的协议类型值
(001) jeq      #0x800           jt 2      jf 3  //检查是否为ip协议
(002) ret      #96                         //返回TRUE
(003) ret      #0                          //返回FALSE
第一条指令加载以太网类型字段,即帧结构除去前导码的1213字节。
把该值与IP类型值(0x0800)比较,如果比较失败,返回0,丢弃该数据包。
如果比较成功,返回TRUE(96TRUE为一些非0值,表示需要存储数据包的字节数),接收该数据包。
实例接收所有ip数据包或arp数据包(10-3中的CFG的实现),执行命令tcpdump -d ip or arp,获得如下BPF指令:
(000) ldh      [12]                         //加载数据包的协议类型值
(001) jeq      #0x800           jt 3    jf 2  //检查是否为ip协议
(002) jeq      #0x806           jt 3    jf 4  //检查是否为arp协议
(003) ret      #96                          //返回TRUE
(004) ret      #0                           //返回FALSE
说明:第1条指令装载以太网数据包封装的上层协议类型值,在数据包中的偏移值为12字节。第2条指令将该值与IP类型值(0x0800)比较,如果相等,跳转到(003)处返回TRUE并接受该数据包;如果不相等,跳转到(002)。第3条语句将数据包的类型值与ARP类型值(0x0806)比较,如果相等,跳转至(003)处返回TRUE并接受该数据包;否则跳转至(004)处,返回FALSE并丢弃该数据包。

napu_sh
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
深度剖析WinPcap之(三)——内核驱动NPF涉及的基础知识(1)
千江月的专栏
09-10 1791
WinPcap内核驱动程序NPF是一个协议驱动程序,其涉及到一些编写Windows驱动程序的基础知识与NDIS协议驱动程序编写的基础知识。本章主要对这些基础知识进行简要的描述以便于后续的理解。  1.1        Windows驱动的基础知识本节主要描述在WinPcap的NPF经常使用一些编写Windows驱动程序所需掌握的部分基础知识,以便于后面的理解。1.1.1  
在Wireshark按进程过滤
死胖子的博客
10-28 4945
一 简介 在使用wireshark时,最烦恼的事莫过于在海量的数据包筛选出所需要的内容。特别我们需要分析一个特定的程序的协议时,这时候如果有一个可以把进程名作为过滤器就完美了。在上网查阅资料时发现有一个实现,不过版本比较古老,是2012年一月的,原文在这里: Wireshark · Wireshark-dev: Re: [Wireshark-dev] [PATCH] Filter by local process name 我参照它的代码在最近的版本实现了一下,发现确实可用。 我在这个版本的基础
深度剖析WinPcap之()——数据包内核过滤(10)
理性的幻想
06-23 807
本文转自http://eslxf.blog.51cto.com/918801/269489   过滤器性能的重要性不言而喻,假设在百兆网络的每个数据包大小平均为100字节,那么过滤器每秒钟处理的数据包数目可达到万个。而且同一时刻系统可能会有多个过滤器正在进行过滤工作,这对过滤器的性能提出了更高要求。BPF虽然在性能方面较之前出现的过滤器要快很多,但随着现代网络的不断发展,BPF的性能
WinPcap编程【6】过滤、分析数据包
04-11 6467
WinPcap和Libpcap的最强大的特性之一,是拥有过滤数据包的引擎。 它提供了有效的方法去获取网络的某些数据包,这也是WinPcap捕获机制的一个组成部分。 用来过滤数据包的函数是 pcap_compile() 和 pcap_setfilter() 。 pcap_compile() 它将一个高层的布尔过滤表达式编译成一个能够被过滤引擎所解释的低层的字节码。有关布尔过滤表达式的语法可以
WinPcap基础知识(第五课:过滤信息)
qsycn的专栏
08-18 2892
WinPcap提供的最强大的特性之一就是过滤引擎。它是被集成到了winpcap的捕获机制的,提供了一种非常高效的方法来获取部分网络数据。被用来过滤数据包的函数是 pcap_compile() 和 pcap_setfilter()。 pcap_compile() 接受一个包含布尔表达式的字符串,生成可以被捕获包驱动过滤引擎解释的代码。布尔表达式的语法在这个文档的Filtering expres
利用WinPcap技术捕获数据包
04-03 1577
前言   随着网络入侵的不断发展,网络安全变得越来越重要,于是网络入侵取证系统的研究也变得日益重要。在网络入侵取证系统,对网络上传送的数据包进行有效的监听即捕获包是目前取证的关键技术,只有进行高效的数据包捕获,网络管理员才能对所捕获的数据进行一系列的分析,从而进行可靠的网络安全管理。 1winpcap简介   WinPcap 是由伯克利分组捕获库派生而来的分组捕获库,它是在Windows 操作平
【网络协议】基于winpcap的以太网络抓包及协议分析
错位竞争,单点突破。
11-26 9838
下面的程序只是一个简单的示例: #include "stdafx.h" #include "pcap.h" #include #pragma comment(lib,"wpcap.lib") #pragma comment(lib,"packet.lib") #pragma comment(lib,"ws2_32.lib") void ethernet_protocol_packet_ca
winpcap编程捕获数据包
11-05
WinPcap编程捕获数据包是网络编程领域的一个重要概念,尤其对于网络监控、数据分析以及安全检测等应用来说,它是核心工具之一。WinPcap是一个开源库,它为Windows操作系统提供了底层网络访问能力,允许程序直接与...
Winpcap 信息截获.rar_arp_hack_winpcap_winpcap 数据包内容_winpcap-pcap
最新发布
09-21
2. **数据包过滤**:通过Winpcap过滤机制,攻击者可以选择性地拦截特定类型的数据包,如只关注ARP请求或响应。 3. **数据包构造与注入**:除了捕获,Winpcap还允许用户构建自定义的数据包并注入到网络,因此攻击...
WinPcap实战(二)——接收ARP包
白夜的随笔
09-17 5586
ARP帧结构ARP帧结构(28B):硬件类型(2B,Ethernet:0x1)——上层协议类型(2B,IP:0x0800)——硬件地址长度(1B,0x6)——IP地址长度(1B,0x4)——操作(2B,请求: 0x1; 应答: 0x2)——源MAC地址(6B)——源IP地址(6B)——目的MAC地址(6B)——目的IP地址(6B)依据ARP帧结构定义结构体struct ArpHeader {
winPcap的简单应用,能保存捕获数据成文件
09-25
使用WinPcap抓取数据包并且保存抓取的数据包pcap文件,该文件可以用Wireshark直接 打开。本源代码拆分数据包协议部分来源于网络,源代码允许大家自由拷贝和使用但请保留 代码的完整性,且在自己源代码著名出处。 作者:吴梦龙 版本:V1.0(仅仅是WinPcap最简单的应用,还有其他模块未完成) 时间:2010年9月25日
基于winpcap捕获,过滤和分析数据包
weixin_30391339的博客
12-25 709
程序1, 获取网卡信息并启动capture func.h #pragma once #ifndef __FUNC_H #define __FUNC_H #define HAVE_REMOTE #include<winsock2.h> #include<windows.h> #include<stdio.h> #include"pcap....
过滤串表达式的语法---[WinPcap用户指南]
LEAF
08-30 1819
 过滤串表达式的语法[WinPcap用户指南] 注意:这篇文档取自tcpdump的指南。原始的版本 www.tcpdump.org 找到。   wpcap过滤器是以已声明的谓词语法为基础的。过滤器是一个ASCII字符串,它包含了一个过滤表达式。pcap_compile()把这个表达式编译成内核级的包过滤器。这个表达式会选择那些数据包将会被堆存。如果表达式没有给出,那么,网络上所有
rtsp详解二之wireshark抓包分析
热门推荐
huangyimo的专栏
11-23 1万+
一、概述     RTSP(Real-Time Stream Protocol )是一种基于文本的应用层协议,在语法及一些消息参数等方面,RTSP协议与HTTP协议类似。     RTSP被用于建立的控制媒体流的传输,它为多媒体服务扮演“网络远程控制”的角色。RTSP本身并不用于传送媒体流数据。媒体数据的传送可通过RTP/RTCP等协议来完成。   基本的RTSP操作过程
Linux 内核LLVM编译
ejinxian的专栏
02-26 1165
LLVM基础架构适用于多种Unix环境(GNU/Linux、FreeBSD、Mac OS X)和Windows环境 我们将逐步介绍在所有这些系统使用LLVM之前的必要准备步骤。在部分系统上有相应的LLVM和Clang预构建软件包 LLVM初学者必须考虑以下情况:基于LLVM编译器的基本设置均包括LLVM和Clang库及工具包 若要查看支持LLVM的平台的更新列表,可以访问http://llvm.org/docs/ GettingStarted.html#hardware 。另外,http:/..
WinPcap深度解析:工业级网络数据包处理库
深度剖析WinPcap深入探讨了这个强大的网络包捕获库在Windows平台上的应用和核心功能。WinPcap是一个开源库,它为Windows应用程序提供了直接访问网络数据链路层的能力,超越了传统的socket接口,使得开发者能够捕获...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值