WinPcap过滤规则

最新推荐文章于 2021-10-22 16:05:09 发布
最新推荐文章于 2021-10-22 16:05:09 发布
阅读量1.1w 收藏 12
点赞数
文章标签: dst tcp c

下面对WinPcap的过滤表达式语法进行一下简要的介绍,其中关键字用黑体字表示。
1) 表达式支持逻辑操作符,可以使用关键字 and、or、not对子表达式进行组合,同时支持使用小括号。
2) 基于协议的过滤要使用协议限定符,协议限定符可以为ip、arp、rarp、tcp、udp等。
3) 基于MAC地址的过滤要使用限定符ether(代表以太网地址)、当该MAC地址仅作为源地址时表达式为ether src mac_addr,仅作为目的地址时,表达式为ether dst mac_addr,既作为源地址又作为目的地址时的表达式为ether host mac_addr。此外应注意mac_addr应该遵从00:E0:4C:E0:38:88的格式,否则编译过滤器时会出错。
4) 基于IP地址的过滤应该使用限定符host(代表主机地址)。当该IP地址仅作为源地址时过滤表达式应为 src host ip_addr,仅作为目的地址时的表达式为 dst host ip_addr,既作为源地址又作为目的地址时表达式为 host ip_addr。
5) 基于端口的过滤应使用限定符 port。例如仅接收80端口的数据包则表达式为port 80。

下边给出两个例子:
例1:只捕获arp或icmp数据包。
过滤表达式:arp or (ip and icmp)
例2:捕获主机192.168.1.23与192.168.1.28之间传递的所有UDP数据包。
过滤表达式:(ip and udp)and( host 192.168.1.23 or host 192.168.1.28)

caohao2008
关注
  • 0
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
【网络】Wireshark对远程主机抓包|过滤|原理
小鱼菜鸟的博客
10-04 2168
目录 对远程Linux主机进行抓包 对Windows主机抓包 过滤 1.过滤IP,如来源IP或者目标IP等于某个IP 2.过滤端口 3.过滤协议 4.过滤MAC 5.包长度过滤 6.http模式过滤 7.TCP参数过滤|过滤标志 SYN|RST|ACK…… 8.包内容过滤 9.dns模式过滤 10.DHCP 11.msn 1...
WinPcap过滤表达式语法
howard的技术之路
07-03 4152
自己写了一个WinPcap过滤表达式语法检测软件,使用了SharpPcap包(它是使用.net对WinPcap进行了封装,其中过滤表达式和WinPcap相同)。 程序下载地址为:http://download.csdn.net/source/526497 源代码下载地址为:http://download.csdn.net/source/526501 转了两篇文章,第一篇写的很短但是很清楚,
【笔记】wincap网络数据包的过滤与分析
Welcome Friends~
09-18 2854
 一、网络层IP数据包的结构介绍二、传输层TCP结构图三、传输层UDP结构图四、网络数据包过滤分析介绍  WinPcap或libpca最强大的特点之一就是数据流的过滤引擎。它提供一种高效的方法来只捕获网络数据流的某些数据而且常常和系统的捕获机制相集成。过滤数据的函数是pcap_compile() 和 pcap_setfilter()来实现的。  pcap
深度剖析WinPcap之(十)——数据包的内核过滤(1)
理性的幻想
06-23 1180
本文转自 http://eslxf.blog.51cto.com/918801/226693   WinPcap最强大的特性之一,就是拥有过滤数据包的引擎。它提供非常有效的方法去获取网络流量中的某些数据包,这也是WinPcap捕获机制中的一个重要组成部分。WinPcap过滤引擎直接源自BSD Packet Filter (BPF),所以WinPcap过滤机制与BPF的过滤机制类似。
pcap过滤规则
jlccwss的专栏
01-06 4335
基于pcap的东东几乎都能通用 **************************************************************** dst host host True if the IPv4/v6 destination field of the packet is host, which may be either an address or a name.
WinPcap过滤串表达式的语法
Why So Serious?
06-18 1881
WinPcap过滤串表达式的语法
使用winpcap对报文进行过滤
05-23
在捕获数据包的过程中,我们可以通过设置过滤规则来筛选出我们感兴趣的特定类型的数据包。 在标题中提到的"使用WinPcap对报文进行过滤",这是WinPcap的一个关键特性。过滤功能允许我们只关注符合特定条件的数据包,...
winpcap过滤表达式检验程序源代码
07-04
WinPcap过滤表达式检验程序源代码涉及到网络数据包捕获和分析的重要工具——WinPcap库。WinPcap是一个开源的系统级软件,它允许应用程序访问网络接口的底层功能,包括实时数据包捕获、网络流量过滤以及网络监控。在...
winpcap过滤表达式检验程序
07-04
WinPCAP过滤表达式检验程序是一种实用...使用WinPCAP过滤表达式检验程序,用户可以确保他们的过滤规则在实际网络环境中能够有效地过滤出所需的数据包,同时避免因错误的表达式导致不必要的资源消耗或捕获错误的数据。
winPcap 4.1.3
03-04
winPcap内置了强大的数据包过滤引擎,可以基于预定义的规则对捕获到的数据包进行筛选,只将满足条件的包传递给应用程序。同时,它支持多种网络协议的解析,包括TCP/IP、UDP、ICMP等,能够提供详细的包头信息,便于...
winpcap过滤表达式说明
07-03
winpcap过滤表达式说明 pdf
WinPcap操作.rar
04-05
2. **数据包过滤**:通过定义过滤规则WinPcap允许用户只关注特定类型的数据包,例如指定协议(如TCP或UDP)、端口或特定IP地址,提高了分析效率。 3. **网络嗅探**:作为网络嗅探器的基础,WinPcap可以用于网络...
过滤串表达式的语法---[WinPcap用户指南]
LEAF
08-30 1782
 过滤串表达式的语法[WinPcap用户指南] 注意:这篇文档取自tcpdump的指南。原始的版本 www.tcpdump.org 找到。   wpcap过滤器是以已声明的谓词语法为基础的。过滤器是一个ASCII字符串,它包含了一个过滤表达式。pcap_compile()把这个表达式编译成内核级的包过滤器。这个表达式会选择那些数据包将会被堆存。如果表达式没有给出,那么,网络上所有
winpcap编程设置过滤器之指定获取某个网站的数据
10-04 264
下面,我将以 乱世隋唐页游 为例,通过编码获取这里面的数据。 游戏图: 我是乱世隋唐的网址是:www.917st.com 这个是官网网址的服务器地址。 42.62.0.14 我玩的游戏服是84区。网址是:www.s84.917st.com 我所在区的服务器地址是: 42.62.0.7 winpcap里有一个过滤器字符串。凡是发送给这个服务器的内...
WinPcap基础知识(第五课:过滤信息)
qsycn的专栏
08-18 2793
WinPcap提供的最强大的特性之一就是过滤引擎。它是被集成到了winpcap的捕获机制中的,提供了一种非常高效的方法来获取部分网络数据。被用来过滤数据包的函数是 pcap_compile() 和 pcap_setfilter()。 pcap_compile() 接受一个包含布尔表达式的字符串,生成可以被捕获包驱动中的过滤引擎解释的代码。布尔表达式的语法在这个文档的Filtering expres
网络抓包技术备忘 - Wireshark/Fiddler/Libpcap/Npcap/WinPcap/SharpPcap
:: Dotnet Fantasy ::
10-22 2996
1.常用工具 浏览器自带,如谷歌浏览器的开发人员工具。Fiddler:主要是捕获HTTP、HTTPS数据包。Wireshark:网络协议分析工具,内置支持数百种协议。安全考虑,只能查看数据包,而不能修改包的内容或发送数据包。(开源 C) 2.原理 Fiddler:做为代理,让所有http/https的请求和响应都流经Fiddler。是要预先配置的。 备注: Fiddler启动时,会自动设置浏览器的代理为127.0.0.1:8888,在关闭时取消设置。 Wireshark:捕获机器上某一块网卡..
winpcap pcap_compile MAC 地址过滤
学习,思考,记录
11-11 3808
使用Winpcap编写了一个按照mac地址过滤的函数,刚开始怎么设置MAC地址都不正确,最后发现是格式不正确,争取的Filter的格式如下:特别编写如下: char filter =   "ether   dst   00:90:41:C0:C1:C3"; 具体的一段代码如下: char filter[512];  sprintf(filter,"ether proto 0x1111 an
WinPcap学习(六)过滤数据包
金溪的博客
12-06 1402
用来过滤数据包的函数是pcap_compile()和pcap_setfilter()。 pcap_complie()它将一个高层的布尔过滤表达式编译成一个能够被过滤引擎所解释的低层的字节码。 pcap_setfilter()将一个过滤器与内核捕获会话相关联。当pcap_setfilter()被调用时,这个过滤器将被应用到来自网络的所有数据包,并且,所有的符合要求的数据包,将会立刻复制给应用程序...
wireshark 过滤规则
最新发布
08-19
wireshark过滤规则是一种用于过滤网络数据包的语法,它可以帮助用户快速筛选出特定的数据包进行分析。这些过滤规则可以基于多种条件,如源地址、目标地址、协议类型、端口号等来进行过滤。根据引用,你可以在Wireshark的官方文档中找到更多关于过滤规则的详细信息。这些规则可以帮助网络管理员更好地管理网络,并且是网络管理工具中最常用的功能之一。根据引用,这些过滤规则虽然基础,但非常实用。Wireshark使用的过滤器语法是BPF(Berkeley Packet Filter)规则的语法,该语法被广泛应用于多种数据包嗅探软件,如tcpdump和Wireshark等,因为大多数软件都是基于libpcap/WinPcap库。通过使用wireshark过滤规则,用户可以更加灵活地分析和监视网络数据流量。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *3* [WireShark过滤规则](https://blog.csdn.net/qq_39112646/article/details/103430547)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] - *2* [Wireshark过滤规则.docx](https://download.csdn.net/download/tianpeng852456/12469618)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值