pcap_compile

原创 已于 2024-04-30 17:06:30 修改 · 3k 阅读 · 9 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#网络

于 2021-12-24 20:21:20 首次发布
本文详细解读了pcap_compile()函数的作用,介绍了过滤表达式的元素、类型、路径和协议修饰符,以及特殊修饰符和算术运算的应用,涵盖了IP地址、端口、协议匹配等关键知识点。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

pcap_compile()是用来把用户输入的过滤字符串编译进过滤信息的,这个过滤信息可以决定哪些包是用户可获取到的 。

    过滤表达式包含一个或多个元素。每个元素通常包含由多个或一个被修饰符修饰的id名称或数字,有三种不同的修饰符:
   类型修饰符     说明id属于那种类型。可以用的类型修饰符有host,net,port,portrange。例如‘host foo’, ‘net      128.3’, ‘port 20’, ‘por-trange 6000-6008’。如果id没有指定类型,则host是默认。
   路径方向修饰符  指定id的路径方向。可以用的路径修饰符有src, dst, src or    dst,srcand dst,   addr1, addr2, addr3,  and  addr4.举例‘src foo’, ‘dst net 128.3’, ‘src  or dst port ftp-data’.如果id没有路径修饰符,默认src or dst。addr1, addr2, addr3, and addr4仅用于无限网络,在链路层,如果是混杂模式,可以用inbound,outbound来指定过滤方向
   协议修饰符      来限制匹配的协议。可以用的协议修饰符ether, fddi, tr, wlan, ip, ip6, arp, rarp, decnet, tcp and udp。举例ether src foo’,‘arp net 128.3’, ‘tcp port 21’, ‘udp portrange 7000-7009’, ‘wlan addr2 0:2:3:4:5:6’. 如果没有制定协议,则默认是所有协议都匹配,比如‘src  foo’,ip arp rarp的协议都匹配


   fddi协议等同于ether协议,在语法解析器中,fddi与ether含义一样,fddi头部信息包含以太网源、目的地址,还包含包的类型,可以指定fddi头部域的信息来过滤指定的域。fddi头还包含其他的域,但是不能应用与过滤。


   tr和wlan在过滤解析器中,含义等同于ether。以前版本的fddi头部信息也适用于802.11无线局域网的头。

除了以上三种修饰符,还有一些特殊的修饰符和算术运算式:gateway, broadcast, less, greater。如下所示算术运算式:
and or not
可以用and、or、not来组合复杂的过滤表达式。比如‘host foo and not port ftp and not port ftp-data’,如果多个表达式以and、 or、 not来组合,多个表达式有相同的修饰符,则可以省略除第一个表达式以外,比如‘tcp dst port ftp or ftp-data or domain’等同于‘tcp dst port ftp or tcp dst port ftp-data or tcp dstport domain’

   允许的过滤表达式:

   dst host host
   包的目的ip,可以是ip地址也可以是域名



   src host host
   包的源ip



   host host
   匹配包的源或则目的ip
   以上的表达式都可以用ip、arp、rarp、ip6,比如ip host host,包是ip协议,包的源ip或目的ip是host的,如果host是多播ip地址,那么每个地址都会匹配。



   ether dst ehost
   匹配以太网头的目的地址



   ether src ehost
   匹配以太网头的源地址



   ether host ehost
   匹配以太网源或目的地址



   gateway host
   匹配网关地址,以太网头的目的或者源地址是网关但不能以ip头的源或目的地址为网关,网关host必须存在于设备的域名解析文件中,不适用于ipv6



   dst net net
   匹配范围内包的目的ip地址(一段范围的ip地址),net可以是网络文件中的名称,也可以是一个网ip地址,一个ipv4的ip地址可以是以点分制的数字,如192.168.1.1则对应的网络掩码是255.255.255.255,192.168.1则对应的网络掩码是255.255.255.0,192.168则对应的网络掩码是254.254.0.0,ipv6的ip地址必须是完整的,所以ipv6的匹配等同于ip地址匹配


   src net net
   匹配范围内包的源ip地址


   net net
   匹配范围内包的源或者目的ip地址
    

   net net mask netmask
   匹配指定的ip地址net以及掩码netmask,可以指定src或者dst。不支持ipv6



   net net/len
   匹配指定的ip地址,类似192.168.10.1/24 等同于 192.168.10.1 和掩码254.254.254.0,可以指定src或dst



   dst port port
   匹配指定的包的目的端port,port可以是数字或者/etc/services 文件中的端口对应的名称,如果使用名称,则只匹 配名称对应的端口和协议,如果是数字,则只匹配端口号



   src port port
   匹配包的指定源端口



   port port
   匹配源或在目的端口为port的包



   dst portrange port1-port2
   匹配目的端口在port1-port2之间的包



   src portrange port1-port2
   匹配源端口在port1-port2之间的包



   portrange port1-port2
   匹配源端口或目的端口在port1-port2之间的包

   以上关于端口和端口范围匹配的表达式可以用tcp或udp来指定协议



   less length
   匹配长度小于指定的长度length的包



   greater length
   匹配长度大于指定长度length的包
      
   ip proto protocol
   匹配协议为protocol的ip包,protocol可以使一个数字也可以是字符串(icmp, icmp6, igmp, igrp, pim, ahesp, vrrp, udp, tcp),注意因为tcp udp icmp本身是修饰符所以可以前面

  
   ip6 proto protocol
   匹配协议为protocol的ipv6的包
Believer_YU
关注
winpCapcompile和nocap函数
西门吹雪
11-18 1321
int pcap_compile ( pcap_t *p, struct bpf_program *fp, char *str, int optimize, bpf_u_int32 netmask ) 编译数据包过滤器,在可由内核级过滤引擎解释的程序中转换高级过滤表达式(请参阅过滤表达式语法)。 pcap_compile()用于将字符串str编译为过滤器程序。 program是指向bpf_program结构的指针,并由pcap_compile()填充。优化控制是否对结果代码执行优
pcap_complie() 和 pcap_setfilter()
10-11 4263
<br />Winpcap 提供(libpcap也提供)的一个强大特性是过滤引擎(filtering engine)。它提供了一个非常有效的接收网络流量的方法,并且它通常与Winpcap提供的抓包机制集成在一起。用于过滤数据包的函数是 pcap_complie()和pcap_setfilter()。<br /><br />       pcap_complie()使用一个包含高级布尔表达式的字符串并且产生一个能被过滤引擎集成到数据包驱动中的低级字节码。<br />       pcap_setf
libpcap包过滤-pcap_compile()
热门推荐
懒雄熊的专栏
08-06 2万+
pcap_compile()是用来把用户输入的过滤字符串编译进过滤信息的,这个过滤信息可以决定哪些包是用户可获取到的 。         过滤表达式包含一个或多个元素。每个元素通常包含由多个或一个被修饰符修饰的id名称或数字,有三种不同的修饰符:        类型修饰符     说明id属于那种类型。可以用的类型修饰符有host,net,port,portrang
pcap_compile()函数
luotuo28的博客
11-21 671
【代码】pcap_compile()函数。pcap_compile()函数是libpcap库中的一个关键函数,用于将一个高级的数据包过滤表达式编译成一个底层的字节码形式,这个字节码可以被数据包捕获机制所理解和应用。它允许用户以一种相对简单和直观的方式指定要捕获或忽略的数据包类型,从而对网络数据包进行有针对性的筛选
pcap_compile手册
ZHANGJNWEI的专栏
07-07 2308
pcap_compile() is used to compile a string into a filter program. The resulting filter program can then be applied to some stream of packets to determine which packets will be supplied topcap_loop(3PCAP),pcap_dispatch(3PCAP),pcap_next(3PCAP), orpcap_ne...
WinPcap过滤串表达式的语法
Why So Serious?
06-18 2078
WinPcap过滤串表达式的语法
epcap_compile:将 pcap-filter(7) 表达式编译为 BPF 程序
05-30
epcap_compile 是一个 Erlang 库,用于将 PCAP 过滤器编译为 BPF 程序(请参阅 pcap-filter(7))。 epcap_compile 使用 NIF 接口从 libpcap 包装 pcap_compile(3PCAP)。 警告 由于库直接将过滤字符串传递给 pcap_...
pcap_compile()
最新发布
03-27
好的,我现在需要介绍pcap_compile()函数。首先,我应该回忆一下这个函数的作用和它在libpcap库中的位置。libpcap是用于网络数据包捕获的库,常用于网络分析工具如tcpdump。pcap_compile()应该和编译BPF过滤器有关。...
数据包过滤处理是流量技术中的难点和重点,Libpcap 提供了最强大的数据流过滤引擎。它采用了一种高效的方法来捕获网络数据流的某些数据且常常和系统的捕获机制相集成。过滤数据的函数是 pcap_compile()和 pcap_setfilter()来实现的。pcap_compile()它将一个高层的布尔过滤表达式编译成一个能够被过滤引擎所解释的低层的字节码,pcap_setfilter()将一个过滤器与内核捕获会话向关联。当 pcap_setfilter()被调用时,这个过滤器将被应用到来自网络的所有数据包,并且,所有的符合要求的数据包(即那些经过过滤器以后,布尔表达式为真的包),将会立即复制给应用程序
06-13
int pcap_compile(pcap_t *p, struct bpf_program *fp, const char *str, int optimize, bpf_u_int32 netmask); ``` 参数说明: - `p`:指向 pcap_t 结构体的指针,表示要编译过滤器的会话。 - `fp`:指向 bpf_...
libpcap 过滤 pcap_compile
weixin_38168838的博客
02-02 548
libpcap 是使用 lex 和 yacc 生成scanner.c 等文件,用以过滤的规则生成的。 /* make 中的 lex、yacc 部分步骤 */ ./runlex.sh lex -oscanner.c scanner.l mv scanner.c scanner.c.bottom cat ./scanner.c.top scanner.c.bottom >...
libpcap函数库常用的函数详解
05-05
在Linux环境下,会使用libpcap函数库进行抓包,本文档包含了libpcap函数库常用的一些主要函数。
libpcap库以及使用方法
08-19
pcap下c与java的库
MFC使用winpcap 抓包 pcap_compile使用
YYhuyuming的博客
09-20 2695
使用Winpcap编写: 最近工作需要抓取傻瓜交换机的MAC,由于没有IP只能使用Winpcap抓包工具来实现。本人初学者,大佬请绕行。 a, 先获取电脑的网卡信息 在SwithCheckMacDlg.h文件中定义两个全局变量 pcap_if_t *alldevs; // pcap_if 结构体中包含了适配器的详细信息 pcap_if_t *d; void CSwithCheckM...
Pcap程序设计
liuwbeyond的专栏
04-22 555
Pcap程序设计Tim Carstens 好,让我们从看看这篇文章写给谁开始。显而易见的,需要一些C语言基础知识,除非你只想了解基本的理论。你不必是一个编码专家,因为这个领域只有经验丰富的程序员涉足,而我将尽可能详细的描述这些概念。另外,考虑到这是有关一个包嗅探器的,所以对网络基础知识的理解是有帮助的。所有在此出现的代码示例都已在FreeBSD 4.3平台上测试通过。 开始:p
winpcap pcap_compile MAC 地址过滤
学习,思考,记录
11-11 3970
使用Winpcap编写了一个按照mac地址过滤的函数,刚开始怎么设置MAC地址都不正确,最后发现是格式不正确,争取的Filter的格式如下:特别编写如下: char filter =   "ether   dst   00:90:41:C0:C1:C3"; 具体的一段代码如下: char filter[512];  sprintf(filter,"ether proto 0x1111 an
Ubuntu16.04安装libpcap开发库对pcap文件中的数据包进行过滤
yellow的博客
09-30 5514
Ubuntu16.04下安装了Wireshark的话,应该是已经安装了libpcap0.8的包,如下图:使用sudo apt-get install libpcap-dev安装开发包,安装后系统显示如下图:多了libpcap0.8-dev和libpcap-dev两个包。工作可能截取的数据包文件(pcap文件)含有一些重要的数据包,这时我们需要把他们提取出来保存到新的数据包文件(pcap文件)中。比...
WinPcap编程(三)
azy67351的博客
08-16 195
1.过滤器设置   设置过滤器,得到你想要的哪种类型的包。Like WireShark。   过程:编译过滤器,然后设置过滤器。直接上参考文档的代码:    if (d->addresses != NULL) /* 获取接口第一个地址的掩码 */ netmask=((struct sockaddr_in *)(d->...
PACP学习笔记一:使用 PCAP 编程
山鬼谣的专栏
06-27 3529
参数具体说明 说明 第一个参数 第二个参数 是一个指向结构的指针,该结构包含有关数据包的一般信息,特别是它被嗅探的时间、该数据包的长度以及该特定部分的长度(例如,如果它被分段)。 返回值 返回指向此结构描述的数据包的 u_char 指针 pcap_loop() 参数具体说明 说明 第一个参数 第一个参数是我们会话句柄 第二个参数 是一个整数,它告诉 pcap_loop() 在返回之前它应该嗅探多少数据包(负值意味着它应该嗅探直到发生错误) 第三个参数 是回调函
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值