精华内容
下载资源
问答
  • 使用libpcap过滤arp

    2019-09-30 23:50:54
    上一篇博客简单讲述了libpcap的工作流程及简单使用,今天我们需要做的是继续使用libpcap抓取我们感兴趣的流量,并进行简单的解析: 测试环境是centos 7 下面贴一张arp帧结构图: 下面我们实现的是通过pcap过滤...

    上一篇博客简单讲述了libpcap的工作流程及简单使用,今天我们需要做的是继续使用libpcap抓取我们感兴趣的流量,并进行简单的解析:

    测试环境是centos 7

    下面贴一张arp帧结构图:

    下面我们实现的是通过pcap过滤抓取arp报文,解析其中的Ethernet address 和proctocal address并打印出来

    分析是arp request还是reply,前面就不做过多解释,代码比较简单,直接贴:

     1 #include <stdio.h>  
     2 #include <string.h>
     3 #include <stdlib.h>
     4 #include <stdint.h>
     5 #include <pcap.h>
     6 #include <arpa/inet.h>
     7 
     8 #define MAXBYTES2CAPTURE 2048
     9 #define ARP_REQUEST     1
    10 #define ARP_REPLY       2
    11 
    12 typedef struct arphdr {
    13     u_int16_t htype;        //hardware type
    14     u_int16_t ptype;        //protocol type
    15     u_char hlen;            //hardware address length
    16     u_char plen;            //protocol address length
    17     u_int16_t oper;         //operation code
    18     u_char sha[6];          //sendHardware address
    19     u_char spa[4];          //sender ip address
    20     u_char tha[6];          //target hardware address
    21     u_char tpa[4];          //target ip address
    22 } arphdr_t;
    23 
    24 int main(int argc, char **argv)
    25 {
    26     int i = 0;
    27     bpf_u_int32 net = 0;
    28     bpf_u_int32 mask = 0;
    29     struct bpf_program filter; /*place to store the filter program*/
    30     char errbuf[PCAP_ERRBUF_SIZE];
    31     pcap_t *handle = NULL;   /*interface handle*/
    32     struct pcap_pkthdr pkthdr; /**/
    33     const unsigned char *packet = NULL; /*received raw data*/
    34     arphdr_t *arpheader = NULL; /*point to arp header*/
    35     
    36     if (argc != 2) {
    37         printf("USAGE: arpsniffer <interface>\n");
    38         exit(1);
    39     }
    40     
    41     memset(errbuf, 0, PCAP_ERRBUF_SIZE);
    42     /*open network device for packet capture*/
    43     handle = pcap_open_live(argv[1], MAXBYTES2CAPTURE, 0, 512, errbuf);
    44     if (handle == NULL) {
    45         fprintf(stderr, "Couldn't open device %s: %s\n", argv[1], errbuf);
    46         exit(1);
    47     }
    48 
    49     /*look up device network addr and mask*/
    50     if (pcap_lookupnet(argv[1], &net, &mask, errbuf) == -1) {
    51         fprintf(stderr, "Couldn't get netmask for device %s: %s\n", argv[1], errbuf);
    52         exit(1);
    53     }
    54     
    55     /*complie the filter expression of filter program*/
    56     pcap_compile(handle, &filter, "arp", 0, mask);
    57 
    58     pcap_setfilter(handle, &filter);
    59 
    60     while(1) {
    61         /*Get one packet if null continue wait*/
    62         if ((packet = pcap_next(handle, &pkthdr)) == NULL) {
    63             continue;
    64         }
    65 
    66         arpheader = (struct arphdr *)(packet + 14); /*Point to the ARP header*/
    67         printf("\n------------- ARP --------------\n");
    68         printf("Received Packet Size: %d bytes\n", pkthdr.len);
    69         printf("Hardware type: %s\n", (ntohs(arpheader->htype) == 1)?"Ethernet":"Unknown");
    70         printf("Protocol type: %s\n", (ntohs(arpheader->ptype) == 0x0800)?"IPv4":"Unknown");
    71         printf("Operation : %s\n", (ntohs(arpheader->oper) == ARP_REQUEST)?"ARP_REQUEST":"ARP_REPLY");
    72 
    73         /*If is Ethernet and IPv4 print packet contents*/
    74         if (ntohs(arpheader->htype) == 1 && ntohs(arpheader->ptype) == 0x0800) {
    75             printf("\nSoucre MAC:%02x:%02x:%02X:%02x:%02x:%02x\n", 
    76                             arpheader->sha[0], arpheader->sha[1], 
    77                             arpheader->sha[2], arpheader->sha[3], 
    78                             arpheader->sha[4], arpheader->sha[5]);
    79             printf("Soucre IP:%d.%d.%d.%d\n", 
    80                             arpheader->spa[0], arpheader->spa[1], 
    81                             arpheader->spa[2], arpheader->spa[3]);
    82             printf("\nDestination MAC:%02x:%02x:%02X:%02x:%02x:%02x\n", 
    83                             arpheader->tha[0], arpheader->tha[1], 
    84                             arpheader->tha[2], arpheader->tha[3], 
    85                             arpheader->tha[4], arpheader->tha[5]);
    86             printf("Destination IP:%d.%d.%d.%d\n", 
    87                             arpheader->tpa[0], arpheader->tpa[1], 
    88                             arpheader->tpa[2], arpheader->tpa[3]);
    89         }    
    90     }
    91     return 0;
    92 } 

     

    下面是运行结果:

     1 [root@localhost pcap_arp]# ./pcap enp0s3
     2 
     3 ------------- ARP --------------
     4 Received Packet Size: 60 bytes
     5 Hardware type: Ethernet
     6 Ptotocol type: IPv4
     7 Operation : ARP_REQUEST
     8 
     9 Soucre MAC:b0:83:FE:99:5a:5b
    10 Soucre IP:192.168.16.139
    11 
    12 Destination MAC:08:00:27:25:e7:52
    13 Destination IP:192.168.16.125
    14 
    15 ------------- ARP --------------
    16 Received Packet Size: 42 bytes
    17 Hardware type: Ethernet
    18 Ptotocol type: IPv4
    19 Operation : ARP_REPLY
    20 
    21 Soucre MAC:08:00:27:25:e7:52
    22 Soucre IP:192.168.16.125
    23 
    24 Destination MAC:b0:83:FE:99:5a:5b
    25 Destination IP:192.168.16.139

    Makefile:

     1 #
     2 #design of ARP sniffer
     3 #
     4 
     5 CFLAGS = -g
     6 LDFLAGS = -lpcap
     7 
     8 OBJS = test.o
     9 TARGET = pcap
    10 
    11 RM = rm -f  
    12 
    13 $(TARGET):$(OBJS)
    14     $(CC) $(LDFLAGS) -o $@ $^
    15 
    16 %.o:%.c
    17     $(CC) $(CFLAGS) -c -o $@ $<
    18 
    19 .PHONY:clean
    20 
    21 clean:
    22     $(RM) $(TARGET) $(OBJS)

     

    转载于:https://www.cnblogs.com/wenqiang/p/5718006.html

    展开全文
  • libpcap 过滤 pcap_compile

    2016-02-02 09:17:00
    libpcap 是使用 lex 和 yacc 生成scanner.c 等文件,用以过滤规则生成的。 /* make 中的 lex、yacc 部分步骤 */ ./runlex.sh lex -oscanner.c scanner.l mv scanner.c scanner.c.bottom cat ./scanner.c.top...

    libpcap 是使用 lex 和 yacc 生成 scanner.c 等文件,用以过滤的规则生成的。

    /* make 中的 lex、yacc 部分步骤 */
    ./runlex.sh lex -oscanner.c scanner.l
    mv scanner.c scanner.c.bottom
    cat ./scanner.c.top scanner.c.bottom > scanner.c
    yacc -d grammar.y
    yacc: 38 shift/reduce conflicts.
    mv y.tab.c grammar.c
    mv y.tab.h tokdefs.h

    pcap_compile 函数主要调用层次

    pcap_compile()
    {
      lex_init(buf1) {
        yy_scan_string(buf2) {
          yy_scan_bytes(buf3) {
            yy_switch_to_buffer(buf4);  // 把 buf 中的过滤方式写到相应的地方,准备供 yyparse() 函数使用。
          }
        }
      }
    
      init_linktype();
      pcap_parse() {
        yyparse(); // 把过滤的字符串进行编码
      } 
    }

     

    转载于:https://www.cnblogs.com/liuyj-vv/p/5176754.html

    展开全文
  • libpcap过滤-pcap_compile()

    万次阅读 2015-08-06 09:53:40
    pcap_compile()是用来把用户输入的过滤字符串编译进过滤信息的,这个过滤信息可以决定哪些包是用户可获取到的 。  过滤表达式包含一个或多个元素。每个元素通常包含由多个或一个被修饰符修饰的id名称或数字,有三...
    

            pcap_compile()是用来把用户输入的过滤字符串编译进过滤信息的,这个过滤信息可以决定哪些包是用户可获取到的 。


            过滤表达式包含一个或多个元素。每个元素通常包含由多个或一个被修饰符修饰的id名称或数字,有三种不同的修饰符:
           类型修饰符     说明id属于那种类型。可以用的类型修饰符有host,net,port,portrange。例如‘host foo’, ‘net      128.3’, ‘port 20’, ‘por-trange 6000-6008’。如果id没有指定类型,则host是默认。
           路径方向修饰符  指定id的路径方向。可以用的路径修饰符有src, dst, src or    dst,srcand dst,   addr1, addr2, addr3,  and  addr4.举例‘src foo’, ‘dst net 128.3’, ‘src  
    or dst port ftp-data’.如果id没有路径修饰符,默认src or dst。addr1, addr2, addr3, and addr4仅用于无限网络,在链路层,如果是混杂模式,可以用inbound,outbound来指定过滤方向
           协议修饰符      来限制匹配的协议。可以用的协议修饰符ether, fddi, tr, wlan, ip, ip6, arp, rarp, decnet, tcp and udp。举例ether src foo’,‘arp net 128.3’, ‘tcp port 21
    ’, ‘udp portrange 7000-7009’, ‘wlan addr2 0:2:3:4:5:6’. 如果没有制定协议,则默认是所有协议都匹配,比如‘src  foo’,ip arp rarp的协议都匹配
     

           fddi协议等同于ether协议,在语法解析器中,fddi与ether含义一样,fddi头部信息包含以太网源、目的地址,还包含包的类型,可以指定fddi头部域的信息来过滤指定的域。fddi头还包含其他的域,但是不能应用与过滤。


           tr和wlan在过滤解析器中,含义等同于ether。以前版本的fddi头部信息也适用于802.11无线局域网的头。
    除了以上三种修饰符,还有一些特殊的修饰符和算术运算式:gateway, broadcast, less, greater。如下所示算术运算式:
           and or not       
           可以用and、or、not来组合复杂的过滤表达式。比如‘host foo and not port ftp and not port ftp-data’,如果多个表达式以and、 or、 not来组合,多个表达式有相同的修饰符,则可以
    省略除第一个表达式以外,比如‘tcp dst port ftp or ftp-data or domain’等同于‘tcp dst port ftp or tcp dst port ftp-data or tcp dstport domain’
     
           允许的过滤表达式:

           dst host host
           包的目的ip,可以是ip地址也可以是域名


           src host host
           
    包的源ip


           host host
           匹配包的源或则目的ip

           以上的表达式都可以用ip、arp、rarp、ip6,比如ip host host,包是ip协议,包的源ip或目的ip是host的,如果host是多播ip地址,那么每个地址都会匹配。


           ether dst ehost
           匹配以太网头的目的地址


           ether src ehost
           匹配以太网头的源地址


           ether host ehost
           匹配以太网源或目的地址


           gateway host
           匹配网关地址,以太网头的目的或者源地址是网关但不能以ip头的源或目的地址为网关,网关host必须存在于设备的域名解析文件中,不适用于ipv6


           dst net net
           匹配范围内包的目的ip地址(一段范围的ip地址),net可以是网络文件中的名称,也可以是一个网ip地址,一个ipv4的ip地址可以是以点分制的数字,如192.168.1.1则对应的网络掩码
    是255.255.255.255,192.168.1则对应的网络掩码是255.255.255.0,192.168则对应的网络掩码是254.254.0.0,ipv6的ip地址必须是完整的,所以ipv6的匹配等同于ip地址匹配
     

           src net net
           匹配范围内包的源ip地址


           net net
           匹配范围内包的源或者目的ip地址
            

           net net mask netmask
           匹配指定的ip地址net以及掩码netmask,可以指定src或者dst。不支持ipv6


           net net/len
           匹配指定的ip地址,类似192.168.10.1/24 等同于 192.168.10.1 和掩码254.254.254.0,可以指定src或dst


           dst port port
           匹配指定的包的目的端port,port可以是数字或者/etc/services 文件中的端口对应的名称,如果使用名称,则只匹 配名称对应的端口和协议,如果是数字,则只匹配端口号


           src port port
           匹配包的指定源端口


           port port
           匹配源或在目的端口为port的包


           dst portrange port1-port2
           匹配目的端口在port1-port2之间的包


           src portrange port1-port2
           匹配源端口在port1-port2之间的包


           portrange port1-port2
           匹配源端口或目的端口在port1-port2之间的包

           以上关于端口和端口范围匹配的表达式可以用tcp或udp来指定协议


           less length
           匹配长度小于指定的长度length的包


           greater length
           匹配长度大于指定长度length的包
              
           ip proto protocol
           匹配协议为protocol的ip包,protocol可以使一个数字也可以是字符串(icmp, icmp6, igmp, igrp, pim, ahesp, vrrp, udp, tcp),注意因为tcp udp icmp本身是修饰符所以可以前面

    加用反斜杠来表示
          
           ip6 proto protocol
           匹配协议为protocol的ipv6的包

    展开全文
  • Libpcap库编程指南--过滤数据包

    千次阅读 2017-09-13 14:58:03
    WinPcap和Libpcap的最强大的特性之一,是拥有过滤数据包的引擎。 它提供了有效的方法去获取网络中的某些数据包,这也是WinPcap捕获机制中的一个组成部分。 用来过滤数据包的函数是 pcap_compile() 和 pcap_setfilter...

    WinPcap和Libpcap的最强大的特性之一,是拥有过滤数据包的引擎。 它提供了有效的方法去获取网络中的某些数据包,这也是WinPcap捕获机制中的一个组成部分。 用来过滤数据包的函数是 pcap_compile() 和 pcap_setfilter() 。
    pcap_compile() 它将一个高层的布尔过滤表达式编译成一个能够被过滤引擎所解释的低层的字节码。有关布尔过滤表达式的语法可以参见 Filtering expression syntax 这一节的内容。

    pcap_setfilter() 将一个过滤器与内核捕获会话向关联。当 pcap_setfilter() 被调用时,这个过滤器将被应用到来自网络的所有数据包,并且,所有的符合要求的数据包 (即那些经过过滤器以后,布尔表达式为真的包) ,将会立即复制给应用程序。

    以下代码展示了如何编译并设置过滤器。 请注意,我们必须从 pcap_if 结构体中获得掩码,因为一些使用 pcap_compile() 创建的过滤器需要它。

    在这段代码片断中,传递给 pcap_compile() 的过滤器是”ip and tcp”,这说明我们只希望保留IPv4和TCP的数据包,并把他们发送给应用程序。
    示例代码(根据WinPcap文档修改,适用于UNIX/Linux):

        if (d->addresses != NULL)
            /* 获取接口第一个地址的掩码 */
            netmask=((struct sockaddr_in *)(d->addresses->netmask))->sin_addr.S_un.S_addr;
        else
            /* 如果这个接口没有地址,那么我们假设这个接口在C类网络中 */
            netmask=0xffffff; 
    
    
    compile the filter
        if (pcap_compile(adhandle, &fcode, "ip and tcp", 1, netmask) < 0)
        {
            fprintf(stderr,"\nUnable to compile the packet filter. Check the syntax.\n");
            /* 释放设备列表 */
            pcap_freealldevs(alldevs);
            return -1;
        }
    
    set the filter
        if (pcap_setfilter(adhandle, &fcode) < 0)
        {
            fprintf(stderr,"\nError setting the filter.\n");
            /* 释放设备列表 */
            pcap_freealldevs(alldevs);
            return -1;
        }

    备注:
    可使用的原语有:

    dst host host
    当IPv4/v6数据包的目标域(destination field)为host时为true,host既可以是地址,也可以是名字。
    src host host
    当IPv4/v6数据包的源域(source field)为host时为true。
    host host
    当IPv4/v6数据包的源域(source field)或目标域(destination field)为host时为true。以上任何一个host表达式可以是ip,arp,rarp或ip6开头,如下所示:
    ip host host
    等价于:
    ether proto \ip and host host
    如果host是一个多IP地址,那么每一个地址都会被匹配。
    ether dst ehost
    当以太网的目的地址为ehost时为true。ehost可以是一个来自/etc/ether的名字,也可以是一个数字代号(参见 ethers(3N)for numeric format)。
    ether src ehost
    当以太网的源地址为ehost时为true。
    ether host ehost
    当以太网的目的地址,或源地址为ehost时为true。
    gateway host
    当host为网关时为true。即,以太网源地址或目的地址是host,但源地址和目的地址不同时为host。host必须能被机器的主机-IP地址(host-name-to-IP-address)机制找到(如主机名文件,DNS,NIS等),也能被主机-以太网地址(host-name-to-Ethernet-address)机制找到(如/etc/ethers等)。例如:
    ether host ehost and not host host
    host / ehost均可使用名字或数字。这个语法目前在IPv6下不能工作。
    dst net net
    当IPv4/v6数据包的目的地址的网络号包含了net时为true。net可以是一个来自/etc/networks的名字,也可以是一个网络号(更多内容请参见 networks(4))。
    src net net
    当IPv4/v6数据包的源地址的网络号包含了net时为true。
    net net
    当IPv4/v6数据包的目的地址,或源地址的网络号包含了net时为true
    net net mask netmask
    当IP地址是 net ,子网掩码匹配 netmask 时为true。 可能需要 src 或 dst加以限制。 注意,这个语法不能应用于IPv6。
    net net/len
    当IP地址是 net ,子网掩码连续1的个数为 len 时为true。 可能需要 src 或 dst加以限制。
    dst port port
    当数据包是ip/tcp, ip/udp, ip6/tcp 或 ip6/udp,并且目的端口号是port时为true。port可以是数字,或是在/etc/services中被使用的名字。(参见 tcp(4P) and udp(4P))。如果使用名字,那么端口号和协议都将被检测。如果使用数字,或者一个不明确的名字,那么只有端口号会被检测。(比如:dst port 513将打印tcp/login数据流和udp/who数据流。port domain将打印tcp/domain的数据流和udp/domain的数据流)。
    src port port
    当源端口号是 port时为true。
    port port
    当源端口号或目的端口号为 port 时为true。以上任何一个port表达式可以以关键字tcp或udp开头,如下所示:
    tcp src port port
    只匹配源端口是 port 的tcp数据包。
    less length
    当数据包的长度小于等于length时为true。即:
    len <= length.
    greater length
    当数据包的长度大于等于length时为true。即:
    len >= length.
    ip proto protocol
    当数据包是IP数据包,并且它的协议类型为protocol时为true。protocol可以是一个数字,也可以是icmp, icmp6,igmp,igrp,pim,ah,esp,vrrp,udp 或 tcp中的一个。注意,tcp,udp, icmp是关键字,所以,它们要使用反斜杠()来转义,就好比C-shell中的\。注意,这个原语不会去追踪协议首部链。
    ip6 proto protocol
    当数据包是IPv6数据包,并且它的协议类型为protocol时为true。注意,这个原语不会去追踪协议首部链。
    ip6 protochain protocol
    当数据包是IPv6数据包,并且,在它的协议首部链中,包含了protocol类型的协议首部时,为true。 例如:
    ip6 protochain 6
    能匹配所有的,拥有TCP协议首部的IPv6的数据包。在IPv6首部和TCP首部之间,可能包含认证首部,路由首部和跳数选项首部。由这个原语所生成的BPF(BSD Packet Filter,包过滤机制)码是复杂的,而且不能被BPF优化器优化,所以,在某些程度上,它的速度比较慢。
    ip protochain protocol
    功能和 ip6 protochain protocol相同,只是这个应用于 IPv4。
    ether broadcast
    当数据包是以太网广播数据包时为true。关键字ether是可选的。
    ip broadcast
    当数据包是IP广播数据包时为true。它会检查所有的广播,包括地址全是0的和地址全是1的,然后,检查子网掩码。
    ether multicast
    当数据包是以太网多播数据包时为true。关键字ether是可选的。 下面是一个常用短语ether[0] & 1 != 0'
    ip multicast
    当数据包是IP多播数据包时为true。
    ip6 multicast
    当数据包是IPv6多播数据包时为true。
    ether proto protocol
    当数据包是以太类型的protocol时为true。protocol可以是一个数字,也可以是ip, ip6, arp, rarp, atalk, aarp,decnet, sca, lat, mopdl, moprc,iso, stp, ipx, netbeui中的一个。注意,这些符号也都是关键字,所以,他们都需要用反斜杠(\)转义。
    [在使用FDDI(比如'fddi protocol arp')和令牌环(比如'tr protocol arp')和其他大多数这种协议时,协议根据802.2逻辑链路控制(LLC)来识别,这些信息通常在FDDI或令牌环首部的开始。
    当需要识别大多数协议的标识,比如FDDI或令牌环时, Tcpdump只检查LLC报头的ID数据域,它们以SNAP格式存储,并且,组织单位识别码(Organizational Unit Identifier(OUI))为0x000000,以封装以太网。它不会检查这个包是不是SNAP格式的,并在0x000000单元有OUI。
    然而,iso是个特例,它会检查LLC首部的目的服务存取点DSAP(Destination Service Access Point)和源服务存取点SSAP(Source Service Access Point),stp和netbeui会检查LLC首部的DSAP,atalk会检查数据包是不是SNAP格式的,并且OUI是不是0x080007。Appletalk 同样如此。
    在以太网的例子中,tcpdump检查大部分协议的以太网类型字段,iso,sap 和 netbeui除外,因为它们会检查802.3帧,然后检查LLC首部,就像它对FDDI和令牌环那样。atalk,它检查以太网帧的Appletalk etype和SNAP格式的以太网帧,arrp,它在以太网帧中检查Appletalk ARP etype,或是在OUI为0x000000的802.2 SNAP帧中查找,还有ipx,他会在以太网帧中检查IPX etype,在LLC首部检查IPX DSAP,没有用802.3封装的LLC首部的IPX,和SNAP帧中的IPX etype。]
    decnet src host
    当DECNET的源地址为host时为true,它可能是一个格式为'10.123'的地址,也可能是一个DECNET主机名。[DECNET主机名称只有在配置成可运行DECNET的Ultrix系统中才得到支持。]
    decnet dst host
    当DECNET的目的地址为host时为true。
    decnet host host
    当DECNET的源地址或目的地址为host时为true。
    ip, ip6, arp, rarp, atalk, aarp, decnet, iso, stp, ipx, netbeui
    缩写是:
    ether proto p
    p 是以上协议中的一个。
    lat, moprc, mopdl
    缩写是:
    ether proto p
    p 是以上协议中的一个。 注意: tcpdump 目前并不知道,如何解析出这些协议。
    vlan [vlan_id]
    当数据包是IEEE 802.1Q VLAN数据包时为true。若[vlan_id]被指定,则仅当数据包为指定的vlan_id,值才为true。注意,在假设数据包为VLAN数据包的前提下,表达式中的第一个关键字vlan会改变剩余表达式的解码偏移量。
    tcp, udp, icmp
    缩写是:
    ip proto p or ip6 proto p
    p 是以上协议中的一个。
    iso proto protocol
    当数据包的协议类型为protocol的OSI数据包时值为true。Protocol可以是一个数字或以下名称中的一个:clnp,esis或isis。
    clnp, esis, isis
    缩写是:
    iso proto p
    p 是以上协议中的一个。注意,tcpdump并不能完成这些协议的全部解析工作。
    expr relop expr
    若关系式如下:relop是 >, <, >=, <=, =, != 中的一个,并且expr是一个由正整常数(用标准C语言的语法表示),标准二进制运算符[ +, -, *, /, &, | ],运算符的长度,和指定数据包存取,则值为true。要存取数据包内的数据,可以使用以下的语法:
    proto [ expr : size ]
    Proto 是 ether, fddi, tr, ip, arp, rarp, tcp, udp, icmp or ip6中的一个,它为索引操作指明了协议层。注意,tcp,udp和其他较高层的协议类型只能应用于IPv4,而不能用于IPv6(这个问题可能在将来能得到解决)。被指定的协议层的字节偏移量由expr给出。Size是可选的,它指明了数据域中,我们所感兴趣的字节数。它可以是1,2,或4,默认为1。运算符的长度,由关键字len给出,指明了数据包的长度。
    例如,
    ether[0] & 1 != 0’会捕捉所有的多播数据流。表达式ip[0] & 0xf != 5'能捕捉所有带可选域的IP数据包。表达式ip[6:2] & 0x1fff = 0’仅捕捉未分段的数据报和段偏移量是0的数据报。这个检查隐含在tcp和udp的下标操作中。例如,tcp[0]通常指第一个字节的TCP首部,而不是指第一个字节的分段。

    有些偏移量和域值可以以名字来表示,而不是数值。以下协议首部域的偏移量是正确的:icmptype (ICMP 类型域), icmpcode (ICMP 代码域), and tcpflags (TCP 标志域)。

    ICMP 类型域有以下这些: icmp-echoreply, icmp-unreach, icmp-sourcequench, icmp-redirect, icmp-echo, icmp-routeradvert, icmp-routersolicit, icmp-timxceed, icmp-paramprob, icmp-tstamp, icmp-tstampreply, icmp-ireq, icmp-ireqreply, icmp-maskreq, icmp-maskreply.

    TCP 标志域有以下这些: tcp-fin, tcp-syn, tcp-rst, tcp-push, tcp-push, tcp-ack, tcp-urg.

    原语可以用以下内容组合:

    用圆括号括起来的原语和操作符 (圆括号在Shell中是特殊符号,所以必须要转义)。
    取反操作 (!' 或not’).
    连接操作 (&&' 或and’).
    选择操作 (||' 或or’).
    取反操作的优先级最高。 连接操作和选择操作有相同的优先级,并且它们的结合方向为从左向右。 注意:做连接的时候是需要显示的 and 操作符的,而不是把要连接的东西写在一起。

    如果给出一个标识符,却没有关键字,那么就会假定用最近使用的关键字。 例如:

    not host vs and ace
    等价于
    not host vs and host ace
    不能和下面的混淆
    not ( host vs or ace )
    表达式参数即可以作为单个参数,也可以作为多个参数传递给tcpdump,后者更加方便一些。一般的,如果表达式包含一个Shell的元字符,那么用一个参数传递比较容易,最好把它括起来,多个参数在传递前,用空格连接起来。

    展开全文
  • libpcap

    2011-10-08 17:22:09
    libpcap主要由两部份组成:网络分接头(Network Tap)和数据过滤器(Packet Filter)。网络分接头从网络设备驱动程序中收集数据拷贝,过滤器决定是否接收该数据包。Libpcap利用BSD Packet Filter(BPF)算
  • Ethereal过滤规则语法

    千次阅读 2011-10-12 14:39:31
    捕获过滤器(Filtering while capturing) ...ethereal使用libpcap filter language 过滤语言,在tcpdump的man page中有解释,但是比较难理解 一个捕获过滤规则类似于 下面的表达式 [not
  • BPF过滤规则及tcpdump命令详解

    万次阅读 2017-06-09 10:02:55
    使用BPF过滤规则,你可以确定该获取和检查哪些流量,忽略哪些流量。BPF让你能够通过比较第2、3、4层协议中各个数据字段值的方法对流量进行过滤。BPF中内置了一些“基元”来指代一些常用的协议字段。可以用“host”、...
  • Libpcap

    2014-06-18 13:33:53
    libpcap提供的接口函数主要实现和封装了与数据包截获有关的过程。   在Linux系统中要从链路层(MAC)直接收发数据,比较普遍的做法就是用libpcap和libnet两个动态库来实现。 libpcap apt-get install flex ...
  • Wireshark 数据包过滤规则

    千次阅读 2015-06-16 11:00:34
    Wireshark 包过滤规则 Wireshark CaptureFilters 英文原文地址:http://wiki.wireshark.org/CaptureFilte 翻译整理:dalerkd
  • libpcap详解

    千次阅读 2016-10-25 16:22:20
    libpcap(Packet Capture Library),即数据包捕获函数库,是Unix/... 一、libpcap工作原理 libpcap主要由两部份组成:网络分接头(Network Tap)和数据过滤器(Packet Filter)。网络分接头从网络设备驱动程序中收集数据
  • wireshark过滤规则

    千次阅读 2016-10-07 18:06:54
    , and any other program that uses the libpcap/WinPcap library. If you need a capture filter for a specific protocol, have a look for it at the ProtocolReference . Contents ...
  • 基于Libpcap/Winpcap网络监听与过滤

    千次阅读 2009-07-24 18:50:00
    基于Libpcap/Winpcap网络监听与过滤3.1 Libpcap/Winpcap简介Libcap(Winpcap是其windows版本)可以提供与平台无关的接口,而且操作简单,它是基于改进的BPF(Berkeley Packet Filter),该软件来自Berkeley的Lawrence ...
  • bpf过滤规则

    千次阅读 2012-09-17 13:41:54
    Ethereal uses the pcap (libpcap/WinPcap) filter language for capture filters. This language is explained in the tcpdump man page under "expression" ( http://www.tcpdump.org and search for "selects ...
  • libpcap介绍

    2020-05-16 14:19:39
    libpcap(Packet ... libpcap主要由两部份组成:网络分接头(Network Tap)和数据过滤器(Packet Filter)。网络分接头从网络设备驱动程序中收集数据拷贝,过滤器决定是否接收该数据包。Libpcap利用BSD Packet F...
  • tcpdump tcp -i eth1 -t -s 0 -c 100 and dst port !... (1)tcp: ip icmp arp rarp 和 tcp、udp、icmp这些选项等都要放到第一个参数的位置,用来过滤数据报的类型 (2)-i eth1 : 只抓经过接口eth1的包 (3...
  • Libpcap 重点使用 BPF(BSD Packet Filter)包过滤机制,BPF 于 1992 年被设计出来,其设计目的主要是解决当时已存在的过滤机制效率低下的问题。BPF的工作步骤如下:当一个数据包到达网络接口时,数据链路层的驱动会...
  • Libpcap简介

    2018-12-07 13:40:42
    1.Libpcap简介   Libpcap是Packet Capture Libray的英文缩写,即数据包捕获函数库。该库提供的C函数接口用于捕捉经过指定网络接口的数据包,该接口应该是被设为混杂模式。这个在原始套接子中有提到。  著名的...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 2,097
精华内容 838
关键字:

libpcap过滤规则