过滤数据包

最新推荐文章于 2024-06-30 13:24:05 发布
最新推荐文章于 2024-06-30 13:24:05 发布
阅读量577 收藏 2
点赞数
文章标签: filter tcp 网络 引擎 struct null
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qinqijing198601/article/details/7491829
版权

过滤数据包

 
WinPcap和Libpcap的最强大的特性之一,是拥有过滤数据包的引擎。 它提供了有效的方法去获取网络中的某些数据包,这也是WinPcap捕获机制中的一个组成部分。 用来过滤数据包的函数是 pcap_compile() pcap_setfilter()

pcap_compile() 它将一个高层的布尔过滤表达式编译成一个能够被过滤引擎所解释的低层的字节码。有关布尔过滤表达式的语法可以参见 Filtering expression syntax 这一节的内容。

pcap_setfilter() 将一个过滤器与内核捕获会话向关联。当 pcap_setfilter() 被调用时,这个过滤器将被应用到来自网络的所有数据包,并且,所有的符合要求的数据包 (即那些经过过滤器以后,布尔表达式为真的包) ,将会立即复制给应用程序。

以下代码展示了如何编译并设置过滤器。 请注意,我们必须从 pcap_if 结构体中获得掩码,因为一些使用 pcap_compile() 创建的过滤器需要它。

在这段代码片断中,传递给 pcap_compile() 的过滤器是"ip and tcp",这说明我们只希望保留IPv4和TCP的数据包,并把他们发送给应用程序。 

    if (d->addresses != NULL)
        /* 获取接口第一个地址的掩码 */
        netmask=((struct sockaddr_in *)(d->addresses->netmask))->sin_addr.S_un.S_addr;
    else
        /* 如果这个接口没有地址,那么我们假设这个接口在C类网络中 */
        netmask=0xffffff; 


compile the filter
    if (pcap_compile(adhandle, &fcode, "ip and tcp", 1, netmask) < 0)
    {
        fprintf(stderr,"\nUnable to compile the packet filter. Check the syntax.\n");
        /* 释放设备列表 */
        pcap_freealldevs(alldevs);
        return -1;
    }
    
set the filter
    if (pcap_setfilter(adhandle, &fcode) < 0)
    {
        fprintf(stderr,"\nError setting the filter.\n");
        /* 释放设备列表 */
        pcap_freealldevs(alldevs);
        return -1;
    }

如果你想阅读过滤函数的范例代码,请阅读下一讲 分析数据包的例子。

 
WinPcap和Libpcap的最强大的特性之一,是拥有过滤数据包的引擎。 它提供了有效的方法去获取网络中的某些数据包,这也是WinPcap捕获机制中的一个组成部分。 用来过滤数据包的函数是 pcap_compile() pcap_setfilter()

pcap_compile() 它将一个高层的布尔过滤表达式编译成一个能够被过滤引擎所解释的低层的字节码。有关布尔过滤表达式的语法可以参见 Filtering expression syntax 这一节的内容。

pcap_setfilter() 将一个过滤器与内核捕获会话向关联。当 pcap_setfilter() 被调用时,这个过滤器将被应用到来自网络的所有数据包,并且,所有的符合要求的数据包 (即那些经过过滤器以后,布尔表达式为真的包) ,将会立即复制给应用程序。

以下代码展示了如何编译并设置过滤器。 请注意,我们必须从 pcap_if 结构体中获得掩码,因为一些使用 pcap_compile() 创建的过滤器需要它。

在这段代码片断中,传递给 pcap_compile() 的过滤器是"ip and tcp",这说明我们只希望保留IPv4和TCP的数据包,并把他们发送给应用程序。 

    if (d->addresses != NULL)
        /* 获取接口第一个地址的掩码 */
        netmask=((struct sockaddr_in *)(d->addresses->netmask))->sin_addr.S_un.S_addr;
    else
        /* 如果这个接口没有地址,那么我们假设这个接口在C类网络中 */
        netmask=0xffffff; 


compile the filter
    if (pcap_compile(adhandle, &fcode, "ip and tcp", 1, netmask) < 0)
    {
        fprintf(stderr,"\nUnable to compile the packet filter. Check the syntax.\n");
        /* 释放设备列表 */
        pcap_freealldevs(alldevs);
        return -1;
    }
    
set the filter
    if (pcap_setfilter(adhandle, &fcode) < 0)
    {
        fprintf(stderr,"\nError setting the filter.\n");
        /* 释放设备列表 */
        pcap_freealldevs(alldevs);
        return -1;
    }

如果你想阅读过滤函数的范例代码,请阅读下一讲 分析数据包的例子。

如何使用科来网络分析系统过滤数据包内容
weixin_43287950的博客
03-28 5356
软件:科来网络分析系统 2020 技术交流版 官网下载 本文不过多介绍软件的安装过程,(软件安装可以看这)主要是针对软件如何快速的过滤、检索数据包,属于进阶类使用教学。 1、适合新手的使用方式 在系统选项>启用深度数据包检测过滤器---把这项勾选去掉(在开始数据包分析之前才能取消勾选) 现在你想要过滤任何IP或者端口(列表上显示的都可以作为过滤对象) 但是要是想要过滤数据包里面的内容,以IP.ID举例,图中我们可以看到有个IP.ID为8231的数据包。 在过滤框中过滤8...
Libpcap库编程指南--过滤数据包
脱离了低级趣味的流氓
09-13 6564
WinPcap和Libpcap的最强大的特性之一,是拥有过滤数据包引擎。 它提供了有效的方法去获取网络中的某些数据包,这也是WinPcap捕获机制中的一个组成部分。 用来过滤数据包的函数是 pcap_compile() 和 pcap_setfilter() 。 pcap_compile() 它将一个高层的布尔过滤表达式编译成一个能够被过滤引擎所解释的低层的字节码。有关布尔过滤表达式的语法可以参见
c#实现的数据包过滤禁网功能
11-06
用c#写的,通过添加条件过滤数据包,达到禁网的效果,
Python黑客编程基础3网络数据监听和过滤
weixin_33800463的博客
06-28 972
Python黑客编程3网络数据监听和过滤     课程的实验环境如下: •      操作系统:kali Linux 2.0 •      编程工具:Wing IDE •      Python版本:2.7.9 •      涉及到的主要python模块:pypcap,dpkt,scapy,scapy-http   涉及到的几个python网络抓包和分析的模块,dp...
C#版数据包抓取过滤监控器
关注互联网安全的小虾米一枚
11-23 4562
using System; using System.Text; using System.Net; using System.Net.Sockets; using System.IO; namespace Org.Mentalis.Network.PacketMonitor { /// /// The Network Control precedence designation is i
py-pf:使用Python管理OpenBSD的数据包过滤器-开源
05-07
py-PF是一个纯Python模块,用于管理OpenBSD的数据包过滤器。 它旨在将PF的C API的灵活性与Python的功能相结合,从而更轻松地管理PF数据并在更复杂的应用程序中集成防火墙功能。
c#数据包拦截
05-03
不得不看的c#网络接口编程技术,网络抓包软件的c#代码编写
通过 UDP53 检测热点拦截/过滤数据包的脚本_Python_代码_相关文件_下载
07-12
好消息是,如果您的热点不过滤任何类型的 UDP 53 数据包,您可能需要使用 UDP 53 设置 OpenVPN 服务器以绕过 Web Auth,这样您就可以免费上网冲浪。 有时在一些罕见的情况下,测试会出错,所以你可能想测试几次以使...
NDIS驱动,捕获过滤数据包,防火墙
10-31
NDIS驱动,捕获过滤数据包,防火墙 好东西,分享
iptables/ip6tables数据包过滤数据包笔记
superbfly的专栏
04-01 1398
Iptables下length模块可对数据包的长度进行匹配。 length使用参数: -m length --length num #匹配指定大小的数据 -m length ! --length num #匹配非指定大小数据 -m length --length num: #匹配大于或等于 -m length --length :92 #匹配小于或等于 -m length --length num:num #匹配指定区间 示例: iptables -I INPUT -p icmp -m length --
Linux网络数据包抓取源码分析和包过滤
09-25
Linux下网络数据包抓取源码分析和包过滤,请大家下载学习,用C开发的
分析数据包
qinqijing198601的专栏
04-23 533
分析数据包   现在,我们可以捕捉并过滤网络流量了,那就让我们学以致用,来做一个简单使用的程序吧。 在本讲中,我们将会利用上一讲的一些代码,来建立一个更实用的程序。 本程序的主要目标是展示如何解析所捕获的数据包的协议首部。这个程序可以称为UDPdump,打印一些网络上传输的UDP数据的信息。 我们选择分析和现实UDP协议而不是TCP等其它协议,是因为它比其它的协
QinQ基础知识
热门推荐
曹世宏的博客
05-22 4万+
QinQ简介 定义: QinQ(802.1Q-in-802.1Q)技术是一项扩展VLAN空间的技术,通过在802.1Q标签报文的基础上再增加一层802.1Q的Tag来达到扩展VLAN空间的功能,可以使私网VLAN透传公网。由于在骨干网中传递的报文有两层802.1Q Tag(一层公网Tag,一层私网Tag),即802.1Q-in-802.1Q,所以称之为QinQ协议。 目的: 随着以...
华为 Qinq 介绍及配置实例和常用问题-(值得收藏学习)
满地找牙的博客
06-30 3282
华为QinQ()是一种扩展VLAN(虚拟局域网)空间的技术,它遵循IEEE 802.1ad标准。QinQ技术通过在原有的802.1Q标签报文基础上再嵌套一层802.1Q标签,从而实现两层VLAN标签的封装,使得每个数据包携带两个VLAN标识,以此来扩展VLAN的可用数量并提供更多的网络分段和隔离能力。
WinPcap过滤串表达式的语法
Why So Serious?
06-18 2062
WinPcap过滤串表达式的语法
网络安全】Wireshark过滤数据包&分析TCP三次握手
九芒星的博客
01-30 7812
wireshark是一个网络封包分析软件,它可以撷取网络封包,并尽可能显示出最为详细的网络封包信息,本次我们以抓取WLAN数据包为例,演示网络数据包传输的过程。
qinq的抓包实验
skate886的博客
09-26 800
qinq
在Wireshark中过滤数据包
weixin_34245169的博客
08-08 1372
介绍 数据包过滤可让你专注于你感兴趣的确定数据集。如你所见,Wireshark 默认会抓取所有数据包。这可能会妨碍你寻找具体的数据。 Wireshark 提供了两个功能强大的过滤工具,让你简单而无痛地获得精确的数据。 Wireshark 可以通过两种方式过滤数据包。它可以通过只收集某些数据包过滤,或者在抓取数据包后进行过滤。当然,这些可以彼此结合使...
wireshark过滤数据包的端口
最新发布
04-02
### Wireshark 中通过端口过滤数据包的方法 在 Wireshark 中,可以通过设置捕获过滤器或显示过滤器来实现对特定端口的数据包进行过滤。以下是具体的操作方式: #### 设置捕获过滤器 如果希望仅捕获指定端口的数据包,则可以在启动抓包之前配置捕获过滤器。例如: - **单个端口**:`tcp port 80` 或 `udp port 80` 表示只捕获 TCP 或 UDP 协议下目标端口或源端口为 80 的数据包[^3]。 - **多个端口**:可以使用逻辑运算符组合多个条件,如 `tcp.port eq 80 or tcp.port eq 443` 表示捕获 TCP 协议下的 80 和 443 端口的数据包。 - **端口范围**:对于连续的端口范围,可以使用表达式 `tcp.port >= 1 and tcp.port <= 80` 来限定捕获范围内的端口数据包。 #### 配置显示过滤器 如果已经完成了全量数据包的捕获,但只想查看某些端口的相关数据包,则可以利用显示过滤器功能。操作步骤如下: 1. 打开已保存的 pcap 文件或者实时抓取中的窗口; 2. 在顶部的过滤框中输入相应的过滤规则,比如 `tcp.port == 80` 或者更复杂的组合条件; 3. 按回车键执行过滤,界面会自动隐藏不符合条件的数据包。 需要注意的是,上述提到的所有语法均适用于 Wireshark 抓包前后的场景,因此无论是预先设定还是后期处理都能满足需求[^1]。 ```python # 示例 Python 脚本模拟简单的端口过滤逻辑(伪代码) def filter_packets_by_port(packets, target_ports): filtered = [] for packet in packets: if packet['protocol'] == 'TCP' and packet['port'] in target_ports: filtered.append(packet) return filtered target_ports = [80, 443] packets = [...] # 假设这是从 wireshark 导入的一个列表对象 filtered_packets = filter_packets_by_port(packets, target_ports) print(filtered_packets) ``` #### 实际案例解析 假设现在有一款名为“疯狂聊天室”的应用程序正在运行于 Windows 10 主机与 Ubuntu 虚拟机之间,并且我们怀疑它使用的可能是 TCP 或者 UDP 协议来进行通信。那么按照前面介绍的技术手段,我们可以先尝试分别监听常见的服务端口号(如 HTTP 默认的 80),再逐步调整至其他可能性较大的区间直至定位确切的服务参数为止[^4]。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值