pcap_compile()函数

原创 于 2024-11-21 17:30:53 发布 · 1k 阅读 ·
大模型引用 1
·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
cknow-ai 张太行_

cknow-ai 关注

标签
#网络 #服务器
分类 计算机网络

  1. 功能概述

    • pcap_compile()函数是libpcap库中的一个关键函数,用于将一个高级的数据包过滤表达式编译成一个底层的字节码形式,这个字节码可以被数据包捕获机制所理解和应用。它允许用户以一种相对简单和直观的方式指定要捕获或忽略的数据包类型,从而对网络数据包进行有针对性的筛选。

  2. 函数原型及参数

    • 函数原型通常为:int pcap_compile(pcap_t *p, struct bpf_program *fp, const char *str, int optimize, bpf_u_int32 netmask);
    • p:这是一个pcap_t *类型的指针,代表通过pcap_create()等函数创建并激活的数据包捕获句柄。它指定了编译后的过滤器将应用于哪个数据包捕获操作。
    • fp:这是一个指向struct bpf_program类型的指针。struct bpf_program是一个用于存储编译后的过滤器程序(字节码)的结构。函数成功执行后,编译后的过滤器字节码将存储在这个结构中。
    • str:这是一个字符串参数,代表用户定义的数据包过滤表达式。例如,"tcp and port 80"表示只捕获TCP协议且目的端口为80的数据包。
    • optimize:这是一个整数参数,用于指定是否对编译后的过滤器进行优化。通常,将其设置为非零值表示允许优化,这可以提高过滤器的执行效率,但可能会增加编译时间。
    • netmask:这是一个bpf_u_int32类型的参数,用于指定与过滤器相关的网络掩码。这个参数在处理基于IP地址的过滤器时非常重要,例如,当过滤表达式中涉及到IP子网相关的内容时,需要提供正确的网络掩码来准确地匹配数据包。

  3. 返回值

    • 如果函数成功编译过滤器表达式,返回值为0
    • 如果返回 - 1,则表示编译过程中出现错误。可能的原因包括无效的过滤表达式、不支持的过滤操作符、无效的捕获句柄pfp等。当出现错误时,可以查看pcap库的错误信息缓冲区(通常在创建捕获句柄时定义的errbuf)来获取更详细的错误原因。

  4. 示例代码

    • 以下是一个简单的示例,展示如何编译一个过滤器,用于捕获源IP地址为192.168.1.100的所有数据包:
#include <pcap.h>
#include <stdio.h>
#include <stdlib.h>

int main() {
    char *dev = "eth0";
    char errbuf[PCAP_ERRBUF_SIZE];
    pcap_t *handle = pcap_create(dev, errbuf);
    if (handle == NULL) {
        fprintf(stderr, "Error creating pcap handle: %s\n", errbuf);
        return 1;
    }
    if (pcap_activate(handle) == -1) {
        fprintf(stderr, "Error activating pcap handle: %s\n", errbuf);
        pcap_close(handle);
        return 1;
    }
    struct bpf_program filter;
    char filter_exp[] = "src host 192.168.1.100";
    int optimize = 1;
    bpf_u_int32 netmask = 0xffffff00;  // 假设子网掩码为255.255.255.0
    int result = pcap_compile(handle, &filter, filter_exp, optimize, netmask);
    if (result == -1) {
        fprintf(stderr, "Error compiling filter: %s\n", errbuf);
        pcap_close(handle);
        return 1;
    }
    // 后续可以使用pcap_setfilter()应用这个过滤器并开始捕获数据包
    pcap_close(handle);
    return 0;
}
  • 在这个示例中,首先创建并激活了一个捕获句柄handle,然后定义了一个过滤器表达式filter_exp,用于捕获源IP地址为192.168.1.100的数据包。接着定义了优化参数optimize和网络掩码netmask,并使用pcap_compile()函数将过滤器表达式编译到filter结构中。如果编译过程出现错误,会打印错误信息并关闭捕获句柄,最后退出程序。如果编译成功,后续可以使用pcap_setfilter()函数应用这个过滤器并开始捕获数据包。
  1. 注意事项
    • 过滤表达式语法:过滤表达式的语法遵循libpcap库定义的规则,类似于tcpdump工具所使用的语法。用户需要熟悉这些语法才能正确地编写过滤表达式。例如,常见的操作符包括andornot用于组合多个条件,srcdst用于指定源和目的地址,port用于指定端口等。
    • 网络掩码的准确性:在涉及IP地址相关的过滤器时,提供正确的网络掩码非常重要。错误的网络掩码可能导致过滤器无法正确地匹配数据包,从而捕获到不符合预期的数据包或者遗漏需要捕获的数据包。
    • 优化的权衡:虽然允许优化(optimize参数设置为非零值)可以提高过滤器的执行效率,但在某些情况下,可能会增加编译时间或者导致过滤器的行为与预期略有差异。在对过滤器性能要求较高的场景中,可以考虑进行优化,但需要仔细测试以确保过滤器的准确性。
点赞 点赞 4
评论 0
书签 书签 9
epcap_compile:将 pcap-filter(7) 表达式编译为 BPF 程序
05-30
epcap_compile 是一个 Erlang 库,用于将 PCAP 过滤器编译为 BPF 程序(请参阅 pcap-filter(7))。 epcap_compile 使用 NIF 接口从 libpcap 包装 pcap_compile(3PCAP)。 警告 由于库直接将过滤字符串传递给 pcap_compile(3PCAP),因此 pcap_compile() 中的任何错误都可能导致 Erlang VM 崩溃。 不要使用来自不受信任来源的过滤器。 另请注意,非常大的过滤器可能会阻塞调度程序或导致堆栈溢出。 例如: epcap_compile:compile(string:copies("ip and ", 50000) ++ "ip"). 默认情况下不允许大于 8192 字节的过滤器。 请参阅 compile/2 的limit选项。 要求 libpcap 在 Ubuntu 上
winpCapcompile和nocap函数
西门吹雪
11-18 1411
int pcap_compile ( pcap_t *p, struct bpf_program *fp, char *str, int optimize, bpf_u_int32 netmask ) 编译数据包过滤器,在可由内核级过滤引擎解释的程序中转换高级过滤表达式(请参阅过滤表达式语法)。 pcap_compile()用于将字符串str编译为过滤器程序。 program是指向bpf_program结构的指针,并由pcap_compile()填充。优化控制是否对结果代码执行优
libpcap抓包延时问题分析
weixin_38299404的博客
04-27 3027
按照上面的描述就会有个问题,如果抓取的网络包不是连续的,就会是的pcap_loop进入阻塞模式,如果这个时候有网络数据包过来,触发处理包的回调函数会有约一分钟的延时,对于实时系统或者类似Wireshark、Tcpdump等工具那就能立即反应的系统来说很不实用,因此上述方式并不实用与这种场景。因此,如果没有数据包到达,pcap_loop函数就会一直等待。在默认情况下,pcap_loop函数的超时时间是1秒,也就是说,如果1秒内没有数据包到达,pcap_loop函数就会返回,然后再次等待。函数之前是不可用的。
libpcap包过滤-pcap_compile()
懒雄熊的专栏
08-06 2万+
pcap_compile()是用来把用户输入的过滤字符串编译进过滤信息的,这个过滤信息可以决定哪些包是用户可获取到的 。         过滤表达式包含一个或多个元素。每个元素通常包含由多个或一个被修饰符修饰的id名称或数字,有三种不同的修饰符:        类型修饰符     说明id属于那种类型。可以用的类型修饰符有host,net,port,portrang
tcpdump原理之利用libpcap实现抓包
飞翔de刺猬
04-19 1万+
tcpdump原理之利用libpcap实现 (转载请标明出处,请勿用于商业用途) http://blog.csdn.net/linux_embedded/article/details/8826429 Linux 下赫赫有名的抓吧工具tcpdump,想必使用过的人都十分的清楚。但是,其实现的原理却很少人提及过,今天就tcpdump的实现原理做简单的介绍。 tcpdump 首先利
pcap_compile
Believer_YU的博客
12-24 3191
pcap_compile()是用来把用户输入的过滤字符串编译进过滤信息的,这个过滤信息可以决定哪些包是用户可获取到的 。 过滤表达式包含一个或多个元素。每个元素通常包含由多个或一个被修饰符修饰的id名称或数字,有三种不同的修饰符: 类型修饰符 说明id属于那种类型。可以用的类型修饰符有host,net,port,portrange。例如‘host foo’, ‘net 128.3’, ‘port 20’, ‘por-trange 6000-6008’。如果id没有指定类型,则
PACP学习笔记一:使用 PCAP 编程
山鬼谣的专栏
06-27 3722
参数具体说明 说明 第一个参数 第二个参数 是一个指向结构的指针,该结构包含有关数据包的一般信息,特别是它被嗅探的时间、该数据包的长度以及该特定部分的长度(例如,如果它被分段)。 返回值 返回指向此结构描述的数据包的 u_char 指针 pcap_loop() 参数具体说明 说明 第一个参数 第一个参数是我们会话句柄 第二个参数 是一个整数,它告诉 pcap_loop() 在返回之前它应该嗅探多少数据包(负值意味着它应该嗅探直到发生错误) 第三个参数 是回调函
linux-pcap 抓包程序框架
weixin_41666796的博客
01-09 551
https://www.cnblogs.com/newjiang/p/6006826.html
PCAP数据包过滤器设置 及 过滤表达式语法
Ericdm的专栏
08-16 4356
通常我们只对特定网络通信感兴趣。比如我们只打算监听Telnet服务(port 23)以捕获用户名和口令信息。获知对FTP(port 21)或DNS(UDP port 53)数据流感兴趣。可以通过pcap_compile()pcap_setfilter来设置数据流过滤规则(filter) 函数原型:  int pcap_compile(pcap_t *p, struct bpf_pro
libpcap c语言,libpcap库主要函数介绍
weixin_29380121的博客
05-19 625
libpcap是一个C语言库,libpcap的英文意思是 Packet Capture library,即数据包捕获函数库,其功能是通过网卡抓取网络以太网中的数据包。这个库为不同的平台提供了一致的c函数编程接口,在安装了 libpcap 的平台上,以 libpcap 为接口写的程序、应用,能够自由地跨平台使用。它支持多种操作系统。libpcap 结构简单,使用方便;它提供了20多个api封装函数,...
过滤及分析数据包
weixin_34049948的博客
03-11 365
前面都是讲解如何获取适配器信息以及捕获数据包,从这一节开始讲一下WinPcap中更强大的一些特性。本节主要讲一下如何利用WinPcap来过滤数据包。在WinPcap中用来过滤数据包的函数有两个,pcap_compile()pcap_setfilter()pcap_compile()的原理是将高层的布尔过滤表达式编译成能够被过滤引擎所解释的低层的字节码,关于布尔过滤表达式的语法会在后...
LibPca--Packet Capture library
txzhangZz的博客
09-12 1105
Libpcap的简单使用
pcap_compile手册
ZHANGJNWEI的专栏
07-07 2377
pcap_compile() is used to compile a string into a filter program. The resulting filter program can then be applied to some stream of packets to determine which packets will be supplied topcap_loop(3PCAP),pcap_dispatch(3PCAP),pcap_next(3PCAP), orpcap_ne...
libpcap库学习
Kolane的博客
04-08 1363
下面开始正式讲解如何使用libpcap: 首先要使用libpcap,我们必须包含pcap.h头文件,可以在/usr/local/include/pcap/pcap.h找到,其中包含了每个类型定义的详细说明。 1.获取网络接口 首先我们需要获取监听的网络接口: 我们可以手动指定或让libpcap自动选择,先介绍如何让libpcap自动选择:char *pcap_lookupdev(char * errbuf)上面这个函数返回第一个合适的网络接口的字符串指针,如果出错,则errbuf存放出错信息字符串,e.
过滤数据包
qinqijing198601的专栏
04-23 642
过滤数据包   WinPcapLibpcap的最强大的特性之一,是拥有过滤数据包的引擎。 它提供了有效的方法去获取网络中的某些数据包,这也是WinPcap捕获机制中的一个组成部分。 用来过滤数据包的函数pcap_compile()pcap_setfilter()pcap_compile() 它将一个高层的布尔过滤表达式编译成一个能够被过滤引
libpcap
pangenliang的专栏
10-08 1134
一、libpcap工作原理 libpcap主要由两部份组成:网络分接头(Network Tap)和数据过滤器(Packet Filter)。网络分接头从网络设备驱动程序中收集数据拷贝,过滤器决定是否接收该数据包。Libpcap利用BSD Packet Filter(BPF)算
Pcap程序设计
liuwbeyond的专栏
04-22 599
Pcap程序设计Tim Carstens 好,让我们从看看这篇文章写给谁开始。显而易见的,需要一些C语言基础知识,除非你只想了解基本的理论。你不必是一个编码专家,因为这个领域只有经验丰富的程序员涉足,而我将尽可能详细的描述这些概念。另外,考虑到这是有关一个包嗅探器的,所以对网络基础知识的理解是有帮助的。所有在此出现的代码示例都已在FreeBSD 4.3平台上测试通过。 开始:p
winpcap 获取数据包源码——可直接编译可用
热门推荐
badman250的专栏
11-19 3万+
源码 winpcap 获取数据包           定义了TCP头部,IPv4地址,ip头结构体。此外还有一些和pcap相关的结构体和函数。          结构体:pcap_if_t,pcap_t,bpf_program          函数pcap_findalldevs,pcap_freealldevs,pcap_open_live,pcap_datalink,pcap_c
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值