崔5220 2015-05-22 00:50 采纳率: 0%
浏览 3648

Winpcap中关于过滤规则的问题

我看已有的实例上是允许获取TCP,UDP,ARP协议的数据包,但我不知道他的这个过滤
的规则具体写在哪里。我本人要做的是除了以上协议也允许获取OSPF协议的数据包,
求大神指教,我需要改哪里。具体代码如下:
struct bpf_program fcode;
bpf_u_int32 NetMask;
NetMask=0xffffff;
pcap_t *pCap;
char strErrorBuf[1025];
//OnButtonFiltersave();
char filter[1024];

strcpy(filter, m_strFilterString.GetBuffer(m_strFilterString.GetLength()));
m_strFilterString.ReleaseBuffer(); 

if( getDevice() != NULL )
{       
    if((pCap=pcap_open_live(getDevice()->name,65536,1,1000,strErrorBuf))==NULL)
    {       
        return ;
    }
    if(pcap_compile(pCap, &fcode, filter, 1, NetMask) < 0)
    {
        //fprintf(stderr,"\nError compiling filter: wrong syntax.\n");
        AfxMessageBox("编译字符串失败,请确认你的规则编写的正确性,或查看帮助文档中规则的编写规范");
        return ;
    }
    AfxMessageBox("规则:"+m_strFilterString+"\n测试通过!!!!");    
    pcap_close(pCap);
}
else
    AfxMessageBox("当前没有选持要测试的网卡");
  • 写回答

2条回答 默认 最新

  • WorldMobile 2015-05-22 02:39
    关注

    WinPcap过滤规则

    下面对WinPcap的过滤表达式语法进行一下简要的介绍,其中关键字用黑体字表示。
    1) 表达式支持逻辑操作符,可以使用关键字 and、or、not对子表达式进行组合,同时支持使用小括号。
    2) 基于协议的过滤要使用协议限定符,协议限定符可以为ip、arp、rarp、tcp、udp等。
    3) 基于MAC地址的过滤要使用限定符ether(代表以太网地址)、当该MAC地址仅作为源地址时表达式为ether src mac_addr,仅作为目的地址时,表达式为ether dst mac_addr,既作为源地址又作为目的地址时的表达式为ether host mac_addr。此外应注意mac_addr应该遵从00:E0:4C:E0:38:88的格式,否则编译过滤器时会出错。
    4) 基于IP地址的过滤应该使用限定符host(代表主机地址)。当该IP地址仅作为源地址时过滤表达式应为 src host ip_addr,仅作为目的地址时的表达式为 dst host ip_addr,既作为源地址又作为目的地址时表达式为 host ip_addr。
    5) 基于端口的过滤应使用限定符 port。例如仅接收80端口的数据包则表达式为port 80。

    下边给出两个例子:
    例1:只捕获arp或icmp数据包。
    过滤表达式:arp or (ip and icmp)
    例2:捕获主机192.168.1.23与192.168.1.28之间传递的所有UDP数据包。
    过滤表达式:(ip and udp)and( host 192.168.1.23 or host 192.168.1.28)

    评论

报告相同问题?

  • win11安装4.1.3版本winpcap还是安装不上 wireshark
    2022-04-13 13:40
    回答 3 已采纳 看提示是版本不兼容的问题,试一下兼容模式,右键安装文件,属性--兼容性--兼容模式勾选以兼容模式运行程序
  • winpcap下载不了 wireshark
    2022-11-27 15:27
    回答 5 已采纳 驱动已经存在的话,忽略不行吗?或者重命名已存在的驱动文件,重启电脑再安装。另外你的问题应该是winpcap安装不上,不是下载不了。
  • 关于自制pcap文件的一些问题 wireshark
    2015-08-03 07:50
    回答 1 已采纳 问题没有解决,但是建议还是使用libpcap库制作pcap文件,避免产生不必要bug,移步: ``` http://ask.csdn.net/question
  • 使用winpcap对报文进行过滤
    2011-05-23 11:17
    利用winpcap进行报文过滤,需添加packet2.h等文件
  • libpcapwinpcap语法相似度高吗? wireshark
    2014-12-09 06:11
    回答 2 已采纳 2种相似, http://blog.csdn.net/sansecao/article/details/4377834
  • 小白求助:在网上下winpcap抓包软件,但内容显示乱码了,请问哪位大神可以解答!
    2016-04-27 00:46
    回答 2 已采纳 你可以是用十六进制看下,wireshark里面详细信息大部分都是十六进制的,winpcap我没有用过不知到是不是进制问题,你的VC配置下看行不行,vc支持16进制的
  • winpcap与libpcap具有完全的兼容性?
    2015-02-08 06:17
    回答 2 已采纳 winpcap其实就是libpcapwindows下的移植,所以接口都是按照libpcap来的,学习了其之一,再学另一个就很简单了。 libpcapwinpcap最大的不同就是 内核缓冲区,用
  • winpcap文帮助
    2009-09-27 12:27
    第一部分内容主要适合那些需要利用WinPcap开发应用程序的编程人员: 它包含了WinPcap API的所有函数和数据结构的信息, 说明部分解释了如何编写一个数据包过滤器,而另一个页面则解释了如何将它包含到应用程序。...
  • 求懂winpcap的大神赐教!! wireshark
    2015-06-10 01:43
    回答 2 已采纳 本身带程序,提供各种功能,但你作为毕设,当然是用它的库来进行程序开发实现功能。
  • pcapwinpcap一样吗?
    2015-02-23 14:39
    回答 1 已采纳 基本是一样的。 参考:http://www.linuxidc.com/Linux/2011-03/33604.htm
  • MFC多线程以条件变量或者是消息通知机制来执行子线程问题 mfc
    2017-10-11 06:27
    回答 3 已采纳 MultiThread1 多线程编程(通过全局变量启停线程的功能) MultiThread2 多线程编程(向线程传递整型变量) MultiThread3 多线程编程(向线程传递结构体变量)
  • winpcap过滤表达式检验程序源代码
    2008-07-04 19:10
    winpcap过滤表达式检验程序源代码
  • 求大神指点啊,报文分析,制作pccap文件的问题 wireshark
    2015-08-12 04:47
    回答 3 已采纳 经过查阅资料,以及各位的回答,在知道十六进制字符创或二进制数据,可以使用pcap_open_dead();函数 ``` dump_p = pcap_open_dead(DLT_EN
  • WireShark过滤规则
    2019-12-06 22:51
    马赛克|的博客 一部分是抓包之前的过滤规则,另一部分是抓完包之后的过滤规则 分别对应下面两张图的对应规则填写位置 如果符合对应的规则那么就会显示成为绿色,否则的话就是红色 二:抓包过滤器 抓包过滤器的语法是BPF...
  • WinPcap过滤规则
    2009-01-11 15:59
    caohao2008的博客 下面对WinPcap过滤表达式语法进行一下简要的介绍,其关键字用黑体字表示。1) 表达式支持逻辑操作符,可以使用关键字 and、or、not对子表达式进行组合,同时支持使用小括号。2) 基于协议的过滤要使用协议限定符,...
  • WinPcap 用户文档手册、文技术文档
    2010-06-21 18:35
    • 在数据包发送给某应用程序前,根据用户指定的规则过滤数据包 • 将原始数据包通过网络发送出去 • 收集并统计网络流量信息 以上这些功能需要借助安装在Win32内核的网络设备驱动程序才能实现,再加上几个动态...
  • winpcap剖析 网络底层原理.zip
    2020-04-13 16:53
    深度剖析winpcap帮助了解网络底层原理,关于socket编程的...(2)在数据报发往应用程序之前,按照属自定义的规则将某些特殊的数据报过滤掉; (3)在网络上发送原始的数据报; (4)收集网络通信过程的统计信息。
  • Winpcap 文技术文档
    2010-12-25 13:20
    WinPcap产生的目的,就是为Win32应用程序提供这种访问方式; WinPcap提供了以下功能 ...• 在数据包发送给某应用程序前,根据用户指定的规则过滤数据包 • 将原始数据包通过网络发送出去 • 收集并统计网络流量信息
  • 基于WinPcap和MFC实现的网络嗅探器
    2019-12-04 13:53
    基于WinPcap和MFC实现的网络嗅探器 ,捕获所有流经网卡的数据包,并利用 WinPcap 函数库设置过滤规则, 分析捕获到的数据包的包头和数据,按照各种协议的格式进行格式化显示 winPcap+MFC实现网络嗅探器
  • 基于winpcap网络嗅探器 VC++源码+说明文档资料.zip
    2022-06-14 05:57
    2、捕获所有流经网卡的数据包,并利用 WinPcap 函数库设置过滤规则。 3、分析捕获到的数据包的包头和数据,按照各种协议的格式进行格式化显 示。 4、将所开发工具的捕获和分析结果与常用的嗅探器,如 Wireshark,...
  • 没有解决我的问题, 去提问

悬赏问题

  • ¥15 fesafe材料库问题
  • ¥35 beats蓝牙耳机怎么查看日志
  • ¥15 Fluent齿轮搅油
  • ¥15 八爪鱼爬数据为什么自己停了
  • ¥15 交替优化波束形成和ris反射角使保密速率最大化
  • ¥15 树莓派与pix飞控通信
  • ¥15 自动转发微信群信息到另外一个微信群
  • ¥15 outlook无法配置成功
  • ¥30 这是哪个作者做的宝宝起名网站
  • ¥60 版本过低apk如何修改可以兼容新的安卓系统