pcap過濾規(guī)則格式

pcap過濾規(guī)則格式

ID:6027550

大?。?1.50 KB

頁數(shù):6頁

時間:2017-12-31

pcap過濾規(guī)則格式_第1頁
pcap過濾規(guī)則格式_第2頁
pcap過濾規(guī)則格式_第3頁
pcap過濾規(guī)則格式_第4頁
pcap過濾規(guī)則格式_第5頁
資源描述:

《pcap過濾規(guī)則格式》由會員上傳分享,免費在線閱讀,更多相關(guān)內(nèi)容在應(yīng)用文檔-天天文庫。

1、函數(shù)名稱:intpcap_compile(pcap_t*p,structbpf_program*fp,char*str,intoptimize,bpf_u_int32netmask)函數(shù)功能:該函數(shù)用于將str指定的規(guī)則整合到fp過濾程序中去,并生成過濾程序入口地址,用于過濾選擇期望的數(shù)據(jù)報。參數(shù)說明:pcap_t*p:pcap_open_live返回的數(shù)據(jù)報捕獲的指針;structbpf_program*fp:指向一個子函數(shù)用于過濾,在pcap_compile()函數(shù)中被賦值;char*str:該字符串規(guī)定過濾規(guī)則;intoptimize:規(guī)定了在結(jié)果代碼上的

2、選擇是否被執(zhí)行;bpf_u_int32netmask:該網(wǎng)卡的子網(wǎng)掩碼,可以通過pcap_lookupnet()獲取;返回值:如果成功執(zhí)行,返回0,否則返回-1;過濾規(guī)則由一個或多個原語(primitive)組成,如果為””則表示不進行任何過濾.原語通常由一個標識(id,名稱或數(shù)字),和標識前面的一個或多個修飾子(qualifier)組成.修飾子有三種不同的類型:type類型修飾子指出標識名稱或標識數(shù)字代表什么類型的東西.能夠使用的類型有host,net和port.例如,`hostfoo',`net128.3',`port20'.假如不指定類型修飾子,就使用缺省

3、的host.dir方向修飾子指出相對于標識的傳輸方向(數(shù)據(jù)是傳入還是傳出標識).能夠使用的方向有src,dst,srcordst和srcanddst.例如,`srcfoo',`dstnet128.3',`srcordstportftp-data'.假如不指定方向修飾子,就使用缺省的srcordst.對于`null'鏈路層(就是說象slip之類的點到點協(xié)議),用inbound和outbound修飾子指定所需的傳輸方向.proto協(xié)議修飾子需要匹配指定的協(xié)議.能夠使用的協(xié)議有:ether,fddi,ip,arp,rarp,decnet,lat,sca,moprc,m

4、opdl,tcp和udp.例如,`ethersrcfoo',`arpnet128.3',`tcpport21'.假如不指定協(xié)議修飾子,就使用任何符合類型的協(xié)議.例如,`srcfoo'指`(ip或arp或rarp)srcfoo'(注意后者不符合語法),`netbar'指`(ip或arp或rarp)netbar',`port53'指`(tcp或udp)port53'.[`fddi'實際上是`ether'的別名;分析器把他們視為``用在指定網(wǎng)絡(luò)接口上的數(shù)據(jù)鏈路層.''FDDI報頭包含類似于以太協(xié)議的源目地址,而且通常包含類似于以太協(xié)議的報文類型,因此您能夠過濾FDDI

5、域,就象分析以太協(xié)議相同.FDDI報頭也包含其他域,但是您不能在過濾器表達式里顯式描述.]作為上述的補充,有一些特別的`原語'關(guān)鍵字,他們不同于上面的模式:gateway,broadcast,less,greater和數(shù)學表達式.這些在后面有敘述.更復(fù)雜的過濾器表達式能夠通過and,or和not連接原語來組建.例如,`hostfooandnotportftpandnotportftp-data'.為了少敲點鍵,能夠忽略相同的修飾子.例如,`tcpdstportftporftp-dataordomain'實際上就是`tcpdstportftportcpdstpor

6、tftp-dataortcpdstportdomain'.允許的原語有:dsthosthost假如報文中IP的目的地址域是host,則邏輯為真.host既能夠是地址,也能夠是主機名.srchosthost假如報文中IP的源地址域是host,則邏輯為真.hosthost假如報文中IP的源地址域或目的地址域是host,則邏輯為真.上面任何的host表達式都能夠加上ip,arp,或rarp關(guān)鍵字做前綴,就象:iphosthost他等價于:etherprotoipandhosthost假如host是擁有多個IP地址的主機名,他的每個地址都會被查驗.etherdsteh

7、ost假如報文的以太目的地址是ehost,則邏輯為真.Ehost既能夠是名字(/etc/ethers里有),也能夠是數(shù)字(有關(guān)數(shù)字格式另見ethers(3N)).ethersrcehost假如報文的以太源地址是ehost,則邏輯為真.etherhostehost假如報文的以太源地址或以太目的地址是ehost,則邏輯為真.gatewayhost假如報文把host當做網(wǎng)關(guān),則邏輯為真.也就是說,報文的以太源或目的地址是host,但是IP的源目地址都不是host.host必須是個主機名,而且必須存在/etc/hosts和/etc/ethers中.(一個等價的表達式是e

8、therhostehos

當前文檔最多預(yù)覽五頁,下載文檔查看全文

此文檔下載收益歸作者所有

當前文檔最多預(yù)覽五頁,下載文檔查看全文
溫馨提示:
1. 部分包含數(shù)學公式或PPT動畫的文件,查看預(yù)覽時可能會顯示錯亂或異常,文件下載后無此問題,請放心下載。
2. 本文檔由用戶上傳,版權(quán)歸屬用戶,天天文庫負責整理代發(fā)布。如果您對本文檔版權(quán)有爭議請及時聯(lián)系客服。
3. 下載前請仔細閱讀文檔內(nèi)容,確認文檔內(nèi)容符合您的需求后進行下載,若出現(xiàn)內(nèi)容與標題不符可向本站投訴處理。
4. 下載文檔時可能由于網(wǎng)絡(luò)波動等原因無法下載或下載錯誤,付費完成后未能成功下載的用戶請聯(lián)系客服處理。