WinPcap:Filteringexpressionsyntax资源-CSDN文库

5星 · 超过95%的资源需积分: 3 182 浏览量 2012-06-21 10:13:18 上传评论收藏 113KB DOC 举报

wpcap filters are based on a declarative predicate syntax. A filter is an ASCII string containing a filtering expression. pcap_compile() takes the expression and translates it in a program for the kernel-level packet filter. wpcap过滤器是一个基于声明的谓词语法。一个过滤器就是一个包含了过滤expression的ASCII字符串。pcap_complite()函数将表达式转换成内核级包过滤器。 ### WinPcap: Filtering Expression Syntax #### 概述 WinPcap是一款强大的网络包捕获与分析工具，它能够帮助用户在Windows平台上实现对网络流量的监控与分析。其核心功能之一是支持复杂的过滤表达式，允许用户精确地定义哪些数据包应该被捕获并进行进一步的处理。 #### 过滤器表达式语法 WinPcap的过滤器表达式语法基于一种声明式的谓词逻辑。简单来说，过滤器是一个ASCII字符串，该字符串包含了一个用于选择数据包的过滤表达式。通过调用`pcap_compile()`函数，可以将这个表达式编译成一个程序，进而供内核级别的包过滤机制执行。 **过滤表达式**的作用在于确定哪些数据包应该被捕获并记录下来。如果未提供过滤表达式，则所有网络上的数据包都会被内核级过滤引擎接受。反之，只有那些使过滤表达式结果为“真”的数据包才会被接受。 #### 过滤表达式的构成过滤表达式由一个或多个**原语(primitive)**组成。每个原语通常包括一个标识符（ID），该标识符前可有一个或多个修饰符(qualifier)。这些修饰符有助于更精确地定义过滤条件。 - **类型修饰符(type qualifier):** 用于指定ID所代表的实体类型。可能的类型包括： - `host`: 表示单个主机。例如，`host foo`。 - `net`: 表示一个网络。例如，`net 128.3`。 - `port`: 表示端口。例如，`port 20`。如果没有指定类型修饰符，则默认为`host`。 - **方向修饰符(dir qualifier):** 用于指定数据传输的方向。可能的方向包括： - `src`: 表示数据包的源地址。例如，`src foo`。 - `dst`: 表示数据包的目标地址。例如，`dst net 128.3`。 - `src or dst`: 匹配源地址或目标地址。例如，`src or dst port ftp-data`。 - `src and dst`: 同时匹配源地址和目标地址。如果没有指定方向修饰符，则默认为`src or dst`。对于没有链路层的协议（如点对点协议SLIP等），还可以使用`inbound`和`outbound`来指定数据包的方向。 - **协议修饰符(proto qualifier):** 用于限制匹配特定的协议。可能的协议包括： - `ether`: 表示以太网协议。 - `fddi`: 表示光纤分布式数据接口(FDDI)协议。 - `tr`: 表示令牌环(Token Ring)协议。 - `ip`: 表示IPv4协议。 - `ip6`: 表示IPv6协议。 - `arp`: 表示地址解析协议(ARP)。 - `rarp`: 表示逆向地址解析协议(RARP)。 - `decnet`: 表示DECnet协议。 - `tcp`: 表示传输控制协议(TCP)。 - `udp`: 表示用户数据报协议(UDP)。如果没有指定协议修饰符，则默认匹配所有协议。 #### 综合示例为了更好地理解如何构建过滤表达式，我们来看几个示例： 1. **捕获来自或发往特定主机的所有TCP数据包:** ``` tcp and (host 192.168.1.1 or host 192.168.1.2) ``` 2. **捕获所有HTTP请求（HTTP请求通常使用TCP协议的80端口）:** ``` tcp port 80 ``` 3. **捕获所有进出特定主机的ARP请求:** ``` arp and (host 192.168.1.3) ``` 4. **捕获所有IPv6数据包:** ``` ip6 ``` 5. **捕获所有从特定主机发出的UDP数据包:** ``` udp and src host 192.168.1.4 ``` 通过上述介绍，我们可以看出WinPcap的过滤表达式语法提供了丰富的功能，允许用户根据自己的需求定制过滤规则。这对于网络监控、安全审计和故障排除等方面非常有用。

资源推荐

资源详情

资源评论

Filtering expression syntax

过滤器表达式语法

[WinPcap user's manual]

[WinPcap 用户手册]

Note: this document has been drawn from the tcpdump man page. The original version

can be found at www.tcpdump.org.

注意：本文档源于 tcpdump 的手册页面。原始版本可以在 www.tcpdump.org 站点上找到。

wpcap filters are based on a declarative predicate syntax. A filter is an ASCII string

containing a filtering expression. pcap_compile() takes the expression and translates it in

a program for the kernel-level packet filter.

wpcap 过滤器是一个基于声明的谓词语法。一个过滤器就是一个包含了过滤 expression 的

ASCII 字符串。pcap_complite()函数将表达式转换成内核级包过滤器。

The expression selects which packets will be dumped. If no expression is given, all

packets on the net will be accepted by the kernel-level filtering engine. Otherwise, only

packets for which expression is `true' will be accepted.

表达式决定哪些数据包需要被转储。如果没有给定表达式，网络上所有的数据包将被内核

级过滤引擎所接受。否则，只有满足 expression 为’true’的数据包会被接受。

The expression consists of one or more primitives. Primitives usually consist of an id

(name or number) preceded by one or more qualifiers. There are three different kinds of

qualifier:

expression 由一个活多个原语组成。而原语通常是被一个或多个修饰词修饰的 id(名称或序

号)。下面是三种不同类型的修饰：

type

qualifiers say what kind of thing the id name or number refers to. Possible types are

host, net and port. E.g., `host foo', `net 128.3', `port 20'. If there is no type qualifier, host

is assumed.

此修饰符决定哪种类型的标识符引用。可能的类型有 host、net 和 port。例如：'host

foo'，'net 128.3'，'port 20'。如果没有类型修饰，默认使用 host。

dir

qualifiers specify a particular transfer direction to and/or from id. Possible directions

are src, dst, src or dst and src and dst. E.g., `src foo', `dst net 128.3', `src or dst port

ftp-data'. If there is no dir qualifier, src or dst is assumed. For `null' link layers (i.e. point

to point protocols such as slip) the inbound and outbound qualifiers can be used to

specify a desired direction.

此修饰符类型指定了一个数据传输方向 id。可能的方向是 src、dst、src or dst 和 src

and dst。例如，'src foo'，'dst net 128.3'，'src or dst port ftp-data'。如果没有指定方向修

饰符时，默认使用 src or dst。对于没有链路层（像 slip 这种点对点协议）inbound(入站)

和 outbound(出站)修饰符可以用来指定期望的方向。

proto

qualifiers restrict the match to a particular protocol. Possible protos are: ether, fddi, tr,

ip, ip6, arp, rarp, decnet, tcp and udp. E.g., `ether src foo', `arp net 128.3', `tcp port 21'.

If there is no proto qualifier, all protocols consistent with the type are assumed. E.g., `src

foo' means `(ip or arp or rarp) src foo' (except the latter is not legal syntax), `net bar'

means `(ip or arp or rarp) net bar' and `port 53' means `(tcp or udp) port 53'.

此修饰符限制匹配到一个特定的协议。可能的协议有：

ether 、 fddi 、 tr 、 ip 、 ip6 、 arp 、 rarp 、 decent 、 tcp and udp 。例如， 'ether src

foo'，'arp net 128.3'，'tcp port 21'。如果没有协议修饰符，默认为与 type 修饰符一致的所

有协议。例如：'src foo' 意思是'(ip or arp or rarp) src foo' (后者是不合法的原语)，'net

bar'意思是'(ip or arp or rarp) net bar' 以及'port 53' 意思是'(tcp or udp) port 53'。

[`fddi' is actually an alias for `ether'; the parser treats them identically as meaning ``the

data link level used on the specified network interface.'' FDDI headers contain Ethernet-

like source and destination addresses, and often contain Ethernet-like packet types, so

you can filter on these FDDI fields just as with the analogous Ethernet fields. FDDI

headers also contain other fields, but you cannot name them explicitly in a filter

expression.

[‘fddi' 实际上只是'ether'的一个别名；解析器都把它们以“用于特定网络接口的数据链路层”

来对待。 FDDI 头部包含了类似以太网的源和目的地址，而且经常包含类似以太网的数据

包类型，所以可以就像对待类似以太网字段一样来过滤这些 FDDI 字。FDDI 头部还包含其

它字段，但是你无法在过滤器表达式中准确的命名它们。

Similarly, `tr' is an alias for `ether'; the previous paragraph's statements about FDDI

headers also apply to Token Ring headers.]

同样，'tr' 也是'ether'的别名；上段关于 FDDI 头部的声明同样适用于令牌环头部。]

In addition to the above, there are some special `primitive' keywords that don't follow the

pattern: gateway, broadcast, less, greater and arithmetic expressions. All of these are

described below.

除了以上内容，还有一些特殊的 ' 原语 ' 关键字不遵从以上模式：

gateway、broadcast、less、greater 和算术表达式。下面来详细讨论。

More complex filter expressions are built up by using the words and, or and not to

combine primitives. E.g., `host foo and not port ftp and not port ftp-data'. To save typing,

identical qualifier lists can be omitted. E.g., `tcp dst port ftp or ftp-data or domain' is

exactly the same as `tcp dst port ftp or tcp dst port ftp-data or tcp dst port domain'.

更复杂的过滤表达式是建立在使用 and、or 和 not 这些关键词来组合原语。例如：'host

foo and not port ftp and not port ftp-data'。为减少输入，同一修饰符可以省略。例如，’tcp

dst port ftp or ftp-data or domain' 完全等价于'tcp dst port ftp or tcp dst port ftp-data or tcp

dst port domain'。

Allowable primitives are:

可用原语：

剩余10页未读，继续阅读

评论收藏

内容反馈

zhenyippp

2013-01-21

资源不错，但不是我想要的。我想要一个封装好的WIRESHARK 的filter对话框的类

一流

粉丝: 14
资源: 4

WinPcap:Filtering expression syntax

最新资源

WinPcap:Filtering expression syntax

winpcap过滤串表达式的语法

winpcap过滤表达式说明

[WinPcap用户指南]过滤串表达式的语法

Winpcap使用实例

winpcap过滤表达式检验程序

Wireshark-win64-3.2.1和WinPcap_4_1_3（eNSP必备软件）

JasonQt_WinPcap:WinPcap封装

winpcap 3.1

基于WinPcap的网络流量统计

winpcap包使用问题总结

winpcap例子

Winpcap中的数据过滤方法

Winpcap常用函数

winpcap中文帮助

winpcap-source.rar_winpcap 开源库_winpcap开源吗_开源 抓包工具_抓包开源

winpcap/libpcap最新源代码和中文帮助

WinPcap

WinPcap+中文技术文档

4.1beta2-WpdPack_winpcap_

winpcap-413.rar

解决winpcap在vc6编译的错误

WinPcap.zip

WinPcap.exe：wpcap.dll缺失

Winpcap 环境部署--VC6.0出现找不到“pcap.h'”文件解决方法

附1：eNSP配套软件 WinPcap-4.1.3.zip

Winpcap 中文文档教程：循序渐进学习使用WINPCAP

WinPcap技术文档 4.0.1 中英版html格式

P2P终结者-最新版（附带WinPcap）

Winpcap

最新资源

winpcap-source.rar_winpcap 开源库_winpcap开源吗_开源抓包工具_抓包开源