WinPcap和Libpcap的最强大的特性之一,是拥有过滤数据包的引擎。 它提供了有效的方法去获取网络中的某些数据包,这也是WinPcap捕获机制中的一个组成部分。 用来过滤数据包的函数是 pcap_compile() 和 pcap_setfilter() 。
pcap_compile() 它将一个高层的布尔过滤表达式编译成一个能够被过滤引擎所解释的低层的字节码。有关布尔过滤表达式的语法可以参见 Filtering expression syntax 这一节的内容。
pcap_setfilter() 将一个过滤器与内核捕获会话向关联。当 pcap_setfilter() 被调用时,这个过滤器将被应用到来自网络的所有数据包,并且,所有的符合要求的数据包 (即那些经过过滤器以后,布尔表达式为真的包) ,将会立即复制给应用程序。
以下代码展示了如何编译并设置过滤器。 请注意,我们必须从 pcap_if 结构体中获得掩码,因为一些使用 pcap_compile() 创建的过滤器需要它。
在这段代码片断中,传递给 pcap_compile() 的过滤器是"ip and tcp",这说明我们只希望保留IPv4和TCP的数据包,并把他们发送给应用程序。
if
(d
->
addresses
!=
NULL)
/*
获取接口第一个地址的掩码
*/
netmask
=
((
struct
sockaddr_in
*
)(d
->
addresses
->
netmask))
->
sin_addr.S_un.S_addr;
else
/*
如果这个接口没有地址,那么我们假设这个接口在C类网络中
*/
netmask
=
0xffffff
;
//compile the filter
if
(pcap_compile(adhandle,
&
fcode,
"
ip and tcp
"
,
1
, netmask)
<
0
)
{
fprintf(stderr,
"
\nUnable to compile the packet filter. Check the syntax.\n
"
);
/*
释放设备列表
*/
pcap_freealldevs(alldevs);
return
-
1
;
}
//set
the filter
if
(pcap_setfilter(adhandle,
&
fcode)
<
0
)
{
fprintf(stderr,
"
\nError setting the filter.\n
"
);
/*
释放设备列表
*/
pcap_freealldevs(alldevs);
return
-
1
;
}
如果你想阅读过滤函数的范例代码,请阅读下一讲 分析数据包的例子。
过滤串表达式的语法(Filtering expression syntax )
注意:这篇文档取自tcpdump的指南。原始的版本 www.tcpdump.org 找到。
wpcap的过滤器是以已声明的谓词语法为基础的。过滤器是一个ASCII字符串,它包含了一个过滤表达式。pcap_compile()把这个表达式编译成内核级的包过滤器。
这个表达式会选择那些数据包将会被堆存。如果表达式没有给出,那么,网络上所有的包都会被内核过滤引擎所认可。不然,只有那些表达式为'true'的包才会被认可。
这个表达式包含了一个或多个原语。原语通常包含了id(名字或序列),这些id优先于限定词。以下是三种不同的限定词:
-
输入(type)
-
指明了哪些东西是id所代表的。可能的输入是
host,
net和
port。比如:`host foo',`net 128.3',`port 20'。如果没有输入限定词,就假定是
host
-
方向(dir)
-
由id指明了一个特定的传输方向。可能的方向是
src,
dst,
src or dst。比如,'src foo','dst net 128.3',`src or dst port ftp-data'。如果没有指定,就假定是
src or dst。如果没有链路层(比如,像slip这样的点对点协议),那么限定词可以使用
inbound和
outbound,来指明一个方向。
-
协议(proto)
-
限定词限制了所匹配的协议。可能的协议有:
ether,
fddi,
tr,
ip,
ip6,
arp,
rarp,
decnet,
tcp和
udp。比如:`ether src foo',`arp net 128.3',`tcp port 21'。如果没有指定协议限定词,那么就假定所有的协议都会被允许。例如:'src foo'等价于'(ip or arp or rarp)src foo'(当然,不能有不符合语法的字母出现),'net bar'等价于'(ip or arp or rarp) net bar','port53'等价于'(tcp or udp) port 53'。
[ 'fddi'通常是'ether'的别名;解析器会认为它们是在特定网络接口上的数据链路层。FDDI的首部包含了和以太网很相似的源地址和目的地址,并且通常也包含了和以太网很相似的数据包类型。所以,在FDDI网域上使用过滤器和在以太网上使用过滤器基本一致。FDDI的首部还包括了其他的数据,不过你不能在过滤器表达式内表示他们。
同样的,'tr'也是'ether'的一个别名,它是较早被应用于FDDI的首部,也应用在令牌环网络首部。]
除了以上内容,还有一些特殊的限定词和上面的形式不太一样,它们是:gateway,broadcast,less,greater和一些算术表达式。这些内容会在下面和大家介绍。
我们可以使用and,or和not将原语连接起来,来构造一个更复杂的过滤表达式。例如:`host foo and not port ftp and not port ftp-data'。如果要简化输入,我们可以把已列出的id限定词省略。比如:`tcp dst port ftp or ftp-data or domain' 和 `tcp dst port ftp or tcp dst port ftp-data or tcp dst port domain'是完全等价的。
可使用的原语有:
-
dst host
host
-
当IPv4/v6数据包的目标域(destination field)为
host时为true,
host既可以是地址,也可以是名字。
-
src host
host
-
当IPv4/v6数据包的源域(source field)为
host时为true。
-
host
host
-
当IPv4/v6数据包的源域(source field)或目标域(destination field)为
host时为true。以上任何一个host表达式可以是
ip,
arp,
rarp或
ip6开头,如下所示:
-
ip host host
等价于:
-
ether proto \ip and host host
如果
host是一个多IP地址,那么每一个地址都会被匹配。
-
ether dst
ehost
-
当以太网的目的地址为
ehost时为true。
ehost可以是一个来自/etc/ether的名字,也可以是一个数字代号(参见
ethers(3N)for numeric format)。
-
ether src
ehost
-
当以太网的源地址为
ehost时为true。
-
ether host
ehost
-
当以太网的目的地址,或源地址为
ehost时为true。
-
gateway
host
-
当
host为网关时为true。即,以太网源地址或目的地址是
host,但源地址和目的地址不同时为
host。
host必须能被机器的主机-IP地址(host-name-to-IP-address)机制找到(如主机名文件,DNS,NIS等),也能被主机-以太网地址(host-name-to-Ethernet-address)机制找到(如/etc/ethers等)。例如:
-
ether host ehost and not host host
host / ehost均可使用名字或数字。这个语法目前在IPv6下不能工作。
-
dst net
net
-
当IPv4/v6数据包的目的地址的网络号包含了
net时为true。
net可以是一个来自/etc/networks的名字,也可以是一个网络号(更多内容请参见
networks(4))。
-
src net
net
-
当IPv4/v6数据包的源地址的网络号包含了
net时为true。
-
net
net
-
当IPv4/v6数据包的目的地址,或源地址的网络号包含了
net时为true
-
net
net
mask
netmask
-
当IP地址是
net ,子网掩码匹配
netmask 时为true。可能需要
src 或
dst加以限制。注意,这个语法不能应用于IPv6。
-
net
net/
len
-
当IP地址是
net ,子网掩码连续1的个数为
len 时为true。可能需要
src 或
dst加以限制。
-
dst port
port
-
当数据包是ip/tcp, ip/udp, ip6/tcp 或 ip6/udp,并且目的端口号是
port时为true。
port可以是数字,或是在/etc/services中被使用的名字。(参见
tcp(4P) and udp(4P))。如果使用名字,那么端口号和协议都将被检测。如果使用数字,或者一个不明确的名字,那么只有端口号会被检测。(比如:
dst port 513将打印tcp/login数据流和udp/who数据流。
port domain将打印tcp/domain的数据流和udp/domain的数据流)。
-
src port
port
-
当源端口号是
port时为true。
-
port
port
-
当源端口号或目的端口号为
port 时为true。以上任何一个port表达式可以以关键字
tcp或
udp开头,如下所示:
-
tcp src port port
只匹配源端口是
port 的tcp数据包。
-
less
length
-
当数据包的长度小于等于
length时为true。即:
-
len <= length.
-
greater
length
-
当数据包的长度大于等于
length时为true。即:
-
len >= length.
-
ip proto
protocol
-
当数据包是IP数据包,并且它的协议类型为
protocol时为true。
protocol可以是一个数字,也可以是
icmp,
icmp6,
igmp,
igrp,
pim,
ah,
esp,
vrrp,
udp 或
tcp中的一个。注意,
tcp,
udp,
icmp是关键字,所以,它们要使用反斜杠(\)来转义,就好比C-shell中的\\。注意,这个原语不会去追踪协议首部链。
-
ip6 proto
protocol
-
当数据包是IPv6数据包,并且它的协议类型为
protocol时为true。注意,这个原语不会去追踪协议首部链。
-
ip6 protochain
protocol
-
当数据包是IPv6数据包,并且,在它的协议首部链中,包含了
protocol类型的协议首部时,为true。例如:
-
ip6 protochain 6
能匹配所有的,拥有TCP协议首部的IPv6的数据包。在IPv6首部和TCP首部之间,可能包含认证首部,路由首部和跳数选项首部。由这个原语所生成的BPF(BSD Packet Filter,包过滤机制)码是复杂的,而且不能被BPF优化器优化,所以,在某些程度上,它的速度比较慢。
-
ip protochain
protocol
-
功能和
ip6 protochain
protocol相同,只是这个应用于 IPv4。
-
ether broadcast
-
当数据包是以太网广播数据包时为true。关键字
ether是可选的。
-
ip broadcast
-
当数据包是IP广播数据包时为true。它会检查所有的广播,包括地址全是0的和地址全是1的,然后,检查子网掩码。
-
ether multicast
-
当数据包是以太网多播数据包时为true。关键字ether是可选的。 下面是一个常用短语`
ether[0] & 1 != 0'
-
ip multicast
-
当数据包是IP多播数据包时为true。
-
ip6 multicast
-
当数据包是IPv6多播数据包时为true。
-
ether proto
protocol
-
当数据包是以太类型的
protocol时为true。
protocol可以是一个数字,也可以是
ip,
ip6,
arp,
rarp,
atalk,
aarp,
decnet,
sca,
lat,
mopdl,
moprc,
iso,
stp,
ipx,
netbeui中的一个。注意,这些符号也都是关键字,所以,他们都需要用反斜杠(\)转义。
-
[在使用FDDI(比如'
fddi protocol arp')和令牌环(比如'
tr protocol arp')和其他大多数这种协议时,协议根据802.2逻辑链路控制(LLC)来识别,这些信息通常在FDDI或令牌环首部的开始。
-
当需要识别大多数协议的标识,比如FDDI或令牌环时,
Tcpdump只检查LLC报头的ID数据域,它们以SNAP格式存储,并且,组织单位识别码(Organizational Unit Identifier(OUI))为0x000000,以封装以太网。它不会检查这个包是不是SNAP格式的,并在0x000000单元有OUI。
-
然而,
iso是个特例,它会检查LLC首部的目的服务存取点DSAP(Destination Service Access Point)和源服务存取点SSAP(Source Service Access Point),
stp和
netbeui会检查LLC首部的DSAP,
atalk会检查数据包是不是SNAP格式的,并且OUI是不是0x080007。Appletalk 同样如此。
-
在以太网的例子中,
tcpdump检查大部分协议的以太网类型字段,
iso,
sap 和
netbeui除外,因为它们会检查802.3帧,然后检查LLC首部,就像它对FDDI和令牌环那样。
atalk,它检查以太网帧的Appletalk etype和SNAP格式的以太网帧,
arrp,它在以太网帧中检查Appletalk ARP etype,或是在OUI为0x000000的802.2 SNAP帧中查找,还有ipx,他会在以太网帧中检查IPX etype,在LLC首部检查IPX DSAP,没有用802.3封装的LLC首部的IPX,和SNAP帧中的IPX etype。]
-
decnet src
host
-
当DECNET的源地址为
host时为true,它可能是一个格式为'10.123'的地址,也可能是一个DECNET主机名。[DECNET主机名称只有在配置成可运行DECNET的Ultrix系统中才得到支持。]
-
decnet dst
host
-
当DECNET的目的地址为
host时为true。
-
decnet host
host
-
当DECNET的源地址或目的地址为
host时为true。
-
ip,
ip6,
arp,
rarp,
atalk,
aarp,
decnet,
iso,
stp,
ipx,
netbeui
-
缩写是:
-
ether proto p
p 是以上协议中的一个。
-
lat,
moprc,
mopdl
-
缩写是:
-
ether proto p
p 是以上协议中的一个。注意:
tcpdump 目前并不知道,如何解析出这些协议。
-
vlan
[vlan_id]
-
当数据包是IEEE 802.1Q VLAN数据包时为true。若[
vlan_id]被指定,则仅当数据包为指定的vlan_id,值才为true。注意,在假设数据包为VLAN数据包的前提下,表达式中的第一个关键字
vlan会改变剩余表达式的解码偏移量。
-
tcp,
udp,
icmp
-
缩写是:
-
ip proto p or ip6 proto p
p 是以上协议中的一个。
-
iso proto
protocol
-
当数据包的协议类型为
protocol的OSI数据包时值为true。
Protocol可以是一个数字或以下名称中的一个:
clnp,
esis或
isis。
-
clnp,
esis,
isis
-
缩写是:
-
iso proto p
p 是以上协议中的一个。注意,
tcpdump并不能完成这些协议的全部解析工作。
-
expr relop expr
-
若关系式如下:
relop是 >, <, >=, <=, =, != 中的一个,并且
expr是一个由正整常数(用标准C语言的语法表示),标准二进制运算符[ +, -, *, /, &, | ],运算符的长度,和指定数据包存取,则值为true。要存取数据包内的数据,可以使用以下的语法:
proto [ expr : size ]
Proto 是
ether, fddi, tr, ip, arp, rarp, tcp, udp, icmp or
ip6中的一个,它为索引操作指明了协议层。注意,
tcp,udp和其他较高层的协议类型只能应用于IPv4,而不能用于IPv6(这个问题可能在将来能得到解决)。被指定的协议层的字节偏移量由
expr给出。
Size是可选的,它指明了数据域中,我们所感兴趣的字节数。它可以是1,2,或4,默认为1。运算符的长度,由关键字
len给出,指明了数据包的长度。
例如,`ether[0] & 1 != 0'会捕捉所有的多播数据流。表达式`ip[0] & 0xf != 5'能捕捉所有带可选域的IP数据包。表达式`ip[6:2] & 0x1fff = 0'仅捕捉未分段的数据报和段偏移量是0的数据报。这个检查隐含在tcp和udp的下标操作中。例如,tcp[0]通常指第一个字节的TCP首部,而不是指第一个字节的分段。
有些偏移量和域值可以以名字来表示,而不是数值。以下协议首部域的偏移量是正确的:icmptype (ICMP 类型域), icmpcode (ICMP 代码域), and tcpflags (TCP 标志域)。
ICMP 类型域有以下这些: icmp-echoreply, icmp-unreach, icmp-sourcequench, icmp-redirect, icmp-echo, icmp-routeradvert, icmp-routersolicit, icmp-timxceed, icmp-paramprob, icmp-tstamp, icmp-tstampreply, icmp-ireq, icmp-ireqreply, icmp-maskreq, icmp-maskreply.
TCP 标志域有以下这些: tcp-fin, tcp-syn, tcp-rst, tcp-push, tcp-push, tcp-ack, tcp-urg.
原语可以用以下内容组合:
-
用圆括号括起来的原语和操作符 (圆括号在Shell中是特殊符号,所以必须要转义)。
-
取反操作 (`
!' 或 `
not').
-
连接操作 (`
&&' 或 `
and').
-
选择操作 (`
||' 或 `
or').
取反操作的优先级最高。连接操作和选择操作有相同的优先级,并且它们的结合方向为从左向右。注意:做连接的时候是需要显示的 and 操作符的,而不是把要连接的东西写在一起。
如果给出一个标识符,却没有关键字,那么就会假定用最近使用的关键字。例如:
not host vs and ace
等价于
not host vs and host ace
不能和下面的混淆
not ( host vs or ace )
表达式参数即可以作为单个参数,也可以作为多个参数传递给tcpdump,后者更加方便一些。一般的,如果表达式包含一个Shell的元字符,那么用一个参数传递比较容易,最好把它括起来,多个参数在传递前,用空格连接起来。