pcap_set_filter()是否可以与pcap_open_offline()一起使用?

时间:2012-11-07 09:56:12

标签: c filter pcap libpcap

我编写了pcap程序,使用pcap_open_live()并逐步应用过滤器(即重新编译pcap过滤器并在初始pcap_loop后重新设置过滤器) ,我想对我从pcap保存的一些Wireshark个文件进行测试。

然而,当我运行该程序时,我甚至无法打印出我的数据包,除非我向pcap_compile_filter提供了一个空过滤器;

这只是在保存的文件上使用lpcap的功能,还是我做错了什么?

以下是细读代码的片段:

int main(int argc, char **argv)
{
char *dev = NULL;           /* capture device name */
char errbuf[PCAP_ERRBUF_SIZE];      /* error buffer */
pcap_t *handle;             /* packet capture handle */
char filter_exp[] = "ip";           /* filter expression [3] */
struct bpf_program fp;          /* compiled filter program (expression) */
bpf_u_int32 mask;           /* subnet mask */
bpf_u_int32 net;            /* ip */
int num_packets = -1;           /* number of packets to capture  -1 => capture forever! */

printf("Filter expression: %s\n", filter_exp);

// open capture device
handle = pcap_open_offline("heartbeats2", errbuf);
if (handle == NULL) {
    fprintf(stderr, "pcap_open_offline failed: %s\n", errbuf);
    exit(EXIT_FAILURE);
}

/* make sure we're capturing on an Ethernet device*/
if (pcap_datalink(handle) != DLT_EN10MB) {
    fprintf(stderr, "%s is not an Ethernet\n", dev);
    exit(EXIT_FAILURE);
}

/* compile the filter expression */
if (pcap_compile(handle, &fp, filter_exp, 0, 0) == -1) {
    fprintf(stderr, "Couldn't parse filter %s: %s\n",
        filter_exp, pcap_geterr(handle));
    exit(EXIT_FAILURE);
}

/* apply the compiled filter */
if (pcap_setfilter(handle, &fp) == -1) {
    fprintf(stderr, "Couldn't install filter %s: %s\n",
        filter_exp, pcap_geterr(handle));
    exit(EXIT_FAILURE);
}

pcap_loop(handle, -1, gotPacket, NULL);

pcap_freecode(&fp);
pcap_close(handle);

printf("\nCapture complete.\n");

return(0);
}

获取的数据包功能只打印出数据包的有效负载;输出只是:

Filter expression: ip

Capture complete.

1 个答案:

答案 0 :(得分:0)

如果没有看到你的gotPacket功能,就无法说出那里发生了什么。

由于没有其他错误消息,您的程序会运行到代码末尾并打印“Capture complete”。消息。

如果您的程序使用pcap_open_live()并使用空过滤器,我唯一怀疑您的pcap文件可能不包含任何ip数据包。

您可以使用wireshark打开pcap文件,并在wireshark过滤器表达式中使用“ip”过滤器。如果你可以在wireshark中看到一些数据包,那么上面的程序也可以使用过滤器。

有很多网站都有BPF的例子。一个示例网站可能是http://biot.com/capstats/bpf.html