networking - 如何使用BPF过滤器过滤数据包负载？

如何使用BPF过滤器过滤数据包负载？

时间：2014-03-26 00:29:23

标签： networking bpf

我需要做一些关于分析一些数据包的功课我发现BPF过滤对我的作业来说是一件好事，我想过滤所有具有以特定字符串开头的有效负载的数据包，例如“Test it”。数据包是TCP，UDP，ICMP的组合，有些甚至可能没有有效载荷如何设置过滤器？

1 个答案:

答案 0 :(得分：0)

我找到了答案，
http://www.foo.be/cours/dess-20112012/bpf/bpf.pdf

在这个pdf中，有一个地方谈论BPF语法来过滤有效载荷。以下是来自pdf，通过这种方式，我们可以使用BPF跳过标题
例如，你想匹配＆＃34; GE＆＃34; TCP有效负载中的字符串：
echo -n＆＃34; GE＆＃34; | hexdump -C
00000000 47 45 | GE |
sudo tcpdump -s0 -n -i ath0＆＃34; tcp [20：2] = 0x4745＆＃34;

如何解析TCP数据包有效负载
如何使用BPF过滤器过滤数据包负载？
使用Netfilter的NFQUEUE与伯克利数据包过滤器（BPF）进行数据包过滤
如何编写和调试Berkeley Packet Filter for Linux内核
是否定义了Berkeley Packet Filter操作码值实现？
何时在BPF（伯克利数据包过滤器）或tcpdump中使用内存暂存空间15？
如何使用BPF重新过滤scapy数据包？
Berkeley Packet Filter到高级过滤表达式
使用eBPF进行内核内数据包转发
用ebpf写包过滤程序

我写了这段代码，但我无法理解我的错误
我无法从一个代码实例的列表中删除 None 值，但我可以在另一个实例中。为什么它适用于一个细分市场而不适用于另一个细分市场？
是否有可能使 loadstring 不可能等于打印？卢阿
java中的random.expovariate()
Appscript 通过会议在 Google 日历中发送电子邮件和创建活动
为什么我的 Onclick 箭头功能在 React 中不起作用？
在此代码中是否有使用“this”的替代方法？
在 SQL Server 和 PostgreSQL 上查询，我如何从第一个表获得第二个表的可视化
每千个数字得到
更新了城市边界 KML 文件的来源？