资 源 简 介
嗅探器来捕获 tcp udp 数据包,
筛选器基于一种声明性的谓语语法。筛选器是 ASCII 字符串,它包含的筛选表达式。pcap_compile() 采用的表达式,并把它转换为内核级数据包筛选器的程序中。
该表达式选择哪些数据包将被抛弃。如果给定了没有表达式,则网络上的所有数据包将都接受由内核级过滤引擎。否则,仅为其表达式为 "真" 的数据包将被接受。
表达式包含一个或多个基元。原语通常由一个id (名称或号码) 之前,由一个或多个限定符组成。有三种不同的限定符:
类型
限定符说指的是什么样的东西的 id 名称或编号。可能的类型是主机、网络和端口。例如,主机 foo"、 "净 1283"、 "端口 20"。如果不有任何类型限定符,则假定主机。
dir
限定符指定特定传输方向和/或从id。可能的方向是src、 dst, src 或 dst和src 和 dst。例如,"src 美孚"、 "dst 网 1283"、 " src 或 dst 端口 ftp-数据 "。如果有没有 dir 限定符,则假定src 或 dst 。为 null 链接图层 (即点到点协议,如滑) 的入站和出站的限定符可以用于指定所需的方向。
原始
限定符限制匹配到一个特定的协议。可能卷接机组是:醚、 fddi、 tr、 ip、 ip6、 arp、 rarp、 decnet、 tcp和udp。例如,"醚 src 美孚"、 "ar