BPF 过滤器不适用于 vlan 数据包
the BPF filter dit not work with vlan packets
我在我们的 Ubuntu 服务器上使用 pcapplusplus 捕获了一些数据包,并写入 .pcap 文件,然后我读取了 .pcap 文件,它工作正常;但是当我用 BPF 语法设置过滤器时,它无法从 .pcap 文件中读取,过滤器只是一个 tcp 字符串,并且它在示例 input.pcap 上运行良好,但不适用于我的 pcap 文件,
pcpp::IFileReaderDevice* reader = pcpp::IFileReaderDevice::getReader("input.pcap");
// verify that a reader interface was indeed created
if (reader == NULL)
{
printf("Cannot determine reader for file type\n");
exit(1);
}
// open the reader for reading
if (!reader->open())
{
printf("Cannot open input.pcap for reading\n");
exit(1);
}
// create a pcap file writer. Specify file name and link type of all packets that
// will be written to it
pcpp::PcapFileWriterDevice pcapWriter("output.pcap", pcpp::LINKTYPE_ETHERNET);
// try to open the file for writing
if (!pcapWriter.open())
{
printf("Cannot open output.pcap for writing\n");
exit(1);
}
// create a pcap-ng file writer. Specify file name. Link type is not necessary because
// pcap-ng files can store multiple link types in the same file
pcpp::PcapNgFileWriterDevice pcapNgWriter("output.pcapng");
// try to open the file for writing
if (!pcapNgWriter.open())
{
printf("Cannot open output.pcapng for writing\n");
exit(1);
}
// set a BPF filter for the reader - only packets that match the filter will be read
if (!reader->setFilter("tcp"))
{
printf("Cannot set filter for file reader\n");
exit(1);
}
// the packet container
pcpp::RawPacket rawPacket;
// a while loop that will continue as long as there are packets in the input file
// matching the BPF filter
while (reader->getNextPacket(rawPacket))
{
// write each packet to both writers
printf("matched ...\n");
pcapWriter.writePacket(rawPacket);
pcapNgWriter.writePacket(rawPacket);
}
这是一些数据包:[在此处输入图片描述][1]
[1]: https://i.stack.imgur.com/phYA0.png , 谁能帮忙?
@pchaigno 是正确的;你需要做 vlan and tcp 或者,捕获 VLAN-encapsulated 和非 VLAN-encapsulated TCP 数据包,tcp or (vlan and tcp).
TL;DR. 您需要使用过滤器 vlan and tcp 来捕获带有 VLAN 标记的 TCP 数据包。
说明
我们可以看看只使用时会生成什么BPF过滤器tcp:
$ tcpdump -d -i eth0 tcp
(000) ldh [12]
(001) jeq #0x86dd jt 2 jf 7
(002) ldb [20]
(003) jeq #0x6 jt 10 jf 4
(004) jeq #0x2c jt 5 jf 11
(005) ldb [54]
(006) jeq #0x6 jt 10 jf 11
(007) jeq #0x800 jt 8 jf 11
(008) ldb [23]
(009) jeq #0x6 jt 10 jf 11
(010) ret #262144
(011) ret #0
我们可以看到首先从数据包中的偏移量12加载了2个字节。对应以太网中的Ethertypeheader。然后它用于检查我们是否正在解析 IPv6 (jeq #0x86dd) 或 IPv4 (jeq #0x800) 数据包。
但是,当有VLAN标签时,Ethertype字段移动4个字节(VLAN标签字段的长度)。因此,对于带有 VLAN 标记的数据包,我们应该在偏移量 16 处读取以太网类型。
使用过滤器 vlan and tcp 实现此更改,方法是首先检查是否存在 VLAN 标记,然后在读取 Ethertype 时将其考虑在内。因此,要过滤 TCP 数据包而不管它们是否具有 VLAN 标记,您需要 tcp or (vlan and tcp).
我在我们的 Ubuntu 服务器上使用 pcapplusplus 捕获了一些数据包,并写入 .pcap 文件,然后我读取了 .pcap 文件,它工作正常;但是当我用 BPF 语法设置过滤器时,它无法从 .pcap 文件中读取,过滤器只是一个 tcp 字符串,并且它在示例 input.pcap 上运行良好,但不适用于我的 pcap 文件,
pcpp::IFileReaderDevice* reader = pcpp::IFileReaderDevice::getReader("input.pcap");
// verify that a reader interface was indeed created
if (reader == NULL)
{
printf("Cannot determine reader for file type\n");
exit(1);
}
// open the reader for reading
if (!reader->open())
{
printf("Cannot open input.pcap for reading\n");
exit(1);
}
// create a pcap file writer. Specify file name and link type of all packets that
// will be written to it
pcpp::PcapFileWriterDevice pcapWriter("output.pcap", pcpp::LINKTYPE_ETHERNET);
// try to open the file for writing
if (!pcapWriter.open())
{
printf("Cannot open output.pcap for writing\n");
exit(1);
}
// create a pcap-ng file writer. Specify file name. Link type is not necessary because
// pcap-ng files can store multiple link types in the same file
pcpp::PcapNgFileWriterDevice pcapNgWriter("output.pcapng");
// try to open the file for writing
if (!pcapNgWriter.open())
{
printf("Cannot open output.pcapng for writing\n");
exit(1);
}
// set a BPF filter for the reader - only packets that match the filter will be read
if (!reader->setFilter("tcp"))
{
printf("Cannot set filter for file reader\n");
exit(1);
}
// the packet container
pcpp::RawPacket rawPacket;
// a while loop that will continue as long as there are packets in the input file
// matching the BPF filter
while (reader->getNextPacket(rawPacket))
{
// write each packet to both writers
printf("matched ...\n");
pcapWriter.writePacket(rawPacket);
pcapNgWriter.writePacket(rawPacket);
}
这是一些数据包:[在此处输入图片描述][1]
[1]: https://i.stack.imgur.com/phYA0.png , 谁能帮忙?
@pchaigno 是正确的;你需要做 vlan and tcp 或者,捕获 VLAN-encapsulated 和非 VLAN-encapsulated TCP 数据包,tcp or (vlan and tcp).
TL;DR. 您需要使用过滤器 vlan and tcp 来捕获带有 VLAN 标记的 TCP 数据包。
说明
我们可以看看只使用时会生成什么BPF过滤器tcp:
$ tcpdump -d -i eth0 tcp
(000) ldh [12]
(001) jeq #0x86dd jt 2 jf 7
(002) ldb [20]
(003) jeq #0x6 jt 10 jf 4
(004) jeq #0x2c jt 5 jf 11
(005) ldb [54]
(006) jeq #0x6 jt 10 jf 11
(007) jeq #0x800 jt 8 jf 11
(008) ldb [23]
(009) jeq #0x6 jt 10 jf 11
(010) ret #262144
(011) ret #0
我们可以看到首先从数据包中的偏移量12加载了2个字节。对应以太网中的Ethertypeheader。然后它用于检查我们是否正在解析 IPv6 (jeq #0x86dd) 或 IPv4 (jeq #0x800) 数据包。
但是,当有VLAN标签时,Ethertype字段移动4个字节(VLAN标签字段的长度)。因此,对于带有 VLAN 标记的数据包,我们应该在偏移量 16 处读取以太网类型。
使用过滤器 vlan and tcp 实现此更改,方法是首先检查是否存在 VLAN 标记,然后在读取 Ethertype 时将其考虑在内。因此,要过滤 TCP 数据包而不管它们是否具有 VLAN 标记,您需要 tcp or (vlan and tcp).