c# - Berkeley Packet Filter から高レベルのフィルタリング表現へ

Question

Berkeley Filter によって手動で WinPcap セッションのフィルターを設定する C プログラムがあります。このツールを Pcap.Net を使用して C# に転送したいと考えています。Pcap.Net は生の berkeley フィルタを引数として提供しませんが、高レベルのフィルタリング式を提供します (たとえば、wireshark/tcpdump のようなものでも使用されますip and tcp) 。

する方法はありますか

1. Berkeley Packet Filter を高レベルのフィルタリング式に「逆コンパイル」します。
2. pcap.net のフィルターに raw バイト ストリームを使用する

生の bpf_program:

struct bpf_program bpf_program;
static struct bpf_insn bpf_insn [] =
{
    {
        BPF_LD + BPF_H + BPF_ABS,
        0,
        0,
        12
    },
    {
        BPF_JMP + BPF_JEQ + BPF_K,
        0,
        18,
        0
    },
    {
        BPF_LD + BPF_B + BPF_ABS,
        0,
        0,
        0
    },
    {
        BPF_JMP + BPF_JEQ + BPF_K,
        0,
        10,
        0
    },
    {
        BPF_LD + BPF_B + BPF_ABS,
        0,
        0,
        1
    },
    {
        BPF_JMP + BPF_JEQ + BPF_K,
        0,
        8,
        0
    },
    {
        BPF_LD + BPF_B + BPF_ABS,
        0,
        0,
        2
    },
    {
        BPF_JMP + BPF_JEQ + BPF_K,
        0,
        6,
        0
    },
    {
        BPF_LD + BPF_B + BPF_ABS,
        0,
        0,
        3
    },
    {
        BPF_JMP + BPF_JEQ + BPF_K,
        0,
        4,
        0
    },
    {
        BPF_LD + BPF_B + BPF_ABS,
        0,
        0,
        4
    },
    {
        BPF_JMP + BPF_JEQ + BPF_K,
        0,
        2,
        0
    },
    {
        BPF_LD + BPF_B + BPF_ABS,
        0,
        0,
        5
    },
    {
        BPF_JMP + BPF_JEQ + BPF_K,
        4,
        0,
        0
    },
    {
        BPF_LD + BPF_W + BPF_ABS,
        0,
        0,
        0
    },
    {
        BPF_JMP + BPF_JEQ + BPF_K,
        0,
        4,
        0xFFFFFFFF
    },
    {
        BPF_LD + BPF_H + BPF_ABS,
        0,
        0,
        4
    },
    {
        BPF_JMP + BPF_JEQ + BPF_K,
        0,
        2,
        0xFFFF
    },
    {
        BPF_LD + BPF_W + BPF_LEN,
        0,
        0,
        0
    },
    {
        BPF_RET + BPF_A,
        0,
        0,
        0
    },
    {
        BPF_RET + BPF_K,
        0,
        0,
        0
    }
};
bpf_program.bf_len = sizeof (bpf_insn)/sizeof (struct bpf_insn);
bpf_program.bf_insns = bpf_insn;
if (channel->type == ETH_P_802_2)
{
    bpf_insn [1].code = BPF_JMP + BPF_JGT + BPF_K;
    bpf_insn [1].jt = 18;
    bpf_insn [1].jf = 0;
    bpf_insn [1].k = ETHERMTU;
}
else
{
    bpf_insn [1].code = BPF_JMP + BPF_JEQ + BPF_K;
    bpf_insn [1].jt = 0;
    bpf_insn [1].jf = 18;
    bpf_insn [1].k = channel->type;
}
bpf_insn [3].k = channel->host [0];
bpf_insn [5].k = channel->host [1];
bpf_insn [7].k = channel->host [2];
bpf_insn [9].k = channel->host [3];
bpf_insn [11].k = channel->host [4];
bpf_insn [13].k = channel->host [5];

明確にするために編集: Berkeley Packet Filterは、UNIX ベースのシステムのインターフェースです。WinPcap はこの BPF を使用し、Pcap.Net も同様です。Pcap.Net には、 とも呼ばれる BPF を処理するクラスがありBarkeleyPacketFilterます。クラスは、高レベルのフィルタリング式 ( など) のみを受け入れますtcp port 80。

高レベルの式ではなく生のフィルター (上記のコード ブロックを参照) を BPF クラスに供給する方法を探します。