問題タブ [pcap]

免責事項：これは宿題のためのものですが、問題は宿題に関するものではなく、一般的な構文の奇妙さについてです。

はるかに大きなプログラムのコンテキストで libpcap を使用しようとしていますが、各パケットのパケット ヘッダーとデータを取得しようとすると、gcc は pcap_next_ex の 3 番目のパラメーターが互換性のないポインター型であると文句を言います。私が話していることを確認するためのサンプルコードを次に示します。

man ページには、pcap_next_ex() のプロトタイプが次のように示されています。

互換性のないポインター型を渡しているのはどのくらい正確ですか? ありがとう。

アプリケーションへの TCP トラフィックを傍受する必要があります。

libpcap は TCP セグメントを再アセンブルできますか、それとも手動で行う必要がありますか?

ホームページには、「完全なドキュメントがマニュアルページ形式でソースパッケージとともに提供されています」と書かれています。私が見つけた後sudo apt-get install libpcap-dev、pcap は 1 人しか見つかりませんでした。利用可能なすべてのドキュメントですか、それとも単に何かを見逃しただけですか?

ありがとう

2 つの tcpdump ファイルを連結して、1 つのトラフィックがファイルに次々と表示されるようにする方法は? 具体的には、1 つの tcpdump ファイルを「乗算」して、すべてのセッションが順番に数回繰り返されるようにしたいと考えています。

Perl の非常に基本的なことに関する質問がありますが、効率的な解決策が見つかりません。

ここでは、最初に少しコンテキストを示します。私はNet::Pcapなどを使用し、パケットを処理する関数 (によって使用される) にいるとき、パケット全体 (イーサネットヘッダー + IP ヘッダー + tcp/udp ヘッダー + ペイロード) を含むスカラーpcap_loopを取得します。$packet

私がしたいのは、ユーザー定義の宛先MACアドレス（たとえば、コマンドライン引数などとして渡される）を使用して、 を使用して送信できる$packetを取得するために、これ（イーサネット宛先）の最初の6バイトを変更することです。など。したがって、ユーザー定義のアドレスを分割して (たとえば、を使用して)、宛先 MAC アドレスの 6 つの部分ごとに取得し、関数を使用してそれを 16 進数に変換できますが、パケットの最初のバイトを変更してこれらに置き換えることができます。エドバイト。どうすればよいですか？$packetpcap_sendpacket00:11:22:33:44:55splithexhex

連結（。）を使用することを考えましたが、この解決策は汚いと思います。

C で考えて (少し前に C でやったので、Perl でやりたいので)、 " u_char packet[]"を取得したらmemcpy、最初の 6 バイトにユーザー提供のイーサネット アドレスを適用する必要がありました。私のpacket[]とそれは働いた。

大きな pcap ファイルを libpcap で解析しようとしていますが、ファイルの制限があるため、ファイルは 2GB で区切られています。2 GB のファイルが 10 個あり、それらを一度に解析したいと考えています。libpcap が同じ実行でそれらを解析できるように、このデータをインターフェイスに順次 (各ファイルを個別に) フィードする可能性はありますか?

ドライバーではない、パケットをキャプチャするための PCAP DLL に代わるものはありますか?

Linuxでlibpcapを使用してパケットをスニッフィングしています。各パケットで取得するヘッダーは次のようになります。

さて、caplenはキャプチャしたデータの長さであり、lenはワイヤ上のパケットの長さであると私は理解しています。場合によっては（たとえば、pcapデバイスを開くときにsnaplenを低く設定しすぎる場合）、パケットの一部のみをキャプチャする場合があります。その長さは「caplen」ですが、「len」は元の長さです。したがって、caplenはlen以下である必要がありますが、lenより大きくなることはありません。

それは適切な理解ですか？一部のマシンではcaplen>lenを使用しています

マシンから送信されるパケットをキャプチャしたいのですが、同じために libpcap (バージョン 1.0.0-1) を使用しています。問題は、このような基本的なプログラム -

無線インターフェースが表示されないようです。プログラムをコンパイルして実行するたびに、eth0 が検出されます。ワイヤレス インターフェイスもキャプチャするにはどうすればよいですか?

Diffie Hellman 暗号化を使用する SSH .pcap ファイルを復号化するにはどうすればよいですか。公開鍵と秘密鍵を使用。

Wireshark を試していますが、うまくいきません。

pcap_compile()文字列を構造体の形式でフィルター プログラムにコンパイルしますbpf_program。理論的には、コンパイル済みのプログラムを保存しpcap_setfilter()て、別のネットワーク インターフェイスや別のマシンに提供することもできます。

それはうまくいきますか？フォームはbpf_program異なるインターフェイス間で移植可能ですか? 異なるプロセス？異なるアーキテクチャ？それとも、使用するたびに式をコンパイルするのが最も安全ですか?

の存在に基づいて、pcap_open_dead()ある程度移植可能であると思いますが、安全なものとそうでないものは、ドキュメントのどこにも明記されていないようです。