問題タブ [pcap]

pcap_compile()文字列を構造体の形式でフィルター プログラムにコンパイルしますbpf_program。理論的には、コンパイル済みのプログラムを保存しpcap_setfilter()て、別のネットワーク インターフェイスや別のマシンに提供することもできます。

それはうまくいきますか？フォームはbpf_program異なるインターフェイス間で移植可能ですか? 異なるプロセス？異なるアーキテクチャ？それとも、使用するたびに式をコンパイルするのが最も安全ですか?

の存在に基づいて、pcap_open_dead()ある程度移植可能であると思いますが、安全なものとそうでないものは、ドキュメントのどこにも明記されていないようです。

一部のネットワーク トラフィックをキャプチャした pcap ファイルがあり、そのパケットを NIC で送信したいと考えています。出来ますか？これを行うアプリケーションはありますか？

キャプチャした IP パケットをファイルに保存するアプリケーションを作成しています。次のパケット キャプチャ形式のうち、ファイル形式として使用するのに適しているのはどれですか? それぞれの詳細については、リンクをクリックしてください。

• スヌープ (rfc1761)

• PCAP

さらに、上記の形式の C# ライブラリはありますか?

ruby 1.9 と最新のgem install pcap修正 + コンパイル ( ->ptr/->lenを_PTR/に変換_LEN) を使用すると、単純なコードを実行した後に次のことがわかりました。

Pcap gem が block を離れないcap.each、つまり出力:

そして、プロセスはによってのみ強制終了できますkill -s KILL <process_id>。
これを修正する方法はありますか？

を使用して生成された PS 1.dmp ファイルtcpdump -w 1.dmp。

C で Pcap キャプチャを分析しており、HTTP 応答の Gzip された本文を解凍する必要があります。Wireshark を手動で使用してそれを実行できることはわかっていますが、プログラム内でその場で実行する必要があります。

私の理解では、zlib と RFC を調べる必要があります。しかし、これは小さな分析プログラムなので、簡単な解決策をどこで見つけることができるか知っていますか?

ありがとう

いくつかの pcap ファイルがあり、プロトコルでフィルタリングしたいです。つまり、HTTP プロトコルでフィルタリングしたい場合、HTTP パケット以外はすべて pcap ファイルに残ります。

openDPIというツールがあり、必要なものに最適ですが、Python 言語のラッパーはありません。

私が必要とすることを実行できるpythonモジュールを知っている人はいますか?

ありがとう

編集1：

HTTP フィルタリングは単なる例であり、フィルタリングしたいプロトコルはたくさんあります。

編集2：

Scapy を試しましたが、正しくフィルタリングする方法がわかりません。フィルターは、Berkeley Packet Filter 式のみを受け入れます。つまり、msn、HTTP、または上位層からの別の特定のフィルターを適用できません。誰でも私を助けることができますか？

別の関数に pcap_loop 関数があり、ユーザーが停止するまでパケットをキャプチャします。

パケットがキャプチャされる期間を設定することはできますか? 何かのようなもの：

しかし、これをどこに置くべきかわかりません。これまでに見たすべての例では、ユーザーの介入が必要なシグナルハンドラーで pcap_breakloop を使用していたためです。pcap_loop の実行中に時間条件はどのようにチェックされますか?

ありがとうございました。

よろしく、レイン

WireShark を使用する反復的な手動プロセスを自動化しようとしています。

1) 指定された pcap ファイルをロードする

2) 特定のプロトコルに単純なフィルターを適用する

3) エクスポート ダイアログ ボックスを使用して、表示されたパケットを CSV ファイルにエクスポートします。

4) エクスポート ダイアログ ボックスを使用して、表示されたパケットを XML PDML 形式でエクスポートします。

これは面倒で、ほとんどが自動化されているプロセス (レポートを生成するためのファイルの分析を含む) の途中で人間の関与が必要です。

Wireshark を自動化する方法、またはエクスポートに使用される基礎となるライブラリに何らかの方法でアクセスする方法はありますか?

更新: ここで何人かの人々が指摘したように、TShark が進むべき道であることが判明しました。私が最終的に使用した正確なコマンドラインは次のとおりです。

次に、イベント ベースの XML パーサー (Python の expat) を使用して、生成された 2 GB のファイルを解析します。

セキュリティコースの割り当てとしてスニファを実行する必要があります。私はCとpcapライブラリを使用しています。私はすべてがうまく機能しました（インターネットからコードを取得して変更したため）。しかし、コードについていくつか質問があります。

ihはタイプip_headerであり、現在、パケット内のIPヘッダーを指しています。
ver_ihlIPのバージョンを示します。
私は何であるか理解できません：& 0xf) * 4;

pcapを使用してパケットスニファを作成しています。
私はこのtcp構造を持っています：

シーケンス番号を印刷するにはどうすればよいですか？
htons（sequence_number）を使用する必要がありますか？このように機能していないので！

私の他の質問は、変数宣言の後の数は何ですか？
tcph_hlen：4で4はどういう意味ですか