Yas*_*ser 6 network-programming packet-capture tcpdump libpcap
我想要一个接口出站流量的源 IP 地址列表。如何使用 libpcap 找到数据包的方向(无论是入站还是出站读取流量)?我不知道双方的子网信息。而且两边都有客户端/服务器,所以我不能依赖端口号范围来过滤流量。
为什么 libpcap 数据包头中没有有关方向的信息,或者像pcap-filterinbound中那样的过滤器选项?
PCAP 文件格式不包含保存捕获期间使用的接口的字段。尽管如此,Wireshark 和 Tshark 当前使用的较新的 PCAP-NG 文件格式支持它以及数据包方向。
现有的 pcap-ng 功能:
听起来您是从路由器或防火墙捕获的,所以类似以下的内容将不起作用。
源IP 192.168.1.1
将流量捕获到流中可能是一种选择,但它仍然不会为您提供方向信息。不过,您将能够轻松确定源地址和目标地址。如果您有现有的 pcap,可以将其转换为 ARGUS 格式:
argus -r capture.pcap -w capture.argus
ra -nnr capture.argus
其他可以轻松获取端点/主机的工具(一些带有示例)是:
ntop -f capture.pcap
tcpprof -nr capture.pcap
Wireshark端点
流程工具
你必须解析出你想要的信息,但我不认为这太麻烦。如果您无法使用此功能,我建议您查看 PCAP-NG。
| 归档时间: |
|
| 查看次数: |
4545 次 |
| 最近记录: |