在分析一个基于libnids(它基于libpcap抓包)的程序时,遇到一个问题,于是用一个input.pcap文件作为输入进行调试,
由于应用程序内部使用nids_params.filter进行了过滤(来提高性能),结果导致应用程序没有从input.pcap读入一个包,全部被屏蔽掉了。
(这里绝不是过滤规则的作用)
假定input.pcap有10.10.10.10主机的数据包!
使用
tcpdump -r input.pcap host 10.10.10.10
并没有得到期望的数据包,感觉这是tcpdump的局限,用如下方法
tshark -2 -r input.pcap -R "host 10.10.10.10" -w output.pcap
能够得到过滤数据包.
最后注释掉nids_params.filter,才能通过pcap文件正常调试。
-BPF
有两种过滤规则 Capture Filters和Display Filters
Capture菜单下设置Display Filters 捕获后过滤,便于分析,一般位于工具栏下方
tcpdump
tshark