Windows网络编程 教学课件 作者 罗莉琴 詹祖桥 第9章.pptVIP

9.3.6 过滤数据包 1．pcap_compile()函数 2．pcap_setfilter()函数 1．pcap_compile()函数 pcap_compile()函数将一个高层的布尔过滤表达式编译成一个能够被过滤引擎所解释的低层字节码，函数原型如下： ? int pcap_compile(pcap_t* p, struct bpf_program* fp, char* str, int optimize, bpf_u_int32 netmask); 参数说明 p，指定一个打开的WinPcap会话，并在该会话中采集数据包。调用pcap_open()函数打开与网络适配器绑定的设备，可以返回WinPcap会话句柄pcap_t。 fp，指向bpf_program结构体的指针，在调用pcap_compile()函数时被赋值，可以为pcap_setfilter()传递过滤信息。 str，指定要保留的数据包协议的字符串，例如，设置该参数为ip and tcp表示保留IP数据包和TCP数据包。 optimize，用于控制结果代码的优化。 netmask，指定本地网络的子网掩码。 如果发生错误，则返回-1；否则返回0。 2．pcap_setfilter()函数 pcap_setfilter()函数将一个过滤器与内核捕获会话向关联。当pcap_setfilter()被调用时，这个过滤器将被应用到来自网络的所有数据包，并且所有符合要求的数据包（即那些经过过滤器以后，布尔表达式为真的包）将会立即复制给应用程序。函数原型如下： ? int pcap_setfilter(pcap_t *p, struct bpf_program *fp) ? 参数说明如下： p，指定一个打开的WinPcap会话，并在该会话中采集数据包。调用pcap_open()函数打开与网络适配器绑定的设备，可以返回WinPcap会话句柄pcap_t。 fp，指向bpf_program结构体的指针，通常取自pcap_compile()函数调用，可以为pcap_setfilter()传递过滤信息。 如果发生错误，则返回-1；否则返回0。 过滤数据包的代码片段 if (d-addresses != NULL) /* 获取接口第一个地址的掩码 */ netmask=((struct sockaddr_in *)(d-addresses-netmask))-sin_addr.S_un.S_addr; else /* 如果这个接口没有地址，那么我们假设这个接口在C类网络中 */ netmask=0xffffff; // 编译过滤器 if (pcap_compile(adhandle, fcode, ip and tcp, 1, netmask) 0) { fprintf(stderr,\nUnable to compile the packet filter. Check the syntax.\n); /* 释放设备列表 */ pcap_freealldevs(alldevs); return -1; } // 设置过滤器 if (pcap_setfilter(adhandle, fcode) 0) { fprintf(stderr,\nError setting the filter.\n); /* 释放设备列表 */ pcap_freealldevs(alldevs); return -1; } 9.3.7 分析数据包 【例9.5】通过实例演示如何对捕获到的数据包首部进行解析，并打印网络中传输的UDP数据包信息。项目的名称为UDPdump。 1．头文件 2．ip_address结构体 3．ip_header结构体 4．udp_header结构体 5．回调函数 6．主函数 1．头文件 #include stdafx.h #include pcap.h #include remote-ext.h 2．ip_address结构体 ip_address结构体用于保存4个字节的IP地址，代码如下： ? typedef struct ip_address{ u_char byte1; u_char byte2; u_char byte3; u_char byte4; }ip_address; 3．ip_header结构体 ip_header结构体中保存IPv4的首部，代码如下：? typedef struct ip_header{ u_ch