0

对不起,如果这是一个蹩脚的问题。我是tcpdump和 pcap 的新手。我正在使用 pcap 静态库来开发和应用程序来侦听指定端口上的 TCP 数据。我建立了一个小型原型,它在嗅探通过端口 80(HTTP 的默认值)发送的 tcp 数据包时运行良好。但是,我想查看进出端口 5984 的 HTTP 数据包(这是 CouchDB 使用的默认端口)。由于某种原因,我的应用程序没有注意到/嗅探/看到此端口上的任何数据包。由于我不是经验丰富的网络开发人员,我可能缺少一些基本的东西。

我不想在此处粘贴整个应用程序,但我可以添加查找问题所需的任何代码。请告诉我。

这是我的 pcap 过滤器表达式:

 char filter_exp[] = "tcp port 5984";/* The filter expression */

过滤器编译并在 pcap 会话上设置没有问题。会话设置为在混杂模式下运行。

    //get a pcap session
    //args device, # of packets to capture, promisc mode, timeout, err buff
    handle = pcap_open_live(dev, BUFSIZ, 1, 1000, errbuf);
    if (handle == NULL) {
        fprintf(stderr, "Couldn't open device %s: %s\n", dev, errbuf);
        return(2);

     //compile our filter
    if (pcap_compile(handle, &fp, filter_exp, 0, net) == -1) {
        fprintf(stderr, "Couldn't parse filter %s: %s\n", filter_exp, pcap_geterr(handle));
        return(2);
    }
    //set the filter
    if (pcap_setfilter(handle, &fp) == -1) {
        fprintf(stderr, "Couldn't install filter %s: %s\n", filter_exp, pcap_geterr(handle));
        return(2);
    }
    
    //begin sniffing packets. cnt -1: keep sniffing until err occurs
    //last arg is optional. It can be used to pass additonal information to callback
    pcap_loop(handle, -1, got_packet, NULL);

'got_packet' 是我的回调函数。使用相同的过滤器多次调用此方法,但使用端口 80 代替 5984。

使用卷曲我试过:$ curl http://localhost:5984/test

只是为了它,我尝试使用环回:$ curl http://127.0.0.1:5984/test

我的 pcap 应用程序都没有注意到这些。但是,如果我将过滤器更改为侦听端口 80 并执行 $curl http://www.google.com

我可以看到数据包通过。我忽略或不理解什么?

非常感谢!

-缺口

4

1 回答 1

2

如果数据包从您的 Mac 发送到同一台 Mac - 例如,如果您正在与“localhost”或 127.0.0.1(它们是同一件事 - “localhost”解析为 127.0.0.1)进行通信,则捕获 on lo0,而不是在en0en1。到 127.0.0.1 的流量不会在任何真实网络上发送,它会在内部环回您的计算机,因此您必须查看“环回”网络和“环回”接口。

(类似的答案适用于其他 UN*X,除了在 Linux 上,环回接口被称为 just lo, not lo0。Windows 上没有等价物,在某些版本的 UN*X 上,例如 Solaris 10 和更早版本,你不能在环回接口上捕获。)

于 2013-06-15T23:38:26.843 回答