我需要做一个关于分析一些数据包的作业。
我发现 BPF 过滤对我的作业来说是一件好事,我想过滤所有具有以特定字符串(如“Test it”)开头的有效负载的数据包。这些数据包是 TCP、UDP、ICMP 的组合,有些甚至可能没有有效负载。
如何设置过滤器?
问问题
7557 次
1 回答
0
我找到了答案,
http://www.foo.be/cours/dess-20112012/bpf/bpf.pdf
在这个 pdf 中,有一个地方讨论了过滤有效负载的 BPF 语法。以下来自pdf,这样,我们可以使用BPF跳过header
一个例子,你想匹配TCP有效负载中的“GE”字符串:
echo -n "GE" | 十六进制转储-C
00000000 47 45 |GE|
sudo tcpdump -s0 -n -i ath0 "tcp[20:2] = 0x4745"
于 2014-03-26T10:28:08.333 回答