0

我正在尝试使用SharpPcap从 .cap 文件中离线捕获数据包。我打算基于过滤器捕获这些数据包。

以下是我的代码片段。

    private static void device_PcapOnPacketArrival(object sender, CaptureEventArgs e)
    {            
        System.Console.WriteLine(e.Packet.LinkLayerType);
    }

    static void ParseLogFile(string l_FileName)
    {
        CaptureFileReaderDevice l_Parser = new CaptureFileReaderDevice(l_FileName);

        l_Parser.Open();
        string l_filter = "tcp";
        string ErrMsg;
        PcapDevice.CheckFilter(l_filter, out ErrMsg);
        l_Parser.Filter = l_filter;
        System.Console.WriteLine("ErrMsg: " + ErrMsg);

        //l_Parser.OnPacketArrival += device_PcapOnPacketArrival;
        //l_Parser.Capture();

        SharpPcap.RawCapture pac;
        while ((pac = l_Parser.GetNextPacket()) != null)
        {
            //Prints the time and length of each received packet
            System.Console.WriteLine(BitConverter.ToString(pac.Data));
        }
        l_Parser.Close();
    }


    public static void Main() {

        ParseLogFile(@"Sample.cap");
        System.Console.WriteLine("THE END");

    }

当我将过滤器设置为“tcp”时,我看不到控制台上记录了任何帧,但我可以在 wireshark 上看到它们。 WireShark 显示器 带有 tcp 过滤器的控制台输出

相反,如果我将过滤器设置为“”,我可以在控制台上看到 .cap 文件中的所有帧。 无过滤器的控制台输出

离线模式是否支持包过滤?如果支持,那么我的过滤器有什么问题吗?

4

1 回答 1

0

发现问题。过滤时必须考虑vlan。当我使用“vlan and tcp”而不是“tcp”时它可以工作。更多信息可以在这里找到http://www.christian-rossow.de/articles/tcpdump_filter_mixed_tagged_and_untagged_VLAN_traffic.php

于 2017-07-17T13:25:21.580 回答