问题标签 [pcap]

假设我们使用 libpcap 的 C API 捕获数据包。使用字符串搜索 strstr() 以线速（例如 Mbps/Gbps）解析一些有效负载字符串是否有效？例如 strstr(payload,"User-Agent");

使用正则表达式模式匹配库（例如 libpcre）会更有效吗？

如果我们只想对 HTTP 标头参数执行此操作，是否有任何 C API？我不清楚 libcurl 是否可以做到这一点......提前谢谢你。

我正在尝试以 libpcap 格式保存该文件的输出，尽管该文件确实被保存并且正确的数据被写入其中，但 Wireshark 无法打开它。有人看到我在这里缺少什么吗？谢谢。

想知道你们中的任何人都可以给我一些评论+见解。在性能方面，我应该使用哪一个，jNetPcap 还是 Jpcap？

谢谢！

我正在寻找 Notepad++ 在 Linux 文本编辑器中具有的非常具体的功能。

如果您用于tcpdump -x获取网络流量的十六进制转储，Notepad++ 允许您通过 -mouse-select 轻松剥离左十六进制Alt，然后Delete. 一些简短的替换空格和换行符可以让你改变它：

...进入这个，更具可读性：

那么，有没有人知道可以轻松剪切此类数据的 Linux 文本编辑器？

我有一个用 Wireshark 捕获的 pcap。Wireshark 中是否有任何功能可以从结果中剥离以太网层？或者任何命令行工具来做到这一点？

我正在研究网络流量特征。在处理收集的数据（由 tcpdump 捕获并保存到数据库中）时，我偶然发现了数据包（或流）到达间隔时间的奇怪现象：

从未观察到 35-170 微秒的到达间隔时间

当然，如果没有 DAG 卡（它会对数据包进行硬件时间戳），我就不能依赖低于毫秒的尺寸精度。尽管如此，我正在寻找一个原因，为什么在以下累积分布函数中存在这种差距：

我还绘制了使用特定 IAT 看到的流数：

我的数据基础包含 >13 个 Mio 流，因此这种差距不太可能是偶然存在的——我只是在寻找原因。

有没有。与调度有关？ 我知道 linux 内核调度程序（是一个 debian 机器）使用 250Hz 的频率，因此每个滴答声是 4ms，这比我的 35-170µsec 的间隔要大 > 200。网卡是否有任何调度？有很多0µsec 的 IAT，所以我假设这些数据包是在彼此之后直接处理的。我可以想象我正在搜索的调度程序滴答时间约为 40 微秒，导致 IAT 为 0<x<40 微秒，然后完成捕获以外的其他事情（对于 120 微秒 = 3 滴答声），我只得到 > 120 微秒的滴答声。

你有一个线索，我怎么能解释这个差距？非常感谢！史蒂芬

我想在 CentOS 5.5 机器上安装和使用最新版本（1.1.1）的 libpcap。我通过以下方式配置、编译和安装了新的 libpcap 库：

但是当我尝试与 libpcap 共享库链接（使用-lpcap链接器标志）时，我的应用程序链接到旧版本的 libpcap 库（使用pcap_lib_version()API 调用验证。

为了与新的 libpcap 库链接，我需要做什么？

提前致谢

我正在尝试使用 libpcap 编写一个简单的数据包嗅探器。当我捕获数据包时，我尝试做的第一件事是识别使用的数据链路协议并找到该协议的标头大小以找到 ip 数据包。问题是，有时 libpcap 作为数据链路层协议返回 LINUX_SLL，它被描述为“Linux 熟”，有人知道该协议的标头格式吗？或者至少是标题的大小。

非常感谢乔治

您好，我尝试使用 PcapDotNet dll，但无法添加对我的项目的引用。它是哪个dll并不重要。PcapDotNet.Core.dll、PcapDotNet.Base.dll 等。我在此参考附近有黄色感叹号，无法使用此 dll 中的任何方法。Ofc“使用 PcapDotNet.Core；” 也带有下划线，编译器向我显示：“名称空间'PcapDotNet'中不存在类型或名称空间名称'Core'（您是否缺少程序集引用？）”我可以正常添加不同的dll。

有任何想法吗？

我的应用程序在 CentOS 5.5 上运行我需要使用 libpcap API 发送原始数据包：

到特定的 IP 地址 如何确定 MAC 地址属于特定目标？