摘要： 注意：这篇文档取自tcpdump的指南。原始的版本www.tcpdump.org找到。wpcap的过滤器是以已声明的谓词语法为基础的。过滤器是一个ASCII字符串，它包含了一个过滤表达式。pcap_compile()把这个表达式编译成内核级的包过滤器。这个表达式会选择那些数据包将会被堆存。如果表达式没有给出，那么，网络上所有的包都会被内核过滤引擎所认可。不然，只有那些表达式为'true'的包才会被认可。这个表达式包含了一个或多个原语。原语通常包含了id(名字或序列)，这些id优先于限定词。以下是三种不同的限定词：输入(type)指明了哪些东西是id所代表的。可能的输入是host 阅读全文

摘要： http://www.oschina.net/p/pypcapEthereal 自带许多协议的 decoder,简单,易用,基于winpcap的一个开源的软件.但是它的架构并不灵活,如何你要加入一个自己定义的的解码器,得去修改 Ethereal的代码,再重新编译,很烦琐.对于一般的明文 协议,没有什么问题,但是对于加密协议,比如网络游戏,客户端程序一般会在刚连接上的时候,发送一个随机密钥,而后的报文都会用这个密钥进行加密,如此. 要想破解,得要有一个可编程的抓包器.libpcap是一个不错的选择,但是对于抓包这样需要反复进行”试 验->修改”这个过程的操作,c 语言显然不是明智的选择.P 阅读全文

摘要： import pcap, dpkt, structimport binasciidef main(): a = pcap.pcap() a.setfilter('udp portrange 4000-4050') try: for i,pdata in a: p=dpkt.ethernet.Ethernet(pdata) src='%d.%d.%d.%d' % tuple(map(ord,list(p.data.src))) dst='%d.%d.%d.%d' % tuple(map(ord,li... 阅读全文