我正在修改 tcpdump 以动态更改它用来获取输出的过滤器。
目前 tcpdump 使用 pcap_set_filter 实际为用户感兴趣的传入数据包或传出数据包准备过滤器,(pcap_compile 这样做吗?我不太确定),是否有可能从tcpdump 动态更改过滤器?从某种意义上说,我想过滤我的 MAC 地址上的数据包,并且由于某些原因我动态更改了 mac,现在我的 mac 更改了,反过来我应该通知 tcpdump 更改新 mac 上的过滤器,我该怎么做?
【问题讨论】:
标签: libpcap packet-capture tcpdump
是否可以从 tcpdump 动态更改过滤器?
是的,它可以调用pcap_setfilter(),使用新过滤器(由pcap_compile() 编译自过滤器表达式),在它打开的pcap_t 上,将过滤器设置为新值。
但是,这将导致已捕获但未被 tcpdump 读取的流量被丢弃。 libpcap 中没有防止这种情况发生的机制。
从某种意义上说,我想过滤我的 MAC 地址上的数据包,并且由于某些原因我动态更改了 mac,现在我的 mac 更改了,反过来我应该通知 tcpdump 更改新 mac 上的过滤器,我该怎么做?
您不仅需要修改 tcpdump 以在捕获流量时调用 pcap_compile() 和 pcap_setfilter(),还必须修改它以接收来自某个来源的消息,告诉它更改过滤器并指定应该是新的过滤器,并安排在 MAC 地址更改时将该消息发送给它。
【讨论】: