pcap过滤规则

㈠ WinPcap能不能阻断数据包

确实不能阻断数据包，他是用来抓包的。
WinPcap产生的目的，就是为应用程序提供这种访问方式； WinPcap提供了以下功能 ：

捕获原始数据包，无论它是发往某台机器的，还是在其他设备（共享媒介）上进行交换的
在数据包发送给某应用程序前，根据用户指定的规则过滤数据包
将原始数据包通过网络发送出去
收集并统计网络流量信息

所以你只能用WINPCAP进行收发数据包，对你接收到的数据包进行过滤，或者统计你收到的数据包流量。所以你不能阻断数据包的传输，而且他确实是个提取分析用。所以那个人说的很对。就算你筛选了你要收到的数据包，但是那也只是你所编辑的程序只提取你需要的数据包，实际上你相应的网卡上仍然收到了所有的数据包。你可以用WIRESHARK 软件看到。winpcap抓包所能实现的功能基本，都在WIRESHARK上面体现了。都是winpcap还能发送数据包。

当然，如果你是网络高手，你可以根据不同传输协议，搞些MAC或IP欺骗，拦截一些不属于你的数据包，但是这个就不是很容易办到了。

你上面问道如何来丢弃数据包。。是丢弃你要发的数据包？还是丢弃你接收的数据包？
如果是丢弃接收的数据包的话，那就是筛选了过滤了，要用到 pcap_compile() 和 pcap_setfilter() 函数了。
如果是丢弃你要发送的数据包，数据包发送出去后就不收你控制了，你无法丢弃。如果你要编程，你可以进我的网络空间观摩下。

㈡ winPcap 中pcap_compile函数的过滤规则

http://www.winpcap.org/docs/docs_40_2/html/group__wpcapfunc.html
http://www.winpcap.org/docs/docs_40_2/html/group__wpcapfunc.html#
http://stackoverflow.com/questions/11448369/pcap-compile-expression
google一下应该有你要的。

㈢ winpcap 端口问题

你用的是wondow7吗？

㈣ 通过Wireshark抓包生成的PCAP文件，如何使用C#对这些包联合Wireshark的过滤器进行解析

只想看到你设定了过滤条件的包就通过过滤接口设置就可以了,-也可以逐个打开并过滤这些包，并单独存为一个PCAP文件，再用文件“合并”功能把它们放到一个文件里面，这样也很方便。

㈤ 在linux上tshark怎么过滤

抓Mysql包命令如下：
tshark -s 512 -i eth0 -n -f 'tcp dst port 3306' -R 'mysql.query' -T fields -e mysql.query
tshark -s 512 -i em1 -n -f 'tcp dst port 3306' -R 'mysql.query' -T fields -e mysql.query
过滤HTTP请求：
# tshark 'tcp port 80 and (((ip[2:2] - ((ip[0]&0xf)<<2)) - ((tcp[12]&0xf0)>>2)) != 0)' -R 'http.request.method == "GET" || http.request.method == "HEAD"'
输出：
Running as user "root" and group "root". This could be dangerous.
Capturing on eth0
0.000000 123.126.68.27 -> 173.255.196.50 HTTP GET /grep.html HTTP/1.1
12.066470 123.126.68.27 -> 173.255.196.50 HTTP GET /pro_lang.html HTTP/1.1
-s 512 :只抓取前个字节数据
-i eth0 :捕获eth0网卡
-n :禁止网络对象名称解析
-f 'tcp dst port 3306' :只捕捉协议为tcp,目的端口为3306的数据包
-R 'mysql.query' :过滤出mysql.query
-T fields -e mysql.query :打印mysql查询语句

tshark使用-f来指定捕捉包过滤规则，规则与tcpmp一样，可以通过命令man pcap-filter来查得。
tshark使用-R来过滤已捕捉到的包，与界面板wireshark的左上角Filter一致。

㈥ 如何用ffmpeg播放抓包下来的pcap文件，是播放远端视频服务器时抓的UDP包

视频源没问题 也没丢包 那就是解码器的问题

㈦ pcap_next函数之后代码无法执行。代码如下：

nt cnt,pcap_handler callback,u_char *user)
需要编写回调函复数制 回调函数原型pcap_callback(u_char* argument,const struct pcap_pkthdr* packet_header,const u_char* packet_content)
回调函数的参数pcap_content 即是需要的内容
回调函数的参数pcap_pkthdr 是捕获到的数据包基本信息,包括时间,长度等信息
建议你下载pcap的文档看看

㈧ winpcap 为什么能收到所有数据包

WinPcap产生的目的，就是为Win32应用程序提供这种访问方式； WinPcap提供了以下功能 ：

捕获原始数回据包，无论它是答发往某台机器的，还是在其他设备（共享媒介）上进行交换的
在数据包发送给某应用程序前，根据用户指定的规则过滤数据包
将原始数据包通过网络发送出去
收集并统计网络流量信息

所以你只能用WINPCAP进行收发数据包，对你接收到的数据包进行过滤，或者统计你收到的数据包流量。所以你不能阻断数据包的传输，而且他确实是个提取分析用。所以那个人说的很对。就算你筛选了你要收到的数据包，但是那也只是你所编辑的程序只提取你需要的数据包，实际上你相应的网卡上仍然收到了所有的数据包。你可以用WIRESHARK 软件看到。winpcap抓包所能实现的功能基本，都在WIRESHARK上面体现了。都是winpcap还能发送数据包。

㈨ 使用WinPcap BPF规则过滤某一范围的IP地址，该怎么写

#-expressiongoogle一下应该有你要的。

㈩ tcpmp 协议过滤哪些协议

tcpmp 协议过滤抄
作为业界标准的捕获工具，tcpmp提供了强大而又灵活的包过滤功能。作为tcpmp基础的libpcap包捕获引擎支持标准的包过滤规则，如基于5重包头的过滤（如基于源/目的IP地址/端口和IP协议类型）。

tcpmp/libpcap的包过滤规则也支持更多通用分组表达式，在这些表达式中，包中的任意字节范围都可以使用关系或二进制操作符进行检查。对于字节范围表达，你可以使用以下格式：
proto [ expr : size ]

“proto”可以是熟知的协议之一（如ip，arp，tcp，udp，icmp，ipv6），“expr”表示与指定的协议头开头相关的字节偏移量。有我们熟知的直接偏移量如tcpflags，也有取值常量如tcp-syn，tcp-ack或者tcp-fin。“size”是可选的，表示从字节偏移量开始检查的字节数量。
使用这种格式，你可以像下面这样过滤TCP SYN，ACK或FIN包。