这一节主要介绍如何获设置捕获过滤,这里的过滤是指在捕获前过滤
设置捕获过滤主要是在CFilterDlg中完成,也就是对应之前创建的设置过滤规则对话框,如图:
首先要根据用户的选择来生成一个合法的过滤规则字符串,根据WinPcap的要求,合法的过滤规则可以是如下几种:
1) 表达式支持逻辑操作符,可以使用关键字 and、or、not对子表达式进行组合,同时支持使用小括号。
2) 基于协议的过滤要使用协议限定符,协议限定符可以为ip、arp、rarp、tcp、udp等。
3) 基于MAC地址的过滤要使用限定符ether(代表以太网地址)、当该MAC地址仅作为源地址时表达式为ether src mac_addr,仅作为目的地址时,表达式为ether dst mac_addr,既作为源地址又作为目的地址时的表达式为ether host mac_addr。此外应注意mac_addr应该遵从00:E0:4C:E0:38:88的格式,否则编译过滤器时会出错。
4) 基于IP地址的过滤应该使用限定符host(代表主机地址)。当该IP地址仅作为源地址时过滤表达式应为 src host ip_addr,仅作为目的地址时的表达式为 dst host ip_addr,既作为源地址又作为目的地址时表达式为 host ip_addr。
5) 基于端口的过滤应使用限定符 port。例如仅接收80端口的数据包则表达式为port 80。
下边给出两个例子:
例1:只捕获arp或icmp数据包。
过滤表达式:arp or (ip and icmp)
例2:捕获主机192.168.1.23与192.168.1.28之间传递的所有UDP数据包。
过滤表达式:(ip and udp)and( host 192.168.1.23 or host 192.168.1.28)
这样可以用以下代码来生成一个合法的过滤规则:首先生成一个点击确定的触发函数,之后添加如下代码
1 void CFilterDlg::OnBnClickedOk()
2 {
3 // TODO: 在此添加控件通知处理程序代码
4 if (1 == m_tcp.GetCheck())
5 {
6 filtername += _T("(tcp and ip) or ");
7 }
8 if (1 == m_udp.GetCheck())
9 {
10 filtername += _T("(udp and ip) or ");
11 }
12 if (1 == m_arp.GetCheck())
13 {
14 filtername += _T("arp or ");
15 }
16 if (1 == m_rarp.GetCheck())
17 {
18 filtername += _T("rarp or ");
19 }
20 if (1 == m_icmp.GetCheck())
21 {
22 filtername += _T("(icmp and ip) or ");
23 }
24 if (1 == m_igmp.GetCheck())
25 {
26 filtername += _T("(igmp and ip) or ");
27 }
28
29 filtername = filtername.Left(filtername.GetLength()-4); //注意去掉最后多余的" or ",否则过滤规则不成立
30
31 CDialogEx::OnOK();
32
33 }
这里想补充一点关于单选框和复选框的判断是否选择的问题
判断按钮是否选中:
复选:1 == m_tcp.GetCheck()
单选和复选:不能用GetCheck()可以用通用的if (((CButton *)GetDlgItem(IDC_RADIO1))->GetCheck())用按钮ID来选择
在默认设置时两者也有区别:
复选:m_tcp.SetCheck(1)
单选和复选:CheckDlgButton(IDC_RADIO1, 1)
也就是说复选和单选都可以通过按钮的ID来设置,而复选又多了自己的一个专门函数用来设置。
回到程序,在生成一段合法的字符串后将filtername返回给主窗口,设置和编译过滤规则的函数也在主窗口中处理,这些内容在下一节介绍吧
下一节 MFC+WinPcap编写一个嗅探器之六(分析模块)