фильтрация пакетов с определенного ip с помощью perl и Net::Pcap и Net::PcapUtils

Я пытался написать скрипт, который отфильтровывает пакеты с устройства и с определенного IP-адреса через это устройство.

Я хочу, чтобы данные были похожи на вывод, который я получаю от wireshark, когда вы выбираете конкретное устройство и используете ip.src==xx.xx.xx.xx

моя программа пока такая

    #!/usr/bin/perl -w
my $interface='eth1';

sub process_pkt #Packet processing routine 
{
 my ($user_data,$header, $packet) = @_;
 my $minipacket = substr($packet,0,54); 
 print ("\n## raw: ###\n");
 print ($minipacket);
print ("\n==Byte# / Hex / Dec / Bin==\n");
 for ($i=0;$i<55;$i++)
 {
 $hexval = unpack('H2',substr($packet,$i,1)); 
 $decval = hex(unpack('H2',substr($packet,$i,1)));
 printf ("%03s-%02s-%03s-%08b\n", $i, $hexval, $decval, $decval);
 }
}
# ###################################################################### 

# Here we are invoking the NetPcap module and looping through forever.
Net::PcapUtils::loop(\&process_pkt, 
 SNAPLEN => 65536, #Size of data to get from packet
 PROMISC => 1, #Put in promiscuous mode
FILTER => 'tcp', #only pass TCP packets
 DEV => $interface, );

и я получаю вывод output

теперь я хочу отфильтровать пакеты, полученные на устройстве eth1 и с исходного IP-адреса xx.xx.xx.xx, можем ли мы использовать параметр фильтра в Net::PcapUtils::loop для выполнения тот? а затем мне нужны пакеты данных длины xx ... я пытался просмотреть документацию на cpan.org, но все, что я нашел, это доступные параметры ... я не смог найти никаких примеров ...

может кто-нибудь, пожалуйста, помогите мне?

улучшения:

могу ли я использовать что-то вроде

FILTER => 'ip src xx.xx.xx.xx'

после

FILTER => 'tcp'

строка в коде? и могу ли я как-то включить длину данных пакета, чтобы отфильтровать пакеты с длиной данных = 86?

Альтернативная программа, которую я использую для получения полезной нагрузки пакета:

#!/usr/bin/perl -w
# #########################
#
use Net::PcapUtils;
use NetPacket::Ethernet qw(:strip);
use NetPacket::IP;
use NetPacket::TCP;
use NetPacket::IP qw(:strip);

my $interface= 'eth1';
my $snaplen= 65536;
my $filter='tcp';
my $promisc = 1;
my $timeout = 10000 ;
my $err;

sub process_pkt
{
    my ($user_data,$header,$packet) = @_;

$ip= NetPacket::IP->decode(eth_strip($packet));
    $tcp= NetPacket::TCP->decode($ip->{data});
    $payload = $tcp->{data};
    print ("payload: \n ".$payload." \n----end-----\n");
    for($i=0;$i<55;$i++){   
    $hexval = unpack('H2',substr($payload,$i,1));
    open (MYFILE, '>>perldata1.txt');
    print MYFILE ($i." :hex: ". $hexval."\n");
    close (MYFILE);
    }
}

Net::PcapUtils::loop(\&process_pkt,
            SNAPLEN => 65536,
            PROMISC => 1,
            FILTER => 'tcp',
            FILTER => 'ip src 129.7.236.40',
            DEV => $interface, );

но я до сих пор не могу понять, как получить длину поля данных. :( Спасибо.

pcap packet-capture perl

Kiran Vemuri 09.05.2013 источник

Ответы (1)

arrow_upward
0
arrow_downward

#!/usr/bin/perl -w
# #########################
#
use Net::PcapUtils;
use NetPacket::Ethernet qw(:strip);
use NetPacket::IP;
use NetPacket::TCP;
use NetPacket::IP qw(:strip);
use strict;
use Data::Dumper;
#use warnings;

my $interface= 'eth1';
my $snaplen= 65536;
my $filter='tcp';
my $promisc = 1;
my $timeout = 10000 ;
my $err;
my @array;
sub process_pkt
{
    my ($user_data,$header,$packet) = @_;

my $ip= NetPacket::IP->decode(eth_strip($packet));
    my $tcp= NetPacket::TCP->decode($ip->{data});
    my $payload = $tcp->{data}; 
    if(length($payload)==32)
    {
    for(my $decode=0;$decode<32;$decode++)
    {   
    $array[$decode] = unpack('H2',substr($payload,$decode,1));
    }
    my $length= scalar(@array);
    open (MYFILE, '>doorstatus.tab');
    if($array[22] eq '0c')
        {
            print MYFILE ( " Decision: Granted\n");
        }
    elsif($array[22] eq '04')
    {
    print MYFILE ("Decision: Denied\n");
    }
    elsif($array[22] eq '0d')
    {
    print MYFILE ("Decision: Locked\n");
    }
    else
    {
    print MYFILE ("Decision: unknown \n");
    }

    #print MYFILE ( " Data: \n".Dumper(\@array)." \n");

    close (MYFILE);
    }
}

Net::PcapUtils::loop(\&process_pkt,
            SNAPLEN => 65536,
            PROMISC => 1,
            FILTER => 'tcp',
            FILTER => 'ip src xx.xx.xx.xx',
            DEV => $interface, );

Код фильтрует данные, поступающие из определенного источника, в массив, и вы можете делать с ним что угодно,

Kiran Vemuri 20.05.2013

фильтрация пакетов с определенного ip с помощью perl и Net::Pcap и Net::PcapUtils

Ответы (1)

Вопросы по теме