libpcap设置过滤器

libpcap是一个用于捕获网络数据包的库，它提供了一组函数和工具，可以用于编写网络数据包捕获程序。设置过滤器是libpcap中的一个重要功能，它允许我们根据特定的条件过滤出我们感兴趣的数据包。

在libpcap中，设置过滤器需要使用BPF（Berkeley Packet Filter）语法。BPF语法允许我们定义一系列规则，用于匹配和过滤数据包。以下是设置过滤器的一般步骤：

1. 打开网络设备或者读取一个保存的数据包文件。
2. 编译过滤器表达式。可以使用`pcap_compile()`函数来编译过滤器表达式，该函数接受过滤器表达式字符串和一个BPF程序结构体作为参数，并将表达式编译为可执行的BPF程序。
3. 设置过滤器。使用`pcap_setfilter()`函数将编译后的BPF程序应用到网络设备或者数据包文件上，以过滤出符合条件的数据包。
4. 开始捕获数据包。使用`pcap_loop()`或者`pcap_next()`等函数开始捕获和处理数据包。

下面是一个简单的示例代码，演示了如何使用libpcap设置过滤器：

#include <stdio.h>
#include <pcap.h>

void packet_handler(u_char *user_data, const struct pcap_pkthdr *pkthdr, const u_char *packet) {
    // 处理数据包
}

int main() {
    pcap_t *handle;
    char errbuf[PCAP_ERRBUF_SIZE];
    struct bpf_program fp;
    char filter_exp[] = "port 80";  // 过滤HTTP流量

    // 打开网络设备
    handle = pcap_open_live("eth0", BUFSIZ, 1, 1000, errbuf);
    if (handle == NULL) {
        printf("Error opening device: %s\n", errbuf);
        return 1;
    }

    // 编译过滤器表达式
    if (pcap_compile(handle, &fp, filter_exp, 0, PCAP_NETMASK_UNKNOWN) == -1) {
        printf("Error compiling filter expression: %s\n", pcap_geterr(handle));
        return 1;
    }

    // 设置过滤器
    if (pcap_setfilter(handle, &fp) == -1) {
        printf("Error setting filter: %s\n", pcap_geterr(handle));
        return 1;
    }

    // 开始捕获数据包
    pcap_loop(handle, 0, packet_handler, NULL);

    // 关闭网络设备
    pcap_close(handle);

    return 0;
}

在上面的示例中，我们使用了过滤器表达式`"port 80"`来过滤出HTTP流量。你可以根据自己的需求修改过滤器表达式，以匹配不同的条件。