Perl 网络帧/数据包解析器

Question

我正在编写一个小型嗅探器作为个人项目的一部分。我正在使用 Net::Pcap （真的很棒的工具）。

在数据包处理循环中，我使用出色的 Net::Frame 来解压所有标头并获取数据。我开始担心这可能不是非常有效（Net::Frame 很棒，但似乎超出了我这个项目的需要）。

另外，我不喜欢对于某些 Debian 系统，我必须手动编译 libdumbnet（官方 apt 存储库中提供的软件包似乎不起作用，Net-Libdnet-0.92 不喜欢它）。

我想要的只是获取 TCP 段内的有效负载。还有其他选择吗？ 谢谢。

PS 如果我只是拿着数据包并在其中搜索某种模式，那真的会很糟糕吗（请阅读“thedailywtf.com 值得”）？

Answer 1

我最近用 C 语言编写了一个 PCAP 转储文件解包器，然后希望我只使用开源库（当我意识到它们存在并且非常易于使用时）。我不得不说，由于它是一种二进制文件格式，因此用 C 语言可能比用 Perl 更容易实现，但毫无疑问我会受到所有 Perl 狂热分子的嘘声。

我要说的是，使用现有代码比自己编码要快，但如果您真的想要，文件格式可以在线免费获得，而且非常简单。

至于寻找模式，几乎肯定是行不通的。它是一种二进制文件格式，数据包可以分段和/或重复，因此了解消息开始和结束位置的唯一可靠方法是解包标头、检查数据包标志、读取内容长度字段等。进行模式搜索可能在 90% 的情况下有效，但在某些时候您会发现数据包捕获日志，这意味着您需要更改代码。然后过了一会儿，发现另一个数据包，这意味着另一个变化，依此类推。