Winpcap 用 2 个不同的过滤器监听设备

Question

是否可以监听具有 2 个不同过滤器的设备并捕获数据包？例如，我开始监听带有过滤器的设备并将数据包转储到 pcap 文件，15 分钟后我可以在同一设备上使用不同的过滤器启动另一个监听并将数据包转储到另一个 pcap 文件而不停止旧的文件吗？

pcap_open 或 pcap_next_ex 是否会阻止传入数据包？我的意思是，如果一个数据包在从两个不同线程侦听时到达，其中一个线程将获取该数据包并控制它以进行过滤，另一个线程可以访问该数据包吗？

我希望我对英语不好表示抱歉。

Answer 1

我可以使用不同的过滤器在同一设备上启动另一个监听并将数据包转储到另一个 pcap >文件而不停止旧的？

是的。尽管如此，您最好在不同的线程/进程中启动该侦听器来处理它。

pcap_open 或 pcap_next_ex 是否会阻止传入数据包？

事实并非如此。如果某一部分（您或操作系统）无法跟上传入数据包，它会将数据包丢弃到您的 pcap 侦听器。

pcap 还会复制数据包（至少是 *nix pcap，假设 winpcap 工作原理相同），因此如果您有多个 pcap 监听器，过滤相同的数据包，它们都会获得一份副本。

Answer 2

对于您获得的每个打开设备句柄，您都有一个单独的过滤器和数据包缓冲区。
说句柄“A”和句柄“B”
现在假设两个句柄位于同一网络设备上。

现在假设网络设备收到 4 个数据包。

每个数据包到达硬件驱动程序，然后到达 winpcap。
此时，winpcap 一次应用一个句柄过滤器。
如果匹配，数据包将被复制到处理数据包缓冲区。
处理完所有句柄后，数据包将被移交给操作系统。

pcap_open 或 pcap_next_ex 是否会阻止传入数据包？不。

事实上，操作系统很可能会在您的应用程序处理数据包之前看到该数据包。
我可能是错的，但我不认为 winpcap 有任何阻止数据包的标准方法。