MFC+WinPcap编写一个嗅探器之五（过滤模块）

这一节主要介绍如何获设置捕获过滤，这里的过滤是指在捕获前过滤

设置捕获过滤主要是在CFilterDlg中完成，也就是对应之前创建的设置过滤规则对话框，如图：

首先要根据用户的选择来生成一个合法的过滤规则字符串，根据WinPcap的要求，合法的过滤规则可以是如下几种：

1) 表达式支持逻辑操作符，可以使用关键字 and、or、not对子表达式进行组合，同时支持使用小括号。
2) 基于协议的过滤要使用协议限定符，协议限定符可以为ip、arp、rarp、tcp、udp等。
3) 基于MAC地址的过滤要使用限定符ether（代表以太网地址）、当该MAC地址仅作为源地址时表达式为ether src mac_addr，仅作为目的地址时，表达式为ether dst mac_addr，既作为源地址又作为目的地址时的表达式为ether host mac_addr。此外应注意mac_addr应该遵从00:E0:4C:E0:38:88的格式，否则编译过滤器时会出错。
4) 基于IP地址的过滤应该使用限定符host（代表主机地址）。当该IP地址仅作为源地址时过滤表达式应为 src host ip_addr，仅作为目的地址时的表达式为 dst host ip_addr，既作为源地址又作为目的地址时表达式为 host ip_addr。
5) 基于端口的过滤应使用限定符 port。例如仅接收80端口的数据包则表达式为port 80。

下边给出两个例子：
例1：只捕获arp或icmp数据包。
过滤表达式：arp or （ip and icmp）
例2：捕获主机192.168.1.23与192.168.1.28之间传递的所有UDP数据包。
过滤表达式：（ip and udp）and（ host 192.168.1.23 or host 192.168.1.28）

这样可以用以下代码来生成一个合法的过滤规则：首先生成一个点击确定的触发函数，之后添加如下代码

 void CFilterDlg::OnBnClickedOk()
 {
     // TODO: 在此添加控件通知处理程序代码
     if ( == m_tcp.GetCheck())
     {
         filtername += _T("(tcp and ip) or ");
     }
     if ( == m_udp.GetCheck())
     {
         filtername += _T("(udp and ip) or ");
     }
     if ( == m_arp.GetCheck())
     {
         filtername += _T("arp or ");
     }
     if ( == m_rarp.GetCheck())
     {
         filtername += _T("rarp or ");
     }
     if ( == m_icmp.GetCheck())
     {
         filtername += _T("(icmp and ip) or ");
     }
     if ( == m_igmp.GetCheck())
     {
         filtername += _T("(igmp and ip) or ");
     }  

     filtername = filtername.Left(filtername.GetLength()-);  //注意去掉最后多余的" or ",否则过滤规则不成立

     CDialogEx::OnOK();

 }

这里想补充一点关于单选框和复选框的判断是否选择的问题

判断按钮是否选中:

复选：1 == m_tcp.GetCheck()

单选和复选：不能用GetCheck()可以用通用的if (((CButton *)GetDlgItem(IDC_RADIO1))->GetCheck())用按钮ID来选择

在默认设置时两者也有区别:

复选：m_tcp.SetCheck(1)

单选和复选：CheckDlgButton(IDC_RADIO1, 1)

也就是说复选和单选都可以通过按钮的ID来设置，而复选又多了自己的一个专门函数用来设置。

回到程序，在生成一段合法的字符串后将filtername返回给主窗口，设置和编译过滤规则的函数也在主窗口中处理，这些内容在下一节介绍吧

下一节 MFC+WinPcap编写一个嗅探器之六（分析模块）