手写一个Pcap捕包工具及性能优化

最新推荐文章于 2023-05-18 10:52:20 发布
最新推荐文章于 2023-05-18 10:52:20 发布
阅读量2k 收藏 5
点赞数
分类专栏: DPDK Linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/NachtZ/article/details/72789806
版权
本文介绍了手写Pcap捕包工具的背景,详细解析了pcap文件格式,讨论了64位系统中潜在的字段错误问题,并提出了两种性能优化策略:内存缓冲和多线程并发,以应对硬盘写入和资源竞争的瓶颈,最终实现了1000Mbps的录包速度。
摘要由CSDN通过智能技术生成

前言

这是在项目上遇到的问题。因为项目的缘故,需要实现pcap捕包的功能,在使用后发现libpcap自身API使用比较复杂,就手写了一个API并尝试进行性能优化。部分代码在githuab上。pcapDumper

pcap文件格式

一个pcap文件的结构如下:
pic(图片来自博客)

如上图,一个pcap文件,有两个部分组成,一个Pcap 头部,和一堆包。其中每一个包都有两个字段,分别是Packet Head和 Packet Data。它们的数据结构如下:

struct _pcap_file_header {
    uint32_t magic;
    uint16_t version_major;
    uint16_t version_minor;
    int32_t thiszone;     /* gmt to local correction */
    uint32_t sigfigs;    /* accuracy of timestamps */
    uint32_t snaplen;
最低0.47元/天 解锁文章
NachtZ
关注
专栏目录
libpcap如何优化性能指标
06-11
libpcap网络抓取报文,如何提高性能优势
PCAP 抓包
weixin_30918415的博客
10-31 397
PCAP一个数据包抓取库, 很多软件都是用它来作为数据包抓取工具的。 WireShark也是用PCAP库来抓取数据包的。PCAP抓取出来的数据包并不是原始的网络字节流,而是对其进行从新组装,形成一种新的数据格式。 一个PCAP抓取的数据包的文件格式如下: Pcap文件头24B各字段说明:Magic:4B:0x1A 2B 3C 4D:用来标示文件的开始Major:2B,0x0...
pcap文件格式及写pcap文件
KgdYsg的博客
05-13 3262
一、pcap文件格式(该部分引用网络资料) pcap文件格式及文件解析 第一部分:PCAP包文件格式 (一)、基本格式: 文件头 数据包头 数据报 数据包头 数据报… (二)、文件头: 文件头结构体,libpcap源码中定义如下 struct pcap_file_header { bpf_u_int32 magic; u_short version_majo...
linux libpcap的性能问题,请大家注意绕行。
weixin_33885253的博客
01-20 878
内核代码中,ip_rcv是ip层收包的主入口函数,该函数由软中断调用。存放数据包的sk_buff结构包含有目的地ip和端口信息,此时ip层进行检查,如果目的地ip不是本机,且没有开启转发的话,则将包丢弃,如果配置了netfilter,则按照配置规则对包进行转发。 tcp_v4_rcv是tcp层收包的接收入口,其调用__inet_lookup_skb函数查到数据包需要往哪个socket传送,之后将...
libpcap捕包机制分析(三)
bob的博客
06-07 1299
目前,在linux操作系统下的网络数据包捕获系统普遍是建立在libpcap捕包平台上的,libpcap的英文意思是Library of Packet Capture,即数据包捕获函数库。该库提供的C函数接口可用于需要捕获经过网络接口(只要经过该接口,目标地址不一定为本机)数据包的应用系统中。在大流量网络环境下,基于libpcap的低效报文捕获技术无法捕获足够数量的网络数据包以供上层应用系统使用。 一、linux内核协议栈分析与性能评价 在libpcap系统中,操作系统内核协议栈为用户提供了一种工作在数据链路
libpcap/winpcappcap_pkthdr结构体的说明
多学多思
10-27 8823
from : http://liuzhigong.blog.163.com/blog/static/178272375201122211217959/ pcap_pkthdr中 len 同caplen的区别   libpcap捕获时,使用pcap_loop之类的函数,在调用处理的handle的时候,返回的第一个参数的类型为pcap_pkthdr,第二个参数为uint8_t的指针,
通过使用具备mmap技术的libpcap提高libnids的性能
weixin_30664051的博客
05-26 260
最近参与到的项目中使用libnids来重组TCP会话,libnids是使用libpcap来抓包的。最初安装环境的时候用到的是libpcap0.8,这个是apt-get install的时候默认的版本,但是项目在测试过程中发现性能远不能达到需求,于是查阅了相关文档,发现libpcap在1.1.0版本的changelog中提到,Changes to Linux mmapped cap...
工作记录---pcap_pkthdr结构详解
程序狗的成长之路
06-19 5382
原文:http://blog.sina.com.cn/s/blog_94d26ea60100w3kt.html
winpcap 发送接收速率
weixin_30347009的博客
07-07 544
总体情况: 在不修改winpcap源码的情况下,发包、收包最大速率3包/ms。 收包几个api的速率: 1、 m_fp = pcap_open_live(adapter->name, 65536, PCAP_OPENFLAG_MAX_RESPONSIVENESS, 1, m_errbuf);; 接收耗时 2.5ms 2、 m_fp = pcap_open(adapter-...
Linux ubuntu PF_RING+libpcap 极速捕获千兆网数据包,不丢包
chengfangang的专栏
02-25 6574
http://blog.chinaunix.net/uid-23225855-id-3228867.html 上一篇文章讲到了libpcap 捕获数据包,尤其在千兆网的条件下,大量的丢包,网上搜索好久,大概都是PF_PACKET +MMAP,NAPI,PF_RING之类的方法,我对PF_RING+libpcap进行实验,发现千兆网条件下,捕获数据包的性能很好,几乎不丢包,Linux Fe
pcap抓包库部分函数说明
lyl4301203的专栏
07-28 4157
学习通过侦听网卡获取报文的程序,遇到部分pacp抓包库中的函数,在查阅资料后,作以下整理说明: 1. pcap_next_ex(): 基于非回调函数的捕获数据包,参数有三个,一个网卡描述符,两个指针,两个指针会被初始化并返回给用户,一个pcap_pkthdr结构,一个是接收数据的缓冲区。pcap_pkthdr结构如下所示: struct pcap_pkthdr {       struc
C语言解析pcap数据包格式
背着行囊去远方的博客
02-25 9988
通过tcpdump命令或者wireshark抓取数据包。 如下图所示: pcap文件格式: 24字节pcap文件头+(16字节pcap数据包头+数据包)*n 解析源码如下: #include<stdio.h> #include<string.h> #include<stdlib.h> #include<netinet/in.h> ...
linux libpcap 效率,linux – 使用pcap vs raw socket捕获性能
weixin_42545066的博客
05-25 660
答案旨在解释有关libpcap的更多信息.从上面的链接在Linux 2.4 / 2.6 / 3.x中,如果未启用PACKET_MMAP,则捕获过程非常紧凑效率低下.它使用非常有限的缓冲区,需要一个系统调用捕获每个数据包,如果要获取数据包的时间戳,则需要两个数据包(像libpcap一样).另一方面,PACKET_MMAP非常有效. PACKET_MMAP提供了一个大小在用户空间中映射的可配置循环缓冲...
网络编程系列之六 pcap库拾遗与结构体
Mjt_csdn的专栏
07-30 940
上篇文章把经常用到的libpcap库讲解了一遍和使用实例来验证。 现在来看看上一篇中遗漏的经常用到的函数: 1)  pcap_next_ex  (pcap_next增强版) 函数释义:从一个设备接口,或从一个脱机文件中,读取一个数据包,第一个参数代表设备句柄,第二个参数代表包头,第三个参数代表数据. 一般就是对第三个参数进行处理。  如果是pcap_loop的话,回调函数中也有这里的第二个参
C语言读取DHCP数据包pcap文件)内容
最新发布
sakura0908的博客
05-18 1977
/pacp文件头结构体//识别文件和字节顺序:小端/大端模式//主版本号//次版本号//当地的标准时间//时间戳精度//最大的存储长度//链路类型//时间戳//时间戳高位,精确到seconds//时间戳地位,精确到microseconds//pcap数据包头结构体//捕获时间//数据帧/区的长度//离线数据长度//数据链路层数据//源MAC地址//目的MAC地址//帧类型}DL_Header;//IP数据报头//版本+报头长度u_int8 TOS;
pcap 解析
weixin_33800593的博客
07-17 391
http://wenku.baidu.com/link?url=BkRDW0md1bM_MRfJVykSTu7_Ppe4mj1Zauxfmb9_gvCFPohUpa59m-IbEq2DWGLmTr1kW_-dkAGCAIOpBhUTk6ormkcfj8vU-Zl-My4MQ9a 该网页内容基本已经够用,下面是一些需要修改或注意的地方。 1. struct pcap_pkthdr { ...
libpcap使用
热门推荐
htttw的专栏
04-28 13万+
libpcap使用 libpcap一个网络数据包捕获函数库,功能非常强大,Linux下著名的tcpdump就是以它为基础的。今天我们利用它来完成一个我们自己的网络嗅探器(sniffer) 首先先介绍一下本次实验的环境: Ubuntu 11.04,IP:192.168.1.1,广播地址:192.168.1.255,子网掩码:255.255.255.0 可以使用下
Sharp Pcap.NET:实现.NET应用的高效网络包捕与Wireshark tcpdump实战
Sharp Pcap.NET 是一个针对 .NET 应用程序设计的库,它允许开发者在.NET环境中利用libpcap 或 WinPcap 进行网络包抓取,这是一种强大的功能,可以用于网络监控、数据包分析和安全工具开发。libpcap 和 WinPcap 是两...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值