报文捕获
fan_hai_ping
专注于C/C++开发,精通于Python
展开
-
PF_RING开发指南
1. 概述PF_RING是Luca Deri发明的提高内核处理数据包效率,并兼顾应用程序的补丁,如Libpcap和TCPDUMP等,以及一些辅助性程序(如ntop查看并分析网络流量等)。PF_RING是一种新型的网络socket,它可以极大的改进包捕获的速度。并且有如下特征:1) 可以用于Linux 2.6.18以上的内核;2) 4.x版本的PF_RING可以直接应用于内核原创 2011-08-20 22:10:33 · 31392 阅读 · 3 评论 -
报文处理中的主动和被动轮询
如果你希望避免浪费CPU循环,当你没有事情做时(例如,没有报文等待处理),你应该调用pfring_poll()进行轮询,当有报文需要处理时要求系统唤醒程序。如果你创建一个主动轮询循环时,你可能希望做一些事情,就像下面:while() {usleep(1); } 减少CPU循环花费(理论上)一小会(1ms)时间,最佳的实践是usleep()指定的持续时间(或者你希望使用nanosleep()翻译 2014-11-19 09:31:11 · 3117 阅读 · 0 评论 -
PF_RING Libzero中使用HugePage
PF_RING中README.hugepage的翻译,huagepage在Intel DPDK的开发中也会使用到!!翻译 2014-10-24 23:29:13 · 4879 阅读 · 0 评论 -
镜像和分光采集的网卡接入方法
镜像和分光采集的网卡接入方法1. 镜像采集方式的网卡接入方法1. 镜像的数据通过光口输出,接入方法如下图所示:2. 镜像数据通过电口输出,接入方法如下图所示: 提示:镜像数据只使用光口的TX(把上下行汇聚到一起)进行发送,它的RX端可以不接入到网卡的TX上。2. 分光采集方式的网卡接入方法1. 使用1:4无源分光器(20%:80%)进行分光;2. 分光原创 2013-09-16 09:30:05 · 8859 阅读 · 0 评论 -
WinPcap 中文技术文档(4.1.2) 第一章
WinPcap英文技术文档(4.1.2版本)的网址位于http://www.winpcap.org/docs/docs_412/html/main.html,接下来将会对该文件进行翻译,希望对大家有所帮助,有不正确的地方请多多指正,非常感谢大家的支持。WinPcap 中文技术文档(4.1.2)作者: The WinPcap Team作者主页: http://www.winpcap.or翻译 2012-09-19 22:41:45 · 3357 阅读 · 1 评论 -
TCP报文重组和会话的唯一确定规则
基本概念四元组:源IP地址、目的IP地址、源端口、目的端口。五元组:源IP地址、目的IP地址、协议号、源端口、目的端口。六元组:源MAC地址、源IP地址、源端口号、目的MAC地址、目的IP地址和目的IP地址。七元组:源MAC地址、源IP地址、源端口号、目的MAC地址、目的IP地址和目的IP地址和协议号。 五元组确定一个会话还是四元组?五元组通常是指由源IP地址,源端口,原创 2012-12-20 23:53:08 · 14462 阅读 · 6 评论 -
NTZC零拷贝技术
Network Traffic Zero Copy用于捕获报文的零拷贝计数在网络上有很多的讨论,但是目前看来还没有一个可用的、开源的实现。最接近的两个实现:1) PF_RING(http://www.ntop.org/PF_RING.html): 仍然存在一次的拷贝2) NTA(http://www.ioremap.net/projects/nta ):由于年代较为原创 2011-08-26 09:46:13 · 3050 阅读 · 0 评论 -
让Raw Socket的应用程序在非root用户下执行
在非root用户下执行基于Libpcap库编写的应用程序时不能正常运行,原因是由于libpcap库使用raw socket的套接字。而Raw Socket的使用需要root权限,否则raw socket会创建失败,因此基于raw socket编写的应用程序必须在root具有用户权限才能使用。 为了让基于Raw Socket应用程序在非Root用户下能够执行,在你编译完基于Raw Sock原创 2012-09-17 19:33:13 · 5939 阅读 · 0 评论 -
WinPcap 中文技术文档(4.1.2) 第二章
1. WinPcap用户手册1.1. 详细描述 这节包含了有关wpcap.dll的用户指南,wpcap.dll是一个包含公共WinPcapAPI的动态链接库。Wpcap.dll导出一组系统独立的包捕获和网络分析的函数。这些函数可以用于:1) 获取网络适配器列表2) 获取网络适配器的不同信息,比如网卡描述和地址的列表3) 使用PC的一个网卡来捕获数据包4) 向网络上翻译 2012-09-20 07:15:39 · 2291 阅读 · 0 评论 -
WinPcap 中文技术文档(4.1.2) 第三章
1. WinPcap教程:循序渐进教您使用WinPcap本节将向您显示如何使用WinPcapAPI的一些特性。本教程被组织成一系列课程,以循序渐进的方式,让读者从最基本的部分(获得设备列表)到最复杂的部分(控制发送队列并收集和统计网络流量)来了解如何使用WinPcap进行程序开发。我们会提供几个简单但是完整的程序(代码片断)作为参考:所有的源代码中都包含一些指向手册其他地方的链接,这可以翻译 2012-09-20 22:16:31 · 3506 阅读 · 0 评论 -
WinPcap 中文技术文档(4.1.2) 第四章
1. WinPcap核心资料1.1. 详细描述这部分指南从最底层的模块开始,描述了WinPcap的核心结构与接口。这部分内容的适合那些想要扩展或修改本软件的人,或者是那些对WinPcap的工作原理感兴趣的人。因此,那些只希望在他们的软件中,使用WinPcap的开发人员,不需要阅读此部分的内容。1.2. WinPcap 结构引用WinPcap主页上的一段内容:WinPcap翻译 2012-09-20 22:18:19 · 2198 阅读 · 0 评论 -
WinPcap 中文技术文档(4.1.2)第五章
1. 远程捕获由于应用程序使用WinPcap的常规(normal)方式和推荐(suggested)方式是通过wpcap.dll完成的,所以我们不保证packet.dll的API不会在未来的WinPcap的发行版中被修改,并且我们不提供这个API的支持。由于这个原因,在这个指南中不会含有有关Packet.dll的文档。用户可以自行使用Doxygen来创建它们,或者阅读代码中的注释。WinP翻译 2012-09-20 22:21:50 · 2153 阅读 · 0 评论 -
PF_RING中文使用手册
PF_RING下载地址:http://sourceforge.net/projects/ntop/files/PF_RING/。由于项目中需要使用PF_RING进行高速数据包的捕获,为此对PF_RING 5.4.4版本的使用手册进行翻译。由于时间和翻译水平有限,如果PF_RING使用手册中有翻译不正确的地方请多多指正,欢迎留言或者邮件给我。下载Linux下PF_RING高速数据包捕翻译 2012-09-27 08:25:23 · 5265 阅读 · 1 评论 -
Libpcap读取文件问题解决
问题描述 在使用Libpcap库读取PCAP文件(使用pcap_open_offline函数打开PCAP文件)时,在pcap包头(structpcap_pkthdr)中出现len与caplen不相等的情况,并且最大的caplen为112字节。但是,使用Wireshark打开该PCAP文件是正常的,即len与caplen是一样的。问题解决 使用UltraEdit打开PCAP文原创 2012-10-11 09:03:53 · 4985 阅读 · 0 评论 -
Lua语言在Wireshark中使用
1. 检查Wireshark的版本是否支持Lua打开Wireshark,点击“HelpàAbout Wireshark”菜单,查看弹出的对话框,如果有“with Lua 5.1”表示支持Lua语言扩展,如果有“without Lua”表示不支持Lua扩展。 2. 启用LUA在全局配置文件中启用LUA的方法是从init.lua文件中删除disable_lua这原创 2011-08-20 00:28:35 · 8132 阅读 · 0 评论 -
PF_RING安装指南
原文网址:http://www.ntop.org/blog/pf_ring/installation-guide-for-pf_ring/一个简单的安装,除了提到的包以外不用安装其它的包:1 使用apt-get卸载libpcap和其它依赖的应用程序/库2 安装SVN(获得最新的源代码)Flex和bison(要求重新编译pf_ring使用的pcap)Ethtool(如果没有预先安翻译 2011-08-20 22:08:37 · 10776 阅读 · 0 评论 -
PF_RING 6.0.2在Redhat 6.3 x86_64上编译和安装
前言本文详细描述Linux下PF_RING的编译和安装过程。PF_RING版本:6.0.2(当前最新版本)官方网址:http://www.ntop.org/products/pf_ring/下载网址:http://sourceforge.net/projects/ntop/files/PF_RING/Linux系统:Redhat 6.3(x86_64)GCC版本:GCC 4原创 2014-10-17 08:26:27 · 7643 阅读 · 2 评论