PCAP文件数据包的时间戳是在哪里被标记上的

最新推荐文章于 2024-02-19 10:37:17 发布
最新推荐文章于 2024-02-19 10:37:17 发布
阅读量397 收藏
点赞数
文章标签: 网络安全 驱动开发
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jinauto/article/details/134049774
版权

最近在调查网络收包延时问题,出现了发包时间戳和收包时间戳差距200ms左右的情况。这就先要明确pcap文件包数据包的时间戳是谁标记的。

想偷懒,但两个大模型回答完全相反:

文心一言回答

ChatGPT 3.5回答

NewBing ChatGPT 4.0 回答

2比1,可能是驱动。

tcpdump帮助文档

其实tcpdump帮助文档,有很明确的说明,man tcpdump:

ChatGPT翻译一下,效果不怎么地

时间戳

默认情况下,所有输出行都以时间戳开头。时间戳采用以下形式的当前时钟时间:
        hh:mm:ss.frac
并且与内核时钟一样准确。时间戳反映了内核为数据包应用时间戳的时间。没有尝试考虑网络接口完成从网络接收数据包到内核为数据包应用时间戳之间的时间滞后;这个时间滞后包括网络接口完成从网络接收数据包到内核传递中断以便读取数据包的时间,以及内核处理“新数据包”中断和为数据包应用时间戳之间的延迟。

从上面帮助文档可知,是内核在收包时,标记的时间戳。并不是tcpdump应用程序标记。

分析收包过程

说驱动标记的也可以,下面引用NAPI流程图来说明一下收包流程(图是发包流程):

1,网卡NIC从网线上收到数据包,DMA方式写入内存

2,发送中断通知CPU来包了或CPU Poll查询到来包了

3,CPU从内存取包

4,包交给内核网络协议处理

5,网络应用软件处理网络数据

第3步也就是内核线程(或SoftIRQ)调用驱动函数取包时,打的时间戳。也就是帮助中说的:

that time lag could include a delay between the time when the network interface finished receiving  a  packet  from the  network and the time when an interrupt was delivered to the kernel
to get it to read the packet and a delay between the time when the kernel  serviced the `new packet' interrupt and the time when it applied a time stamp to the packet.

下面这几个步骤的时间延迟,未包含在时间中,就是说从收包到打时间戳的时间点,之前还有几步操作:

硬件收包>发送中断(poll查询到)>内核线程(或SoftIRQ)取包>打时间戳

因此当ksoftirqd/x存在调度不及时情况时(ksoftirqd/x在Linux中并非实时优先级),存在实际收包时间与时间戳差距较大的情况。

结论

PCAP文件数据包的时间戳是在内核(调用驱动)收包时,标记的时间戳。

既不是硬件收包时标记的,也不是tcpdump应用程序标记的。

jinauto
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Pcap 数据包捕获格式详解
人人都懂物联网
05-24 1万+
Pcap 是 Packet Capture 的英文缩写,是一种行业标准的网络数据包捕获格式。如果你是网络开发人员,那么通常会使用 Wireshark、Tcpdump 或 WinDump 等网络分析器捕获 TCP/IP 数据包,而抓后存盘的文件格式就是 .pcap 文件文件格式 Pcap 文件格式是一种二进制格式,支持纳秒级精度的时间戳。虽然这种格式在不同的实现中有所不同,但是所有的 pcap 文件都具有如下图所示的一般结构。 全局报头 全局报头(Global Header)含魔数(Magic nu
2.6的网络数据包时间戳
weixin_34007906的博客
05-14 484
本文档的Copyleft归yfydz所有,使用GPL发布,可以自由拷贝,转载,转载时请保持文档的完整性,严 禁用于任何商业用途。msn: yfydz_no1@hotmail.com来源:http://yfydz.cublog.cn 1. 前言 在linux 2.6内核中对于网络数据包中的时间戳处理和2.4相比有了不少变化,如果原样照搬2.4就要出错 了。 2. 2.6中的ts...
linux中的libpcap中捕获数据包时间戳
starshift的专栏
12-16 2767
<br />以后转帖的文章都只贴链接和标题。<br /> <br />标题:linux中的libpcap中捕获数据包时间戳<br />摘要:<br />      在pf_packet的man文档中有这样一句话:SIOCGSTAMP 用来接收最新收到的分组的时间戳,它的参数是 timeval 结构。接着查找有关SIOCGSTAMP的信息,在man(7)socket中发现了一句话:SIOCGSTAMP 返回 timeval 类型的结构,其中括有发送给用户的最后一个接收时的时间戳。被用来测量精确的 RTT
【libpcap】获取报文pcap的ns级别的时间戳
xuan196的博客
01-11 581
首先,下载最新的 libpcap 源代码。你可以从 tcpdump.org 获取最新版本。-lpcap 指示编译器链接 libpcap 库。帮助获取网络报文ns级别的时间戳
解析 pcappcapng 时间戳打印(python)---亲测有效
最新发布
m0_63902994的博客
02-19 883
现在自动驾驶领域越来越多的采用someip协议进行信号的传递。wireshark抓后,不利于数据进行数据的后处理,所以需要用python对数据进行解析。从一个pcap网络数据包捕获文件中提取时间戳,并将这些时间戳保存到一个Excel文件中。代码首先创建了一个新的Excel工作簿,然后遍历pcap文件中的每个数据包。对于每个数据包,它检查以太网帧的源和目的MAC地址,如果匹配指定的地址,它会继续解析IP层和TCP层(如果存在的话),然后提取时间戳并将其添加到Excel工作表中。
pcap文件
yyfaith的博客
06-05 981
pcap文件格式:基本格式:文件头:数据包头,数据报:数据包头,数据报tcpdump和wireshark捕获网络数据落地的文件都是pcap文件格式。pcap文件头结构体:文件头结构体,libpcap源码中定义如下 struct pcap_file_header {        bpf_u_int32 magic;        u_short version_major;        u_s...
rewritecap:用于重新设置 PCAP 文件和编辑第 2 层和第 3 层地址的工具
05-31
时间戳更改允许您将 PCAP 文件重新设置为新日期,而无需更改一天中的实际时间或帧间间隔。 您还可以按 +/-00h00m00s 格式的值对所有数据包进行时移。 可以通过用逗号分隔来同时指定多个时移,因此 --time-shift=2h,...
4.1 使用捕获文件 - Wireshark 数据包分析实战(第 3 版) - 知乎书店1
08-03
数据包分析方面,标记数据包可以帮助用户关注特定事件或异常行为,而打印数据包功能则允许用户将分析结果以纸质形式保存,便于离线查看。时间显示格式和相对参考设置是理解数据包间关系的重要工具。时间显示格式...
2022年中职网络安全省赛市赛数据包分析hacker1.pcapng
12-20
网络安全领域,数据包分析是至关重要的技术手段,它可以帮助我们理解和应对网络上的各种威胁。2022年中职网络安全省赛市赛中,参赛者们通过对"**hacker1.pcapng**"文件的分析,深入探究了网络流量中的潜在问题,以...
第 4 章 玩转捕获数据包 - Wireshark 数据包分析实战(第 3 版) - 知乎书店1
08-04
4.1.1 保存和导出捕获文件:捕获的数据包可以以 pcapng 或 pcap 格式保存,便于日后分析或共享。导出时可以选择不同的文件格式,如CSV、JSON等。 4.1.2 合并捕获文件:多个捕获文件可以通过Wireshark进行合并,形成...
数据包捕获与分析程序
04-16
捕获到的数据包通常会被保存为 pcap 文件格式,这是一种通用的数据包捕获文件格式,由libpcap库(在Windows上称为WinPcap)支持。这种文件含了时间戳、网络接口、数据包头和数据包数据等信息,便于后续的离线分析...
wireshark:时间戳
OceanStar的博客
12-02 1万+
数据包被捕获时,每个数据包在进入的时候都打上了时间戳。这些时间戳将被保持到捕获文件中,因此它们也将用于(以后分析)。 那么这些时间戳是从哪里来的呢?在捕获过程中,wireshark从libpcap(npcap)库获取时间戳,而后者又从操作系统内核获取时间戳。如果捕获数据是从捕获文件加载的,wireshark会从这个文件里获取时间戳。 内部构件 wireshark用来保存数据包时间戳 ...
时间戳总结
LDF-Dicky的博客
07-31 697
Linux下文件的三种时间戳 Linux下文件的三种时间标记 三种时间对应关系表 column     column     column 访问时间         Access      atime 修改时间         Modify      mtime 状态改动时间         Change    ctime 如何查看文件文件的三种时间戳 stat filename
RTP时间戳概念
qq_40170041的博客
04-25 860
二、RTP与RTCP解释.含同步时间戳 RTP协议是real-time transport protocol的缩写,被设计来传输流媒体数据,有着广泛的应用,其它相关介绍自己去看RFC,我不打算讨论这些无聊的概念性的东西。 RTP 可以说,RTP协议不依赖于底层协议,也就是说,它是独立的协议。而一般的,由于UDP的快速、时实性高的特点,它通常和UDP结合在一起,作为UDP的上层载体数据的形式传播。 typedef struct { IN OUT UINT32 timestamp; IN OUT BOO
pcap解析
txb0504的博客
04-02 1万+
pacp解析 在接触激光雷达的时候,不可避免的第一步就是看硬件说明书以及调试厂商发的样例数据。一般情况下,厂商在存储硬件的数据包的时候,都是通过存储pacp实现的,所以如何读取pacp,并从中解析出真正有用的数据就变得很重要,接下来我们一步步讲。 1.pacp结构 一个Pcap文件括“Pcap报头”,“数据区”两个部分,其中数据区又分成多个数据包,每个有报头和数据两个部分,总体结构可见...
pcap文件格式及文件解析
热门推荐
JackyOps
09-19 3万+
第一部分:PCAP文件格式 一 基本格式:    文件头 数据包头数据报数据包头数据报...... 二、文件头:        文件头结构体  sturct pcap_file_header  {       DWORD           magic;       DWORD           version_major;       DWORD           ve
一种修改PCAP报文的简单方法
村中少年的专栏
08-16 4056
如何修改pcap数据包
Socket和WinPcap的区别
code_while的博客
05-08 2407
基于Winsock API编程,应用程序是通过调用操作系统提供的编程接口访问TCP/IP协议栈实现网络通信的。Winsock必须由程序员对IP数据包进行封装。监听IP数据包相当于编写服务器:创建套接字(Socket),绑定本机端口(bind),建立连接(connect),监听端口(listen),(接受连接,accept),数据接收(recv),(数据发送,send),关闭套接字(close,sh...
网络硬时间戳在何时何地打的?
YEYUANGEN的专栏
08-18 1万+
分为几个部分阐述 1、linux时间系统 2、网卡工作原理 3、网络硬时间戳是什么时候打?在哪儿打的? 一、linux时间系统 陈莉君《深入分析linux内核源码》一篇很不错的文章:linux时间系统 linux有两个时钟源,分别是RTC和OS时钟。 RTC独立于操作系统,由电池供电,即使系统断电它也能维护自己的时钟。LINUX系统启动时从其中获得时间初始值。 OS时钟从可编程计数
pcap文件数据包生成数据流
02-14
pcap文件转换为数据流的过程通常称为提取数据流。这可以通过使用专业的网络分析工具,例如Wireshark,来实现。Wireshark允许您打开pcap文件,查看其中的数据包,并选择将其生成为数据流。您可以根据需要进行筛选,以查看特定协议的数据流或将数据流导出为特定格式,例如csv或txt文件

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值