[总结] 浅谈渐进式优化LinuxPcap抓包历程(部分附代码)

已于 2024-03-01 18:46:18 修改
阅读量472 收藏 11
点赞数 4
分类专栏: Linux 文章标签: 网络
于 2024-02-23 12:04:54 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq1113673178/article/details/136251964
版权
本文探讨了使用pcap进行网络包捕获的优化过程,从初始的阻塞式方法(增加线程和资源开销)转向非阻塞式pcap_dispatch,减少线程数量并优化网卡实例,以提高抓包效率和性能。
摘要由CSDN通过智能技术生成

文章目录

前言

最近一直在做pcap抓包,需求很简单就是指定一个或多个bpf语句抓计算机上所有网卡。

历程

使用阻塞式pcap_loop

不考虑性能开销和资源开销的话的实现方式很多。

浅谈最简单的一种:

  • 使用单线程阻塞式的pcap_loop,一个线程抓一个网卡和一种bpf语句。
    • 优点:实现简单。
    • 缺点:资源开销大,线程数 = bpf数量 * 网卡数。

大致实现:

#include <string>
#include <sstream>

#include <sys/time.h>
#include <sys/ioctl.h>
#include <net/if.h>
#include <unistd.h>
#include <netinet/in.h>
#include <netinet/ip6.h>
#include <netinet/ip.h>
#include <string.h>
#include <dirent.h>

#include <netinet/tcp.h>
#include <netinet/ip_icmp.h>
#include <netinet/ether.h>

#include <pcap.h>

#define NET_CONNECT_STATUS_OPEN 0x00000001
#define NET_SNIFF_STATUS_OPEN 0x00000002

#define MAX_PACKET_SIZE 1500
#define MAX_RELAT_PACK_CACHE_SIZE 10000

typedef struct PcapThread {
    std::string name;
    std::string ip_addr;
} PcapThread;

static void* PcapThreadFunc(void * args) noexcept {
    PcapThread* pcap_thread = (PcapThread*)args;
    pcap_t *descr = nullptr;
    struct bpf_program fp;
    bpf_u_int32 net = 0;
    char errbuf[PCAP_ERRBUF_SIZE] = {0};
    descr = pcap_open_live(pcap_thread->name.c_str(), MAX_PACKET_SIZE, 0, PCAP_PACK_TIMEOUT, errbuf);
    if (nullptr == descr) {
        printf("%s pcap_open_live err", __FUNCTION__);
        return nullptr;
    }
    do {
        char filter_exp[] = "tcp";
        if (-1 == pcap_compile(descr, &fp, filter_exp, 0, net)) {
            printf("%s Couldn't install parse filter, error:%s", __FUNCTION__, pcap_geterr(descr));
            pcap_close(descr);
            return nullptr;
        }
        if (pcap_setfilter(descr, &fp) < 0) {
            printf("%s Couldn't pcap_setfilter %s, error:%s", __FUNCTION__, filter_exp, pcap_geterr(descr));
            pcap_close(descr);
            return nullptr;
        }
    } while (false);
    pcap_loop(descr, -1, PcapCallback, nullptr);
    pcap_close(descr);
    return nullptr;
}

int main(){
    char errbuf[PCAP_ERRBUF_SIZE];
    pcap_if_t* alldevs;
    pcap_if_t* device;
    int ret = -1;
    // 获取系统上的所有网络设备
    if (pcap_findalldevs(&alldevs, errbuf) == -1) {
        printf("Error finding devices: %s", errbuf);
        return 1;
    }

    std::vector<PcapThread> vec_pcap_thread;
    for (device = alldevs; device != nullptr; device = device->next) {
        for(pcap_addr_t *a=device->addresses; a!=NULL; a=a->next) {
            if(a->addr->sa_family == AF_INET){
                std::string sz_ip_addr = inet_ntoa(((struct sockaddr_in*)a->addr)->sin_addr);
                PcapThread pcap_arg;
                pcap_arg.ip_addr = sz_ip_addr;
                pcap_arg.name = device->name;
                vec_pcap_thread.push_back(pcap_arg);
            }
        }
    }

    for(auto pcap_thread: vec_pcap_thread){
        pthread_t pid = 0;
        ret = pthread_create(&(pid), nullptr, PcapThreadFunc, (void*) &pcap_thread);
        if (ret != 0) {
            printf("pthread_create error");
            break;
        }
    }

    while(1); // 也可以选择一个线程作为主进程运行
    return ret;
}

那么如何减少线程数量呢?
那就不得不提pcap_dispatch方法

使用非阻塞式pcap_dispatch

pcap_dispatch函数是非阻塞的,即可以使用循环的方式轮询查找是否捕获到数据包。

思路:

  • 根据bpf和网卡创建pcap实例
  • 所有pcap都放在一个线程使用轮询方式查找
  • 抓包成功会自动调用回调
    • 优化:线程数量大幅度减少,
    • 缺点:1.线程数 = bpf数量 2.需要创建大量网卡数量的pcap实例

优化1多网卡名创建一个pcap实例

利用pcap创建时device_name=“any”,使之多个网卡对应一个pcap实例
思路:

  • 根据bpf和网卡创建pcap实例
  • pcap都放在一个线程使用轮询方式查找
  • 抓包成功会自动调用回调
    • 优化:多个网卡对应一个pcap实例,减少了pcap实例数量
    • 缺点:
    1. 线程数 = bpf数量,pcap实例数=bpf数量,
    2. pcap_callback回调函数需要特殊解析数据包,使用any设备名,数据包结构会发生变化,需要特殊调整和特别解析。
    3. 多实例放在一个循环中可能会造成超时,影响后一个pcap实例的延迟处理

优化2使用select异步监听fd

利用pcap_get_select_fd获取socket fd,再使用select函数监听处理
思路:

  • 根据不同的bpf和多个网卡创建pcap实例
  • bpf数量的pcap都放在一个线程使用轮询方式查找
  • 抓包成功会自动调用回调
    • 优化:
      1. 线程数只有1,pcap实例数=bpf数量
      2. select去除了非响应的pcap实例,减少了pcap实例的超时造成的延迟影响
      3. 如果使用多个网卡创建多个pcap的方法影响也几乎没有影响 并且callback不需要特殊解析数据包
    • 缺点:几乎没有
#include <string>
#include <sstream>
#include <chrono>

#include <sys/time.h>
#include <sys/ioctl.h>
#include <net/if.h>
#include <unistd.h>
#include <netinet/in.h>
#include <netinet/ip6.h>
#include <netinet/ip.h>
#include <string.h>
#include <dirent.h>

#include <netinet/tcp.h>
#include <netinet/ip_icmp.h>
#include <netinet/ether.h>
#include <pcap.h>

void PcapCallback(u_char* argument, const struct pcap_pkthdr* packet_header, const u_char* packet_content) {
	// to do something
}

pcap_t * create_pcap(const char * dev, const std::string &str_filter_exp,  std::mutex *mutex){
    
    char errbuf[PCAP_ERRBUF_SIZE]; // 存储错误信息的缓冲区
    int snaplen = 65535; // 捕获数据包的长度
    int promisc = 0; // 混杂模式
    int to_ms = 1000; // 等待捕获的超时时间

    // 打开捕获设备
    pcap_t* handle = pcap_create(dev, errbuf);
    if (handle == nullptr) {
        printf("Could not create pcap handle: %s\n", errbuf);
        return nullptr;
    }

    struct bpf_program filter;
    pcap_set_snaplen(handle, snaplen);
    pcap_set_promisc(handle, promisc);
    pcap_set_timeout(handle, to_ms);
    pcap_compile(handle, &filter, str_filter_exp.c_str(), 1, 0);
    pcap_setfilter(handle, &filter);
    pcap_set_buffer_size(handle, 20 * 1024 * 1024);
    // pcap_set_immediate_mode(handle, 1);      // 开启immediate模式
    if (pcap_activate(handle) != 0) {
        printf("Could not activate pcap handle: %s\n", pcap_geterr(handle));
        pcap_close(handle);
        return nullptr;
    }

    return handle;
}

int main() {
    char errbuf[PCAP_ERRBUF_SIZE];
    pcap_if_t* alldevs;
    pcap_if_t* device;

    // 获取系统上的所有网络设备
    if (pcap_findalldevs(&alldevs, errbuf) == -1) {
        printf("Error finding devices: %s", errbuf);
        return 1;
    }
    
    std::vector<int> fds;
    std::vector<pcap *> pds;
    for (device = alldevs; device != nullptr; device = device->next) {
        for(pcap_addr_t *a=device->addresses; a!=NULL; a=a->next) {
            if(a->addr->sa_family == AF_INET){
                char* sz_ip_addr = inet_ntoa(((struct sockaddr_in*)a->addr)->sin_addr);
                std::string str_bpf_str = "tcp";
                pcap_t* pcap = create_pcap(device->name, str_filter_exp, nullptr);

                int fd = pcap_get_selectable_fd(pcap);
                fds.push_back(fd);
                pds.push_back(pcap);
            }
        }
    }
    // 释放设备列表
    pcap_freealldevs(alldevs);

    while (true)
    {
        fd_set read_fds;
        FD_ZERO(&read_fds);
        int max_fd = 0;
        for (auto &one : fds)
        {
            if (one > max_fd)
            {
                max_fd = one;
            }
            FD_SET(one, &read_fds);
        }

        struct timeval timeout;
        timeout.tv_sec = 5;
        timeout.tv_usec = 0;

        int result = select(max_fd + 1, &read_fds, NULL, NULL, &timeout);

        if (result == -1)
        {
            printf("error: select");
            break;
        }
        else if (result > 0)
        {
            std::vector<std::size_t> pds_indexs;

            for (std::size_t i = 0; i < fds.size(); i++)
            {
                if (FD_ISSET(fds[i], &read_fds))
                {
                    pds_indexs.emplace_back(i);
                }
            }

            for (std::size_t id = 0; id < pds_indexs.size(); id++)
            {
                std::size_t i = pds_indexs[id];

                //set_ns(containers[i].pid);
                int status =
                    pcap_dispatch(pds[i], -1, PcapCallback, nullptr);
                if (status < 0)
                    break;
            }
        }
        else
        {
            printf("Timeout!\n");
        }
    }

    for (auto &one : pds)
    {
        pcap_close(one);
    }
    return 0;
}

总结

优化过程很长,主要考虑是线程数量的优化,以及使用非阻塞函数pcap_dispatch过程中产生pcap实例延迟问题。

记下此文希望大家都能掌握这些技巧。

二进制怪兽
关注
  • 4
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
libpcap pcap_loop捕获包数据
zhuzitop的博客
05-10 1835
pcap_loop, pcap_dispatch - process packets from a live capture or savefile 处理抓取的数据包 函数原型 #include <pcap/pcap.h> typedef void (*pcap_handler)(u_char *user, const struct pcap_pkthdr *h, const u_char *bytes); int pcap_loop(pcap_t *p, int cnt, pcap_hand
网络抓包VS-C#源代码
12-18
网络抓包代码,可以抓取本机的TCP/UDP包,编程环境:VS2010或以上版本,语言:C#。可选定指定网卡出口抓取相应的网络包。
pcap包解析
txb0504的博客
04-02 1万+
pacp包解析 在接触激光雷达的时候,不可避免的第一步就是看硬件说明书以及调试厂商发的样例数据。一般情况下,厂商在存储硬件的数据包的时候,都是通过存储pacp包实现的,所以如何读取pacp包,并从中解析出真正有用的数据就变得很重要,接下来我们一步步讲。 1.pacp包结构 一个Pcap文件包括“Pcap报头”,“数据区”两个部分,其中数据区又分成多个数据包,每个包有报头和数据两个部分,总体结构可见...
pcap详解
10-01 6807
pcap格式及API详解
PCAP详解
最新发布
qq_61636702的博客
04-10 1597
即 Packet(通常就是链路层的数据帧去掉前面用于同步和标识帧开始的8字节和最后用于CRC校验的4字节)具体内容,长度就是Caplen,这个长度的 后面,就是当前PCAP文件中存放的下一个Packet数据包,也就是说:PCAP文件里面并没有规定捕获的Packet数据包之间有什么间隔字符串,我 们需要靠第一个Packet包确定下一组数据在文件中的起始位置,向后以此类推。4字节 保存下来的包长度(最多是snaplen,比如68字节),即抓取到的数据帧长度,由此可以得到下一个数据帧的位置。4B 时间戳的精度;
网络流量pcap包特征提取并保存
weixin_47272625的博客
05-06 3848
新手写博客,写博客主要目的是为了记录自己做项目的一些过程。关于网络流量项目,刚开始做项目一个月左右,所写的博客必然有很多不足的地方,欢迎大家交流和指教。
Pcap_loop函数
那些年....的专栏
04-15 1万+
函数名称:int pcap_loop(pcap_t * p,int cnt, pcap_handler callback, uchar * user); 函数功能:捕获数据包,不会响应pcap_open_live()函数设置的超时时间 参数说明:p 是由pcap_open_live()返回的所打的网卡的指针;cnt用于设置所捕获数据包的个数;pcap_handler 是与void packet
ARP.rar_arp_arp抓包代码
09-24
ARP包的深度解剖啊 ARP程序的源代码
基于MFC的抓包工具源代码
07-05
基于MFC的抓包工具,实现图形化显示,可供网卡选择、捕获数据的类型筛选以及部分流量统计。可提取特定流量进行协议栈分析和数据显示(包括十六进制)
网络抓包Sniffer源代码 驱动程序级别
11-20
网络截包Sniffer源代码 驱动程序级别
C语言实现的网卡监控抓包代码
06-23
大学作业,C语言实现的网卡监控抓包代码
pcap开发的抓包程序
04-28
模拟ethereal的抓包程序,利用pcap库实现的
pcap_loop
HeyITMan的专栏
07-15 2604
pcap_loop   pcap库中pcap_loop函数所用到的回调函数。 pcap_loop: int pcap_loop(pcap_t *p, int cnt, pcap_handler callback, u_char *user); 这里pcap_loop的作用是抓包,每抓到一个包之后就调用callback函数来处理之,callback需要你自己编写,call
Pcap包的组成
weixin_43989385的博客
09-17 453
pcap包的组成 Pcap报头|数据报头|数据|数据报头|数据|数据报头|数据…|数据报头|数据 Pcap报头 有24个字节 数据报头 有16个字节 其中前8个字节为时间戳数据, 9-12字节为数据长度 13-16字节为离线数据数据 ...
Pcap包的包头与负载解析,制作数据集
weixin_45154431的博客
11-24 3365
pcap文件是常用的数据报存储格式,可以理解为就是一种文件格式,只不过里面的数据是按照特定格式存储的,所以我们想要解析里面的数据,也必须按照一定的格式。普通的记事本打开pcap文件显示的是乱码,用安装了HEX-Editor插件的Notepad++打开,能够以16进制数据的格式显示,用wireshark这种抓包工具就可以正常打开这种文件,愉快地查看里面的网络数据报了,同时wireshark也可以生成这种格式的文件。当然这些工具只是我经常使用的,还有很多其它能够查看pcap文件的工具。
pcap文件分析
weixin_50311553的博客
01-12 7701
pcap文件格式的解析
libpcap库函数介绍(代码
热门推荐
IT老兵
09-04 2万+
libpcap的英文意思是 Packet Capture library,即数据包捕获函数库。该库提供的C函数接口可用于需要捕获经过网络接口(只要经过该接口,目标地址不一定为本机)数据包的系统开发上。由 Berkeley大学Lawrence Berkeley National Laboratory研究院的Van Jacobson、Craig Leres和Steven McCanne编写。该函数库支
使用libpcap获取http报文
anyifu6885的博客
08-15 616
在上一篇博客中简单对libpcap库基本函数及基本工作流程做了些简单说明, 今天我们先了解一下pcap_loop()及pcap_dispatch()函数的功能及作用: (1)pcap_loop()循环进行数据包的抓取: 函数原型如下: 1 typedef void (*pcap_handler)(u_char *user, const struct pcap_...
安卓实现抓包的java代码
05-10
抓包需要使用网络抓包库,比如PCAP4J、Jpcap等。这里以PCAP4J为例,提供一个抓包的Java代码示例: ```java import org.pcap4j.core.*; import org.pcap4j.packet.Packet; public class PacketCapture { public ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

二进制怪兽

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值