linux多线程rawsocket,在Linux中使用pcap vs raw socket捕获性能

于 2021-05-11 04:21:31 发布
阅读量496 收藏 1
点赞数
文章标签: linux多线程rawsocket

捕获网络流量以进行调试时,似乎有两种常见方法:

>使用原始套接字.

>使用libpcap.

在性能方面,这两种方法之间有很大差异吗? libpcap似乎是一种很好的兼容方式来收听真实的网络连接或重放一些固定数据,但是这个功能集是否会带来性能损失?

答案旨在解释有关libpcap的更多信息.

libpcap使用PF_PACKET来捕获接口上的数据包.请参阅以下链接.

https://www.kernel.org/doc/Documentation/networking/packet_mmap.txt

从上面的链接

在Linux 2.4 / 2.6 / 3.x中,如果未启用PACKET_MMAP,则捕获过程非常紧凑

效率低下.它使用非常有限的缓冲区,需要一个系统调用

捕获每个数据包,如果要获取数据包的时间戳,则需要两个数据包

(像libpcap一样).

另一方面,PACKET_MMAP非常有效. PACKET_MMAP提供了一个大小

在用户空间中映射的可配置循环缓冲区,可用于任何一个

发送或接收数据包.这样读取数据包只需要等待它们,

大多数情况下,不需要发出单个系统调用.关于

传输时,可以通过一个系统调用发送多个数据包来获取

最高带宽.通过在内核和用户之间使用共享缓冲区

还具有最小化数据包副本的好处.

性能改进可能因使用PF_PACKET实现而异.

从https://www.kernel.org/doc/Documentation/networking/packet_mmap.txt –

据说TPACKET_V3带来以下好处:

*)〜15 – CPU使用率减少20%

*)数据包捕获率增加约20%

使用libpcap的缺点 –

>如果应用程序需要保存数据包,则可能需要进行此操作

传入数据包的副本.

请参阅pcap_next_ex的联机帮助页.

pcap_next_ex()读取下一个数据包并返回成功/失败指示.如果数据包读取没有问题,指针

由pkt_header参数指向设置为指向

pcap_pkthdr用于数据包的结构,以及指向的指针

pkt_data参数设置为指向数据包中的数据.该

struct pcap_pkthdr和分组数据不会被释放

呼叫者,并且在下次呼叫后不保证有效

pcap_next_ex(),pcap_next(),pcap_loop()或pcap_dispatch();如果

代码需要它们保持有效,它必须复制它们.

>如果应用程序只对传入感兴趣,则性能下降

数据包.

PF_PACKET用作内核中的抽头,即所有传入和传出的数据包都被传送到PF_SOCKET.这导致对所有传出数据包进行昂贵的packet_rcv调用.由于libpcap使用PF_PACKET,因此libpcap可以捕获所有传入和传出的数据包.如果应用程序只对传入的数据包感兴趣,那么可以通过在libpcap句柄上设置pcap_setdirection来丢弃传出的数据包. libpcap通过检查数据包元数据上的标志在内部丢弃传出的数据包.所以本质上,libpcap仍然可以看到传出的数据包,但以后才会被丢弃.对于仅对传入数据包感兴趣的应用程序,这是性能损失.

Qianwei Cheng
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Linux网络抓包工具pcap,界面采用Qt制作
12-24
本功能是linux下开发的网络抓包工具,解析的主要协议有tcp、udp、ip、icmp等,界面是通过Qt绘制的,希望能带给大家惊喜!
linux libpcap 效率,linux使用pcap vs raw socket捕获性能
weixin_42545066的博客
05-25 593
答案旨在解释有关libpcap的更多信息.从上面的链接在Linux 2.4 / 2.6 / 3.x,如果未启用PACKET_MMAP,则捕获过程非常紧凑效率低下.它使用非常有限的缓冲区,需要一个系统调用捕获每个数据包,如果要获取数据包的时间戳,则需要两个数据包(像libpcap一样).另一方面,PACKET_MMAP非常有效. PACKET_MMAP提供了一个大小在用户空间映射的可配置循环缓冲...
raw_socket(原始套接字)以及普通socket使用终极总结
热门推荐
聆听风雨的博客
08-03 3万+
一、传输层socket(四层socket,普通socket) 可参考本人以下博客: Windows Socket编程之UDP实现大文件的传输:http://blog.csdn.net/luchengtao11/article/details/71016222 Windows Socket编程之TCP实现大文件的传输:http://blog.csdn.net/luchengtao11/arti...
Linux下原始套接字编程常用的头文件
qq_34415266的博客
02-26 1267
IP数据包头部 #include <netinet/ip.h> // ip头部 struct iphdr { #if __BYTE_ORDER == __LITTLE_ENDIAN unsigned int ihl:4; unsigned int version:4; #elif __BYTE_ORDER ==
Linux原始套接字学习总结
bcbobo21cn的专栏
05-06 3097
Linux网络编程:原始套接字的魔力【上】 http://blog.chinaunix.net/uid-23069658-id-3280895.html 基于原始套接字编程        在开发面向连接的TCP和面向无连接的UDP程序时,我们所关心的核心问题在于数据收发层面,数据的传输特性由TCP或UDP来保证:        也就是说,对于TCP或UDP的程序开发,焦点在
Linux下移植libpcap抓包库到arm平台
shuji050211117的博客
07-27 1857
一.引子 libpcap库安装到x86架构的Ubuntu,前人已经写的很清楚了,具体请参考: https://www.cnblogs.com/coder2012/archive/2013/04/13/3012390.html以及 https://blog.csdn.net/htttw/article/details/7521053 若在安装过程需要什么依赖包,直接apt-get install xxx相关包即可。 本文主要介绍如何移植libpcap库到arm平台,以实现在arm架构上抓取网络包的功
libpcap详解
桑安琪的成长之路
01-30 2733
libpcapPacket Capture Library),即数据包捕获函数库,是Unix/Linux平台下的网络数据包捕获函数库。它是一个独立于系统的用户层包捕获的API接口,为底层网络监测提供了一个可移植的框架。 检查网络设备 libpcap 程序的第一步通常是在系统找到合适的网络接口设备。网络接口在Linux 网络体系是一个很重要的概念,它是对具体网络硬件设备的一个抽
linux下分别使用lipcapsocket抓包分析包
meloyi的专栏
09-24 3623
前段时间在研究抓包程序,写个测试程序,目的是为了获取网上社区的帐号(比如:腾讯微博),但是没有完成。将代码贴在此处,方便以后查询学习。如果有疑问,还望指出! 完成的工作有:源mac地址、目的mac地址、源ip、目的ip、判断是tcp还是udp,然后去掉对应的头部。
linux sock_raw原始套接字编程 (转)和Linux下Libpcap源码分析和包过滤机制
seven407的专栏
10-25 1831
sock_raw原始套接字编程可以接收到本机网卡上的数据帧或者数据包,对与监听网络的流量和分析是很有作用的.一共可以有3种方式创建这种 socket 1.socket(AF_INET, SOCK_RAW, IPPROTO_TCP|IPPROTO_UDP|IPPROTO_ICMP)发送接收ip数据包 2.socket(PF_PACKET, SOCK_RAW, htons(ETH_P_IP|ETH_P_ARP|ETH_P_ALL))发送接收以太网数据帧 3.socket(AF_INET, SOCK_PA
Linux使用pcap
06-06
安装libpcap库教学,步骤详细简单,使用libpcap-1.8.1.tar编译成功。 安装libpcap库教学,步骤详细简单,使用libpcap-1.8.1.tar编译成功。
cappack.rar_pcap_pcap linux_pcap分析_网络数据包
09-14
Linux平台下利用pcap捕获网络数据包,并分析统计.
Applicon-raw-ip.pcap
07-07
rawip数据包; 原始IP (raw IP) : 通过一个套接字(socket)直接操作IP报头的环境, 其 raw 表示的是原始的意思.... 在使用 raw IP协议的时候, 可以使用一个 ping 命令来发送一个 ICMP 请求, 或使用OSPF 的路由寻址协议.
linux pcap 报文 解析 报头剥离
04-30
程序启动时,会导入配置文件的标签内容,之后会将pcap的每个数据包末尾都打上该标签。标签内容填充不足,自动补0. ################################################## *************************可处理...
电信塔施工方案.doc
04-27
5G通信行业、网络优化、通信工程建设资料。
29-【智慧城市与政府治理分会场】10亿大数据助推都市治理-30页.pdf
04-27
29-【智慧城市与政府治理分会场】10亿大数据助推都市治理-30页.pdf
ABB IRC5 Compact 机器人产品手册
最新发布
04-27
ABB IRC5 Compact 机器人产品手册
LTE容量优化高负荷小区优化指导书.docx
04-27
5G通信行业、网络优化、通信工程建设资料
施工工艺及质量检查记录表.docx
04-27
5G通信行业、网络优化、通信工程建设资料。
怎么判断scapy的sniff到底是使用pcap库抓包还是socket
06-02
在Scapy,`sniff`函数的底层实现是通过调用`pcap`或`socket`库来进行数据包捕获。因此,可以通过查看`sniff`函数的`_select_iface()`函数来判断Scapy是使用了哪种库。 具体来说,`_select_iface()`函数是一个私有函数,用于确定应该使用哪种库来进行数据包捕获。在该函数,首先会尝试导入`pcapy`库,如果导入成功,则表示Scapy将使用`pcapy`库进行数据包捕获。否则,Scapy将使用`socket`库进行数据包捕获。 因此,可以通过在Python交互式环境输入以下代码,来查看Scapy是使用了哪种库: ``` from scapy.all import * print(sniff.__globals__["_select_iface"]()) ``` 如果输出结果为`pcapy`,则表示Scapy将使用`pcapy`库进行数据包捕获;如果输出结果为`socket`,则表示Scapy将使用`socket`库进行数据包捕获

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值