Linux libpcap 内核函数,linux – libpcap setfilter()函数和丢包

最新推荐文章于 2024-03-01 18:05:42 发布
最新推荐文章于 2024-03-01 18:05:42 发布
阅读量553 收藏
点赞数
文章标签: Linux libpcap 内核函数

这是我在这里的第一个问题@stackoverflow.

我正在为一些VoIP生产服务器编写一个监控工具,特别是一个允许使用Perl中的pcap库捕获与给定模式匹配的所有流量(VoIP调用)的嗅探工具.

我不能使用差的选择性过滤器,例如“udp”,然后在我的应用程序的代码中进行所有过滤,因为这将涉及太多的流量,内核无法应对报告数据包丢失.

我所做的就是在捕获过程中迭代地构建更具选择性的滤波器.在开始时我只捕获(所有)SIP信令流量和IP片段(模式匹配必须在应用程序级别完成)然后当我发现有关RTP的一些信息到SIP数据包时,我添加’或’子句到具有特定IP和PORT的实际filter-string,并使用setfilter()重置过滤器.

所以基本上是这样的:

>初始过滤器:“(udp和端口5060)或(udp和ip [6:2]& 0x1fff!= 0)” – >捕获所有SIP流量和IP片段

>更新过滤器:“(udp和端口5060)或(udp和ip [6:2]& 0x1fff!= 0)或(主机IP和端口PORT)” – >捕获特定IP上的RTP,PORT

>更新过滤器:“(udp和端口5060)或(udp和ip [6:2]& 0x1fff!= 0)或(主机IP和端口PORT)或(主机IP2和端口PORT2)” – >也捕获第二个RTP流

等等.

这非常有效,因为我能够获得RTP流的“真实”丢包以用于监视目的,而对于我的工具的选择性过滤器版本较差,RTP数据包丢失百分比不可靠,因为有一些数据包因内核丢包而丢失

但是让我们来看看这种方法的缺点.

在捕获时调用setfilter()涉及这样的事实:libpcap将“在更改过滤器时”收到的数据包丢弃,如函数set_kernel_filter()的代码注释中所述,进入pcap-linux.c(检查了libpcap版本0.9和1.1).

所以当我调用setfilter()并且一些数据包到达IP片段时,我确实会丢失一些片段,最后libpcap统计数据不会报告这一点:我发现它正在挖掘痕迹.

现在,我理解为什么这个动作是由libpcap完成的,但在我的情况下,我绝对不需要丢弃任何数据包(我不关心获得一些不相关的流量).

您是否知道如何解决这个不修改libpcap代码的问题?

解决方法:

如何使用更具体的过滤器启动新流程.你可以同时进行两次并行的pcap捕获.一段时间后(或检查两者都收到相同的数据包)你可以停止原来的.

标签:linux,sip,pcap,rtp,libpcap

来源: https://codeday.me/bug/20190630/1340915.html

逆光的温暖
关注
Libpcap库编程指南--过滤数据包
脱离了低级趣味的流氓
09-13 6353
WinPcap和Libpcap的最强大的特性之一,是拥有过滤数据包的引擎。 它提供了有效的方法去获取网络中的某些数据包,这也是WinPcap捕获机制中的一个组成部分。 用来过滤数据包的函数是 pcap_compile() 和 pcap_setfilter() 。 pcap_compile() 它将一个高层的布尔过滤表达式编译成一个能够被过滤引擎所解释的低层的字节码。有关布尔过滤表达式的语法可以参见
LibPcap丢包怎么办
qq2453939845的博客
04-27 506
最近有很多都跟小编反映LibPcap丢包的情况,那么LibPcap丢包怎么办呢? 我们要如何去解决,那么我们现在就跟小编一起去看看LibPcap丢包的具体解决方法,想了解的朋友们一起跟小编去看看吧。 环境描述:Snapgear-3.5.0 / kernel: linux-2.6.x / uClibc / Module: XSCALE/Intel IXP400 / LibPcap-0.9.2 / S...
LibPcap丢包问题
wfqxx的专栏
06-15 2593
http://yuzhu428.spaces.live.com/blog/cns!C75B8C7D675DDD53!207.entry这段时间查看了下LibPcap丢包率高的问题。网上也有不少朋友提及,但自己总怀疑自己的问题与他人不一样,所以钻进去看了看。环境描述:Snapgear-3.5.0 / kernel: linux-2.6.x / uClibc / Mod
LibPcap经常丢包怎么办?
weixin_54496365的博客
02-02 745
最近经常遇到LibPcap丢包的情况,那么LibPcap丢包怎么办呢?我们要如何去解决,那么我们现在就跟小编一起去看看LibPcap丢包的具体解决方法,想了解的朋友们一起跟小编去看看吧。   测试过程:先将板子设置成透明网桥模式,再让Snort工作在日志记录模式下(snort A none -N),然后由eth1(PC1)->eth2(PC2)跑Chariot TCP/High_Performance,此时平均速度约为93Mbps,最后跑完整个脚本中断Snort,显示Dropped: ≈86%。丢包
LinuxLibpcap源码分析及包过滤机制.pdf
06-03
LinuxLibpcap源码分析及包过滤机制 从给定的文件中,我们可以看出,Libpcap是一种用于在Linux系统中捕获和处理网络数据包的库。它提供了一个灵活的机制来过滤和处理网络数据包,特别是在内核空间中。 一、...
Linux下使用libpcap实现抓包
staticnetwind的专栏
10-11 1662
1. 背景 学习PF_RING的过程中,发现对libpcap进行重载。所以回到基础再次学习了一下pcap抓包原理。 2. 相关知识 2.1 原理 这篇文章写的就非常清晰《libpcap实现机制及接口函数》 这里实现的包捕获机制是在数据链路层增加一个旁路处理,并不干扰系统自身的网路协议栈的处理,对发送和接收的数据包通过Linux内核做过滤和缓冲处理,最后直接传递给上层应用程序。因此libpcap在捕获到达网卡的数据包后绕开了传统linux协议栈处理,直接使用链路层PF_PACKET协议族原始套接字方式向用户
LinuxLibpcap源码分析及包过滤机制.doc
11-13
Libpcap源码中,pcap_setfilter_Linux函数是用于设置过滤器的函数,该函数会尝试在内核中安装过滤器,如果安装成功,则将值设置为1,否则将值设置为0。如果不能在内核中安装过滤器,Libpcap将使用用户空间中的过滤...
get_tcp_code.rar_libpcap_tcp 抓包
09-24
2. **设置过滤器**: 可以通过`pcap_compile()`和`pcap_setfilter()`函数创建并设置BPF过滤规则,比如只捕获TCP数据包。 3. **开始捕获**: 使用`pcap_loop()`或`pcap_next()`函数开始捕获数据包。`pcap_loop()`会...
linux 平台的 libpcap 源代码
09-03
Linux上,libpcap利用内核的包过滤机制(例如,Berkeley Packet Filter, BPF)来捕获数据包。 **2. 数据包捕获流程** - **打开设备**:libpcap首先需要打开一个网络接口,这通常通过调用`pcap_open_live()`函数...
libpcap-MT:一种多线程的通用数据包捕获库
08-14
libpcap-MT:一种多线程的通用数据包捕获库
libpcap
wfqxx的专栏
03-09 2374
libpcap丢包的严重性,在默认情况下,其丢包率可以达到97%以上。这个恐怖的数值使我们感到惊讶。经过昨天对问题的分析,把解决问题的办法定位到了改变内核上。以改变libpcap的底层实现。Libpcap在底层也是通过socket来实现的。解决问题的办法是往内核中添加一种名为PF_RING的socket,这种socket在底层实现了DMA的读取方式,从而大大提高了网卡的效率。因为造成lib
libpcap详解
程序狗的成长之路
08-13 599
libpcap详解 2010-12-01 22:07 libpcap(Packet Capture Library),即数据包捕获函数库,是Unix/Linux平台下的网络数据包捕获函数库。它是一个独立于系统的用户层包捕获的API接口,为底层网络监测提供了一个可移植的框架。 一、libpcap工作原理 libpcap主要由两部份组成:网络分接头(Network Tap)和数据
libpcap丢包原理分析及Fedora 9 内核2.6.25.14下安装PF-RING的详细过程
smilestone322的专栏
03-25 4262
<br />      看到网上有人讲解fedora 9下安装PF-RING的过程,都是几年前的了,比较老了,我安装PF-RING就是为了使用libpcap库,libpcap的原理是通过socket将数据包从网卡 捕获数据包,然后在提交给应用程序,和winpcap很大的区别是,libpcap采用的是2个缓冲区,内核类似的一个乒乓操作,详细见我的庖丁解牛--winpcap源码彻底解密一系列的文章。winpcap采用的是环状缓冲区,在winpcap下当网卡有数据到来时,npf.sys就会将数据拷贝到内核缓冲区中
libpcap丢包原理分析及Fedor…
非同╰_╯寻常
10-10 3694
原文地址:9 内核2.6.25.14下安装PF-RING的详细过程">libpcap丢包原理分析及Fedora 9 内核2.6.25.14下安装PF-RING的详细过程作者:maoxti看到网上有人讲解fedora 9下安装PF-RING的过程,都是几年前的了,比较老了,我安装PF-RING就是为了使用libpcap库,libpcap的原理是通过socket将数据包从网卡 捕获数据包,然后在提交给
libpcap介绍(一)
最新发布
木牛的博客
03-01 729
Libpcap是Packet Capture Libray的英文缩写,即数据包捕获开源的C函数库,用于捕获网卡数据或分析pcap格式的抓包报文。Tcpdump和wireshark均是以此为基础的。主要功能有:网络报文抓取;网络报文的构建;抓包文件的分析;自定义BFP过滤。
Linux Libpcap源码解析:底层包捕获与BPF过滤机制详解
LinuxLibpcap源码分析和包过滤机制.doc是一篇深入研究Linux平台下的Libpcap库的文章,...通过阅读这篇文档,读者将能够理解LibpcapLinux中的具体实现,以及如何利用其包捕获和过滤功能来构建强大的网络监控工具。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值