![](/img/trans.png)
[英]Why does a PF_PACKET RAW socket stop missing packets after “Wireshark” was launched?
[英]Reading from PF_PACKET SOCK_RAW with read() misses packets
在 C 中的 linux 上,設置接口 PROMISC 並使用原始套接字后,我可以通過 read() 讀取接口上的傳入數據包。
但是,它不會獲取所有數據包。 在從文件描述符讀取下一個可用數據之前,Read() 會阻塞“長”時間(<1 秒,但數據包以每秒數百個的速度流動)。
一定有什么缺失或根本錯誤。
“使用 libpcap”不是有效的答案。 我查看了他們的代碼,找不到區別(libpcap 不會錯過數據包)
初始化 fd:
if ((fd = socket(PF_PACKET, SOCK_RAW, htons(ETH_P_ALL))) < 0) {
perror("socket(PF_PACKET) failed");
return 1;
}
memset(&ifr, 0, sizeof(ifr));
strncpy(ifr.ifr_name, iface, sizeof(ifr.ifr_name) - 1);
if (ioctl(fd, SIOCGIFINDEX, &ifr) < 0) {
perror("ioctl(SIOCGIFINDEX) failed");
return 1;
}
memset(&sll, 0, sizeof(sll));
sll.sll_family = AF_PACKET;
sll.sll_ifindex = ifr.ifr_ifindex;
sll.sll_protocol = htons(ETH_P_ALL);
if ((ifr.ifr_flags | IFF_UP | IFF_BROADCAST | IFF_RUNNING) != ifr.ifr_flags) {
ifr.ifr_flags |= IFF_UP | IFF_BROADCAST | IFF_RUNNING;
if( ioctl( fd, SIOCSIFFLAGS, &ifr ) < 0 ) {
perror("ioctl(SIOCSIFFLAGS) failed");
return 1;
}
}
if (bind(fd, (struct sockaddr *) &sll, sizeof(sll)) < 0) {
perror("bind(ETH_P_ALL) failed");
return 1;
}
if (ioctl(fd, SIOCGIFHWADDR, &ifr) < 0)
{
perror("ioctl(SIOCGIFHWADDR) failed");
return 1;
}
if (ifr.ifr_hwaddr.sa_family != ARPHRD_IEEE80211 &&
ifr.ifr_hwaddr.sa_family != ARPHRD_IEEE80211_PRISM &&
ifr.ifr_hwaddr.sa_family != ARPHRD_IEEE80211_FULL)
{
if (ifr.ifr_hwaddr.sa_family == 1)
fprintf(stderr, "\nARP linktype is set to 1 (Ethernet) ");
else
fprintf(stderr, "\nUnsupported hardware link type %4d ",
ifr.ifr_hwaddr.sa_family);
fprintf(stderr, "- expected ARPHRD_IEEE80211,\nARPHRD_IEEE80211_"
"FULL or ARPHRD_IEEE80211_PRISM instead. Make\n"
"sure RFMON is enabled: run 'airmon-ng start %s"
" <#>'\nSysfs injection support was not found "
"either.\n\n", iface);
return 1;
}
memset(&mr, 0, sizeof(mr));
mr.mr_ifindex = sll.sll_ifindex;
mr.mr_type = PACKET_MR_PROMISC;
if (setsockopt(fd, SOL_PACKET, PACKET_ADD_MEMBERSHIP, &mr, sizeof(mr)) < 0) {
perror("setsockop(PACKET_MR_PROMISC) failed");
return 1;
}
讀:
while (caplen > 0) {
if ((caplen = read(fd, p, read_size)) < 0) {
perror("read failed");
break;
}
p += caplen;
read_size -= caplen;
}
}
Libpcap 1.0 及更高版本可能也使用內存映射接口,但問題中的代碼沒有; 這可能會有所作為。
請參閱 Linux 源中的 Documentation.networking/packet_mmap.txt 文件,但請注意,至少對於 TPACKET_V1 和 TPACKET_V2,內存映射緩沖區中的所有插槽都必須足夠大以容納來自 .network 的最大可能數據包適配器(這可能比你想象的要大,例如,如果數據包有一個額外的 header,例如 802.11 的 radiotap 元數據 header,或者如果適配器正在執行 TCP 分段或重組)。
還要確保您提供的套接字緩沖區(或內存映射環形緩沖區)與 libpcap 使用的一樣大。
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.