libevent版本1.4和2.0之間的差異如何影響libpcap事件？

我在程序中使用libpcap和libevent。libevent版本1.4和2.0之間的差異如何影響libpcap事件？

相關源代碼包括：

const u_int16_t RELAY_PORT = 8000; 

pcap_t *create_pcap(const void *dev, pcap_style_t style) 
{ 
    pcap_t *handle;     /* Session handle */ 
    struct bpf_program fp;   /* The compiled filter */ 
    bpf_u_int32 mask;    /* The netmask */ 
    bpf_u_int32 net;    /* The IP subnet*/ 
    const struct pcap_pkthdr* pcap_header; /* A pointer to pcap_pkthdr structure */ 
    const u_char *pcap_packet;   /* The captured packet */ 

    char interface[20]; 
    strcpy(interface, dev); 

    /* Find the properties for the network interface */ 
    if (pcap_lookupnet(interface, &net, &mask, errbuf) == -1) { 
     fprintf(stderr, "Pcap counldn't get netmask for device %s: %s\n", interface, errbuf); 
     net = 0; 
     mask = 0; 
    } 


    handle = pcap_open_live(interface, BUFSIZ, 0, 0, errbuf); 
    if (handle == NULL) { 
    fprintf(stderr, "Pcap open live capture failure: %s\n", errbuf); 
      exit(1); 
    } 

    sprintf(filter_exp, "tcp[tcpflags] & (tcp-syn|tcp-ack) == (tcp-syn|tcp-ack) && src port %d || dst port %d", RELAY_PORT, RELAY_PORT); 

    /* Compile and apply the filter */ 
    if (pcap_compile(handle, &fp, filter_exp, 0, mask) == -1) { 
    fprintf(stderr, "Pcap parse filter failure: %s\n", pcap_geterr(handle)); 
     exit(1); 
    } 

    if (pcap_setfilter(handle, &fp) == -1) { 
     fprintf(stderr, "Pcap couldn't install filter: %s\n", pcap_geterr(handle)); 
     exit(1); 
    } 

    if(style == NONBLOCKING){ 
     if(pcap_setnonblock(handle, 1, errbuf) == -1){ 
      fprintf(stderr, "Pcap set non-blocking fails: %s\n", errbuf); 
       exit(1); 
     } 
    } 

    return handle; 
} 

////////////////////////////////////////////////// 

void on_capture(int pcapfd, short op, void *arg) 
{ 
    int res; 
    printf("on capture \n"); 
    pcap_t *handle; 
    handle = (pcap_t *)arg; 
    fqueue_t* pkt_queue; 

    /* put all packets in the buffer into the packet FIFO queue 
    * and then process these packets 
    * */ 
    pkt_queue = init_fqueue(); 
    res = pcap_dispatch(handle, -1, collect_pkt, (u_char *)pkt_queue); 
    printf("pcap_dispatch() returns %d\n", res); 
    if(!res) return; 
    process_packet(pkt_queue); 
} 

////////////////// 

int pcapfd; 
pcap_t *pcap_handle; 
struct event pcap_ev; 

pcap_handle = create_pcap("eth0", NONBLOCKING); 
pcapfd = pcap_get_selectable_fd(pcap_handle); 
if(pcapfd<0){ 
    perror("pcap_get_selectable_fd() failed!\n"); 
    exit(1); 
} 

if (setnonblock(pcapfd) == -1) return -1; 

base = event_init(); 

event_set(&pcap_ev, pcapfd, EV_READ|EV_PERSIST, on_capture, pcap_handle); 
event_base_set(base, &pcap_ev); 
if(event_add(&pcap_ev, NULL) == -1){ 
    perror("event_add() failed for pcap_ev!\n"); 
    exit(-1); 
} 

    event_base_dispatch(base); 
---------------------------------------------

我還寄存器上event_base兩個TCP事件

然後我在主機A和主機B運行程序數據包發送給A（on_accept和on_recv。），同時我使用tcpdump捕獲A上的數據包（tcpdump -i eth0 port 8000）

爲了比較，我有兩臺筆記本電腦充當A，我試圖在這兩臺筆記本電腦上編譯並運行程序，一個是Fedora（fedora版本18），一個是Ubuntu（Ubu NTU 14.04.2 LTS）

ubuntu: Linux 3.13.0-61-generic 
fedora: Linux 3.11.10-100-fc18.x86_64

在Ubuntu事件按以下順序

on capture 
pcap_dispatch() returns 0 
on capture 
pcap_dispatch() returns 0 
on accept 
on recv

但奇怪的是，pcap_dispatch返回0兩次被調用。我的期望是，當觸發on_capture事件時，pcap_dispatch將在觸發on_accept事件之前捕獲TCP SYN數據包（TCP數據包在切換到TCP堆棧之前在NIC上捕獲）。但我不知道爲什麼on_capture事件被調用兩次，pcap_dispatch（）返回0.

在Fedora上，程序按預期工作，pcap_dispatch（）可以在on_accept事件之前第一次調用它時捕獲數據包。

我使用ldd來檢查每檯筆記本電腦上該程序的庫。

的Fedora：

$ldd relay 
linux-vdso.so.1 => (0x00007fff1d1ad000) 
libevent-1.4.so.2 => /lib/libevent-1.4.so.2 (0x00007faca467d000) 
libpcap.so.1 => /lib64/libpcap.so.1 (0x00000035b4a00000) 
libc.so.6 => /lib64/libc.so.6 (0x00000035b0a00000) 
libnsl.so.1 => /lib64/libnsl.so.1 (0x00000035cea00000) 
librt.so.1 => /lib64/librt.so.1 (0x00000035b1a00000) 
libresolv.so.2 => /lib64/libresolv.so.2 (0x00000035b2e00000) 
/lib64/ld-linux-x86-64.so.2 (0x00000035b0200000) 
libpthread.so.0 => /lib64/libpthread.so.0 (0x00000035b1600000)

Ubuntu的：

$ ldd relay 
linux-vdso.so.1 => (0x00007ffd08bc5000) 
libevent-2.0.so.5 => /usr/lib/x86_64-linux-gnu/libevent-2.0.so.5 (0x00007eff35f81000) 
libpcap.so.0.8 => /usr/lib/x86_64-linux-gnu/libpcap.so.0.8 (0x00007eff35d43000) 
libc.so.6 => /lib/x86_64-linux-gnu/libc.so.6 (0x00007eff3597e000) 
libpthread.so.0 => /lib/x86_64-linux-gnu/libpthread.so.0 (0x00007eff35760000) 
/lib64/ld-linux-x86-64.so.2 (0x00007eff361c5000)

確實，無論是libpcap的和libevent的版本是不同的。我的程序在ubuntu上運行時有什麼潛在的問題？如何解決ubuntu上的意外問題？謝謝！

來源

2015-10-12 lily

libevent版本1.4和2.0之間的差異如何影響libpcap事件？

它沒有。

確實，無論是libpcap的和libevent的版本不同

是;正如您在我的電子郵件中指出的那樣，Fedora上的libpcap是libpcap 1.3.0，而Ubuntu上的libpcap是libpcap 1.5.3。

Libpcap 1.3.0不支持TPACKET_V3和libpcap 1.5.3。根據您的電子郵件，您的Fedora機器上的內核（3.11.10-100-fc18.x86_64）和您的Ubuntu機器（3.13.0-61-通用，根據您的電子郵件）都支持TPACKET_V3。

如何解決ubuntu上的意外問題？

不要在pcap_open_live()調用中使用超時值0。由於TPACKET_V3的工作方式，它在舊內核中的工作方式存在一些錯誤（從這個意義上說，你的內核都是「老」），libpcap嘗試使非阻塞模式工作的方式使超時工作爲0，並解決這些錯誤，超時時間爲0可能無法正常工作。嘗試超時，例如100（1/10秒）或10（1/100秒）。

請注意，如果超時0按照預期的方式工作，則可能是因爲libpcap的事件可能無法在任意長的時間段內傳遞，而時間段越長，捕獲的流量越少，所以它很少，如果有的話，使用超時爲0的好主意。

來源

2015-10-13 09:21:48

我不明白。如果我將超時設置爲1/10秒（或1/100，無論如何），這意味着如果沒有數據包到達，pcap事件仍然會頻繁觸發，這是不可取的，不是嗎？此外，timeout = -1是什麼意思？ – lily

我讀了你的答案和這篇文章https://github.com/jvinet/knock/issues/5。所以基本上有兩個原因，爲什麼不應該使用timeout = 0：1）它可能增加CPU的負擔2）「足夠的數據包到達」可能意味着「足夠的數據包填滿緩衝區」在Linux上，這需要很長的時間時間。但在我看來1）和2）彼此衝突。不是嗎？有什麼其他原因，超時= 0不應該使用？ – lily

「pcap事件仍然會被頻繁觸發，這是不可取的，不是嗎？」鑑於我提到的內核錯誤，是的，它*是可取的;請參閱https://github.com/the-tcpdump-group/libpcap/issues/335#issuecomment-30280794（並且相信我這一次 - 這真的會發生什麼，正如我在修復該錯誤時發現的那樣;如果您沒有認爲這個解釋是有道理的，你錯過了一些東西）。 –

libevent版本1.4和2.0之間的差異如何影響libpcap事件？

回答

相關問題