我在程序中使用libpcap和libevent。libevent版本1.4和2.0之間的差異如何影響libpcap事件?
相關源代碼包括:
const u_int16_t RELAY_PORT = 8000;
pcap_t *create_pcap(const void *dev, pcap_style_t style)
{
pcap_t *handle; /* Session handle */
struct bpf_program fp; /* The compiled filter */
bpf_u_int32 mask; /* The netmask */
bpf_u_int32 net; /* The IP subnet*/
const struct pcap_pkthdr* pcap_header; /* A pointer to pcap_pkthdr structure */
const u_char *pcap_packet; /* The captured packet */
char interface[20];
strcpy(interface, dev);
/* Find the properties for the network interface */
if (pcap_lookupnet(interface, &net, &mask, errbuf) == -1) {
fprintf(stderr, "Pcap counldn't get netmask for device %s: %s\n", interface, errbuf);
net = 0;
mask = 0;
}
handle = pcap_open_live(interface, BUFSIZ, 0, 0, errbuf);
if (handle == NULL) {
fprintf(stderr, "Pcap open live capture failure: %s\n", errbuf);
exit(1);
}
sprintf(filter_exp, "tcp[tcpflags] & (tcp-syn|tcp-ack) == (tcp-syn|tcp-ack) && src port %d || dst port %d", RELAY_PORT, RELAY_PORT);
/* Compile and apply the filter */
if (pcap_compile(handle, &fp, filter_exp, 0, mask) == -1) {
fprintf(stderr, "Pcap parse filter failure: %s\n", pcap_geterr(handle));
exit(1);
}
if (pcap_setfilter(handle, &fp) == -1) {
fprintf(stderr, "Pcap couldn't install filter: %s\n", pcap_geterr(handle));
exit(1);
}
if(style == NONBLOCKING){
if(pcap_setnonblock(handle, 1, errbuf) == -1){
fprintf(stderr, "Pcap set non-blocking fails: %s\n", errbuf);
exit(1);
}
}
return handle;
}
//////////////////////////////////////////////////
void on_capture(int pcapfd, short op, void *arg)
{
int res;
printf("on capture \n");
pcap_t *handle;
handle = (pcap_t *)arg;
fqueue_t* pkt_queue;
/* put all packets in the buffer into the packet FIFO queue
* and then process these packets
* */
pkt_queue = init_fqueue();
res = pcap_dispatch(handle, -1, collect_pkt, (u_char *)pkt_queue);
printf("pcap_dispatch() returns %d\n", res);
if(!res) return;
process_packet(pkt_queue);
}
//////////////////
int pcapfd;
pcap_t *pcap_handle;
struct event pcap_ev;
pcap_handle = create_pcap("eth0", NONBLOCKING);
pcapfd = pcap_get_selectable_fd(pcap_handle);
if(pcapfd<0){
perror("pcap_get_selectable_fd() failed!\n");
exit(1);
}
if (setnonblock(pcapfd) == -1) return -1;
base = event_init();
event_set(&pcap_ev, pcapfd, EV_READ|EV_PERSIST, on_capture, pcap_handle);
event_base_set(base, &pcap_ev);
if(event_add(&pcap_ev, NULL) == -1){
perror("event_add() failed for pcap_ev!\n");
exit(-1);
}
event_base_dispatch(base);
---------------------------------------------
我還寄存器上event_base兩個TCP事件
然後我在主機A和主機B運行程序數據包發送給A(on_accept和on_recv。) ,同時我使用tcpdump捕獲A上的數據包(tcpdump -i eth0 port 8000)
爲了比較,我有兩臺筆記本電腦充當A,我試圖在這兩臺筆記本電腦上編譯並運行程序,一個是Fedora(fedora版本18),一個是Ubuntu(Ubu NTU 14.04.2 LTS)
ubuntu: Linux 3.13.0-61-generic
fedora: Linux 3.11.10-100-fc18.x86_64
在Ubuntu事件按以下順序
on capture
pcap_dispatch() returns 0
on capture
pcap_dispatch() returns 0
on accept
on recv
但奇怪的是,pcap_dispatch返回0兩次被調用。我的期望是,當觸發on_capture事件時,pcap_dispatch將在觸發on_accept事件之前捕獲TCP SYN數據包(TCP數據包在切換到TCP堆棧之前在NIC上捕獲)。但我不知道爲什麼on_capture事件被調用兩次,pcap_dispatch()返回0.
在Fedora上,程序按預期工作,pcap_dispatch()可以在on_accept事件之前第一次調用它時捕獲數據包。
我使用ldd
來檢查每檯筆記本電腦上該程序的庫。
的Fedora:
$ldd relay
linux-vdso.so.1 => (0x00007fff1d1ad000)
libevent-1.4.so.2 => /lib/libevent-1.4.so.2 (0x00007faca467d000)
libpcap.so.1 => /lib64/libpcap.so.1 (0x00000035b4a00000)
libc.so.6 => /lib64/libc.so.6 (0x00000035b0a00000)
libnsl.so.1 => /lib64/libnsl.so.1 (0x00000035cea00000)
librt.so.1 => /lib64/librt.so.1 (0x00000035b1a00000)
libresolv.so.2 => /lib64/libresolv.so.2 (0x00000035b2e00000)
/lib64/ld-linux-x86-64.so.2 (0x00000035b0200000)
libpthread.so.0 => /lib64/libpthread.so.0 (0x00000035b1600000)
Ubuntu的:
$ ldd relay
linux-vdso.so.1 => (0x00007ffd08bc5000)
libevent-2.0.so.5 => /usr/lib/x86_64-linux-gnu/libevent-2.0.so.5 (0x00007eff35f81000)
libpcap.so.0.8 => /usr/lib/x86_64-linux-gnu/libpcap.so.0.8 (0x00007eff35d43000)
libc.so.6 => /lib/x86_64-linux-gnu/libc.so.6 (0x00007eff3597e000)
libpthread.so.0 => /lib/x86_64-linux-gnu/libpthread.so.0 (0x00007eff35760000)
/lib64/ld-linux-x86-64.so.2 (0x00007eff361c5000)
確實,無論是libpcap的和libevent的版本是不同的。 我的程序在ubuntu上運行時有什麼潛在的問題?如何解決ubuntu上的意外問題? 謝謝!
我不明白。如果我將超時設置爲1/10秒(或1/100,無論如何),這意味着如果沒有數據包到達,pcap事件仍然會頻繁觸發,這是不可取的,不是嗎?此外,timeout = -1是什麼意思? – lily
我讀了你的答案和這篇文章https://github.com/jvinet/knock/issues/5。所以基本上有兩個原因,爲什麼不應該使用timeout = 0:1)它可能增加CPU的負擔2)「足夠的數據包到達」可能意味着「足夠的數據包填滿緩衝區」在Linux上,這需要很長的時間時間。但在我看來1)和2)彼此衝突。不是嗎?有什麼其他原因,超時= 0不應該使用? – lily
「pcap事件仍然會被頻繁觸發,這是不可取的,不是嗎?」鑑於我提到的內核錯誤,是的,它*是可取的;請參閱https://github.com/the-tcpdump-group/libpcap/issues/335#issuecomment-30280794(並且相信我這一次 - 這真的會發生什麼,正如我在修復該錯誤時發現的那樣;如果您沒有認爲這個解釋是有道理的,你錯過了一些東西)。 –