本文介绍Linux下高效抓包方式packet_mmap,通过内核分配的环形缓冲区减少数据复制,提高性能。packet_mmap原理包括内核空间分配缓冲区,用户空间通过mmap映射,使用poll等待新数据包。文章详细阐述了创建socket、设置环形缓冲区及mmap映射的关键步骤,并探讨了其在抓包应用中的实现。
一 概述
本人 linux下 tcpdump 详解前中后 分析过抓包的流程。具体篇章对应如下
- 前篇了解了libpcap库如何实现抓包
- 中篇深入内核底层讲述了抓包的原理
- 后篇自己实现过抓包过程
tcpdump 篇章中讲述的只是原始的抓包流程。
原始的抓包流程?简单的说就是创建socket,设置bpf后,每次接收数据包都要调用recvfrom系统调用。而每次调用recvfrom内核底层抓到的数据包都需要用内核copy到用户。不管是系统调用,还是copy都是相当耗cpu性能的。而linux内核提供了一种更高效的抓包方式packet_mmap
二 packet_mmap 原理
packet_mmap是什么呢?它又是如何比原始的抓包流程高效的?如果你对mmap了解,其实就是PACKET_MMAP在内核空间中分配一块内核缓冲区,然后用户空间程序调用mmap映射到用户空间。将接收到的skb拷贝到那块内核缓冲区中,这样用户空间的程序就可以直接读到捕获的数据包了。从而减少了数据从内核copy到用户的性能消耗。
PACKET_MMAP提供一个映射到用户空间的大小可配置的环形缓冲区,读取报文只需要等待报文就可以了(poll 其实也是系统调用),当内核抓到数据包放入环形缓存时,poll就会知道,同时用户层可以根据状态(TP_STATUS_USER)来判断环形缓冲区哪些可以用户层处理的数据包。接收处理后再将状态设置为TP_STATUS_KERNEL。告诉内核缓存区中这块数据用户处理完了,内核可以自己处理。内核处理完后又会将状态设置为TP_STATUS_USER。
三 使用
官方文档packet_mmap.txt中介绍了使用的过程,本博客借鉴文档里的内容。官方文档链接如下https://www.mjmwired.net/kernel/Documentation/networking/packet_mmap.txt
需特别注意:本博客主要讲解抓包packet_mmap的实现,不涉及发包。发包会在后一篇博客单独说明
[setup]
- socket() ------> 捕获socket的创建
- setsockopt() ------> 设置接收环形缓冲区 PACKET_RX_RING
- mmap() ------> 将分配的缓冲区映射到用户空间中
[capture]
- poll() ------> 等待底层有捕获到新的数据包
[shutdown]
- close ------> 关闭socket资源
主要看setup中几个关键步骤
1. 创建 socket
int fd = socket(PF_PACKET, mode, htons(ETH_P_ALL));
mode的设置主要有两种
- SOCK_RAW,链路层信息也会被捕获;
- SOCK_DGRAM,抓到的数据包将去除链路层的信息
2. 设置环形缓冲区
struct tpacket_req {
unsigned int tp_block_size; /* Minimal size of contiguous block */
unsigned int tp_block_nr; /* Number of blocks */
unsigned int tp_frame_size; /* Size of frame */
unsigned int tp_frame_nr; /* Total number of frames */
};
setsockopt(fd, SOL_PACKET, PACKET_RX_RING, (void *)&req, sizeof(req));
捕获frame被划分为多个block,每个block是一块物理上连续的内存区域,每个block有tp_block_size/tp_frame_size 个frame。也就是说tp_frame_size的大小不应该超过tp_b
最低0.47元/天 解锁文章
扫一扫
2509
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
