linux下的数据报文截获机制

最新推荐文章于 2023-10-23 14:06:42 发布
转载 最新推荐文章于 2023-10-23 14:06:42 发布 · 2.2k 阅读 · 1
文章标签:

#linux #filter #工作 #unix #solaris #interface

本文介绍了Linux下数据包捕获的基本原理,包括Packetfilter服务的作用及其工作流程。通过使用Packetfilter,应用程序可以在较低层级捕获数据包,这对于理解如何捕获无线网络管理帧至关重要。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

linux下的数据报文截获机制

很多数据包截获软件都使用特定的库,在windows下一般使用winpcap,而在linuxunix下一般都选用libpcap,使用这些库能在一定程度上减少工作量,加快程序的进程,但往往容易忽略了一些本质的东西,例如libpcap又是怎样来截获数据报文的。

分析和了解数据报文截获的机制对于了解如何才能截获到无线网络的管理报文有着重要的意义。

通常的数据报文是如何被处理的呢?如图3-1所示。当数据到达网卡时,网卡就把数据交给网卡的驱动程序,当驱动程序处理完数据时就把经过处理的数据交给上层的协议栈,当然也会丢弃一部分,上层一般是操作系统内核的一部分。

3-1

要截获到MAC层的数据报文就必须尽可能早的截获数据,也就是在尽可能在底层截获数据报文。

Linuxunix系统提供了一种称为Packet filter的服务,它可以用来截获数据报文,它是作为内核的一部分存在的,它的层次及工作方式如图3-2所示。

3-2

没有程序使用Packet filter时,数据还是像图3-1那样由驱动程序传给协议栈,而当有程序使用Packet filter时,情况则会不同。驱动程序首先将数据报文拷贝给Packet filter,然后Packet filter经过程序定义的过滤方式将不需要的数据报文过滤掉,然后将报文放到应用程序的缓冲区中,这时截获数据报文的应用程序就完成了报文截获的工作。随后驱动程序再进行正常的处理,将数据报文传给协议栈。这就是Packet filter的工作原理。

的类型

不同的操作系统提供了不同Packet filter

BSD系统:BPFBerkeley Packet Filter

Solaris:         DLPI(Data Link Provider Interface)

Linux:            LSFLinux Socket filter

不同Packet filter的实现细节都不相同,但是大致的工作原理是相同的。

要截获数据报文,可以编写应用程序使用Packet filter,但是由于不用操作系统上的Packet filter又有差别,因此想要编写的应用程序能在不同操作系统上使用,就必须对不同Packet filter进行识别并使用。

及工作原理

Libpcap是一个在linuxunix操作系统下被广泛使用的数据报文截获的库,他被大量有名的软件所使用,例如tcpdump,ethereal等等。那它又是如何工作的呢?

Libpcap能识别不同操作系统的不同Packet filter,并正确的使用它们,而它向上提供了一个统一的接口让应用程序调用。他类似于一个抽象层,让应用程序可以无视底层的Packet filter而只要使用统一的接口就可以实现数据报文截获,做到了操作系统无关性。分析到这里也就可以知道linuxunix下基于libcap的数据报文截获工具本质上是使用了Packet filter来完成数据报文截获功能的,Ethereal也不例外。

 

使用tcpdump命令在Linux上捕获和分析数据包
LogicODER的博客
10-16 191
这些是使用tcpdump命令在Linux上捕获和分析数据包的基本步骤和示例。通过灵活使用tcpdump的选项和过滤器,您可以根据自己的需求捕获和分析感兴趣的网络流量。请记住,在进行网络流量分析时,遵守适用法律和隐私政策的要求,并仅在您有合法权限的情况下进行数据包捕获和分析。在Linux系统中,tcpdump是一个功能强大的命令行工具,它可以用于捕获和分析网络数据包。它提供了丰富的选项和过滤器,使用户能够根据自己的需求捕获和分析特定的网络流量。捕获数据包后,您可以使用tcpdump命令来分析这些数据包
基于Linux操作系统下的数据包截取与分析
04-27
计算机网络具有联结形式的多样性、终端分布不均匀性和网络的开放性、互连性等特征,致使网络受黑客、恶意软件和其他不轨的攻击,所以网上信息的安全保密是一个重要的问题,也是网络世界里一个很热门的研究方向。
Linux命令截取pcap包 前100条报文 输出另一个pcap文件&基于数据长度和内容过滤
captain
10-23 687
其中,-r选项表示读取输入pcap文件,-w选项表示输出到另一个pcap文件,-c选项表示只截取100条报文。将input.pcap和output.pcap替换为实际的输入和输出pcap文件名即可。
基于linux系统的报文捕获技术研究
05-22
网络监测用得到的文档,主要是零拷贝的技术的实现过程
Linux数据报文的来龙去脉
~~ LINUX ~~
05-08 600
作为网络领域的开发人员,我们经常要与Linux数据报文打交道,一定要搞清楚数据报文是从何而来,又是如何离去。以前针对这个主题写过一些文章(主要是从源码角度),这次会更重视流程示意图(在细节上必然有所简化),争取在一篇文章中,就让大家理清数据报文的来龙去脉。 一、网卡把报文传到内核的流程图 图1. 网卡传递数据包到内核的流程图 1. 网卡在启动时会申请一个接收ring buffer...
linux下tap的一种使用方法
热门推荐
sunshine_okey的专栏
07-19 1万+
http://www.ibm.com/developerworks/cn/linux/l-tuntap/ tap的介绍就不说了,请自行参考上面的引用 先说一下应用环境: 采用Tilera的平台(一种众核平台,),三张网卡,两个10G的xgbe网卡,用来进行数据的发送和接受;一个1G的普通网卡,用来做管理接口. 10G的xgbe工作在Tilera的特定sdk下,其中的数据包
深入网络底层,了解Linux系统收发网络数据包的过程、原理、流程,附图文说明
代码讲故事
09-16 981
深入网络底层,了解Linux系统收发网络数据包的过程、原理、流程,附图文说明。
利用Linux Netfilter实现报文提取驱动
u012388882的专栏
11-03 466
需求: 需要对网口接收到的报文进行修改,送入linux namespace 协议栈进行处理。
Linux内核一】在Linux系统下网口数据收发包的具体流向是什么?
highman110的博客
03-08 1722
简述Linux系统下网络收发包流程
Linux 常用命令
Ricardo的博客
09-06 3668
一.抓包命令 二.查看内存相关 三.查看系统相关 四.查看文件句柄
ip报文的截取与分析
04-22
计算机网络实验 ip报文的截取与分析 linux下编程,写程序获取ip报文的 类型,长度,源地址和目的地址等。。。。
Linux数据报文的来龙去脉,Linux下的数据报文截获机制
weixin_29790175的博客
05-12 178
很多数据包截获软件都使用特定的库,在Windows下一般使用winpcap,而在Linuxunix下一般都选用libpcap,使用这些库能在一定程度上减少工作量,加快程序的进程,但往往容易忽略了一些本质的东西,例如libpcap又是怎样来截获数据报文的。分析和了解数据报文截获机制对于了解如何才能截获到无线网络的管理报文有着重要的意义。通常的数据报文是如何被处理的呢?如图3-1所示。当数据到达网...
tcpdump报文截取和分析
acooly
10-21 2973
简介 Tcpdump是linux环境下的报文抓包工具。支持针对网络层、协议、主机、网络或端口的过滤,并提供and、or、not等逻辑语句来帮助你去掉无用的信息。 Windows下一般使用wireshark进行报文抓取和报文分析。Linux下一般可以使用tcpdump+(tcptrace或wireshark)。安装tcpdump 本文以redhat as 5作为基础...
网络数据包收发流程(一):从驱动到协议栈
嵌入式开发小站
08-17 2102
转载一位哥们的文章,他是一个系列,很不错! 早就想整理网络数据包收发流程了,一直太懒没动笔。今天下决心写了 一、硬件环境 intel82546:PHY与MAC集成在一起的PCI网卡芯片,很强大 bcm5461:   PHY芯片,与之对应的MAC是TSEC TSE
Linux捕获和拦截数据包的方法和思路
weixin_30800807的博客
07-10 2119
libpcap可用于截获网卡上收发的数据包,tcpdump等工具基于该包分析数据; netfilter/iptales可以拦截数据包; ms没有办法拦截tcp连接中的指定数据,只能reset TCP连接; 转载于:https://www.cnblogs.com/freelooper/p/9287163.html...
[linux]网络报文发送、接收调用链
Rain的专栏
04-23 2193
http://blog.chinaunix.net/uid-20485483-id-82939.html 网络报文从应用程序产生,通过网卡发送,在另一端的网卡接收数据并传递给应用程序。这个过程网络报文在内核中调用了一系列的函数。下面把这些函数列举出来,方便我们了解网络报文的流程。 发送流程: write   | sys_write   | sock_sendmsg   | i
tcpdump 报文截取分析
huyangyamin的专栏
01-10 1432
http://acooly.iteye.com/blog/1207473
Linux原始套接字抓取底层报文
遇见你是我最美丽的意外
12-16 9338
1.原始套接字使用场景         我们平常所用到的网络编程都是在应用层收发数据,每个程序只能收到发给自己的数据,即每个程序只能收到来自该程序绑定的端口的数据。收到的数据往往只包括应用层数据,原有的头部信息在传递过程中被隐藏了。某些情况下我们需要执行更底层的操作,比如监听所有本机收发的数据、修改报头等,而像SOCK_STREAM、SOCK_DGRAMZ则通常用于应用层,并不能满足该需求。 ...
不依靠上位机如何看rs485报文
最新发布
04-04
### 如何在无上位机情况下捕获和解析 RS485 报文 #### 工具与方法概述 为了实现在没有上位机的情况下捕获并解析 RS485 通信报文,可以采用专用硬件工具以及嵌入式开发方式来完成这一目标。以下是具体的方法和技术手段: --- #### 使用逻辑分析仪捕获 RS485 数据 逻辑分析仪是一种常用的电子测试仪器,能够实时采集和显示数字信号波形。对于 RS485 的半双工通信模式,可以通过配置逻辑分析仪支持两线制差分信号输入的方式进行监测。 - **优点**: 高精度时间戳记录、直观图形化界面便于观察复杂序列中的细节。 - **操作要点**: - 设置采样率高于波特率至少十倍以上以确保足够的分辨率[^1]。 - 正确连接探头到 A/B 线路端子,并确认极性匹配以防损坏设备。 ```bash # 假设使用 Saleae Logic Analyzer 软件命令行控制接口设置参数示例 logic --connect usb://<device_id> \ --configure rs485 \ --baudrate 9600 \ --start_capture ``` --- #### 利用微控制器作为独立监听节点 如果预算有限或者需要更灵活的应用场景,则可以选择基于单片机(MCU)设计一个简易的数据截获装置。通过编写固件让 MCU 不仅能接收来自其他节点的消息还能将其存储起来供后续处理。 - **推荐平台**: STM32系列因其丰富的外设资源和支持多种总线协议而成为理想选择之一。 - **实现流程**: - 初始化 UART 或者专门的 RS485 收发模块工作于被动侦听状态; - 编写中断服务程序捕捉每一帧有效载荷; - 将接收到的内容保存至内部 Flash 或外部 SD 卡以便离线查看。 下面给出一段伪代码用于说明上述思路: ```c #include "stm32fxxx_hal.h" void HAL_UART_RxCpltCallback(UART_HandleTypeDef *huart){ static uint8_t buffer[256]; size_t length = huart->RxXferSize; /* Process received packet */ process_packet(buffer, length); } int main(void){ MX_USARTx_Init(); // Initialize USART peripheral while (1){ __HAL_UART_ENABLE_IT(&huartx, UART_IT_RXNE); HAL_Delay(10); } } ``` --- #### 构建便携式串口服务器解决方案 另一种可行方案就是搭建小型化的串口服务器单元,它可以直接部署在现场环境中持续收集指定地址范围内的所有流量信息。这类产品通常内置 Linux 操作系统并且预装了 Modbus RTU 解码库等功能组件简化二次开发难度。 - **典型架构描述** - 主控芯片选用 ARM Cortex-M7 类高性能处理器配合 DDR 存储扩展容量满足大数据量需求; - 提供标准 RJ45 接口允许远程访问管理页面调整过滤条件等高级选项; - 输出结果可通过 Wi-Fi/GPRS 方式上传云端进一步挖掘价值所在。 值得注意的是,这种方法虽然初期投入成本较高但长期来看具备更好的可维护性和兼容性优势[^3]. --- ### 注意事项 无论采取哪种途径都应充分考虑实际环境因素可能带来的影响比如电磁干扰等问题可能导致误判情况发生因此建议增加校验机制提高可靠性水平[^2]. 同时也要注意保护个人隐私遵循当地法律法规限制非法窃听行为的发生. ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值