PACKET_MMAP:LINUX上用户级数据包采集性能最高的方法

最新推荐文章于 2024-04-03 21:25:15 发布
最新推荐文章于 2024-04-03 21:25:15 发布
阅读量1.5k 收藏 6
点赞数 1
分类专栏: DLP 文章标签: linux struct filter buffer socket documentation

PACKET_MMAP:LINUX上用户级数据包采集性能最高的方法

    关于PACKET_MMAP,请先看"PACKET_MMAP's documentation" -  http://lkml.indiana.edu/hypermail/linux/net/0403.3/0021.html,这篇文章里面大概地讲述了如何使用原始套接字加内存映射来提高应用层的数据包采集性能。
      经过反复改进和测试,目前发现PACKET_MMAP方式是LINUX系统中在用户级数据包采集性能最好的方法,对比测试的结果请看我的前一篇文章《》。

     以下是一个使用PACKET_MMAP方式的例子程序,目前国内的网站上暂未发现完整的例子,国外网站上的几个例子也讲得含糊不清。因此把代码贡献出来,希望对大家有用:
//==============================================================
//socket_mmap.cpp
//此程序演示了如何采用内存映射的方式采集数据包
//这是应用层数据库采集性能最高的方法
//g++ -o socket_mmap socket_mmap.cpp -Wall -lpcap

#include <stdio.h>

#include <pcap.h>
#include <linux/types.h>
#include <linux/filter.h>

#include <sys/socket.h>
#include <string.h>
#include <linux/if_packet.h>
#include <net/if.h>
#include <sys/ioctl.h>      //ioctl()
#include <arpa/inet.h>
#include <unistd.h>
#include <linux/if_ether.h>

#include <sys/poll.h>
#include <sys/mman.h>

#ifndef P
#define P(format, ...) do \
    { \
        fprintf(stdout, "%s %s %d " format "\n", __FILE__, __FUNCTION__, __LINE__, ##__VA_ARGS__); \
        fflush(stdout); \
    } \
    while (0);
#endif

void PrintPacket(const char* ip)
{
    //do something
}

bool ExpressionToFilter(const char* exp, struct sock_fprog* f)
{
    pcap_t* pHandle = pcap_open_dead(DLT_EN10MB, 1500);
    if (NULL==pHandle)
    {
        P("pcap_open_dead error");
        return false;
    }
    struct bpf_program st_bpf;
    if (-1==pcap_compile(pHandle, &st_bpf, (char*)exp, 1, 0x00ffffff))
    {
        pcap_close(pHandle);
        P("compile error");
        return false;
    }
    f->len = (unsigned short)st_bpf.bf_len;
    f->filter = (struct sock_filter*)st_bpf.bf_insns;
    pcap_close(pHandle);
    return true;
}

void FreeFilter(struct sock_fprog* f)
{
    if (NULL!=f->filter)
    {
        struct bpf_program st_bpf;
        st_bpf.bf_len = f->len;
        st_bpf.bf_insns = (struct bpf_insn*)f->filter;
        pcap_freecode(&st_bpf); //注意:这种转换方法很不安全,很可能导致程序崩溃
        f->filter = NULL;
    }
}

bool SetPromisc(int sock, const char* dev)
{
    struct ifreq ethreq;        //在<net/if.h>中定义
    strncpy(ethreq.ifr_name, dev, IFNAMSIZ);
    if (ioctl(sock, SIOCGIFFLAGS, &ethreq)==-1)    //SIOCGIFFLAGS 获取标志,在<linux/sockios.h>中定义
    {
        P("ioctl error");
        return false;
    }
    ethreq.ifr_flags |= IFF_PROMISC;
    if (ioctl(sock, SIOCSIFFLAGS, &ethreq)==-1) 
    {
        P("ioctl error");
        return false;
    }
    return true;
}

bool BindDevice(int sock, const char* dev)
{
    struct sockaddr_ll addr;    //#include <linux/if_packet.h>
    struct ifreq ifr;           //#include <net/if.h>
    memset(&ifr, 0, sizeof(ifr));
    strncpy(ifr.ifr_name, dev, sizeof(ifr.ifr_name));
    if (ioctl(sock, SIOCGIFINDEX, &ifr) == -1) 
    {
        P("ioctl error");
        return false;
    }
    /* bind the packet socket */
    memset(&addr, 0, sizeof(addr));
    addr.sll_family = AF_PACKET;
    addr.sll_protocol = htons(0x03);
    addr.sll_ifindex = ifr.ifr_ifindex;
    addr.sll_hatype = 0;
    addr.sll_pkttype = 0;
    addr.sll_halen = 0;
    if (-1 == bind(sock, (struct sockaddr *)&addr, sizeof(addr))) 
    {
        P("bind error");
        return false;
    }
    return true;
}

void test(const char* exp, const char* dev)
{
    int sock = socket(PF_PACKET, SOCK_RAW, htons(ETH_P_IP));
    if (sock<=0)
    {
        P("socket error");
        return;
    }
    //设置缓冲区
    #define PER_PACKET_SIZE 2048
    const int BUFFER_SIZE = 1024*1024*16; //16MB的缓冲区
    struct tpacket_req req;
    req.tp_block_size = 4096;
    req.tp_block_nr = BUFFER_SIZE/req.tp_block_size;
    req.tp_frame_size = PER_PACKET_SIZE;
    req.tp_frame_nr = BUFFER_SIZE/req.tp_frame_size;
    if (-1==setsockopt(sock, SOL_PACKET, PACKET_RX_RING, &req, sizeof(struct tpacket_req)))
    {
        perror("setsockopt");
        P("set PACKET_RX_RING error");
        close(sock);
        return;
    }
    //映射缓冲区
    char* pBuffer = (char*)mmap(0, BUFFER_SIZE, PROT_READ|PROT_WRITE, MAP_SHARED, sock, 0);
    if (MAP_FAILED==pBuffer)
    {
        P("mmap error");
        close(sock);
        return;
    }
    //注意:一定要先映射后再绑定,否则会有问题
    // 问题的详细描述可参考:https://lists.linux-foundation.org/pipermail/bugme-new/2003-October/009110.html
    if (!SetPromisc(sock, dev))
    {
        P("SetPromisc [%s] error", dev);
        memset(&req, 0, sizeof(req));
        if (-1==setsockopt(sock, SOL_PACKET, PACKET_RX_RING, &req, sizeof(req)))
        {
            P("set map buffer to 0 error!");
        }
        close(sock);
        return;
    }
    if (!BindDevice(sock, dev))
    {
        P("bind [%s] error", dev);
        memset(&req, 0, sizeof(req));
        if (-1==setsockopt(sock, SOL_PACKET, PACKET_RX_RING, &req, sizeof(req)))
        {
            P("set map buffer to 0 error!");
        }
        close(sock);
        return;
    }
    //设置过滤器
    int nExpLen = strlen(exp);
    struct sock_fprog Filter;
    memset(&Filter, 0, sizeof(struct sock_fprog));
    if (nExpLen>0)
    {
        if (ExpressionToFilter(exp, &Filter))
        {
            if (setsockopt(sock, SOL_SOCKET, SO_ATTACH_FILTER,
                    &Filter, sizeof(Filter))<0)
            {
                perror("setsockopt");
            }
        }
    }
    //
    struct pollfd pfd;
    int nIndex = 0;
    for (; ; )
    {
        for (; ; )
        {
            struct tpacket_hdr* pHead = (struct tpacket_hdr*)(pBuffer + nIndex*PER_PACKET_SIZE);
            if (pHead->tp_len<34 || pHead->tp_len>1614)
            {
                break;
            }
            PrintPacket((char*)pHead+pHead->tp_net);
            pHead->tp_len = 0;
            pHead->tp_status = TP_STATUS_KERNEL;
            //注意:pHead->tp_status这个变量并不能真正反应出包的处理状态,
            //在有的服务器上 TP_STATUS_USER(1)代表包可用, TP_STATUS_KERNEL(0)代表包不可用
            //但是在有的服务器上,这个标志变量无效
            //对于这个问题我还没找到原因
            nIndex++;
            if (nIndex>=BUFFER_SIZE/PER_PACKET_SIZE)
            {
                nIndex = 0;
            }
        }
        //
        pfd.fd = sock;
        pfd.events = POLLIN | POLLERR;
        pfd.revents = 0;
        switch (poll(&pfd, 1, 1000))
        {
        case -1:
            perror("poll");
            P("poll error");
            goto EndWhile;
            break;
        case 0:
            P("time out");
            continue;
            break;
        }
    }
EndWhile:
    if (-1==munmap(pBuffer, BUFFER_SIZE))
    {
        P("unmap error!");
    }
    memset(&req, 0, sizeof(req));
    if (-1==setsockopt(sock, SOL_PACKET, PACKET_RX_RING, &req, sizeof(req)))
    {
        P("set map buffer to 0 error!");
    }
    close(sock);
    sock = -1;
    //
    if (nExpLen>0)
    {
        FreeFilter(&Filter);
    }
}

int main()
{
    test("tcp or udp", "eth1");
    return 1;
}

/*code end here*/

FFMPEG音频开发: Linux采集摄像头(使用V4L2框架)数据录制成MP4视频保存到本地
03-17 8112
一、环境介绍 操作系统介绍:ubuntu 18.04 FFMPEG版本: 4.4.2 摄像头: USB摄像头、虚拟机挂载本机自带摄像头 二、FFMPEG与X264下载编译 X264下载地址: http://www.videolan.org/developers/x264.html FFMPEG下载地址:https://ffmpeg.org/download.html Yasm ...
FFMPEG音视频开发: Linux采集音频(alsa-lib库)与视频(V4L2框架)实时同步编码保存为MP4文件(视频录制)
04-08 3032
一、环境介绍 操作系统介绍:ubuntu 18.04 FFMPEG版本: 4.4.2 摄像头: USB摄像头、虚拟机挂载本机自带摄像头 二、FFMPEG、X264库安装 参考这篇文章:https://blog.youkuaiyun.com/xiaolong1126626497/article/details/104919095 三、代码思路介绍 代码里包含了3个线程: (1) 摄像头数据...
linuxpacket_mmap 前篇 (抓包实现)
bie_niu1992的专栏
12-06 4058
一 概述 tcpdump 篇章中讲述的只是原始的抓包流程。 原始的抓包流程?简单的说就是创建socket,设置bpf后,每次接收数据包都要调用recvfrom系统调用。而每次调用recvfrom内核底层抓到的数据包都需要用内核copy到用户。不管是系统调用,还是copy都是相当耗cpu性能的。而linux内核提供了一种更高效的抓包方式packet_mmap
PACKET_MMAP实现原理分析
李志涛的专栏
07-17 4518
http://blog.chinaunix.net/uid-20357359-id-1963684.html PACKET_MMAP实现的代码都在net/packet/af_packet.c中,其中一些宏、结构等定义在include/linux/if_packet.h中。 PACKET_MMAP的实现原理 PACKET_MMAP在内核空间中分配一块内核缓冲区,然后用户
Linux packet mmap
lionzl的专栏
07-30 1829
Linux packet mmap In order to improve efficiency of packet raw transmission in Linux kernel. I've developed this below patch that makes transmission process a zero-copy mechanism. Originally pa
使用PACKET_MMAP + PF_PACKET实现ZERO COPY抓包和发包
rainharder的专栏
05-31 4183
抓包: 参见例程:http://www.scaramanga.co.uk/code-fu/lincap.c 发包: 参见:http://wiki.ipxwarzone.com/index.php5?title=Linux_packet_mmap  2.6.31以上内核支持,否则要打补丁
PACKET_MMAP使用一例
IT小小鸟
08-26 3257
from:   http://blog.chinaunix.net/uid-20357359-id-1963685.html 根据上一篇文章PACKET_MMAP实现原理分析中PACKET_MMAP使用一节,写了一个简单的演示程序。 #include #include #include #include #include #include #
Linux TUN设备实现Tunnel性能分析
最新发布
Less Is More
04-03 1601
Linux的TUN/TAP设备是一种可以使得应用层与TCP/IP协议栈交互的驱动模块,通常用于组建虚拟局域网中的点对点隧道(Tunnel),可以工作于2层(TAP设备)和3层(TUN设备)数据交换。其工作原理图如下:应用程序通过socket向192.168.1.22地址发送数据{DATA}数据进入内核协议栈,协议栈构造IP报文,生成{IP{DATA}}数据,并且分发到虚拟网卡虚拟网卡将数据{IP{DATA}}转发到TUN驱动TUN App从TUN驱动读取到{IP{DATA}}数据,TUN App通过物理so
FFMPEG音视频开发: Linux采集音频(alsa-lib库)、视频(V4L2框架)数据编码并实时推流到RTMP流媒体服务器,达到直播功能(推流)
04-08 2380
一、环境介绍 操作系统: VM虚拟机运行的ubuntu18.04 FFMPEG版本: 4.4.2 摄像头: 罗技USB摄像头、电脑自带摄像头 声卡:电脑自带声卡 二、FFMPEG、X264的安装 参考这里:FFMPEG开发: Linux采集摄像头数据录制成MP4视频保存到本: 地https://blog.youkuaiyun.com/xiaolong1126626497/article/d...
易语言高编程:揭秘网络数据包捕获与解析的关键技术
通过对理论基础的阐述,数据包捕获工具的使用方法、高技巧的解析,以及易语言特有的网络编程接口和工具实现的讨论,本文为读者提供了网络数据处理的完整视图。同时,本文通过案例分析展示了易语言在网络数据包捕获...
(一)Socket编程.mmap
02-20
用思维导图的方式总结了Socket的原理和一些应用资源,需要使用MindManage打开。
network-packet-linux:Haskell软件包,用于与AF_PACKET套接字一起使用
03-13
网络包Linux 该软件包提供的类型可以使network软件包与Linux数据包套接字一起使用。 数据包套接字在进行了描述。 从版本3.0.0开始,程序包提供了一个 ,该是根据SocketAddress类型类实现的。 network-packet-linux提供了一个名为SockAddrLl的SocketAddress实例,该实例表示一个sockaddr_ll 。 用法 有关完整的示例文件,请参见 。 main :: IO () main = do -- Open a raw packet socket, receiving all protocols sock <- socket AF_PACKET Raw (toProtocolNumber ETH_P_ALL) -- Get the index of the eth0 interface, fall back to
linuxpacket_mmap 中篇 (发送实现)
bie_niu1992的专栏
12-06 2461
一 概述 前篇已经讲述了接收实现,而对于libpcap抓包的重要工具,本身其实也集成了packet_mmap抓包方式。那么既然可以用于捕获抓包。packet_mmap可以实现发送抓包吗?答案当然是肯定的。不过网上对于packet_mmap发送介绍少之又少。接下来会讲解packet_mmap发送数据包遇到的问题。
mmap
Joe_KingKiller的专栏
11-01 767
mmap笔记1.与mmap相关的错一般有两个,是由mmap发出的SIGSEGV和SIGBUS两个信号产生的。SIGSEGV产生于,存取区域不存在或对只读区域进行写操作。SIGBUS产生于:文件的存取部分已经不存在,如2所描述的情况。2.memcpy只是复制一块存储区域,因此在用mmap对文件等进行操作时,需要在目标文件尾(源文件大小偏移之后)加上结束符,否则mmap会发出SIGBUS信号,从而出现
Packet MMAP原理及使用
weixin_44475356的博客
04-27 1061
PACKET MMAP原理和代码
sock_mmap
cassper的专栏
09-18 1819
//==============================================================//socket_mmap.cpp//此程序演示了如何采用内存映射的方式采集数据包//这是应用层数据库采集性能最高方法//g++ -o socket_mmap socket_mmap.cpp -Wall -lpcap#include #i
socket也可以使用mmap啦。
ruixj的专栏
05-05 8501
 如果你的内核提供了CONFIG_PACKET_MMAP选项,那么恭喜你,对网络包你可以采用mmap了,用了mmap,你就节省了内核从内核内存区拷贝到用户内存区的这一步,效率提高很多。下面我们说说怎么用这么强的功能。int fd;fd= socket(PF_PACKET, SOCK_RAW, htons(ETH_P_ALL))socket函数的protocal参数采用了ET
通过socket+mmap以及环形缓存buf实现内存共享通信
FlayHigherGT的博客
08-10 1771
通过socket+mmap以及环形缓存buf实现内存共享通信
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值