Wireshark - tshark支持iptables提供数据包

于 2024-07-01 17:56:49 发布
阅读量831 收藏 15
点赞数 20
分类专栏: wireshark linux工具使用 文章标签: wireshark 网络 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_41167620/article/details/140107045
版权

tshark现在的数据包获取方式有两种,分别是读文件、网口监听(af-packet原始套接字)。两种方式在包获取上,都是通过读文件的形式;存在文件io操作,在专门处理大流量的情境下, 我们复用wireshark去做功能开发是不适合的,在文件io这部分很消耗性能。

此前什么iptables和转发nat需要配置

准备工作

../build/CMakeFiles/tshark.dir/link.txt 链接-lnetfilter_queue库

通过iptables提供数据包,跳过文件读写的过程,可以大大提升性能(没有进行性能测试)

一、将iptables加到收包方式中

在原始代码中,real_main接口为tshark工具的入口函数,前半部分都是参数解析(我们不关注),在中间部分找到,收包代码;

其中第一个条件if (cf_name)这里是读文件的形式,使用是通过-r *.pcap判断的,第二个else位置,里面是capture用来监听网口通过-I eth0使用。

追加第三个iptables收包方式。

直接固定通过iptables收包。

cf_init_iptables接口完成初始化工作,cf是全局的数据,数据包信息,数据包状态相关,比如处理多少,丢掉多少,提供的解码工具等外来数据。里面还加了一个wtap空间,这里是关联到每个数据包的,保存数据包内容。

cf_status_t

cf_init_iptables(capture_file *cf,unsigned int type, gboolean is_tempfile, int *err)

{

  wtap  *wth;

  gchar *err_info;

  wth = iptables_get_wtap_init();

 

  /* The open succeeded.  Fill in the information for this file. */

  /* Create new epan session for dissection. */

  epan_free(cf->epan);

  cf->epan = tshark_epan_new(cf);

  cf->provider.wth = wth;

  cf->f_datalen = 0; /* not used, but set it anyway */

  /* Set the file name because we need it to set the follow stream filter.

     XXX - is that

最低0.47元/天 解锁文章
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

强壮的向阳花

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值