c - pcap_loop 函数不是“反应性的”。为什么？

Question

为什么调用 pcap_loop 函数后，我必须等待几秒钟才能捕获第一个数据包？

void print_packet(u_char *, const struct pcap_pkthdr *, const u_char *);

int main(int argc, char * argv[])
{
    pcap_t * handle;
    char dev_name[] = "en0";
    char err_buf[PCAP_ERRBUF_SIZE];

    handle = pcap_open_live(dev_name, 4096, 1, 0, err_buf);

    if (handle == NULL) {
        fprintf(stderr, "Couldn't open device %s: %s\n" , dev_name , err_buf);
        exit(1);
    }

    pcap_loop(handle, 1, print_packet, NULL);
    pcap_close(handle);

    exit(0);
}

void print_packet(u_char * args, const struct pcap_pkthdr * hdr, const u_char * buff)
{
    /* ... */
}

score 2 · Accepted Answer

我通过阅读pcap_open_live文档发现了问题：

pcap_t *pcap_open_live(const char *device, int snaplen, int promisc, int to_ms, char *errbuf)

[...] to_ms 以毫秒为单位指定读取超时。读取超时用于安排读取不必在看到数据包时立即返回，而是等待一段时间以允许更多数据包到达并在一次操作中从操作系统内核读取多个数据包。并非所有平台都支持读取超时；在没有的平台上，读取超时将被忽略。在支持读取超时的平台上，to_ms 的零值将导致读取永远等待以允许足够的数据包到达，而不会超时。[...]

来源。

c - pcap_loop 函数不是“反应性的”。为什么？

1 回答 1

Related

Reference