4

这是我在这里@stackoverflow 的第一个问题。

我正在为一些 VoIP 生产服务器编写一个监视工具,特别是一个嗅探工具,它允许使用 Perl 中的 pcap 库捕获与给定模式匹配的所有流量(VoIP 呼叫)。

我不能使用较差的选择性过滤器,例如“udp”,然后在我的应用程序代码中进行所有过滤,因为这会涉及过多的流量并且内核无法处理报告数据包丢失。

然后我要做的是在捕获过程中迭代地构建更具选择性的过滤器。一开始我只捕获(所有)SIP信令流量和IP片段(模式匹配必须在任何情况下在应用程序级别完成)然后当我在SIP数据包中找到一些关于RTP的信息时,我添加'或'子句到具有特定 IP 和 PORT 的实际过滤器字符串,并使用 setfilter() 重新设置过滤器。

所以基本上是这样的:

  1. 初始过滤器:“(udp and port 5060) or (udp and ip[6:2] & 0x1fff != 0)” -> 捕获所有 SIP 流量和 IP 片段

  2. 更新过滤器:“(udp 和端口 5060)或(udp 和 ip[6:2] & 0x1fff != 0)或(主机 IP 和端口 PORT)”-> 还捕获特定 IP、PORT 上的 RTP

  3. 更新过滤器:“(udp and port 5060) or (udp and ip[6:2] & 0x1fff != 0) or (host IP and port PORT) or (host IP2 and port PORT2)”->捕获第二个RTP流以及

等等。

这工作得很好,因为我能够获得 RTP 流的“真实”数据包丢失以用于监控目的,而我的工具的选择性过滤器版本较差,RTP 数据包丢失百分比不可靠,因为有一些数据包由于内核丢包而丢失。

但是,让我们来看看这种方法的缺点。

捕获时调用 setfilter() 涉及到 libpcap 丢弃接收到的数据包“同时更改过滤器”的事实,如函数 set_kernel_filter() 的代码注释中所述到 pcap-linux.c(检查 libpcap 版本 0.9 和 1.1)。

所以发生的情况是,当我调用 setfilter() 并且某些数据包以 IP 分段形式到达时,我确实丢失了一些分段,而 libpcap 统计信息最后没有报告这一点:我发现它正在挖掘痕迹。

现在,我明白了这个动作由 libpcap 完成的原因,但在我的情况下,我绝对不需要丢包(我不关心获得一些不相关的流量)。

您对如何解决这个不修改 libpcap 代码的问题有任何想法吗?

4

3 回答 3

1

使用更具体的过滤器启动新流程怎么样?您可以同时进行两个并行 pcap 捕获。一段时间后(或检查两者是否收到相同的数据包),您可以停止原始数据包。

于 2010-12-02T17:17:50.713 回答
1

您可以捕获所有 RTP 流量吗?

捕获过滤器对 RTP 流量的建议是:

udp[1] & 1 != 1 && udp[3] & 1 != 1 && udp[8] & 0x80 == 0x80 && length < 250

正如链接指出的那样,您会得到一些误报,其中 DNS 和可能的其他 UDP 数据包偶尔包含 RTP 数据包使用的标头字节 0x80,但是该数字应该可以忽略不计并且不足以导致内核丢弃。

于 2010-12-04T11:36:15.850 回答
1

圆孔,方钉。

您的工具不太适合您的需要。

另一种选择是做一个第一级过滤器(如上所述,它捕获的比想要的要多得多)并将其通过管道传输到另一个实现您想要的更精细过滤器的工具中(直到每次调用的情况)。如果由于 RTP 流量过大,第一级过滤器对内核来说太多了,那么您可能需要执行其他操作,例如保持稳定的进程以捕获单个调用(因此您不会更改“主”上的过滤器过程;它只是指示其他人如何设置他们的过滤器。)

是的,这可能意味着在运行中(将它们全部传递给“保存捕获”过程)或事后合并捕获。

您确实意识到,如果您不快速安装过滤器,您很可能会错过 RTP 数据包。不要忘记 RTP 数据包可能会在 200 OK 到来之前(或一起)进入发起者,并且它们可能会在 ACK 之前(或在它之上)返回给应答者。也不要忘记没有 SDP 的邀请(在 200 OK 中提供,在 ACK 中回答)。等等等等:-)

于 2010-12-17T21:46:34.473 回答