2

我正在使用 libpcap 库在 C 中编写数据包解析器。这是简单的代码


int main(int argc, char *argv[])
{
    pcap_t *pcap;
    const unsigned char *packet;
    char errbuf[PCAP_ERRBUF_SIZE];
    struct pcap_pkthdr header;
    clock_t begin = clock();

    // Type your interface name here 
    
    char *device = "ens33";
    char error_buffer[PCAP_ERRBUF_SIZE];

    pcap_t *handle;
    int timeout_limit = 10000; // milliseconds

    if (device == NULL)
    {
        printf("Error finding device: %s\n", error_buffer);
        return 1;
    }

    // For live packet capturing
    handle = pcap_open_live(
        device,
        BUFSIZ,
        0,
        timeout_limit,
        error_buffer);

    if (handle == NULL)
    {
        printf("Error getting handle%s\n", error_buffer);
        return 2;
    }

    pcap_loop(handle, 0, dump_UDP_packet, NULL);

    clock_t end = clock();
    double time_spent = (double)(end - begin) / CLOCKS_PER_SEC;


    printf("Program completed: total packets processed: %d (non UDP/Radius packets: %d) in %f seconds\n", count, non_packets, time_spent);
    return 0;
}

我正在使用 tcpreplay 播放来自 pcap 文件的实时流量。然而,我的程序只能从 240,000 个数据包的文件中处理/读取大约 80,000 个数据包。当我尝试从 tcpdump 读取相同的数据包时,我没有丢包。

这是由于缓冲区大小吗?如何确保数据包不丢失?

tcpreplay 高速运行大约需要 1.5 到 2 秒(~500MB/秒)

我在 Ubuntu 18.04(32 GB RAM,24 核处理器)上运行它

4

1 回答 1

2

当我尝试从 tcpdump 读取相同的数据包时,我没有丢包。

这是由于缓冲区大小吗?

除非您使用-B命令行选项,否则 tcpdump 不会设置内核缓冲区大小(您也没有这样做,因为您正在使用pcap_open_live(),它无法设置它;快照长度不是缓冲区大小),因此它使用的默认缓冲区大小(2 MiB)与您的程序使用的相同,因此它可能不是缓冲区大小。

如何确保数据包不丢失?

尝试使用 tcpdump 的 1 秒(1000 毫秒)超时而不是 10 秒(10000 毫秒),这是您当前使用的。

另外,请确保dump_UDP_packet()没有做太多工作(您没有提供来源让我们知道它在做什么)。

我在 Ubuntu 18.04(32 GB RAM,24 核处理器)上运行它

而且您的程序和 tcpdump 都使用一个内核。(在上下文切换之后,它们可能在与上下文切换之前运行的内核不同的内核上运行,但它仍然一次只有一个内核;它们都不是多线程的,除非部分中有一些线程您没有显示的应用程序。)

于 2020-08-24T03:56:51.730 回答