问题标签 [libpcap]

试图编译一个使用 pcap.h 的基本程序。我已经在我的 Mac OSX 机器上设置了环境，它使用 iPhone 3.1.3 SDK for iPhone 3GS。我还将 libpcap 安装到 ~/libpcap 中，因此我可以使用 -I 标志告诉 gcc 在哪里查找标头。但是，它会失败并显示 ld 警告，说明该文件不是所需的体系结构。

我正在编译以下行：

正在生成的错误是：

我现在假设我需要为 armv6 架构（iPhone）重新编译 libpcap，但检查 ./configure 选项并没有帮助。我已经尝试过用谷歌搜索，但那里几乎没有。

任何人都知道如何将 AIX 5.2/5.3 中 BPF 设备的数量增加到假定的系统默认值四个之上？即同时运行四个以上的tcpdump 进程？

假设我们使用 libpcap 的 C API 捕获数据包。使用字符串搜索 strstr() 以线速（例如 Mbps/Gbps）解析一些有效负载字符串是否有效？例如 strstr(payload,"User-Agent");

使用正则表达式模式匹配库（例如 libpcre）会更有效吗？

如果我们只想对 HTTP 标头参数执行此操作，是否有任何 C API？我不清楚 libcurl 是否可以做到这一点......提前谢谢你。

想知道你们中的任何人都可以给我一些评论+见解。在性能方面，我应该使用哪一个，jNetPcap 还是 Jpcap？

谢谢！

代码找不到任何设备，我想知道 pcap_lookupdev() 是做什么的？谢谢

我想在一台服务器上捕获ip包，然后通过libnet将包转发到另一台服务器，谁有一些例子？提前致谢。

can we in a network gateway write a program with libpcap to extract destination web address and other info like squid? in c language.

is any better way? if yo can give me some example and guide.

我正在尝试使用伪 tcp 标头、tcp 标头和要发送到校验和函数以进行验证的 tcp 数据来构建正确的数据结构。我无法弄清楚我在代码中做错了什么。以下代码是我构建数据结构然后将其发送到另一个函数进行检查的函数。

任何帮助将不胜感激，因为我花了很多时间试图找出我做错了什么。

谢谢，

编辑：这是我的伪标题

我正在研究网络流量特征。在处理收集的数据（由 tcpdump 捕获并保存到数据库中）时，我偶然发现了数据包（或流）到达间隔时间的奇怪现象：

从未观察到 35-170 微秒的到达间隔时间

当然，如果没有 DAG 卡（它会对数据包进行硬件时间戳），我就不能依赖低于毫秒的尺寸精度。尽管如此，我正在寻找一个原因，为什么在以下累积分布函数中存在这种差距：

我还绘制了使用特定 IAT 看到的流数：

我的数据基础包含 >13 个 Mio 流，因此这种差距不太可能是偶然存在的——我只是在寻找原因。

有没有。与调度有关？ 我知道 linux 内核调度程序（是一个 debian 机器）使用 250Hz 的频率，因此每个滴答声是 4ms，这比我的 35-170µsec 的间隔要大 > 200。网卡是否有任何调度？有很多0µsec 的 IAT，所以我假设这些数据包是在彼此之后直接处理的。我可以想象我正在搜索的调度程序滴答时间约为 40 微秒，导致 IAT 为 0<x<40 微秒，然后完成捕获以外的其他事情（对于 120 微秒 = 3 滴答声），我只得到 > 120 微秒的滴答声。

你有一个线索，我怎么能解释这个差距？非常感谢！史蒂芬

我想在 CentOS 5.5 机器上安装和使用最新版本（1.1.1）的 libpcap。我通过以下方式配置、编译和安装了新的 libpcap 库：

但是当我尝试与 libpcap 共享库链接（使用-lpcap链接器标志）时，我的应用程序链接到旧版本的 libpcap 库（使用pcap_lib_version()API 调用验证。

为了与新的 libpcap 库链接，我需要做什么？

提前致谢