使用read()从PF_PACKET SOCK_RAW读取数据包

时间:2012-04-09 07:00:59

标签: c linux pcap

在C语言的Linux上,在设置接口PROMISC并使用原始套接字后,我可以通过read()读取接口上的传入数据包。

然而,它并没有获得所有数据包。在从文件描述符中读取下一个可用数据之前,Read()会在“长”时间内阻塞(<1秒,但数据包以每秒数百个流量传输)。

必须有遗漏或根本错误。

“使用libpcap”不是有效的回答者。我查看了他们的代码,找不到区别(libpcap不会错过数据包)

初始化fd:

if ((fd = socket(PF_PACKET, SOCK_RAW, htons(ETH_P_ALL))) < 0) {
    perror("socket(PF_PACKET) failed");
    return 1;
}

memset(&ifr, 0, sizeof(ifr));
strncpy(ifr.ifr_name, iface, sizeof(ifr.ifr_name) - 1);

if (ioctl(fd, SIOCGIFINDEX, &ifr) < 0) {
    perror("ioctl(SIOCGIFINDEX) failed");
    return 1;
}

memset(&sll, 0, sizeof(sll));
sll.sll_family = AF_PACKET;
sll.sll_ifindex = ifr.ifr_ifindex;
sll.sll_protocol = htons(ETH_P_ALL);

if ((ifr.ifr_flags | IFF_UP | IFF_BROADCAST | IFF_RUNNING) != ifr.ifr_flags) {
    ifr.ifr_flags |= IFF_UP | IFF_BROADCAST | IFF_RUNNING;
    if( ioctl( fd, SIOCSIFFLAGS, &ifr ) < 0 ) {
        perror("ioctl(SIOCSIFFLAGS) failed");
        return 1;
    }
}

if (bind(fd, (struct sockaddr *) &sll, sizeof(sll)) < 0) {
    perror("bind(ETH_P_ALL) failed");
    return 1;
}

if (ioctl(fd, SIOCGIFHWADDR, &ifr) < 0)
{
    perror("ioctl(SIOCGIFHWADDR) failed");
    return 1;
}

if (ifr.ifr_hwaddr.sa_family != ARPHRD_IEEE80211 &&
        ifr.ifr_hwaddr.sa_family != ARPHRD_IEEE80211_PRISM &&
        ifr.ifr_hwaddr.sa_family != ARPHRD_IEEE80211_FULL)
{
    if (ifr.ifr_hwaddr.sa_family == 1)
        fprintf(stderr, "\nARP linktype is set to 1 (Ethernet) ");
    else
        fprintf(stderr, "\nUnsupported hardware link type %4d ",
                ifr.ifr_hwaddr.sa_family);

    fprintf(stderr, "- expected ARPHRD_IEEE80211,\nARPHRD_IEEE80211_"
            "FULL or ARPHRD_IEEE80211_PRISM instead.  Make\n"
            "sure RFMON is enabled: run 'airmon-ng start %s"
            " <#>'\nSysfs injection support was not found "
            "either.\n\n", iface);
    return 1;
}

memset(&mr, 0, sizeof(mr));
mr.mr_ifindex = sll.sll_ifindex;
mr.mr_type = PACKET_MR_PROMISC;

if (setsockopt(fd, SOL_PACKET, PACKET_ADD_MEMBERSHIP, &mr, sizeof(mr)) < 0) {
    perror("setsockop(PACKET_MR_PROMISC) failed");
    return 1;
}

读:

    while (caplen > 0) {
            if ((caplen = read(fd, p, read_size)) < 0) {
                perror("read failed");
                break;
            }
            p += caplen;
            read_size -= caplen;
        }
    }

1 个答案:

答案 0 :(得分:0)

Libpcap 1.0及更高版本可能也使用内存映射接口,但问题中的代码并没有;这可能会有所不同。

请参阅Linux源代码中的Documentation / networking / packet_mmap.txt文件,但请注意,至少使用TPACKET_V1和TPACKET_V2,内存映射缓冲区中的所有插槽都必须足够大,以容纳来自网络适​​配器(例如,如果数据包有一个额外的标头,例如802.11的radiotap元数据标头,或者如果适配器正在进行TCP分段或重组,则可能比您想象的要大)。

另外请确保您提供与libpcap一样大的套接字缓冲区(或内存映射环形缓冲区)。

相关问题
最新问题