pcap 数据包长度值似乎不正确

Question

我正在编写一个 C 应用程序，它使用 pcap 库来记录通过网卡的数据量（匹配各种数据包过滤器）。我得到的值似乎太低而无法正确，但我不确定我做错了什么。

下面的测试代码表现出相同的行为（为清楚起见省略了错误检查）：

#include <stdio.h>
#include <pcap.h>

static int total=0;
void packet_handler(u_char *param, const struct pcap_pkthdr *header, const u_char *pkt_data){
    total += header->len;
    printf("%d\n", total);
}

int main(){
    char errbuf[1024];

    pcap_t *adhandle = pcap_open_live("en1", 65535, 0, 0, errbuf);
    pcap_setnonblock(adhandle, 1, errbuf);
    struct bpf_program fcode;
    pcap_compile(adhandle, &fcode, "port 80", 1, 0);
    pcap_setfilter(adhandle, &fcode);

    while(1){
        pcap_dispatch(adhandle, -1, packet_handler, NULL);
        sleep(1);
    }
    return 0;
}

我正在使用 OSX，使用 gcc 进行编译，并且尝试通过 wi-fi 和有线以太网下载。我希望上面的代码打印出与过滤器匹配的字节数（在这种情况下是所有 HTTP 流量），但是当我下载一个大小为 4,357,017 字节的测试文件时，我得到的值只有 95,133。我的测试文件是一个 zip 存档，所以我认为 HTTP 压缩不能解释差异。

更新：我已经修改了代码以打印出每个数据包的大小，以及运行总数，并且只报告传入的数据包（将过滤器更改为“src端口80 英寸）。这给出了很多“1514”的数据包长度，我认为这与 1500 的 MTU 值有关，但是总数仍然太低。

Answer 1

这里不能保证你的程序能看到所有的数据包；如果它没有看到它们，它就无法计算它们，在这种情况下，捕获的数据包长度的总和小于传输的数据量也就不足为奇了。

首先，您不应该使用非阻塞模式，除非您的程序所做的不仅仅是捕获数据包——轮询在这里并不能更好地工作，它可能会更糟糕。使用您的代码，如果一秒钟内到达的数据包超过缓冲区的容量，系统将耗尽 BPF 缓冲区空间，这意味着数据包将被丢弃，您的程序将永远看不到它们，因此不会计算它们。在 Lion 之前，默认缓冲区大小约为 32K 左右，这意味着系统很有可能会耗尽 BPF 缓冲区空间； Lion 采用了 libpcap 1.1 的更改，使 BPF 系统的默认缓冲区大小为 512K，因此这种情况不太可能发生，但您仍然不应该使用非阻塞模式，除非您真的需要它。

此外，您不应该在 Snow Leopard 上使用非阻塞模式根本，因为 Snow Leopard 的 BPF 内核代码中存在一个错误（该错误的 FreeBSD 版本是 @987654321 @);它在 Leopard 或更早版本中不存在（它是在对 Snow Leopard 中修复的错误的修复中引入的），并且在 Lion 中已修复。

所以我要做的第一件事就是去掉pcap_setnonblock(adhandle, 1, errbuf); 调用和sleep(1); 调用，以便您的程序尽可能快地处理数据包。

此外，如果它不必在 Leopard 上运行（它具有不支持 pcap_create() 或 pcap_activate() 的旧版 libpcap），我会通过执行 (为了清楚起见，删除了错误检查）：

adhandle = pcap_create("en1", errbuf);
pcap_set_buffer_size(adhandle, 524288);
pcap_activate(adhandle);

最后，我会让你的程序以某种方式提供一种方法来告诉你何时停止捕获，当它停止时，让它调用pcap_stats() 并报告丢弃的数据包数量，以便你可以确定它是否丢弃任何数据包。