【发布时间】:2014-01-18 04:32:39
【问题描述】:
在捕获网络流量进行调试时,似乎有两种常见的方法:
使用原始套接字。
使用 libpcap。
在性能方面,这两种方法有很大区别吗? libpcap 似乎是一种很好的兼容方式来监听真实的网络连接或重放一些预设数据,但该功能集是否会影响性能?
【问题讨论】:
标签: linux libpcap raw-sockets
在捕获网络流量进行调试时,似乎有两种常见的方法:
使用原始套接字。
使用 libpcap。
在性能方面,这两种方法有很大区别吗? libpcap 似乎是一种很好的兼容方式来监听真实的网络连接或重放一些预设数据,但该功能集是否会影响性能?
【问题讨论】:
标签: linux libpcap raw-sockets
答案旨在解释更多关于 libpcap 的信息。
libpcap 使用 PF_PACKET 捕获接口上的数据包。请参阅以下链接。 https://www.kernel.org/doc/Documentation/networking/packet_mmap.txt
从上面的链接
在 Linux 2.4/2.6/3.x 中如果没有启用 PACKET_MMAP,捕获过程非常 效率低下。它使用非常有限的缓冲区并且需要一个系统调用 捕获每个数据包,如果要获取数据包的时间戳,则需要两个 (就像 libpcap 一样)。 另一方面,PACKET_MMAP 非常有效。 PACKET_MMAP 提供大小 映射在用户空间中的可配置循环缓冲区,可用于 发送或接收数据包。这样读取数据包只需要等待它们, 大多数时候不需要发出单个系统调用。关于 传输时,可以通过一个系统调用发送多个数据包以获取 最高带宽。通过在内核和用户之间使用共享缓冲区 还具有最小化数据包副本的好处。
性能改进可能因使用的 PF_PACKET 实现而异。
来自https://www.kernel.org/doc/Documentation/networking/packet_mmap.txt-
据说TPACKET_V3带来以下好处: *) CPU 使用率降低约 15 - 20% *) 数据包捕获率提高约 20%
使用 libpcap 的缺点 -
如果应用程序需要保存数据包,那么它可能需要使 传入数据包的副本。
请参阅 pcap_next_ex 的手册页。
pcap_next_ex() 读取下一个数据包并返回成功/失败指示。如果数据包被读取没有问题,指针 pkt_header 参数指向的参数设置为指向 数据包的 pcap_pkthdr 结构,以及指向的指针 pkt_data 参数设置为指向数据包中的数据。这 struct pcap_pkthdr 和数据包数据不会被 调用者,并且不保证在下一次调用后有效 pcap_next_ex()、pcap_next()、pcap_loop() 或 pcap_dispatch();如果 代码需要它们保持有效,它必须复制它们。
如果应用程序只对传入感兴趣,则性能损失 数据包。
PF_PACKET 在内核中用作分路器,即所有传入和传出的数据包都被传递到 PF_SOCKET。这导致对所有传出数据包的 packet_rcv 调用代价高昂。由于 libpcap 使用 PF_PACKET,所以 libpcap 可以捕获所有传入和传出的数据包。 如果应用程序只对传入数据包感兴趣,则可以通过在 libpcap 句柄上设置 pcap_setdirection 来丢弃传出数据包。 libpcap 通过检查数据包元数据上的标志在内部丢弃传出数据包。 所以本质上,libpcap 仍然可以看到传出的数据包,但只会在以后被丢弃。这是只对传入数据包感兴趣的应用程序的性能损失。
【讨论】:
原始数据包在 IP 层(OSI 第 3 层)工作,pcap 在数据链路层(OSI 第 2 层)工作。因此,它与其说是性能问题,不如说是您想要捕获的问题。如果性能是您搜索 PF_RING 等的主要问题,这就是当前 IDS 用于捕获的内容。
编辑:原始数据包可以是 IP 层 (AF_INET) 或数据链路层 (AF_PACKET),pcap 实际上可能使用原始套接字,请参阅 Does libpcap use raw sockets underneath them?
【讨论】: