libevent 1.4 版和 2.0 版之间的差异如何影响 libpcap 事件?
Posted
技术标签:
【中文标题】libevent 1.4 版和 2.0 版之间的差异如何影响 libpcap 事件?【英文标题】:how the difference between libevent version 1.4 and 2.0 influence libpcap events? 【发布时间】:2015-10-12 21:16:42 【问题描述】:我在一个程序中使用 libpcap 和 libevent。
相关源码有:
const u_int16_t RELAY_PORT = 8000;
pcap_t *create_pcap(const void *dev, pcap_style_t style)
pcap_t *handle; /* Session handle */
struct bpf_program fp; /* The compiled filter */
bpf_u_int32 mask; /* The netmask */
bpf_u_int32 net; /* The IP subnet*/
const struct pcap_pkthdr* pcap_header; /* A pointer to pcap_pkthdr structure */
const u_char *pcap_packet; /* The captured packet */
char interface[20];
strcpy(interface, dev);
/* Find the properties for the network interface */
if (pcap_lookupnet(interface, &net, &mask, errbuf) == -1)
fprintf(stderr, "Pcap counldn't get netmask for device %s: %s\n", interface, errbuf);
net = 0;
mask = 0;
handle = pcap_open_live(interface, BUFSIZ, 0, 0, errbuf);
if (handle == NULL)
fprintf(stderr, "Pcap open live capture failure: %s\n", errbuf);
exit(1);
sprintf(filter_exp, "tcp[tcpflags] & (tcp-syn|tcp-ack) == (tcp-syn|tcp-ack) && src port %d || dst port %d", RELAY_PORT, RELAY_PORT);
/* Compile and apply the filter */
if (pcap_compile(handle, &fp, filter_exp, 0, mask) == -1)
fprintf(stderr, "Pcap parse filter failure: %s\n", pcap_geterr(handle));
exit(1);
if (pcap_setfilter(handle, &fp) == -1)
fprintf(stderr, "Pcap couldn't install filter: %s\n", pcap_geterr(handle));
exit(1);
if(style == NONBLOCKING)
if(pcap_setnonblock(handle, 1, errbuf) == -1)
fprintf(stderr, "Pcap set non-blocking fails: %s\n", errbuf);
exit(1);
return handle;
//////////////////////////////////////////////////
void on_capture(int pcapfd, short op, void *arg)
int res;
printf("on capture \n");
pcap_t *handle;
handle = (pcap_t *)arg;
fqueue_t* pkt_queue;
/* put all packets in the buffer into the packet FIFO queue
* and then process these packets
* */
pkt_queue = init_fqueue();
res = pcap_dispatch(handle, -1, collect_pkt, (u_char *)pkt_queue);
printf("pcap_dispatch() returns %d\n", res);
if(!res) return;
process_packet(pkt_queue);
//////////////////
int pcapfd;
pcap_t *pcap_handle;
struct event pcap_ev;
pcap_handle = create_pcap("eth0", NONBLOCKING);
pcapfd = pcap_get_selectable_fd(pcap_handle);
if(pcapfd<0)
perror("pcap_get_selectable_fd() failed!\n");
exit(1);
if (setnonblock(pcapfd) == -1) return -1;
base = event_init();
event_set(&pcap_ev, pcapfd, EV_READ|EV_PERSIST, on_capture, pcap_handle);
event_base_set(base, &pcap_ev);
if(event_add(&pcap_ev, NULL) == -1)
perror("event_add() failed for pcap_ev!\n");
exit(-1);
event_base_dispatch(base);
---------------------------------------------
我还在 event_base 上注册了两个 TCP 事件(on_accept 和 on_recv。)
然后我在主机A上运行程序,主机B向A发送数据包,同时我使用tcpdump捕获A上的数据包(tcpdump -i eth0 port 8000)
为了比较,我有两台笔记本电脑充当 A,我在这两台笔记本电脑上尝试了程序(编译然后运行),一台使用 Fedora(fedora 版本 18),另一台使用 Ubuntu(Ubuntu 14.04.2 LTS)
ubuntu: Linux 3.13.0-61-generic
fedora: Linux 3.11.10-100-fc18.x86_64
在 ubuntu 上事件按以下顺序调用
on capture
pcap_dispatch() returns 0
on capture
pcap_dispatch() returns 0
on accept
on recv
pcap_dispatch 两次返回 0 很奇怪。我的期望是,当 on_capture 事件被触发时,pcap_dispatch 将在 on_accept 事件触发之前捕获 TCP SYN 数据包(TCP 数据包在 NIC 上捕获,然后再移交给 TCP 堆栈)。但是我不知道为什么 on_capture 事件被调用了两次,而 pcap_dispatch() 返回 0。
在 Fedora 上,程序按预期运行,pcap_dispatch() 可以在 on_accept 事件之前第一次调用时捕获数据包。
我使用ldd 在每台笔记本电脑上检查该程序的库。
Fedora:
$ldd relay
linux-vdso.so.1 => (0x00007fff1d1ad000)
libevent-1.4.so.2 => /lib/libevent-1.4.so.2 (0x00007faca467d000)
libpcap.so.1 => /lib64/libpcap.so.1 (0x00000035b4a00000)
libc.so.6 => /lib64/libc.so.6 (0x00000035b0a00000)
libnsl.so.1 => /lib64/libnsl.so.1 (0x00000035cea00000)
librt.so.1 => /lib64/librt.so.1 (0x00000035b1a00000)
libresolv.so.2 => /lib64/libresolv.so.2 (0x00000035b2e00000)
/lib64/ld-linux-x86-64.so.2 (0x00000035b0200000)
libpthread.so.0 => /lib64/libpthread.so.0 (0x00000035b1600000)
ubuntu:
$ ldd relay
linux-vdso.so.1 => (0x00007ffd08bc5000)
libevent-2.0.so.5 => /usr/lib/x86_64-linux-gnu/libevent-2.0.so.5 (0x00007eff35f81000)
libpcap.so.0.8 => /usr/lib/x86_64-linux-gnu/libpcap.so.0.8 (0x00007eff35d43000)
libc.so.6 => /lib/x86_64-linux-gnu/libc.so.6 (0x00007eff3597e000)
libpthread.so.0 => /lib/x86_64-linux-gnu/libpthread.so.0 (0x00007eff35760000)
/lib64/ld-linux-x86-64.so.2 (0x00007eff361c5000)
确实,libpcap 和 libevent 的版本是不同的。 我的程序在 ubuntu 上运行时有哪些潜在问题?如何解决 ubuntu 上的意外问题? 谢谢!
【问题讨论】:
【参考方案1】:libevent 1.4 版和 2.0 版之间的差异如何影响 libpcap 事件?
没有。
确实,libpcap 和 libevent 的版本不同
是的;正如您在给我的电子邮件中指出的那样,Fedora 上的 libpcap 是 libpcap 1.3.0,而 Ubuntu 上的 libpcap 是 libpcap 1.5.3。
Libpcap 1.3.0 不支持 TPACKET_V3,而 libpcap 1.5.3 支持。您的 Fedora 机器(根据您的电子邮件为 3.11.10-100-fc18.x86_64)和您的 Ubuntu 机器(根据您的电子邮件为 3.13.0-61-generic)上的内核都支持 TPACKET_V3。
如何解决 ubuntu 上的意外问题?
不要在 pcap_open_live() 调用中使用 0 超时。由于 TPACKET_V3 的工作方式,它在旧内核中的工作方式存在一些错误(从这个意义上说,您的两个内核都“旧”),以及 libpcap 尝试使非阻塞模式工作的方式,使超时 0 工作,并解决这些错误,超时 0 可能无法正常工作。尝试超时,例如 100(1/10 秒)或 10(1/100 秒)。
请注意,如果 0 超时按预期方式工作,则可能是 libpcap 的事件可能不会在任意长的时间段内传递,时间段越长捕获的流量越少,所以使用 0 的超时时间很少(如果有的话)是一个好主意。
【讨论】:
我不明白。如果我将超时设置为 1/10 秒(或 1/100,等等),这意味着如果没有数据包到达,pcap 事件仍然会被频繁触发,这是不可取的,不是吗?另外,timeout=-1是什么意思? 我读了你的回答和这篇文章github.com/jvinet/knock/issues/5。所以基本上不应该使用 timeout=0 有两个原因:1)它可能会增加 CPU 的负担 2)“足够的数据包到达”在 Linux 上可能意味着“足够的数据包填满缓冲区”,这需要很长时间时间。但在我看来 1) 和 2) 相互冲突。不是吗?是否还有其他不应使用 timeout=0 的原因? "pcap事件还是会被频繁触发,这是不可取的,不是吗?"鉴于我提到的内核错误,是的,它是可取的;请参阅github.com/the-tcpdump-group/libpcap/issues/…(请相信我——这就是我在修复该错误时发现的情况;如果您认为这种解释没有道理,那么您错过了一些东西)。 "另外,timeout=-1 是什么意思?"如果“超时 = -1”的意思是“您将 -1 指定为pcap_open_live() 或 pcap_set_timeout() 的超时,那么它的意思是“您的代码有问题并且正在执行某些会导致不可预测且依赖于平台的行为"。
“所以基本上不应该使用 timeout=0 有两个原因:1)它可能会增加 CPU 的负担”如果您指的是导致大量唤醒的短超时,那是特定于具有错误版本的 TPACKET_V3 的 Linux 内核的问题。 “2) “足够的数据包到达”在 Linux 上可能意味着“足够的数据包填满缓冲区”,这需要很长时间11. 在带有 TPACKET_V3 的 Linux 上,kernel 不支持无限超时 - 0 表示“计算您认为合适的超时时间”。以上是关于libevent 1.4 版和 2.0 版之间的差异如何影响 libpcap 事件?的主要内容,如果未能解决你的问题,请参考以下文章
Libevent 学习笔记 ——Libevent 2.0安装与简单演示样例