tcprstat源码分析之tcp数据包分析
Posted yuyue2014
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了tcprstat源码分析之tcp数据包分析相关的知识,希望对你有一定的参考价值。
tcprstat是percona用来监测mysql响应时间的。不过对于任何运行在TCP协议上的响应时间,都可以用。
tcprstat和tcpdump一样,使用libpcap库进行抓包,然后再通过程序对抓取的tcp包进行分析。
1、通过分析来源ip和目标ip,看那个ip是本地ip,来判断是进来的包(请求包)还是出去的包(响应包)。
2、如果包的数据大小为0,那么就跳过,不再处理。数据大小为0的视为tcp控制包。
3、如果数据包为进来的包(请求包),则插入一条记录到哈希表。
4、如果数据包为出去的包(响应包),则用现在的包和之前插入哈希表中的响应包做时间差计算。并把之前的包在哈希表中删除。
数据包分析的代码在process-packet.c文件中,方法如下:
int process_ip(pcap_t *dev, const struct ip *ip, struct timeval tv) { char src[16], dst[16], *addr; int incoming; unsigned len; addr = inet_ntoa(ip->ip_src); strncpy(src, addr, 15); src[15] = ‘\0‘; addr = inet_ntoa(ip->ip_dst); strncpy(dst, addr, 15); dst[15] = ‘\0‘; if (is_local_address(ip->ip_src)) incoming = 0; else if (is_local_address(ip->ip_dst)) incoming = 1; else return 1; len = htons(ip->ip_len); switch (ip->ip_p) { struct tcphdr *tcp; uint16_t sport, dport, lport, rport; unsigned datalen; case IPPROTO_TCP: tcp = (struct tcphdr *) ((unsigned char *) ip + sizeof(struct ip)); #if defined(__FAVOR_BSD) sport = ntohs(tcp->th_sport); dport = ntohs(tcp->th_dport); datalen = len - sizeof(struct ip) - tcp->th_off * 4; // 4 bits offset #else sport = ntohs(tcp->source); dport = ntohs(tcp->dest); datalen = len - sizeof(struct ip) - tcp->doff * 4; #endif // Capture only "data" packets, ignore TCP control if (datalen == 0) break; if (incoming) { lport = dport; rport = sport; inbound(tv, ip->ip_dst, ip->ip_src, lport, rport); } else { lport = sport; rport = dport; outbound(tv, ip->ip_src, ip->ip_dst, lport, rport); } break; default: break; } return 0; }
ps:在这个文件中,process_packet 方法用户获取头信息。
以上是关于tcprstat源码分析之tcp数据包分析的主要内容,如果未能解决你的问题,请参考以下文章