1

C の Linux では、インターフェイス PROMISC を設定し、raw ソケットを使用した後、read() を介してインターフェイスで着信パケットを読み取ることができます。

ただし、すべてのパケットを取得するわけではありません。Read() は、ファイル記述子から次に利用可能なデータを読み取る前に、「長い」時間ブロックします (1 秒未満ですが、1 秒あたり数百のパケットが流れます)。

何かが欠けているか、根本的に間違っているに違いありません。

「libpcap を使用する」は有効な回答ではありません。私は彼らのコードを見て、違いを見つけることができません (libpcap はパケットを見逃すことはありません)

fd を初期化します。

if ((fd = socket(PF_PACKET, SOCK_RAW, htons(ETH_P_ALL))) < 0) {
    perror("socket(PF_PACKET) failed");
    return 1;
}

memset(&ifr, 0, sizeof(ifr));
strncpy(ifr.ifr_name, iface, sizeof(ifr.ifr_name) - 1);

if (ioctl(fd, SIOCGIFINDEX, &ifr) < 0) {
    perror("ioctl(SIOCGIFINDEX) failed");
    return 1;
}

memset(&sll, 0, sizeof(sll));
sll.sll_family = AF_PACKET;
sll.sll_ifindex = ifr.ifr_ifindex;
sll.sll_protocol = htons(ETH_P_ALL);

if ((ifr.ifr_flags | IFF_UP | IFF_BROADCAST | IFF_RUNNING) != ifr.ifr_flags) {
    ifr.ifr_flags |= IFF_UP | IFF_BROADCAST | IFF_RUNNING;
    if( ioctl( fd, SIOCSIFFLAGS, &ifr ) < 0 ) {
        perror("ioctl(SIOCSIFFLAGS) failed");
        return 1;
    }
}

if (bind(fd, (struct sockaddr *) &sll, sizeof(sll)) < 0) {
    perror("bind(ETH_P_ALL) failed");
    return 1;
}

if (ioctl(fd, SIOCGIFHWADDR, &ifr) < 0)
{
    perror("ioctl(SIOCGIFHWADDR) failed");
    return 1;
}

if (ifr.ifr_hwaddr.sa_family != ARPHRD_IEEE80211 &&
        ifr.ifr_hwaddr.sa_family != ARPHRD_IEEE80211_PRISM &&
        ifr.ifr_hwaddr.sa_family != ARPHRD_IEEE80211_FULL)
{
    if (ifr.ifr_hwaddr.sa_family == 1)
        fprintf(stderr, "\nARP linktype is set to 1 (Ethernet) ");
    else
        fprintf(stderr, "\nUnsupported hardware link type %4d ",
                ifr.ifr_hwaddr.sa_family);

    fprintf(stderr, "- expected ARPHRD_IEEE80211,\nARPHRD_IEEE80211_"
            "FULL or ARPHRD_IEEE80211_PRISM instead.  Make\n"
            "sure RFMON is enabled: run 'airmon-ng start %s"
            " <#>'\nSysfs injection support was not found "
            "either.\n\n", iface);
    return 1;
}

memset(&mr, 0, sizeof(mr));
mr.mr_ifindex = sll.sll_ifindex;
mr.mr_type = PACKET_MR_PROMISC;

if (setsockopt(fd, SOL_PACKET, PACKET_ADD_MEMBERSHIP, &mr, sizeof(mr)) < 0) {
    perror("setsockop(PACKET_MR_PROMISC) failed");
    return 1;
}

読んだ:

    while (caplen > 0) {
            if ((caplen = read(fd, p, read_size)) < 0) {
                perror("read failed");
                break;
            }
            p += caplen;
            read_size -= caplen;
        }
    }
4

1 に答える 1

0

Libpcap 1.0以降もおそらくメモリマップドインターフェイスを使用していますが、質問のコードは使用していません。これは違いを生むかもしれません。

LinuxソースのDocumentation/network / packet_mmap.txtファイルを参照してください。ただし、少なくともTPACKET_V1とTPACKET_V2では、メモリにマップされたバッファのすべてのスロットが、ネットワークアダプタからの可能な最大のパケットを保持するのに十分な大きさである必要があることに注意してください。 (たとえば、パケットに802.11のradiotapメタデータヘッダーなどの追加のヘッダーがある場合、またはアダプターがTCPセグメンテーションまたは再アセンブリを実行している場合、これは予想よりも大きくなる可能性があります)。

また、libpcapが使用しているのと同じ大きさのソケットバッファー(またはメモリマップリングバッファー)を提供していることを確認してください。

于 2012-04-10T06:44:34.030 に答える