問題タブ [pcap]

libpcapのCAPIを使用してパケットをキャプチャするとします。文字列検索strstr（）を使用して回線速度（Mbps / Gbpsなど）で一部のペイロード文字列を解析するのは効率的ですか？たとえば、strstr（payload、 "User-Agent"）;

libpcreなどの正規表現パターンマッチングライブラリを使用すると、より効率的になりますか？

HTTPヘッダー引数に対してのみこれを実行したい場合、C APIはありますか？libcurlがそれを実行できるかどうかは私にはわかりません...よろしくお願いします。

このファイルの出力を libpcap 形式で保存しようとしていますが、ファイルは保存され、正しいデータが書き込まれますが、Wireshark で開くことができません。ここで私が見逃しているものを見た人はいますか? ありがとう。

誰かが私に少しコメントと洞察を与えることができるのだろうかと思っています。パフォーマンスの観点から、jNetPcapとJpcapのどちらを使用する必要がありますか？

ありがとう！

LinuxテキストエディタでNotepad++が持つ非常に特殊な機能を探しています。

tcpdump -xネットワークトラフィックの16進ダンプを取得するために使用する場合、Notepad ++を使用するAltと、-mouse-selectを実行してから、左の16進を簡単に削除できますDelete。いくつかの短い置換スペースとラインリターンにより、これを変えることができます：

...これに、はるかに読みやすくなります：

では、このタイプのデータを簡単に切り抜けることができるLinuxテキストエディタを知っている人はいますか？

Wireshark でキャプチャした pcap があります。結果からイーサネット層を削除する Wireshark の機能はありますか? またはそれを行うためのコマンドラインツールはありますか?

私はネットワーク トラフィックの特徴付けについて研究しています。収集されたデータ (tcpdump によってキャプチャされ、データベースに保存されたもの) を処理しているときに、パケット (またはフロー) の到着間隔に関する奇妙な現象に出くわしました。

35 ～ 170µsec の到着間隔は観測されません

もちろん、DAG カード (パケットのハードウェア タイム スタンプを行う) がなければ、ミリ秒未満の精度に頼ることはできません。それにもかかわらず、このギャップが次の累積分布関数に存在する理由を探しています。

特定の IAT で見られるフローの数もプロットしました。

私のデータベースには 13 Mio を超えるフローが含まれているため、このギャップが偶然に存在する可能性はほとんどありません。理由を探しているだけです。

それはsthです。スケジューリングの関係？ Linux カーネル スケジューラ (debian マシン) が 250Hz の周波数を使用することはわかっています。したがって、各ティックは 4ms であり、私のギャップである 35 ～ 170µsec よりも 200 倍大きくなっています。ネットワーク カードによって実行されるスケジューリングはありますか? 0µsec の IATが多数見られるため、これらのパケットは互いに直接処理されていると思われます。私が探している種類のスケジューラ ティックは約 40µsec であり、IAT は 0<x<40µsec になり、その後、キャプチャ以外のことが行われ (120µsec = 3ticks の場合)、120µsec を超えるティックのみが取得されると想像できます。

このギャップをどのように説明できるか、手がかりはありますか? どうもありがとう！シュテファン

CentOS 5.5 マシンに libpcap の最新バージョン (1.1.1) をインストールして使用したいと考えています。次の方法で、新しい libpcap ライブラリを構成、コンパイル、およびインストールしました。

しかし、(リンカー フラグを使用して) libpcap 共有ライブラリとリンクしようとすると、アプリケーションは古いバージョンの libpcap ライブラリにリンクされます ( API 呼び出し-lpcapを使用して検証されます)。pcap_lib_version()

新しい libpcap ライブラリとリンクするにはどうすればよいですか?

前もって感謝します

libpcap を使用して単純なパケット スニファーを作成しようとしています。パケットをキャプチャするときに最初にやろうとしているのは、使用されているデータリンク プロトコルを認識し、IP パケットを見つけるためにそのプロトコルのヘッダーのサイズを見つけることです。問題は、libpcap がデータリンク層プロトコルとして、「Linux で調理された」と記述されている LINUX_SLL を返す場合があることです。そのプロトコルのヘッダーの形式を知っている人はいますか? または少なくともヘッダーのサイズ。

どうもありがとうジョルゴス

こんにちは私はPcapDotNetdllを使おうとしましたが、プロジェクトへの参照を追加できません。それがどのdllであるかは関係ありません。PcapDotNet.Core.dll、PcapDotNet.Base.dllなど。このリファレンスの近くに黄色の感嘆符があり、このdllのメソッドを使用できません。多くの場合、「PcapDotNet.Coreを使用します。」も下線が引かれ、コンパイラは次のように表示します。「タイプまたは名前空間の名前'Core'は名前空間'PcapDotNet'に存在しません（アセンブリ参照がありませんか？）」通常追加できる別のdll。

何か案は？

私のアプリケーションは CentOS 5.5 で実行されています。libpcap API を使用して raw パケットを送信する必要があります。

特定の IP アドレスへ MAC アドレスが特定のターゲットに属していることを確認するにはどうすればよいですか?