問題タブ [pcap]

誰かが私に少しコメントと洞察を与えることができるのだろうかと思っています。パフォーマンスの観点から、jNetPcapとJpcapのどちらを使用する必要がありますか？

ありがとう！

LinuxテキストエディタでNotepad++が持つ非常に特殊な機能を探しています。

tcpdump -xネットワークトラフィックの16進ダンプを取得するために使用する場合、Notepad ++を使用するAltと、-mouse-selectを実行してから、左の16進を簡単に削除できますDelete。いくつかの短い置換スペースとラインリターンにより、これを変えることができます：

...これに、はるかに読みやすくなります：

では、このタイプのデータを簡単に切り抜けることができるLinuxテキストエディタを知っている人はいますか？

Wireshark でキャプチャした pcap があります。結果からイーサネット層を削除する Wireshark の機能はありますか? またはそれを行うためのコマンドラインツールはありますか?

私はネットワーク トラフィックの特徴付けについて研究しています。収集されたデータ (tcpdump によってキャプチャされ、データベースに保存されたもの) を処理しているときに、パケット (またはフロー) の到着間隔に関する奇妙な現象に出くわしました。

35 ～ 170µsec の到着間隔は観測されません

もちろん、DAG カード (パケットのハードウェア タイム スタンプを行う) がなければ、ミリ秒未満の精度に頼ることはできません。それにもかかわらず、このギャップが次の累積分布関数に存在する理由を探しています。

特定の IAT で見られるフローの数もプロットしました。

私のデータベースには 13 Mio を超えるフローが含まれているため、このギャップが偶然に存在する可能性はほとんどありません。理由を探しているだけです。

それはsthです。スケジューリングの関係？ Linux カーネル スケジューラ (debian マシン) が 250Hz の周波数を使用することはわかっています。したがって、各ティックは 4ms であり、私のギャップである 35 ～ 170µsec よりも 200 倍大きくなっています。ネットワーク カードによって実行されるスケジューリングはありますか? 0µsec の IATが多数見られるため、これらのパケットは互いに直接処理されていると思われます。私が探している種類のスケジューラ ティックは約 40µsec であり、IAT は 0<x<40µsec になり、その後、キャプチャ以外のことが行われ (120µsec = 3ticks の場合)、120µsec を超えるティックのみが取得されると想像できます。

このギャップをどのように説明できるか、手がかりはありますか? どうもありがとう！シュテファン

CentOS 5.5 マシンに libpcap の最新バージョン (1.1.1) をインストールして使用したいと考えています。次の方法で、新しい libpcap ライブラリを構成、コンパイル、およびインストールしました。

しかし、(リンカー フラグを使用して) libpcap 共有ライブラリとリンクしようとすると、アプリケーションは古いバージョンの libpcap ライブラリにリンクされます ( API 呼び出し-lpcapを使用して検証されます)。pcap_lib_version()

新しい libpcap ライブラリとリンクするにはどうすればよいですか?

前もって感謝します

libpcap を使用して単純なパケット スニファーを作成しようとしています。パケットをキャプチャするときに最初にやろうとしているのは、使用されているデータリンク プロトコルを認識し、IP パケットを見つけるためにそのプロトコルのヘッダーのサイズを見つけることです。問題は、libpcap がデータリンク層プロトコルとして、「Linux で調理された」と記述されている LINUX_SLL を返す場合があることです。そのプロトコルのヘッダーの形式を知っている人はいますか? または少なくともヘッダーのサイズ。

どうもありがとうジョルゴス

こんにちは私はPcapDotNetdllを使おうとしましたが、プロジェクトへの参照を追加できません。それがどのdllであるかは関係ありません。PcapDotNet.Core.dll、PcapDotNet.Base.dllなど。このリファレンスの近くに黄色の感嘆符があり、このdllのメソッドを使用できません。多くの場合、「PcapDotNet.Coreを使用します。」も下線が引かれ、コンパイラは次のように表示します。「タイプまたは名前空間の名前'Core'は名前空間'PcapDotNet'に存在しません（アセンブリ参照がありませんか？）」通常追加できる別のdll。

何か案は？

私のアプリケーションは CentOS 5.5 で実行されています。libpcap API を使用して raw パケットを送信する必要があります。

特定の IP アドレスへ MAC アドレスが特定のターゲットに属していることを確認するにはどうすればよいですか?

私は単純なスニファーツールを書いています。私は libpcap から始めましたが、TCP ストリーム情報を追跡することが有用であることに気づき、libnid について読み、実験するようになりました。

これは優れたツールですが、特定のストリームの TCP ハンドシェイク (SYN、SYN/ACK、ACK) を目撃しない場合、ストリームの内部ハッシュ テーブルに新しいレコードを作成しません。その結果、ハンドシェイクが発生する前にスニファを開始しない限り、多くのデータを表示できません。ドキュメントが少し不足しています。この制限を回避できるかどうかは誰にもわかりませんか?

CI では、データグラム ソケット (AF_INET、SOCK_DGRAM) を INADDR_ANY にバインドします。次に、このソケットを定期的に使用してデータグラムを送受信し、pcap でパケットの流れを監視します。問題は、pcap を使用してパケットが着信か発信かを判断できないことです。

送受信と pcap 監視は別々のスレッドで実行されており、同期のため通信できません。送信されたパケットではなく、着信パケットのみを追跡したいのですが、どうすればそれができるかについて誰か考えがありますか?

宛先 IP アドレスをテストすることは既に考えていましたが、ローカル IP を取得する方法がわかりません。これが実行されているマシンには静的IPがなく、割り当てられたドメイン名ははるかに少なく、INADDR_ANYにバインドされたソケットではgetsocknameが機能しないようです。また、ioctl(sockfd, SIOCGIFCONF, &buffer) を使用してみましたが、どちらも機能しませんでした - buffer.ifc_len=0 を設定します。