使用read（）讀取PF_PACKET SOCK_RAW丟失數據包

Question

在C上的linux中，設置PROMISC接口並使用原始套接字後，可以通過read（）讀取接口上的傳入數據包。

但是，它並沒有得到所有的數據包。在讀取文件描述符中的下一個可用數據之前，讀取（）塊爲「長」時間（< 1秒，但數據包以每秒幾百個數據流）。

必須有一些缺失或根本錯誤。

「使用libpcap」不是有效的答案。我看了看他們的代碼，並不能找到的差異（libpcap的不會丟失數據包）

初始化FD：

if ((fd = socket(PF_PACKET, SOCK_RAW, htons(ETH_P_ALL))) < 0) { 
    perror("socket(PF_PACKET) failed"); 
    return 1; 
} 

memset(&ifr, 0, sizeof(ifr)); 
strncpy(ifr.ifr_name, iface, sizeof(ifr.ifr_name) - 1); 

if (ioctl(fd, SIOCGIFINDEX, &ifr) < 0) { 
    perror("ioctl(SIOCGIFINDEX) failed"); 
    return 1; 
} 

memset(&sll, 0, sizeof(sll)); 
sll.sll_family = AF_PACKET; 
sll.sll_ifindex = ifr.ifr_ifindex; 
sll.sll_protocol = htons(ETH_P_ALL); 

if ((ifr.ifr_flags | IFF_UP | IFF_BROADCAST | IFF_RUNNING) != ifr.ifr_flags) { 
    ifr.ifr_flags |= IFF_UP | IFF_BROADCAST | IFF_RUNNING; 
    if(ioctl(fd, SIOCSIFFLAGS, &ifr) < 0) { 
     perror("ioctl(SIOCSIFFLAGS) failed"); 
     return 1; 
    } 
} 

if (bind(fd, (struct sockaddr *) &sll, sizeof(sll)) < 0) { 
    perror("bind(ETH_P_ALL) failed"); 
    return 1; 
} 

if (ioctl(fd, SIOCGIFHWADDR, &ifr) < 0) 
{ 
    perror("ioctl(SIOCGIFHWADDR) failed"); 
    return 1; 
} 

if (ifr.ifr_hwaddr.sa_family != ARPHRD_IEEE80211 && 
     ifr.ifr_hwaddr.sa_family != ARPHRD_IEEE80211_PRISM && 
     ifr.ifr_hwaddr.sa_family != ARPHRD_IEEE80211_FULL) 
{ 
    if (ifr.ifr_hwaddr.sa_family == 1) 
     fprintf(stderr, "\nARP linktype is set to 1 (Ethernet) "); 
    else 
     fprintf(stderr, "\nUnsupported hardware link type %4d ", 
       ifr.ifr_hwaddr.sa_family); 

    fprintf(stderr, "- expected ARPHRD_IEEE80211,\nARPHRD_IEEE80211_" 
      "FULL or ARPHRD_IEEE80211_PRISM instead. Make\n" 
      "sure RFMON is enabled: run 'airmon-ng start %s" 
      " <#>'\nSysfs injection support was not found " 
      "either.\n\n", iface); 
    return 1; 
} 

memset(&mr, 0, sizeof(mr)); 
mr.mr_ifindex = sll.sll_ifindex; 
mr.mr_type = PACKET_MR_PROMISC; 

if (setsockopt(fd, SOL_PACKET, PACKET_ADD_MEMBERSHIP, &mr, sizeof(mr)) < 0) { 
    perror("setsockop(PACKET_MR_PROMISC) failed"); 
    return 1; 
} 

讀：

while (caplen > 0) { 
      if ((caplen = read(fd, p, read_size)) < 0) { 
       perror("read failed"); 
       break; 
      } 
      p += caplen; 
      read_size -= caplen; 
     } 
    } 

Answer 1

Libpcap的1.0和更高版本也可能使用內存映射的接口，但問題中的代碼沒有;這可能會有所作爲。

請參閱文檔/網絡/ packet_mmap.txt在Linux源文件，但要注意的是，至少在TPACKET_V1和TPACKET_V2，在存儲器映射緩衝區中的所有插槽都必須大到足以容納最大可能包來自網絡適配器（例如，如果數據包具有其他標頭，例如用於802.11的無線射頻元數據頭，或者適配器正在進行TCP分割或重新組裝，則可能比您想象的要大）。

還要確保你提供了一個和libpcap一樣大的套接字緩衝區（或內存映射環形緩衝區）。