从混杂的网络设备读取

概述有人知道如何从C中的混杂(或嗅探)设备读取？我知道你需要root访问权限,但是我想知道有没有人知道这样做有什么功能(普通套接字在这里似乎没有意义)？我想为无线流量写一个实时分析工具. 在 Linux上,您可以使用PF_PACKET套接字从原始设备读取数据,例如以混杂模式运行的以太网接口： s = socket(PF_PACKET, SOCK_RAW, htons(ETH_P_ALL)) 这将会将收 有人知道如何从C中的混杂(或嗅探)设备读取？我知道你需要root访问权限,但是我想知道有没有人知道这样做有什么功能(普通套接字在这里似乎没有意义)？我想为无线流量写一个实时分析工具.解决方法 在 Linux上,您可以使用PF_PACKET套接字从原始设备读取数据,例如以混杂模式运行的以太网接口：

s = socket(PF_PACKET,SOCK_RAW,htons(ETH_P_ALL))

这将会将收到的每个数据包的副本发送到您的套接字.尽管如此,您很可能不希望每个数据包.内核可以使用BPF(Berkeley Packet Filter)执行第一级过滤.BBF本质上是一个基于堆栈的虚拟机：它处理一小组指令,例如：

ldh = load halfword (from packet)  jeq = jump if equal  ret = return with exit code

BPF的退出代码告诉内核是否将数据包复制到套接字.可以使用setsockopt(s,Sol_SOCKET,SO_ATTACH_FILTER)直接写入相对较小的BPF程序. (警告：内核采用一个struct sock_fprog,而不是一个struct bpf_program,不要混合这些,或者你的程序在某些平台上不起作用).

对于任何相当复杂的事情,你真的想使用libpcap. BPF在可以做的事情上受到限制,特别是在每个数据包可执行的指令数量上. libpcap将负责将一个复杂的过滤器分成两部分,内核执行第一级过滤,并且更有能力的用户空间代码丢弃了实际上不想查看的数据包.

libpcap还将内核接口从应用程序代码中抽出出来. linux和BSD使用类似的API,但是Solaris需要DLPI和windows使用别的东西.

总结

以上是内存溢出为你收集整理的从混杂的网络设备读取全部内容，希望文章能够帮你解决从混杂的网络设备读取所遇到的程序开发问题。

如果觉得内存溢出网站内容还不错，欢迎将内存溢出网站推荐给程序员好友。