PF_PACKET SOCK_RAWからread（）でパケットが読み込まれない

Question

C言語のlinuxでは、インターフェイスPROMISCを設定してrawソケットを使用した後、read（）を介してインターフェイス上で着信パケットを読み取ることができます。

ただし、すべてのパケットを取得するわけではありません。 "長い"時間（<に1秒ですが、パケットは1秒あたり数百で流れます）のRead（）ブロックは、ファイルディスクリプタから次の利用可能なデータを読み込みます。

欠けているか根本的に間違っている必要があります。

"use libpcap"は有効な応答者ではありません。私は自分のコードを見て、違いを見つけることができません（libpcapのパケットを見逃すことはありません）

は、FDを初期化します。

if ((fd = socket(PF_PACKET, SOCK_RAW, htons(ETH_P_ALL))) < 0) { 
    perror("socket(PF_PACKET) failed"); 
    return 1; 
} 

memset(&ifr, 0, sizeof(ifr)); 
strncpy(ifr.ifr_name, iface, sizeof(ifr.ifr_name) - 1); 

if (ioctl(fd, SIOCGIFINDEX, &ifr) < 0) { 
    perror("ioctl(SIOCGIFINDEX) failed"); 
    return 1; 
} 

memset(&sll, 0, sizeof(sll)); 
sll.sll_family = AF_PACKET; 
sll.sll_ifindex = ifr.ifr_ifindex; 
sll.sll_protocol = htons(ETH_P_ALL); 

if ((ifr.ifr_flags | IFF_UP | IFF_BROADCAST | IFF_RUNNING) != ifr.ifr_flags) { 
    ifr.ifr_flags |= IFF_UP | IFF_BROADCAST | IFF_RUNNING; 
    if(ioctl(fd, SIOCSIFFLAGS, &ifr) < 0) { 
     perror("ioctl(SIOCSIFFLAGS) failed"); 
     return 1; 
    } 
} 

if (bind(fd, (struct sockaddr *) &sll, sizeof(sll)) < 0) { 
    perror("bind(ETH_P_ALL) failed"); 
    return 1; 
} 

if (ioctl(fd, SIOCGIFHWADDR, &ifr) < 0) 
{ 
    perror("ioctl(SIOCGIFHWADDR) failed"); 
    return 1; 
} 

if (ifr.ifr_hwaddr.sa_family != ARPHRD_IEEE80211 && 
     ifr.ifr_hwaddr.sa_family != ARPHRD_IEEE80211_PRISM && 
     ifr.ifr_hwaddr.sa_family != ARPHRD_IEEE80211_FULL) 
{ 
    if (ifr.ifr_hwaddr.sa_family == 1) 
     fprintf(stderr, "\nARP linktype is set to 1 (Ethernet) "); 
    else 
     fprintf(stderr, "\nUnsupported hardware link type %4d ", 
       ifr.ifr_hwaddr.sa_family); 

    fprintf(stderr, "- expected ARPHRD_IEEE80211,\nARPHRD_IEEE80211_" 
      "FULL or ARPHRD_IEEE80211_PRISM instead. Make\n" 
      "sure RFMON is enabled: run 'airmon-ng start %s" 
      " <#>'\nSysfs injection support was not found " 
      "either.\n\n", iface); 
    return 1; 
} 

memset(&mr, 0, sizeof(mr)); 
mr.mr_ifindex = sll.sll_ifindex; 
mr.mr_type = PACKET_MR_PROMISC; 

if (setsockopt(fd, SOL_PACKET, PACKET_ADD_MEMBERSHIP, &mr, sizeof(mr)) < 0) { 
    perror("setsockop(PACKET_MR_PROMISC) failed"); 
    return 1; 
} 

読む：

while (caplen > 0) { 
      if ((caplen = read(fd, p, read_size)) < 0) { 
       perror("read failed"); 
       break; 
      } 
      p += caplen; 
      read_size -= caplen; 
     } 
    } 

Answer 1

のlibpcap 1.0以降おそらくメモリを使用しますマップされたインタフェースですが、問題のコードはそうではありません。これは違いを生むかもしれません。

LinuxソースのDocumentation/networking/packet_mmap.txtファイルを参照してください。ただし、少なくともTPACKET_V1とTPACKET_V2を使用すると、メモリマップドバッファのすべてのスロットは、可能な限り大きなパケット（たとえば、パケットに802.11の無線タップメタデータヘッダーなどの追加ヘッダーがある場合や、アダプターがTCPセグメンテーションまたは再アセンブリを実行している場合など）より大きくなる可能性があります。

また、libpcapが使用しているように大きなソケットバッファ（またはメモリマップリングバッファ）を用意していることを確認してください。