使用libpcap,是否有一种方法可以确定从脱机pcap文件捕获的数据包的文件偏移量
Using libpcap, is there a way to determine the file offset of a captured packet from an offline pcap file?
我正在编写一个程序来重建Snort捕获的TCP流。我读过的大多数关于会话重建的例子都是:
- 将整个pcap文件加载到内存中开始(由于硬件限制以及某些捕获文件的大小为10 GB,因此不是解决方案),或者
- 在读取捕获时将每个数据包缓存在内存中,并在进行时丢弃不相关的数据包;这与将整个文件读入内存基本上存在相同的问题
我目前的解决方案是编写自己的pcap文件解析器,因为格式很简单。我将每个数据包的偏移量保存在一个向量中,并可以在传递后重新加载每个数据包。这与libpcap一样,一次只将一个数据包流式传输到内存中;我只使用序列号和标志进行排序,而不是数据包数据。与libpcap不同,它明显较慢。使用libpcap处理一个570MB的捕获大约需要0.9秒,而我的代码需要3.2秒。然而,我的优势是可以向后搜索,而无需重新加载整个捕获。
如果我在速度问题上坚持使用libpcap,我想我可以创建一个初始值为24(pcap文件全局头的大小)的currentOffset变量,每次加载新数据包时将其推送到一个向量,每次调用pcap_next_ex时将其递增数据包的大小+16(pcap记录头的大小)。然后,每当我想读取单个数据包时,我都可以使用传统方法加载它,并查找packetOffsets[packetNumber]。
使用libpcap有更好的方法吗?
自己解决了这个问题。
在调用pcap_next_ex之前,我将ftell(pcap_file(myPcap))推送到vector<unsigned long>。之后,我根据需要手动解析数据包。
EZPZ。这只是花了24个多小时的脑力劳动。。。
相关文章:
- .cpp和.h文件中的模板专用化声明
- 为什么两个不同的未命名名称空间可以共存于一个cpp文件中
- 文本文件中的单词链表
- CMake-按正确顺序将项目与C运行时对象文件链接
- 使用新行和不使用新行读取文件
- 在C++程序中输入的文本文件将不起作用,除非文本被复制和粘贴
- 挂起和取消挂起一个文件DLL
- 如何确定我已使用非编码文件到达 EOF?
- 命名空间中具有.h和.cpp文件的类
- 如何使用ndk-build.cmd构建Android.so文件
- 从包含m行的文件中提取n行,必要时(惰性地)重复该文件
- 读取文件并输入到矢量中
- 在C++中查找文件
- c++库的公共头文件中应该包含什么
- 用c++从输入文件中读取另一行
- Cppcheck生成xml转储文件
- 读取文件的最后一行并输入到链接列表时出错
- 无法编译 rtmidi 测试 cmidiin.cpp 文件, 非法指令
- 如何将从文件上传小部件上传的假脱机文件传递到C file*f指针
- 使用libpcap,是否有一种方法可以确定从脱机pcap文件捕获的数据包的文件偏移量
