libpcap分析

2018/1/5
(linux环境)
想起来以前看过的tcpdump工作在链路层,本来以为这是一个特殊的机制在相应的协议栈位置,不过今天看了才知道。他在链路层的原理是因为他使用了raw_socekt的机制去取这个相应的数据包。并不是说还有什么其他的东西还在干预着。
不过这里面可能工作在内核部分的应该是BPF这个东西,这是一个数据包过滤的系统。


https://www.ibm.com/developerworks/cn/linux/l-libpcap/
这个对于整个补包系统的机制讲解的比较清楚。
https://www.ibm.com/developerworks/cn/linux/l-tcpip/
把libnet也进行了讲解。
我觉得可以把BPF这里面的一些机制学习一下,这个里面一种高效的过滤包的机制应该很有用。

你可能感兴趣的:(libpcap分析)