nethogs 源码分析
这篇文章属于初步分析,以后有时间的话再写的更细点。
以下内容都是针对的 TCP 流量分析。
编译
debug 模式下编译,方便后面调试。
CXXFLAGS='-g -O0 -std=c++11 -Wall -Werror' CFLAGS='-g -O0 -Wall -Werror' make
总体设计
利用 libpcap 获取特定网卡上的数据包,从数据包中解析出这个包的连接信息和负载长度。
连接信息包括:源地址、源端口、目的地址、目的端口。
每一个连接都和一个进程关联,一个进程会有多个连接。
main loop
详细设计
nethogs 初始化
dp_handle 结构体如下:
struct dp_handle {
// libpcap 句柄
pcap_t *pcap_handle;
// 各种网络数据包的处理函数
dp_callback callback[dp_n_packet_types];
// 链路类型,现在都是 Ethernet
int linktype;
// 在代码中指的就是 dpargs 结构体
u_char *userdata;
int userdata_size;
};
dp_args 结构体如下:
struct dpargs {
const char *device;
int sa_family;
in_addr ip_src;
in_addr ip_dst;
in6_addr ip6_src;
in6_addr ip6_dst;
};
pcap_open_live() is used to obtain a packet capture handle to look at packets on the network.
处理网络数据包
pcap_dispatch() processes packets from a live capture
process_tcp 调用栈
主要任务都在 process_tcp 里面处理。
process_tcp 流程
刷新统计信息
源码中,是调用 do_refresh 函数刷新统计信息。
调用栈
上面调用栈的意思就是每一个进程 (Process) 都有许多连接信息 (Connection),每一条连接都有多个 Packet. Packet 里面有记录这个包的长度。
题外话
gdb 调用栈怎么没显示 pcap_dispatch
pcap_dispatch 函数定义
pcap_read_linux_mmap_v3 在这里被设置
由此猜测,pcap_dispatch 应该是被内敛了。
标签:分析,调用,数据包,nethogs,dispatch,源码,pcap,dp From: https://www.cnblogs.com/lddcool/p/17494512.html