如何刷新原始 AF_PACKET 套接字以获得正确的过滤数据包
How to flush raw AF_PACKET socket to get correct filtered packets
sock = socket(AF_PACKET, SOCK_RAW, htons(ETH_P_ALL));
setsockopt(sock, SOL_SOCKET, SO_ATTACH_FILTER, &f, sizeof (f))
使用这个简单的 BPF/LPF 附加代码,当我尝试在套接字上接收数据包时,会收到一些与过滤器不匹配的错误数据包。似乎那些数据包在我调用 setsockopt() 之前进入了套接字。
似乎应该首先创建 AF_PACKET SOCK_RAW 套接字,然后附加过滤器,然后刷新套接字以摆脱那些错误的数据包。
所以问题是,如何刷新这些数据包?
您描述的“错误”是真实存在的,我在职业生涯中曾在多家公司见过它。围绕这个错误有一种类似“口头传统”的东西,从一个网络工程师传给另一个。以下是常见修复:
- 只需在套接字上调用
recv 直到它为空
- 通过在用户模式下过滤数据包以及使用 bpf
进行双重过滤
- 像 libpcap 一样使用零 bpf 技术,首先应用空 bpf,然后清空套接字,然后应用真正的 bpf。
I've written about this problem extensively on my blog 尝试将围绕此错误的口头传统编纂成具体的建议和最佳实践。
sock = socket(AF_PACKET, SOCK_RAW, htons(ETH_P_ALL));
setsockopt(sock, SOL_SOCKET, SO_ATTACH_FILTER, &f, sizeof (f))
使用这个简单的 BPF/LPF 附加代码,当我尝试在套接字上接收数据包时,会收到一些与过滤器不匹配的错误数据包。似乎那些数据包在我调用 setsockopt() 之前进入了套接字。
似乎应该首先创建 AF_PACKET SOCK_RAW 套接字,然后附加过滤器,然后刷新套接字以摆脱那些错误的数据包。
所以问题是,如何刷新这些数据包?
您描述的“错误”是真实存在的,我在职业生涯中曾在多家公司见过它。围绕这个错误有一种类似“口头传统”的东西,从一个网络工程师传给另一个。以下是常见修复:
- 只需在套接字上调用
recv直到它为空 - 通过在用户模式下过滤数据包以及使用 bpf 进行双重过滤
- 像 libpcap 一样使用零 bpf 技术,首先应用空 bpf,然后清空套接字,然后应用真正的 bpf。
I've written about this problem extensively on my blog 尝试将围绕此错误的口头传统编纂成具体的建议和最佳实践。