这个问题是 this 的下一步.
我更改了代码以使用 AF_PACKET 套接字,但这一次,我的应用程序需要处理大量流量。我决定使用 LSF 过滤器来减少应用程序的工作量。
这是我的新程序:
struct sock_fprog filter;
int i, lineCount = 0;
int sd;
char tcpdump_command[512];
FILE* tcpdump_output;
sprintf(tcpdump_command, "tcpdump \"udp && src %s && src port %d\" -ddd -s 1600", IP, PORT);
if ( (tcpdump_output = popen(tcpdump_command, "r")) == NULL ) {
perror("Cannot compile filter using tcpdump.");
return;
}
if ( fscanf(tcpdump_output, "%d\n", &lineCount) < 1 ) {
printf("cannot read lineCount.\n");
return;
}
filter.filter = calloc(sizeof(struct sock_filter)*lineCount,1);
filter.len = lineCount;
for ( i = 0; i < lineCount; i++ ) {
if (fscanf(tcpdump_output, "%u %u %u %u\n", &(filter.filter[i].code), &(filter.filter[i].jt), &(filter.filter[i].jf), &(filter.filter[i].k)) < 4 ) {
printf("error in reading line number: %d\n", (i+1));
return;
}
}
pclose(tcpdump_output);
sd = socket(AF_PACKET, SOCK_RAW, htons(ETH_P_ALL));
if ( sd == -1 )
{
perror("error in opening sd\n");
return;
}
if (setsockopt(sd, SOL_PACKET, SO_ATTACH_FILTER, &filter, sizeof(filter)) < 0 )
{
perror("Cannot attach filter");
return -5;
}
根据this,我的套接字的初始化似乎是正确的。然而,最终setsockopt失败并显示“协议(protocol)不可用”。任何建议将不胜感激。
最佳答案
使用 SOL_SOCKET,来自内核文档 filter.txt
Ioctls-
setsockopt(sockfd, SOL_SOCKET, SO_ATTACH_FILTER, &Filter, sizeof(Filter));
setsockopt(sockfd, SOL_SOCKET, SO_DETACH_FILTER, &value, sizeof(value));
setsockopt(sockfd, SOL_SOCKET, SO_LOCK_FILTER, &value, sizeof(value));
关于c - 在 Linux 中将过滤器附加到原始套接字,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/18611938/