用于 PCAP 实时捕捉的最佳 SNAPLEN

Question

当使用pcap_open_live从接口嗅探时，我见过很多使用各种数字作为SNAPLEN值的示例，范围从BUFSIZ（>) 到“幻数”。

将我们正在捕获的接口的 MTU 设置为 SNAPLEN 不是更有意义吗？ 通过这种方式，我们可以在 PCAP 缓冲区中同时容纳更多数据包。假设 MRU 等于 MTU 是否安全？

否则，是否有一种非奇异的方法来设置 SNAPLEN 值？

谢谢

Answer 1

MTU 是可以交给链路层的最大有效负载大小；它不包含任何链路层标头，因此，例如，在以太网上，它是 1500，而不是 1514 或 1518，并且不足以捕获全尺寸的以太网数据包。

此外，它不包含任何元数据标头，例如 802.11 无线电信息的 radiotap 标头。

并且，如果适配器正在执行任何形式的分段/分段/重组卸载，则传递给适配器或从适配器接收的数据包可能尚未分段或分段，或者可能已重新组装，因此，可能是比 MTU 大得多。

至于在PCAP缓冲区中容纳更多数据包，这只适用于Linux中的内存映射TPACKET_V1和TPACKET_V2捕获机制，它们具有固定大小的数据包槽；其他捕获机制不会为每个数据包保留最大大小的插槽，因此较短的快照长度并不重要。对于 TPACKET_V1 和 TPACKET_V2，较小的快照长度可能会产生影响，但至少对于以太网而言，libpcap 1.2.1 会尽力为以太网选择合适的缓冲区槽大小。 （TPACKET_V3 似乎没有固定大小的每数据包插槽，在这种情况下它不会出现此问题，但它最近才出现在正式发布的内核中，并且 libpcap 中尚不支持它。）