libpcap+PF_RING源码分析---前言(一)

Libpcap是linux下用来捕获数据包的抓包库，它主要是基于socket的，和winpcap的本质的不同是，winpcap是和tcp/ip协议同层的，而libpcap是应用层的库，在tcp/ip层上对socket的又一次封装，所以从网卡得到的数据包需要经过多次拷贝才能达到应用程序，在千兆网的条件下，捕获包的性能较差，为了提高libpcap的包捕获性能，采用PF_RING对libpcap进行改进，改进后的libpcap采用环状缓冲区从网卡接收数据包，然后通过mmap映射到应用程序，减少内存拷贝的次数。为了更好的理解libpcap，pfring,libpfring等库函数，所以对这些源码进行分析，其中pfring是内核的源码，而libpfring是对pfring的封装，供应用程序调用，其实不采用libpcap，直接采用libpring也能捕获数据包，因为目前大部分的sniff工具都是建立在libpcap之上的，所以还是采用libpcap的接口，在底层采用pfring修改socket的实现过程。

       Winpcap和libpcap捕获数据包的不同之处在于winpcap是与tcp/ip同层的协议，而libpcap是应用层的开发包，libpcap+pf_ring补丁后，和winpcap就有点类似了，都是采用环状的内核缓冲区，内核缓冲区的大小都可以设置。而winpcap和libpcap另外一个不同之处在于，它可以设定mintocopysize，即当内核缓冲区有这么多数据的时候，就将数据拷贝到应用程序缓冲区，而libpcap是没有这种功能的。Libpcap主要是基于网卡中断或轮询往上层传替数据的。