个人中心
文章发布
退出
作者热门文章
- android - 多次调用 OnPrimaryClipChangedListener
- android - 无法更新 RecyclerView 中的 TextView 字段
- android.database.CursorIndexOutOfBoundsException : Index 0 requested, 光标大小为 0
- android - 使用 AppCompat 时,我们是否需要明确指定其 UI 组件(Spinner、EditText)颜色
25
4
我正在尝试计算从捕获的数据包到前一个数据包的延迟,这两个数据包都来自同一连接。我使用的是单链表,每个节点对应一个连接;我区分从 IP1 到 IP2 的数据包和从 IP2 到 IP1 的数据包:我使用一个节点表示连接方向(IP1 到 IP2),另一个节点表示连接的相反方向(IP2 到 IP1)。我总是在列表的末尾添加。
我的结构节点如下:
typedef struct node {
unsigned int num_pkt; // number of packets coming/going in this connection
u_int8_t protocol;
u_int32_t saddr;
u_int32_t daddr;
u_int16_t sport;
u_int16_t dport;
struct timeval time_begin; // first timestamp when I got pkt from this connection
struct timeval time_end; // last timestamp when I got pkt from this connection
struct timeval old_ts; // temporary timestamp to calculate delay
struct node *next;
} node;
全局指针变量,用于获取列表的第一个和最后一个节点:
node *head = NULL;
node *current = NULL;
下面是每次收到数据包时 pcap_loop 调用的回调函数的伪代码:
void my_callback(u_char *arg, const struct pcap_pkthdr* pkthdr, const u_char* packet)
{
++count;
int length_packet = sizeof(packet);
const struct ether_header *ethh;
const struct iphdr *iph;
const struct tcphdr *tcph;
const struct udphdr *udph;
unsigned short int iphdrlen;
node *tmp; // to iterate over the list
int protocol, sport, dport;
unsigned long int delay;
ethh = (struct ether_header *)packet;
if (ntohs(ethh->ether_type) == ETHERTYPE_IP) {
iph = (struct iphdr*)(packet + sizeof(struct ether_header));
iphdrlen = iph->ihl*4;
protocol = (iph->protocol);
switch (protocol) {
case 6:
tcph = (struct tcphdr *)(packet + sizeof(struct ether_header) + iphdrlen);
sport = ntohs(tcph->th_sport);
dport = ntohs(tcph->th_dport);
break;
case 17:
udph = (struct udphdr *)(packet + sizeof(struct ether_header) + iphdrlen);
sport = ntohs(udph->uh_sport);
dport = ntohs(udph->uh_dport);
break;
default:
break;
}
/* If the list is empty, add first node, fill it and update pointers */
if (head == NULL ) {
node *new_node = (node *)malloc(sizeof(node));
if (new_node == NULL) {
printf("MALLOC ERROR\n");
exit(1);
}
new_node->time_begin.tv_sec = pkthdr->ts.tv_sec;
new_node->time_begin.tv_usec = pkthdr->ts.tv_usec;
new_node->old_ts.tv_sec = pkthdr->ts.tv_sec;
new_node->old_ts.tv_usec = pkthdr->ts.tv_usec;
new_node->time_end.tv_sec = 0;
new_node->time_end.tv_usec = 0;
new_node->num_pkt = 1;
new_node->protocol = protocol;
new_node->saddr = ntohl(iph->saddr);
new_node->daddr = ntohl(iph->daddr);
new_node->sport = sport;
new_node->dport = dport;
new_node->next = NULL;
head = current = new_node;
} else {
tmp = head;
while (tmp != NULL) {
if ((tmp->saddr == ntohl(iph->saddr)) && (tmp->daddr == ntohl(iph->daddr)) &&
(tmp->protocol == protocol) && (tmp->sport == sport) && (tmp->dport == dport)) {
tmp->bts = tmp->bts + length_packet;
tmp->num_pkt = tmp->num_pkt+1;
char src_addr[INET_ADDRSTRLEN], dst_addr[INET_ADDRSTRLEN];
/* Function I made, it uses inet_ntop */
get_src_addr(src_addr, iph);
get_dst_addr(dst_addr, iph);
/* How do I calculate delay: getting the total amount of microsecs
from the timeval inside pcap_pkthdr which contains the timestamp
of the caught packet and subtracting to it the total amount of microsecs
from the old_ts timeval, which contains the timestamp of the previous packet
coming from the same connection */
delay = ((long)(pkthdr->ts.tv_sec*1000000)+pkthdr->ts.tv_usec) - ((long)(tmp->old_ts.tv_sec*1000000)+tmp->old_ts.tv_usec);
printf("%d; %s:%u > %s:%u update timeval: %ld <- %ld (secs), %ld <- %ld (microsecs); delay = %ld\n",
tmp->num_pkt, src_addr, tmp->sport, dst_addr, tmp->dport, tmp->old_ts.tv_sec, pkthdr->ts.tv_sec,
tmp->old_ts.tv_usec, pkthdr->ts.tv_usec, delay);
/* updating old timestamp */
tmp->old_ts.tv_sec = pkthdr->ts.tv_sec;
tmp->old_ts.tv_usec = pkthdr->ts.tv_usec;
tmp->time_end.tv_sec = pkthdr->ts.tv_sec;
tmp->time_end.tv_usec = pkthdr->ts.tv_usec;
return;
} else {
tmp = tmp->next;
}
}
/* If we are here, we are at the end of the list and since
none of the previous packets matches IP address and ports of the new one
caught, we have a new connection. Allocating new node and filling it */
node *new_node = (node *)malloc(sizeof(node));
if (new_node == NULL) {
printf("MALLOC ERROR\n");
exit(1);
}
new_node->time_begin.tv_sec = pkthdr->ts.tv_sec;
new_node->time_begin.tv_usec = pkthdr->ts.tv_usec;
new_node->old_ts.tv_sec = pkthdr->ts.tv_sec;
new_node->old_ts.tv_usec = pkthdr->ts.tv_usec;
new_node->num_pkt = 1;
new_node->protocol = protocol;
new_node->saddr = ntohl(iph->saddr);
new_node->daddr = ntohl(iph->daddr);
new_node->sport = sport;
new_node->dport = dport;
new_node->time_end.tv_sec = 0;
new_node->time_end.tv_usec = 0;
new_node->next = NULL;
current->next = new_node;
current = new_node;
}
}
这是输出的一个片段,仅针对一个连接:
996; 93.62.101.12:443 > 10.0.0.12:55653 update timeval: 1445773040 <- 1445773040 (secs), 133332 <- 133334 (microsecs); delay = 2
997; 93.62.101.12:443 > 10.0.0.12:55653 update timeval: 1445773040 <- 1445773040 (secs), 133334 <- 133334 (microsecs); delay = 0
998; 93.62.101.12:443 > 10.0.0.12:55653 update timeval: 1445773040 <- 1445773040 (secs), 133334 <- 133336 (microsecs); delay = 2
999; 93.62.101.12:443 > 10.0.0.12:55653 update timeval: 1445773040 <- 1445773040 (secs), 133336 <- 133507 (microsecs); delay = 171
1000; 93.62.101.12:443 > 10.0.0.12:55653 update timeval: 1445773040 <- 1445773040 (secs), 133507 <- 135646 (microsecs); delay = 2139
1001; 93.62.101.12:443 > 10.0.0.12:55653 update timeval: 1445773040 <- 1445773040 (secs), 135646 <- 135652 (microsecs); delay = 6
1002; 93.62.101.12:443 > 10.0.0.12:55653 update timeval: 1445773040 <- 1445773040 (secs), 135652 <- 135852 (microsecs); delay = 200
1003; 93.62.101.12:443 > 10.0.0.12:55653 update timeval: 1445773040 <- 1445773040 (secs), 135852 <- 135654 (microsecs); delay = -198
在编号为 1003 的数据包中,我得到了 -198 微秒的负延迟;那是因为 pcap_pkthdr 结构中的时间戳比旧时间戳少了微秒,导致负值。知道为什么较新的时间戳比旧的时间戳少微秒吗?
最佳答案
不幸的是,有时 libpcap 使用的操作系统的数据包捕获机制和网络堆栈可能会无序地将数据包传送到 libpcap。如果两个数据包由两个独立的处理器内核处理,则可能会发生这种情况,并且第一个要加盖时间戳的数据包(因此具有较早的时间戳)可能是第二个要交给捕获机制的数据包(因此出现在另一个数据包之后) , 以便 libpcap 在看到具有较早时间戳的数据包之前看到具有较晚时间戳的数据包。
看看 pcap-tstamp有关时间戳行为的详细信息的手册页。
关于c - 时间结构 : negative delay with libpcap,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/33329177/
25
4
0
您好,我是使用 xampp 的 PHPmyadmin 新手,没有 MYSQL 背景。当我喜欢研究它是如何工作的时,我的脑海中浮现出一个想法,它让我一周都无法休眠,因为我似乎无法弄清楚如何使用 MIN(
Go docs say (强调): Programs using times should typically store and pass them as values, not pointers.
我有一组用户在 8 月 1 日有一个条目。我想找到在 8 月 1 日有条目但在 8 月 2 日没有做任何事情的用户。 现在是 10 月,所以事件已经过去很久了。 我有限的知识说: SELECT * F
我有以下代码,主要编码和取消编码时间结构。这是代码 package main import ( "fmt" "time" "encoding/json" ) type chec
您能详细解释一下“用户 CPU 时间”和“系统 CPU 时间”吗?我读了很多,但我不太理解。 最佳答案 区别在于时间花在用户空间还是内核空间。用户 CPU 时间是处理器运行程序代码(或库中的代码)所花
应用程序不计算东西,但做输入/输出、读取文件、使用网络。我希望探查器显示它。 我希望像 callgrind 中的东西一样,在每个问题中调用 clock_gettime。 或者像 oprofile 那样
目前我的 web 应用程序接收 websocket 数据来触发操作。 这会在页面重新加载时中断,因此我需要一个能够触发特定事件的客户端解决方案。 这个想法可行吗? 假设你有 TimeX = curre
很难说出这里问的是什么。这个问题是含糊的、模糊的、不完整的、过于宽泛的或修辞性的,无法以目前的形式得到合理的回答。如需帮助澄清此问题以便重新打开它,visit the help center 。 已关
我有一个 Instant (org.joda.time.Instant) 的实例,我在一些 api 响应中得到它。我有另一个来自 (java.time.Instant) 的实例,这是我从其他调用中获得
如何集成功能 f(y) w.r.t 时间;即 'y'是一个包含 3000 个值和值 time(t) 的数组从 1 到 3000 不等。所以,在整合 f(y) 后我需要 3000 个值. 积分将是不确定
可以通过 CLI 创建命名空间,但是如何使用 Java SDK 来创建命名空间? 最佳答案 它以编程方式通过 gRPC API 完成由服务公开。 在 Java 中,生成的 gRPC 客户端可以通过 W
我有一个函数,它接受 2 组日期(开始日期和结束日期),这些日期将用于我的匹配引擎 我必须知道start_date1和end_date1是否在start_date2和end_date2内 快进:当我在
我想从 Python 脚本运行“time”unix 命令,以计算非 Python 应用程序的执行时间。我会使用 os.system 方法。有什么方法可以在Python中保存这个输出吗?我的目标是多次运
我正在寻找一种“漂亮的数字”算法来确定日期/时间值轴上的标签。我熟悉 Paul Heckbert's Nice Numbers algorithm . 我有一个在 X 轴上显示时间/日期的图,用户可以
在 PowerShell 中,您可以格式化日期以返回当前小时,如下所示: Get-Date -UFormat %H 您可以像这样在 UTC 中获取日期字符串: $dateNow = Get-Date
我正在尝试使用 Javascript 向父子窗口添加一些页面加载检查功能。 我的目标是“从父窗口”检测,每次子窗口完全加载然后执行一些代码。 我在父窗口中使用以下代码示例: childPage=wi
我正在尝试设置此 FFmpeg 命令的 drawtext 何时开始,我尝试使用 start_number 但看起来它不会成功。 ffmpeg -i 1.mp4 -acodec aac -keyint_
我收到了一个 Excel (2010) 电子表格,它基本上是一个文本转储。 单元格 - J8 具有以下信息 2014 年 2 月 4 日星期二 00:08:06 EST 单元格 - L8 具有以下信息
我收到的原始数据包含一列具有以下日期和时间戳格式的数据: 2014 年 3 月 31 日凌晨 3:38 单元格的格式并不一致,因为有些单元格有单个空格,而另一些单元格中有两个或三个字符之间的空格。所以
我想知道是否有办法在我的 Grails 应用程序顶部显示版本和构建日期。 编辑:我应该说我正在寻找构建应用程序的日期/时间。 最佳答案 在您的主模板中,或任何地方。 Server version:
我是一名优秀的程序员,十分优秀!