我和同学做一个linux下网络监测的程序,要求捕获所有局域网数据包,并且丢包率尽可能最低,请问用哪一种编程方式比较好?
我读过不少网上的文档和相关讨论,
libpcap好像效率很低,在6M以上流量丢包率就已经很高,
听说PF_SOCK和RAW_SOCK效率很高,不过两者的实现有什么异同?
还有修改内核网卡驱动,不知道效率如何,工作量会不会太大?

听说有一种零拷贝技术,很好用,能介绍一下吗?

谢谢各位

通常都是用libpcap来开发监听网络数据流的程序，如常用的ethereal(wireshark)协议分析软件、snort、bro等IDS都是用libpcap（windows下叫winpcap）
开发，在OS底层未经改造的情况下，可以捕获400Mbpa以上的流量，不至于6Mbps就丢包；
要想获得更高的性能，就用零拷贝技术，所谓“零拷贝”就是网卡（硬件或驱动）捕获数据所使用的内存区域，应用程序可以经过某种映射直接使用，而正常的流程是网卡驱动所使用的内存属于核心态，必须将其拷贝到用户态，应用程序才能使用，如果要经过协议栈的话，可能要拷贝若干次才行，减少数据在内存中拷贝次数，可以很大程度上提高程序效率。要实现”零拷贝“技术必须对操作系统核心进行改造才行，稍微复杂一点。

mark
将网卡设置成混合模式可以捕获所有经过该网卡的数据包，但没有实践过
学习.......

好像没那么简单,呵呵.