netsniff-ng: Allow to compile without libnl
[netsniff-ng-new.git] / trafgen.8
blobc95879401efea4fc94a2498a82ac201fb6542a98
1 .\" netsniff-ng - the packet sniffing beast
2 .\" Copyright 2013 Daniel Borkmann.
3 .\" Subject to the GPL, version 2.
4 .TH TRAFGEN 8 "03 March 2013" "Linux" "netsniff-ng toolkit"
5 .SH NAME
6 trafgen \- a fast, multithreaded network packet generator
7 .PP
8 .SH SYNOPSIS
9 .PP
10 \fBtrafgen\fR [\fIoptions\fR] [\fIpacket\fR]
11 .PP
12 .SH DESCRIPTION
13 .PP
14 trafgen is a fast, zero-copy network traffic generator for debugging,
15 performance evaluation, and fuzz-testing. trafgen utilizes the packet(7)
16 socket interface of Linux which postpones complete control over packet data
17 and packet headers into the user space. It has a powerful packet configuration
18 language, which is rather low-level and not limited to particular protocols.
19 Thus, trafgen can be used for many purposes. Its only limitation is that it
20 cannot mimic full streams resp. sessions. However, it is very useful for
21 various kinds of load testing in order to analyze and subsequently improve
22 systems behaviour under DoS attack scenarios, for instance.
23 .PP
24 trafgen is Linux specific, meaning there is no support for other operating
25 systems, same as netsniff-ng(8), thus we can keep the code footprint quite
26 minimal and to the point. trafgen makes use of packet(7) socket's TX_RING
27 interface of the Linux kernel, which is a mmap(2)'ed ring buffer shared between
28 user and kernel space.
29 .PP
30 By default, trafgen starts as many processes as available CPUs, pins each
31 of them to their respective CPU and sets up the ring buffer each in their own
32 process space after having compiled a list of packets to transmit. Thus, this is
33 likely the fastest one can get out of the box in terms of transmission performance
34 from user space, without having to load unsupported or non-mainline third-party
35 kernel modules. On Gigabit Ethernet, trafgen has a comparable performance to
36 pktgen, the built-in Linux kernel traffic generator, except that trafgen is more
37 flexible in terms of packet configuration possibilities. On 10-Gigabit-per-second
38 Ethernet, trafgen might be slower than pktgen due to the user/kernel space
39 overhead but still has a fairly high performance for out of the box kernels.
40 .PP
41 trafgen has the potential to do fuzz testing, meaning a packet configuration can
42 be built with random numbers on all or certain packet offsets that are freshly
43 generated each time a packet is sent out. With a built-in IPv4 ping, trafgen can
44 send out an ICMP probe after each packet injection to the remote host in order
45 to test if it is still responsive/alive. Assuming there is no answer from the
46 remote host after a certain threshold of probes, the machine is considered dead
47 and the last sent packet is printed together with the random seed that was used
48 by trafgen. You might not really get lucky fuzz-testing the Linux kernel, but
49 presumably there are buggy closed-source embedded systems or network driver's
50 firmware files that are prone to bugs, where trafgen could help in finding them.
51 .PP
52 trafgen's configuration language is quite powerful, also due to the fact, that
53 it supports C preprocessor macros. A stddef.h is being shipped with trafgen for
54 this purpose, so that well known defines from Linux kernel or network programming
55 can be reused. After a configuration file has passed the C preprocessor stage,
56 it is processed by the trafgen packet compiler. The language itself supports a
57 couple of features that are useful when assembling packets, such as built-in
58 runtime checksum support for IP, UDP and TCP. Also it has an expression evaluator
59 where arithmetic (basic operations, bit operations, bit shifting, ...) on constant
60 expressions is being reduced to a single constant on compile time. Other features
61 are ''fill'' macros, where a packet can be filled with n bytes by a constant, a
62 compile-time random number or run-time random number (as mentioned with fuzz
63 testing). Also, netsniff-ng(8) is able to convert a pcap file into a trafgen
64 configuration file, thus such a configuration can then be further tweaked for a
65 given scenario.
66 .PP
67 .SH OPTIONS
68 .PP
69 .SS -i <cfg|->, -c <cfg|i>, --in <cfg|->, --conf <cfg|->
70 Defines the input configuration file that can either be passed as a normal plain
71 text file or via stdin (''-''). Note that currently, if a configuration is
72 passed through stdin, only 1 CPU will be used.
73 .PP
74 .SS -o <dev>, -d <dev>, --out <dev>, --dev <dev>
75 Defines the outgoing networking device such as eth0, wlan0 and others.
76 .PP
77 .SS -p, --cpp
78 Pass the packet configuration to the C preprocessor before reading it into
79 trafgen. This allows #define and #include directives (e.g. to include
80 definitions from system headers) to be used in the trafgen configuration file.
81 .PP
82 .SS -D <name>=<definition>, --define <name>=<definition>
83 Add macro definition for the C preprocessor to use it within trafgen file. This
84 option is used in combination with the -p,--cpp option.
85 .PP
86 .SS -J, --jumbo-support
87 By default trafgen's ring buffer frames are of a fixed size of 2048 bytes.
88 This means that if you're expecting jumbo frames or even super jumbo frames to
89 pass your line, then you will need to enable support for that with the help of
90 this option. However, this has the disadvantage of a performance regression and
91 a bigger memory footprint for the ring buffer.
92 .PP
93 .SS -R, --rfraw
94 In case the output networking device is a wireless device, it is possible with
95 trafgen to turn this into monitor mode and create a mon<X> device that trafgen
96 will be transmitting on instead of wlan<X>, for instance. This enables trafgen
97 to inject raw 802.11 frames.
98 .PP
99 .SS -s <ipv4>, --smoke-test <ipv4>
100 In case this option is enabled, trafgen will perform a smoke test. In other
101 words, it will probe the remote end, specified by an <ipv4> address, that is
102 being ''attacked'' with trafgen network traffic, if it is still alive and
103 responsive. That means, after each transmitted packet that has been configured,
104 trafgen sends out ICMP echo requests and waits for an answer before it continues.
105 In case the remote end stays unresponsive, trafgen assumes that the machine
106 has crashed and will print out the content of the last packet as a trafgen
107 packet configuration and the random seed that has been used in order to
108 reproduce a possible bug. This might be useful when testing proprietary embedded
109 devices. It is recommended to have a direct link between the host running
110 trafgen and the host being attacked by trafgen.
112 .SS -n <0|uint>, --num <0|uint>
113 Process a number of packets and then exit. If the number of packets is 0, then
114 this is equivalent to infinite packets resp. processing until interrupted.
115 Otherwise, a number given as an unsigned integer will limit processing.
117 .SS -r, --rand
118 Randomize the packet selection of the configuration file. By default, if more
119 than one packet is defined in a packet configuration, packets are scheduled for
120 transmission in a round robin fashion. With this option, they are selected
121 randomly instread.
123 .SS -P <uint>, --cpus <uint>
124 Specify the number of processes trafgen shall fork(2) off. By default trafgen
125 will start as many processes as CPUs that are online and pin them to each,
126 respectively. Allowed value must be within interval [1,CPUs].
128 .SS -t <time>, --gap <time>
129 Specify a static inter-packet timegap in seconds, milliseconds, microseconds,
130 or nanoseconds: ''<num>s/ms/us/ns''. If no postfix is given default to
131 microseconds. If this option is given, then instead of packet(7)'s TX_RING
132 interface, trafgen will use sendto(2) I/O for network packets, even if the
133 <time> argument is 0. This option is useful for a couple of reasons: i)
134 comparison between sendto(2) and TX_RING performance, ii) low-traffic packet
135 probing for a given interval, iii) ping-like debugging with specific payload
136 patterns. Furthermore, the TX_RING interface does not cope with interpacket
137 gaps.
139 .SS -b <rate>, --rate <rate>
140 Specify the packet send rate <num>pps/B/kB/MB/GB/kbit/Mbit/Gbit/KiB/MiB/GiB units.
141 Like with the -t,--gap option, the packets are sent in slow mode.
143 .SS -S <size>, --ring-size <size>
144 Manually define the TX_RING resp. TX_RING size in ''<num>KiB/MiB/GiB''. On
145 default the size is being determined based on the network connectivity rate.
147 .SS -E <uint>, --seed <uint>
148 Manually set the seed for pseudo random number generator (PRNG) in trafgen. By
149 default, a random seed from /dev/urandom is used to feed glibc's PRNG. If that
150 fails, it falls back to the unix timestamp. It can be useful to set the seed
151 manually in order to be able to reproduce a trafgen session, e.g. after fuzz
152 testing.
154 .SS -u <uid>, --user <uid> resp. -g <gid>, --group <gid>
155 After ring setup, drop privileges to a non-root user/group combination.
157 .SS -H, --prio-high
158 Set this process as a high priority process in order to achieve a higher
159 scheduling rate resp. CPU time. This is however not the default setting, since
160 it could lead to starvation of other processes, for example low priority kernel
161 threads.
163 .SS -A, --no-sock-mem
164 Do not change systems default socket memory setting during testrun.
165 Default is to boost socket buffer memory during the test to:
167    /proc/sys/net/core/rmem_default:4194304
168    /proc/sys/net/core/wmem_default:4194304
169    /proc/sys/net/core/rmem_max:104857600
170    /proc/sys/net/core/wmem_max:104857600
172 .SS -Q, --notouch-irq
173 Do not reassign the NIC's IRQ CPU affinity settings.
175 .SS -q, --qdisc-path
176 Since Linux 3.14, the kernel supports a socket option PACKET_QDISC_BYPASS,
177 which trafgen enables by default.  This options disables the qdisc bypass,
178 and uses the normal send path through the kernel's qdisc (traffic control)
179 layer, which can be usefully for testing the qdisc path.
181 .SS -V, --verbose
182 Let trafgen be more talkative and let it print the parsed configuration and
183 some ring buffer statistics.
185 .SS -e, --example
186 Show a built-in packet configuration example. This might be a good starting
187 point for an initial packet configuration scenario.
189 .SS -C, --no-cpu-stats
190 Do not print CPU time statistics on exit.
192 .SS -v, --version
193 Show version information and exit.
195 .SS -h, --help
196 Show user help and exit.
198 .SH SYNTAX
200 trafgen's packet configuration syntax is fairly simple. The very basic things
201 one needs to know is that a configuration file is a simple plain text file
202 where packets are defined. It can contain one or more packets. Packets are
203 enclosed by opening '{' and closing '}' braces, for example:
205    { /* packet 1 content goes here ... */ }
206    { /* packet 2 content goes here ... */ }
208 Alternatively, packets can also be specified directly on the command line, using
209 the same syntax as used in the configuration files.
211 When trafgen is started using multiple CPUs (default), then each of those packets
212 will be scheduled for transmission on all CPUs by default. However, it is possible
213 to tell trafgen to schedule a packet only on a particular CPU:
215    cpu(1): { /* packet 1 content goes here ... */ }
216    cpu(2-3): { /* packet 2 content goes here ... */ }
218 Thus, in case we have a 4 core machine with CPU0-CPU3, packet 1 will be scheduled
219 only on CPU1, packet 2 on CPU2 and CPU3. When using trafgen with \-\-num option,
220 then these constraints will still be valid and the packet is fairly distributed
221 among those CPUs.
223 Packet content is delimited either by a comma or whitespace, or both:
225    { 0xca, 0xfe, 0xba 0xbe }
227 Packet content can be of the following:
229    hex bytes:   0xca, xff
230    decimal:     42
231    binary:      0b11110000, b11110000
232    octal:       011
233    character:   'a'
234    string:      "hello world"
235    shellcode:   "\\x31\\xdb\\x8d\\x43\\x17\\x99\\xcd\\x80\\x31\\xc9"
237 Thus, a quite useless packet configuration might look like this (one can verify
238 this when running this with trafgen in combination with \-V):
240    { 0xca, 42, 0b11110000, 011, 'a', "hello world",
241      "\\x31\\xdb\\x8d\\x43\\x17\\x99\\xcd\\x80\\x31\\xc9" }
243 There are a couple of helper functions in trafgen's language to make life easier
244 to write configurations:
246 i) Fill with garbage functions:
248    byte fill function:      fill(<content>, <times>): fill(0xca, 128)
249    compile-time random:     rnd(<times>): rnd(128), rnd()
250    runtime random numbers:  drnd(<times>): drnd(128), drnd()
251    compile-time counter:    seqinc(<start-val>, <increment>, <times>)
252                             seqdec(<start-val>, <decrement>, <times>)
253    runtime counter (1byte): dinc(<min-val>, <max-val>, <increment>)
254                             ddec(<min-val>, <max-val>, <decrement>)
256 ii) Checksum helper functions (packet offsets start with 0):
258    IP/ICMP checksum:        csumip/csumicmp(<off-from>, <off-to>)
259    UDP checksum:            csumudp(<off-iphdr>, <off-udpdr>)
260    TCP checksum:            csumtcp(<off-iphdr>, <off-tcphdr>)
261    UDP checksum (IPv6):     csumudp6(<off-ip6hdr>, <off-udpdr>)
262    TCP checksum (IPv6):     csumtcp6(<off-ip6hdr>, <off-tcphdr>)
264 iii) Multibyte functions, compile-time expression evaluation:
266    const8(<content>), c8(<content>), const16(<content>), c16(<content>),
267    const32(<content>), c32(<content>), const64(<content>), c64(<content>)
269    These functions write their result in network byte order into the packet
270 configuration, e.g. const16(0xaa) will result in ''00 aa''. Within c*()
271 functions, it is possible to do some arithmetics: -,+,*,/,%,&,|,<<,>>,^
272 E.g. const16((((1<<8)+0x32)|0b110)*2) will be evaluated to ''02 6c''.
274 iv) Protocol header functions:
275 The protocol header functions allow to fill protocol header fields by
276 using following generic syntax:
277 .in +8
279 <proto>(<field>=<value>,<field2>=<value2>,...,<field3>,...)
281 .in -8
282 .in +4
283 If a field is not specified, then a default value will be used (usually 0).
284 Protocol fields might be set in any order. However, the offset of the fields in
285 the resulting packet is according to the respective protocol.
287 All required lower layer headers will be filled automatically if they were not
288 specified by the user. The headers will be filled in the order they were
289 specified. Each header will be filled with some mimimum required set of fields.
290 .in -4
292 .in +4
293 Supported protocol headers:
295 .I Ethernet
297 .B eth(da=<mac>, sa=<mac>, type=<number>)
299 .in +4
300 .B da|daddr
301 - Destination MAC address (default: 00:00:00:00:00:00)
303 .B sa|saddr
304 - Source MAC address (default: device MAC address)
306 .B etype|type|prot|proto
307 - Ethernet type (default: 0)
308 .in -4
310 .I VLAN
312 .B vlan(tpid=<number>, id=<number>, dei=<number>, tci=<number>, pcp=<number>, 1q, 1ad)
314 .in +4
315 .B tpid|prot|proto
316 - Tag Protocol Identifier (TPID) (default: 0x8100)
318 .B tci
319 - Tag Control Information (TCI) field (VLAN Id + PCP + DEI) (default: 0)
321 .B dei|cfi
322 - Drop Eligible Indicator (DEI), formerly Canonical Format Indicator (CFI) (default: 0)
324 .B pcp
325 - Priority code point (PCP) (default: 0)
327 .B id
328 - VLAN Identifier (default: 0)
330 .B 1q
331 - Set 802.1q header (TPID: 0x8100)
333 .B 1ad
334 - Set 802.1ad header (TPID: 0x88a8)
336 .in -4
337 By default, if the lower level header is Ethernet, its EtherType is set to
338 0x8100 (802.1q).
341 .I MPLS
343 .B mpls(label=<number>, tc|exp=<number>, last=<number>, ttl=<number>)
345 .in +4
346 .B label|lbl
347 - MPLS label value (default: 0)
349 .B tclass|tc|exp
350 - Traffic Class for QoS field (default: 0)
352 .B last
353 - Bottom of stack S-flag (default: 1 for most last label)
355 .B ttl
356 - Time To Live (TTL) (default: 0)
358 .in -4
359 By default, if the lower level header is Ethernet, its EtherType is set to
360 0x8847 (MPLS Unicast). S-flag is set automatically to 1 for the last label and
361 resets to 0 if the lower MPLS label was added after.
364 .I ARP
366 .B arp(htype=<number>, ptype=<number>, op=<request|reply|number>, request,
367 .B reply, smac=<mac>, sip=<ip4_addr>, tmac=<mac>, tip=<ip4_addr>)
369 .in +4
370 .B htype
371 - ARP hardware type (default: 1 [Ethernet])
373 .B ptype
374 - ARP protocol type (default: 0x0800 [IPv4])
376 .B op
377 - ARP operation type (request/reply) (default: request)
379 .B req|request
380 - ARP Request operation type
382 .B reply
383 - ARP Reply operation type
385 .B smac|sha
386 - Sender hardware (MAC) address (default: device MAC address)
388 .B sip|spa
389 - Sender protocol (IPv4) address (default: device IPv4 address)
391 .B tmac|tha
392 - Target hardware (MAC) address (default: 00:00:00:00:00:00)
394 .B tip|tpa
395 - Target protocol (IPv4) address (default: device IPv4 address)
396 .in -4
398 By default, the ARP operation field is set to request and the Ethernet
399 destination MAC address is set to the broadcast address (ff:ff:ff:ff:ff:ff).
401 .I IPv4
403 .B ip4|ipv4(ihl=<number>, ver=<number>, len=<number>, csum=<number>,
404 .B ttl=<number>, tos=<number>, dscp=<number>, ecn=<number>,
405 .in +16
406 .B id=<number>, flags=<number>, frag=<number>, df, mf, da=<ip4_addr>, sa=<ip4_addr>,
407 .B prot[o]=<number>)
408 .in -16
410 .in +4
411 .B ver|version
412 - Version field (default: 4)
414 .B ihl
415 - Header length in number of 32-bit words (default: 5)
417 .B tos
418 - Type of Service (ToS) field (default: 0)
420 .B dscp
421 - Differentiated Services Code Point (DSCP, DiffServ) field (default: 0)
423 .B ecn
424 - Explicit Congestion Notification (ECN) field (default: 0)
426 .B len|length
427 - Total length of header and payload (calculated by default)
429 .B id
430 - IPv4 datagram identification (default: 0)
432 .B flags
433 - IPv4 flags value (DF, MF) (default: 0)
435 .B df
436 - Don't fragment (DF) flag (default: 0)
438 .B mf
439 - More fragments (MF) flag (default: 0)
441 .B frag
442 - Fragment offset field in number of 8 byte blocks (default: 0)
444 .B ttl
445 - Time to live (TTL) field (default: 0)
447 .B csum
448 - Header checksum (calculated by default)
450 .B sa|saddr
451 - Source IPv4 address (default: device IPv4 address)
453 .B da|daddr
454 - Destination IPv4 address (default: 0.0.0.0)
456 .B prot|proto
457 - IPv4 protocol number (default: 0)
458 .in -4
460 By default, if the lower level header is Ethernet, its EtherType field is set to
461 0x0800 (IPv4). If the lower level header is IPv4, its protocol field is set to
462 0x4 (IP-in-IP).
464 .I IPv6
466 .B ip6|ipv6(ver=<number>, class=<number>, flow=<number> len=<number>,
467 .B nexthdr=<number>, hoplimit=<number>,
468 .in +16
469 .B da=<ip6_addr>, sa=<ip6_addr>)
470 .in -16
472 .in +4
473 .B ver|version
474 - Version field (default: 6)
476 .B tc|tclass
477 - Traffic class (default: 0)
479 .B fl|flow
480 - Flow label (default: 0)
482 .B len|length
483 - Payload length (calculated by default)
485 .B nh|nexthdr
486 - Type of next header, i.e. transport layer protocol number (default: 0)
488 .B hl|hoplimit|ttl
489 - Hop limit, i.e. time to live (default: 0)
491 .B sa|saddr
492 - Source IPv6 address (default: device IPv6 address)
494 .B da|daddr
495 - Destination IPv6 address (default: 0:0:0:0:0:0:0:0)
496 .in -4
498 By default, if the lower level header is Ethernet, its EtherType field is set to
499 0x86DD (IPv6).
501 .I ICMPv4
503 .B icmp4|icmpv4(type=<number>, code=<number>, echorequest, echoreply,
504 .B csum=<number>, mtu=<number>, seq=<number>, id=<number>, addr=<ip4_addr>)
506 .in +4
507 .B type
508 - Message type (default: 0 - Echo reply)
510 .B code
511 - Message code (default: 0)
513 .B echorequest
514 - ICMPv4 echo (ping) request (type: 8, code: 0)
516 .B echoreply
517 - ICMPv4 echo (ping) reply (type: 0, code: 0)
519 .B csum
520 - Checksum of ICMPv4 header and payload (calculated by default)
522 .B mtu
523 - Next-hop MTU field used in 'Datagram is too big' message type (default; 0)
525 .B seq
526 - Sequence number used in Echo/Timestamp/Address mask messages (default: 0)
528 .B id
529 - Identifier used in Echo/Timestamp/Address mask messages (default: 0)
531 .B addr
532 - IPv4 address used in Redirect messages (default: 0.0.0.0)
534 .in -4
535 Example ICMP echo request (ping):
536 .in +4
538 { icmpv4(echorequest, seq=1, id=1326) }
539 .in -4
541 .I ICMPv6
543 .B icmp6|icmpv6(type=<number>, echorequest, echoreply, code=<number>,
544 .B csum=<number>)
546 .in +4
547 .B type
548 - Message type (default: 0)
550 .B code
551 - Code (default: 0)
553 .B echorequest
554 - ICMPv6 echo (ping) request
556 .B echoreply
557 - ICMPv6 echo (ping) reply
559 .B csum
560 - Message checksum (calculated by default)
561 .in -4
563 By default, if the lower level header is IPv6, its Next Header field is set to
564 58 (ICMPv6).
566 .I UDP
568 .B udp(sp=<number>, dp=<number>, len=<number>, csum=<number>)
570 .in +4
571 .B sp|sport
572 - Source port (default: 0)
574 .B dp|dport
575 - Destination port (default: 0)
577 .B len|length
578 - Length of UDP header and data (calculated by default)
580 .B csum
581 - Checksum field over IPv4 pseudo header (calculated by default)
583 .in -4
584 By default, if the lower level header is IPv4, its protocol field is set to
585 0x11 (UDP).
587 .I TCP
589 .B tcp(sp=<number>, dp=<number>, seq=<number>, aseq|ackseq=<number>, doff|hlen=<number>,
590 .B cwr, ece|ecn, urg, ack, psh, rst, syn, fin, win|window=<number>, csum=<number>,
591 .B urgptr=<number>)
593 .in +4
594 .B sp|sport
595 - Source port (default: 0)
597 .B dp|dport
598 - Destination port (default: 0)
600 .B seq
601 - Sequence number (default: 0)
603 .B aseq|ackseq
604 - Acknowledgement number (default: 0)
606 .B doff|hlen
607 - Header size (data offset) in number of 32-bit words (default: 5)
609 .B cwr
610 - Congestion Window Reduced (CWR) flag (default: 0)
612 .B ece|ecn
613 - ECN-Echo (ECE) flag (default: 0)
615 .B urg
616 - Urgent flag (default: 0)
618 .B ack
619 - Acknowledgement flag (default: 0)
621 .B psh
622 - Push flag (default: 0)
624 .B rst
625 - Reset flag (default: 0)
627 .B syn
628 - Synchronize flag (default: 0)
630 .B fin
631 - Finish flag (default: 0)
633 .B win|window
634 - Receive window size (default: 0)
636 .B csum
637 - Checksum field over IPv4 pseudo header (calculated by default)
639 .B urgptr
640 - Urgent pointer (default: 0)
642 .in -4
643 By default, if the lower level header is IPv4, its protocol field is set to
644 0x6 (TCP).
646 Simple example of a UDP Echo packet:
648 .in +5
649    {
650      eth(da=11:22:33:44:55:66),
651      ipv4(daddr=1.2.3.4)
652      udp(dp=7),
653      "Hello world"
654    }
655 .in -5
657 Furthermore, there are two types of comments in trafgen configuration files:
659   1. Multi-line C-style comments:        /* put comment here */
660   2. Single-line Shell-style comments:   #  put comment here
662 Next to all of this, a configuration can be passed through the C preprocessor
663 before the trafgen compiler gets to see it with option \-\-cpp. To give you a
664 taste of a more advanced example, run ''trafgen \-e'', fields are commented:
666    /* Note: dynamic elements make trafgen slower! */
667    #include <stddef.h>
669    {
670      /* MAC Destination */
671      fill(0xff, ETH_ALEN),
672      /* MAC Source */
673      0x00, 0x02, 0xb3, drnd(3),
674      /* IPv4 Protocol */
675      c16(ETH_P_IP),
676      /* IPv4 Version, IHL, TOS */
677      0b01000101, 0,
678      /* IPv4 Total Len */
679      c16(59),
680      /* IPv4 Ident */
681      drnd(2),
682      /* IPv4 Flags, Frag Off */
683      0b01000000, 0,
684      /* IPv4 TTL */
685      64,
686      /* Proto TCP */
687      0x06,
688      /* IPv4 Checksum (IP header from, to) */
689      csumip(14, 33),
690      /* Source IP */
691      drnd(4),
692      /* Dest IP */
693      drnd(4),
694      /* TCP Source Port */
695      drnd(2),
696      /* TCP Dest Port */
697      c16(80),
698      /* TCP Sequence Number */
699      drnd(4),
700      /* TCP Ackn. Number */
701      c32(0),
702      /* TCP Header length + TCP SYN/ECN Flag */
703      c16((8 << 12) | TCP_FLAG_SYN | TCP_FLAG_ECE)
704      /* Window Size */
705      c16(16),
706      /* TCP Checksum (offset IP, offset TCP) */
707      csumtcp(14, 34),
708      /* TCP Options */
709      0x00, 0x00, 0x01, 0x01, 0x08, 0x0a, 0x06,
710      0x91, 0x68, 0x7d, 0x06, 0x91, 0x68, 0x6f,
711      /* Data blob */
712      "gotcha!",
713    }
715 Another real-world example by Jesper Dangaard Brouer [1]:
717    {
718      # --- ethernet header ---
719      0x00, 0x1b, 0x21, 0x3c, 0x9d, 0xf8,  # mac destination
720      0x90, 0xe2, 0xba, 0x0a, 0x56, 0xb4,  # mac source
721      const16(0x0800), # protocol
722      # --- ip header ---
723      # ipv4 version (4-bit) + ihl (4-bit), tos
724      0b01000101, 0,
725      # ipv4 total len
726      const16(40),
727      # id (note: runtime dynamic random)
728      drnd(2),
729      # ipv4 3-bit flags + 13-bit fragment offset
730      # 001 = more fragments
731      0b00100000, 0,
732      64, # ttl
733      17, # proto udp
734      # dynamic ip checksum (note: offsets are zero indexed)
735      csumip(14, 33),
736      192, 168, 51, 1, # source ip
737      192, 168, 51, 2, # dest ip
738      # --- udp header ---
739      # as this is a fragment the below stuff does not matter too much
740      const16(48054), # src port
741      const16(43514), # dst port
742      const16(20),    # udp length
743      # udp checksum can be dyn calc via csumudp(offset ip, offset tcp)
744      # which is csumudp(14, 34), but for udp its allowed to be zero
745      const16(0),
746      # payload
747      'A',  fill(0x41, 11),
748    }
750    [1] http://thread.gmane.org/gmane.linux.network/257155
752 The above example rewritten using the header generation functions:
754    {
755      # --- ethernet header ---
756      eth(da=00:1b:21:3c:9d:f8, da=90:e2:ba:0a:56:b4, proto=0x0800)
757      # --- ip header ---
758      ipv4(len=40, id=drnd(2), mf, ttl=64, proto=17, sa=192.168.51.1, da=192.168.51.2)
759      # --- udp header ---
760      udp(sport=48054, dport=43514, len=20, csum=0)
761      # payload
762      'A',  fill(0x41, 11),
763    }
765 .SH USAGE EXAMPLE
767 .SS trafgen --dev eth0 --conf trafgen.cfg
768 This is the most simple and, probably, the most common use of trafgen. It
769 will generate traffic defined in the configuration file ''trafgen.cfg'' and
770 transmit this via the ''eth0'' networking device. All online CPUs are used.
772 .SS trafgen -e | trafgen -i - -o lo --cpp -n 1
773 This is an example where we send one packet of the built-in example through
774 the loopback device. The example configuration is passed via stdin and also
775 through the C preprocessor before trafgen's packet compiler will see it.
777 .SS trafgen --dev eth0 --conf fuzzing.cfg --smoke-test 10.0.0.1
778 Read the ''fuzzing.cfg'' packet configuration file (which contains drnd()
779 calls) and send out the generated packets to the ''eth0'' device. After each
780 sent packet, ping probe the attacked host with address 10.0.0.1 to check if
781 it's still alive. This also means, that we utilize 1 CPU only, and do not
782 use the TX_RING, but sendto(2) packet I/O due to ''slow mode''.
784 .SS trafgen --dev wlan0 --rfraw --conf beacon-test.txf -V --cpus 2
785 As an output device ''wlan0'' is used and put into monitoring mode, thus we
786 are going to transmit raw 802.11 frames through the air. Use the
787  ''beacon-test.txf'' configuration file, set trafgen into verbose mode and
788 use only 2 CPUs.
790 .SS trafgen --dev em1 --conf frag_dos.cfg --rand --gap 1000us
791 Use trafgen in sendto(2) mode instead of TX_RING mode and sleep after each
792 sent packet a static timegap for 1000us. Generate packets from ''frag_dos.cfg''
793 and select next packets to send randomly instead of a round-robin fashion.
794 The output device for packets is ''em1''.
796 .SS trafgen --dev eth0 --conf icmp.cfg --rand --num 1400000 -k1000
797 Send only 1400000 packets using the ''icmp.cfg'' configuration file and then
798 exit trafgen. Select packets randomly from that file for transmission and
799 send them out via ''eth0''. Also, trigger the kernel every 1000us for batching
800 the ring frames from user space (default is 10us).
802 .SS trafgen --dev eth0 --conf tcp_syn.cfg -u `id -u bob` -g `id -g bob`
803 Send out packets generated from the configuration file ''tcp_syn.cfg'' via
804 the ''eth0'' networking device. After setting up the ring for transmission,
805 drop credentials to the non-root user/group bob/bob.
807 .SS trafgen --dev eth0 '{ fill(0xff, 6), 0x00, 0x02, 0xb3, rnd(3), c16(0x0800), fill(0xca, 64) }' -n 1
808 Send out 1 invaid IPv4 packet built from command line to all hosts.
810 .SH NOTE
812 trafgen can saturate a Gigabit Ethernet link without problems. As always,
813 of course, this depends on your hardware as well. Not everywhere where it
814 says Gigabit Ethernet on the box, will you reach almost physical line rate!
815 Please also read the netsniff-ng(8) man page, section NOTE for further
816 details about tuning your system e.g. with tuned(8).
818 If you intend to use trafgen on a 10-Gbit/s Ethernet NIC, make sure you
819 are using a multiqueue tc(8) discipline, and make sure that the packets
820 you generate with trafgen will have a good distribution among tx_hashes
821 so that you'll actually make use of multiqueues.
823 For introducing bit errors, delays with random variation and more, there
824 is no built-in option in trafgen. Rather, one should reuse existing methods
825 for that which integrate nicely with trafgen, such as tc(8) with its
826 different disciplines, i.e. netem.
828 For more complex packet configurations, it is recommended to use high-level
829 scripting for generating trafgen packet configurations in a more automated
830 way, i.e. also to create different traffic distributions that are common for
831 industrial benchmarking:
833     Traffic model              Distribution
835     IMIX                       64:7,  570:4,  1518:1
836     Tolly                      64:55,  78:5,   576:17, 1518:23
837     Cisco                      64:7,  594:4,  1518:1
838     RPR Trimodal               64:60, 512:20, 1518:20
839     RPR Quadrimodal            64:50, 512:15, 1518:15, 9218:20
841 The low-level nature of trafgen makes trafgen rather protocol independent
842 and therefore useful in many scenarios when stress testing is needed, for
843 instance. However, if a traffic generator with higher level packet
844 descriptions is desired, netsniff-ng's mausezahn(8) can be of good use as
845 well.
847 For smoke/fuzz testing with trafgen, it is recommended to have a direct
848 link between the host you want to analyze (''victim'' machine) and the host
849 you run trafgen on (''attacker'' machine). If the ICMP reply from the victim
850 fails, we assume that probably its kernel crashed, thus we print the last
851 sent packet together with the seed and quit probing. It might be very unlikely
852 to find such a ping-of-death on modern Linux systems. However, there might
853 be a good chance to find it on some proprietary (e.g. embedded) systems or
854 buggy driver firmwares that are in the wild. Also, fuzz testing can be done
855 on raw 802.11 frames, of course. In case you find a ping-of-death, please
856 mention that you were using trafgen in your commit message of the fix!
858 .SH BUGS
859 For old trafgen versions only, there could occur kernel crashes: we have fixed
860 this bug in the mainline and stable kernels under commit 7f5c3e3a8 (''af_packet:
861 remove BUG statement in tpacket_destruct_skb'') and also in trafgen.
863 Probably the best is if you upgrade trafgen to the latest version.
865 .SH LEGAL
866 trafgen is licensed under the GNU GPL version 2.0.
868 .SH HISTORY
869 .B trafgen
870 was originally written for the netsniff-ng toolkit by Daniel Borkmann. It
871 is currently maintained by Tobias Klauser <tklauser@distanz.ch> and Daniel
872 Borkmann <dborkma@tik.ee.ethz.ch>.
874 .SH SEE ALSO
875 .BR netsniff-ng (8),
876 .BR mausezahn (8),
877 .BR ifpps (8),
878 .BR bpfc (8),
879 .BR flowtop (8),
880 .BR astraceroute (8),
881 .BR curvetun (8)
883 .SH AUTHOR
884 Manpage was written by Daniel Borkmann.
886 .SH COLOPHON
887 This page is part of the Linux netsniff-ng toolkit project. A description of the project,
888 and information about reporting bugs, can be found at http://netsniff-ng.org/.