trafgen: Remove unnecessary reinitialization of icmp packet
[netsniff-ng.git] / trafgen.8
blobeffd0734f2e20a0b1fba4ddd61faa6e4d365157e
1 .\" netsniff-ng - the packet sniffing beast
2 .\" Copyright 2013 Daniel Borkmann.
3 .\" Subject to the GPL, version 2.
5 .TH TRAFGEN 8 "03 March 2013" "Linux" "netsniff-ng toolkit"
6 .SH NAME
7 trafgen \- a fast, multithreaded network packet generator
9 .SH SYNOPSIS
11 \fB trafgen\fR [\fIoptions\fR]
13 .SH DESCRIPTION
15 trafgen is a fast, zero-copy network traffic generator for debugging,
16 performance evaluation and fuzz-testing purposes. trafgen utilizes the packet(7)
17 socket interface of Linux which postpones complete control over packet data
18 and packet headers into the user space. It has a powerful packet configuration
19 language, which is rather low-level and not limited to particular protocols.
20 Thus, trafgen can be used for many purposes. Its only limitation is that it
21 cannot mimic full streams resp. sessions. However, it is very useful for
22 various kinds of load testing in order to analyze and subsequently improve
23 systems behaviour under DoS attack scenarios, for instance.
25 trafgen is Linux specific only, meaning there is no support for other operating
26 systems just as in netsniff-ng(8), thus we can keep the code footprint quite
27 minimal and to the point. trafgen makes use of packet(7) socket's TX_RING
28 interface of the Linux kernel, which is a mmap(2)'ed ring buffer shared between
29 user and kernel space.
31 By default, trafgen starts as many processes as CPUs that are online, pins each
32 of them to their respective CPU and sets up the ring buffer each in their own
33 process space after having compiled a list of packets to transmit. Thus, this is
34 likely the fastest one can get out of the box in terms of transmission performance
35 from user space, without having to load unsupported or non-mainline third-party
36 kernel modules. On Gigabit Ethernet, trafgen has a comparable performance to
37 pktgen, the built-in Linux kernel traffic generator, only that trafgen is more
38 flexible in terms of packet configuration possibilities. On 10-Gigabit-per-second
39 Ethernet, trafgen might be slower than pktgen due to the user/kernel space
40 overhead but still has a fairly high performance for out of the box kernels.
42 trafgen has a possibility to do fuzz testing, meaning a packet configuration can
43 be built with random numbers on all or certain packet offsets that are freshly
44 generated each time a packet is sent out. With a built-in IPv4 ping, trafgen can
45 send out an ICMP probe after each packet injection to the remote host in order
46 to test if it is still responsive/alive. Assuming there is no answer from the
47 remote host after a certain threshold of probes, the machine is considered dead
48 and the last sent packet is printed together with the random seed that was used
49 by trafgen. You might not really get lucky fuzz-testing the Linux kernel, but
50 presumably there are buggy closed-source embedded systems or network driver's
51 firmware files that are prone to bugs, where trafgen could help in finding them.
53 trafgen's configuration language is quite powerful, also due to the fact, that
54 it supports C preprocessor macros. A stddef.h is being shipped with trafgen for
55 this purpose, so that well known defines from Linux kernel or network programming
56 can be reused. After a configuration file has passed the C preprocessor stage,
57 it is processed by the trafgen packet compiler. The language itself supports a
58 couple of features that are useful when assembling packets, such as built-in
59 runtime checksum support for IP, UDP and TCP. Also it has an expression evaluator
60 where arithmetic (basic operations, bit operations, bit shifting, ...) on constant
61 expressions is being reduced to a single constant on compile time. Other features
62 are ``fill'' macros, where a packet can be filled with n bytes by a constant, a
63 compile-time random number or run-time random number (as mentioned with fuzz
64 testing). Also, netsniff-ng(8) is able to convert a pcap file into a trafgen
65 configuration file, thus such a configuration can then be further tweaked for a
66 given scenario.
68 .SH OPTIONS
70 .SS -i <cfg|->, -c <cfg|i>, --in <cfg|->, --conf <cfg|->
71 Defines the input configuration file that can either be passed as a normal plain
72 text file or via stdin (``-''). Note that currently in case a configuration is
73 passed through stdin, only 1 CPU will be used.
75 .SS -o <dev>, -d <dev>, --out <dev>, --dev <dev>
76 Defines the outgoing networking device such as eth0, wlan0 and others.
78 .SS -p, --cpp
79 Pass the packet configuration to the C preprocessor before reading it into
80 trafgen. This allows #define and #include directives (e.g. to include
81 definitions from system headers) to be used in the trafgen configuration file.
83 .SS -J, --jumbo-support
84 By default trafgen's ring buffer frames are of a fixed size of 2048 bytes.
85 This means that if you're expecting jumbo frames or even super jumbo frames to
86 pass your line, then you need to enable support for that with the help of this
87 option. However, this has the disadvantage of a performance regression and a
88 bigger memory footprint for the ring buffer.
90 .SS -R, --rfraw
91 In case the output networking device is a wireless device, it is possible with
92 trafgen to turn this into monitor mode and create a mon<X> device that trafgen
93 will be transmitting on instead of wlan<X>, for instance. This enables trafgen
94 to inject raw 802.11 frames.
96 .SS -s <ipv4>, --smoke-test <ipv4>
97 In case this option is enabled, trafgen will perform a smoke test. In other
98 words, it will probe the remote end, specified by an <ipv4> address, that is
99 being ``attacked'' with trafgen network traffic, if it is still alive and
100 responsive. That means, after each transmitted packet that has been configured,
101 trafgen sends out ICMP echo requests and waits for an answer before it continues.
102 In case the remote end stays unresponsive, trafgen assumes that the machine
103 has crashed and will print out the content of the last packet as a trafgen
104 packet configuration and the random seed that has been used in order to
105 reproduce a possible bug. This might be useful when testing proprietary embedded
106 devices. It is recommended to have a direct link between the host running
107 trafgen and the host being attacked by trafgen.
109 .SS -n <0|uint>, --num <0|uint>
110 Process a number of packets and then exit. If the number of packets is 0, then
111 this is equivalent to infinite packets resp. processing until interrupted.
112 Otherwise, a number given as an unsigned integer will limit processing.
114 .SS -r, --rand
115 Randomize the packet selection of the configuration file. By default, if more
116 than one packet is defined in a packet configuration, packets are scheduled for
117 transmission in a round robin fashion. With this option, they are selected
118 randomly instread.
120 .SS -P <uint>, --cpus <uint>
121 Specify the number of processes trafgen shall fork(2) off. By default trafgen
122 will start as many processes as CPUs that are online and pin them to each,
123 respectively. Allowed value must be within interval [1,CPUs].
125 .SS -t <uint>, --gap <uint>
126 Specify a static inter-packet timegap in micro-seconds. If this option is given,
127 then instead of packet(7)'s TX_RING interface, trafgen will use sendto(2) I/O
128 for network packets, even if the <uint> argument is 0. This option is useful for
129 a couple of reasons: i) comparison between sendto(2) and TX_RING performance,
130 ii) low-traffic packet probing for a given interval, iii) ping-like debugging
131 with specific payload patterns. Furthermore, the TX_RING interface does not cope
132 with interpacket gaps.
134 .SS -S <size>, --ring-size <size>
135 Manually define the RX_RING resp. TX_RING size in ``<num>KiB/MiB/GiB''. On
136 default the size is being determined based on the network connectivity rate.
138 .SS -k <uint>, --kernel-pull <uint>
139 Manually define the interval in micro-seconds where the kernel should be triggered
140 to batch process the ring buffer frames. By default, it is every 10us, but it can
141 manually be prolonged, for instance..
143 .SS -E <uint>, --seed <uint>
144 Manually set the seed for pseudo random number generator (PRNG) in trafgen. By
145 default, a random seed from /dev/urandom is used to feed glibc's PRNG. If that
146 fails, it falls back to the unix timestamp. It can be useful to set the seed
147 manually in order to be able to reproduce a trafgen session, e.g. after fuzz
148 testing.
150 .SS -u <uid>, --user <uid> resp. -g <gid>, --group <gid>
151 After ring setup, drop privileges to a non-root user/group combination.
153 .SS -V, --verbose
154 Let trafgen be more talkative and let it print the parsed configuration and
155 some ring buffer statistics.
157 .SS -e, --example
158 Show a built-in packet configuration example. This might be a good starting
159 point for an initial packet configuration scenario.
161 .SS -v, --version
162 Show version information and exit.
164 .SS -h, --help
165 Show user help and exit.
167 .SH SYNTAX
168 trafgen's packet configuration syntax is fairly simple. The very basic things
169 one need to know is that a configuration file is a simple plain text file
170 where packets are defined. It can contain one or more packets. Packet are
171 enclosed by opening '{' and closing '}' braces, for example:
173    { /* packet 1 content goes here ... */ }
174    { /* packet 2 content goes here ... */ }
176 When trafgen is started using multiple CPUs (default), then each of those packets
177 will be scheduled for transmission on all CPUs by default. However, it is possible
178 to tell trafgen to schedule a packet only on a particular CPU:
180    cpu(1): { /* packet 1 content goes here ... */ }
181    cpu(2-3): { /* packet 2 content goes here ... */ }
183 Thus, in case we have a 4 core machine with CPU0-CPU3, packet 1 will be scheduled
184 only on CPU1, packet 2 on CPU2 and CPU3. When using trafgen with --num option,
185 then these constraints will still be valid and the packet is fairly distributed
186 among those CPUs.
188 Packet content is delimited either by a comma or whitespace, or both:
190    { 0xca, 0xfe, 0xba 0xbe }
192 Packet content can be of the following:
194    hex bytes:   0xca, xff
195    decimal:     42
196    binary:      0b11110000, b11110000
197    octal:       011
198    character:   'a'
199    string:      "hello world"
200    shellcode:   "\\x31\\xdb\\x8d\\x43\\x17\\x99\\xcd\\x80\\x31\\xc9"
202 Thus, a quite useless packet packet configuration might look like this (one can
203 verify this when running this with trafgen in combination with -V):
205    { 0xca, 42, 0b11110000, 011, 'a', "hello world",
206      "\\x31\\xdb\\x8d\\x43\\x17\\x99\\xcd\\x80\\x31\\xc9" }
208 There are a couple of helper functions in trafgen's language to make life easier
209 to write configurations:
211 i) Fill with garbage functions:
213    byte fill function:      fill(<content>, <times>): fill(0xca, 128)
214    compile-time random:     rnd(<times>): rnd(128), rnd()
215    runtime random numbers:  drnd(<times>): drnd(128), drnd()
216    compile-time counter:    seqinc(<start-val>, <increment>, <times>)
217                             seqdec(<start-val>, <decrement>, <times>)
218    runtime counter (1byte): dinc(<min-val>, <max-val>, <increment>)
219                             ddec(<min-val>, <max-val>, <decrement>)
221 ii) Checksum helper functions (packet offsets start with 0):
223    IP/ICMP checksum:        csumip/csumicmp(<off-from>, <off-to>)
224    UDP checksum:            csumudp(<off-iphdr>, <off-udpdr>)
225    TCP checksum:            csumtcp(<off-iphdr>, <off-tcphdr>)
227 iii) Multibyte functions, compile-time expression evaluation:
229    const8(<content>), c8(<content>), const16(<content>), c16(<content>),
230    const32(<content>), c32(<content>), const64(<content>), c64(<content>)
232    These functions write their result in network byte order into the packet
233 configuration, e.g. const16(0xaa) will result in ``00 aa''. Within c*()
234 functions, it is possible to do some arithmetics: -,+,*,/,%,&,|,<<,>>,^
235 E.g. const16((((1<<8)+0x32)|0b110)*2) will be evaluated to ``02 6c''.
237 Furthermore, there are two types of comments in trafgen configuration files:
239   1. Multi-line C-style comments:        /* put comment here */
240   2. Single-line Shell-style comments:   #  put comment here
242 Next to all of this, a configuration can be passed through the C preprocessor
243 before the trafgen compiler gets to see it with option --cpp. To give you a
244 taste of a more advanced example, run ``trafgen -e'', fields are commented:
246    /* Note: dynamic elements make trafgen slower! */
247    #include <stddef.h>
249    {
250      /* MAC Destination */
251      fill(0xff, ETH_ALEN),
252      /* MAC Source */
253      0x00, 0x02, 0xb3, drnd(3),
254      /* IPv4 Protocol */
255      c16(ETH_P_IP),
256      /* IPv4 Version, IHL, TOS */
257      0b01000101, 0,
258      /* IPv4 Total Len */
259      c16(58),
260      /* IPv4 Ident */
261      drnd(2),
262      /* IPv4 Flags, Frag Off */
263      0b01000000, 0,
264      /* IPv4 TTL */
265      64,
266      /* Proto TCP */
267      0x06,
268      /* IPv4 Checksum (IP header from, to) */
269      csumip(14, 33),
270      /* Source IP */
271      drnd(4),
272      /* Dest IP */
273      drnd(4),
274      /* TCP Source Port */
275      drnd(2),
276      /* TCP Dest Port */
277      c16(80),
278      /* TCP Sequence Number */
279      drnd(4),
280      /* TCP Ackn. Number */
281      c32(0),
282      /* TCP Header length + TCP SYN/ECN Flag */
283      c16((8 << 12) | TCP_FLAG_SYN | TCP_FLAG_ECE)
284      /* Window Size */
285      c16(16),
286      /* TCP Checksum (offset IP, offset TCP) */
287      csumtcp(14, 34),
288      /* TCP Options */
289      0x00, 0x00, 0x01, 0x01, 0x08, 0x0a, 0x06,
290      0x91, 0x68, 0x7d, 0x06, 0x91, 0x68, 0x6f,
291      /* Data blob */
292      "gotcha!",
293    }
295 Another real-world example by Jesper Dangaard Brouer [1]:
297    {
298      # --- ethernet header ---
299      0x00, 0x1b, 0x21, 0x3c, 0x9d, 0xf8,  # mac destination
300      0x90, 0xe2, 0xba, 0x0a, 0x56, 0xb4,  # mac source
301      const16(0x0800), # protocol
302      # --- ip header ---
303      # ipv4 version (4-bit) + ihl (4-bit), tos
304      0b01000101, 0,
305      # ipv4 total len
306      const16(40),
307      # id (note: runtime dynamic random)
308      drnd(2),
309      # ipv4 3-bit flags + 13-bit fragment offset
310      # 001 = more fragments
311      0b00100000, 0,
312      64, # ttl
313      17, # proto udp
314      # dynamic ip checksum (note: offsets are zero indexed)
315      csumip(14, 33),
316      192, 168, 51, 1, # source ip
317      192, 168, 51, 2, # dest ip
318      # --- udp header ---
319      # as this is a fragment the below stuff does not matter too much
320      const16(48054), # src port
321      const16(43514), # dst port
322      const16(20),    # udp length
323      # udp checksum can be dyn calc via csumudp(offset ip, offset tcp)
324      # which is csumudp(14, 34), but for udp its allowed to be zero
325      const16(0),
326      # payload
327      'A',  fill(0x41, 11),
328    }
330    [1] http://thread.gmane.org/gmane.linux.network/257155
332 .SH USAGE EXAMPLE
334 .SS trafgen --dev eth0 --conf trafgen.cfg
335 This is the most simple and probably also most used command for trafgen. It
336 will generate traffic defined in the configuration file ``trafgen.cfg'' and
337 transmit this via the ``eth0'' networking device. All online CPUs are used.
339 .SS trafgen -e | trafgen -i - -o lo --cpp -n 1
340 This is an example where we send one packet of the built-in example through
341 the loopback device. The example configuration is passed via stdin and also
342 through the C preprocessor before trafgen's packet compiler will see it.
344 .SS trafgen --dev eth0 --conf fuzzing.cfg --smoke-test 10.0.0.1
345 Read the ``fuzzing.cfg'' packet configuration file (which contains drnd()
346 calls) and send out the generated packets to the ``eth0'' device. After each
347 sent packet, ping probe the attacked host with address 10.0.0.1 to check if
348 it's still alive. This also means, that we utilize 1 CPU only, and do not
349 use the TX_RING, but sendto(2) packet I/O due to ``slow mode''.
351 .SS trafgen --dev wlan0 --rfraw --conf beacon-test.txf -V --cpus 2
352 As an output device ``wlan0'' is used and put into monitoring mode, thus we
353 are going to transmit raw 802.11 frames through the air. Use the
354 ``beacon-test.txf'' configuration file, set trafgen into verbose mode and
355 use only 2 CPUs.
357 .SS trafgen --dev em1 --conf frag_dos.cfg --rand --gap 1000
358 Use trafgen in sendto(2) mode instead of TX_RING mode and sleep after each
359 sent packet a static timegap for 1000us. Generate packets from ``frag_dos.cfg''
360 and select next packets to send randomly instead of a round-robin fashion.
361 The output device for packets is ``em1''.
363 .SS trafgen --dev eth0 --conf icmp.cfg --rand --num 1400000 -k1000
364 Send only 1400000 packets using the ``icmp.cfg'' configuration file and then
365 exit trafgen. Select packets randomly from that file for transmission and
366 send them out via ``eth0''. Also, trigger the kernel every 1000us for batching
367 the ring frames from user space (default is 10us).
369 .SS trafgen --dev eth0 --conf tcp_syn.cfg -u `id -u bob` -g `id -g bob`
370 Send out packets generated from the configuration file ``tcp_syn.cfg'' via
371 the ``eth0'' networking device. After setting up the ring for transmission,
372 drop credentials to the non-root user/group bob/bob.
374 .SH NOTE
375 trafgen can saturate a Gigabit Ethernet link without problems. As always,
376 of course, this depends on your hardware as well. Not everywhere where it
377 says Gigabit Ethernet on the box, you'll reach almost physical line rate!
378 Please also read the netsniff-ng(8) man page, section NOTE for further
379 details about tuning your system e.g. with tuned(8).
381 If you intend to use trafgen on a 10-Gbit/s Ethernet NIC, make sure you
382 are using a multiqueue tc(8) discipline, and make sure that the packets
383 you generate with trafgen will have a good distribution among tx_hashes
384 so that you'll actually make use of multiqueues.
386 For introducing bit errors, delays with random variation and more, there
387 is no built-in option in trafgen. Rather, one should reuse existing methods
388 for that which integrate nicely with trafgen, such as tc(8) with its
389 different disciplines, i.e. netem.
391 For more complex packet configurations, it is recommended to use high-level
392 scripting for generating trafgen packet configurations in a more automated
393 way, i.e. also to create different traffic distributions that are common for
394 industrial benchmarking:
396     Traffic model              Distribution
398     IMIX                       64:7,  570:4,  1518:1
399     Tolly                      64:55,  78:5,   576:17, 1518:23
400     Cisco                      64:7,  594:4,  1518:1
401     RPR Trimodal               64:60, 512:20, 1518:20
402     RPR Quadrimodal            64:50, 512:15, 1518:15, 9218:20
404 The low-level nature of trafgen makes trafgen rather protocol independant
405 and therefore useful in many scenarios when stress testing is needed, for
406 instance. However, if a traffic generator with higher level packet
407 descriptions is desired, netsniff-ng's mausezahn(8) can be of good use as
408 well.
410 For smoke/fuzz testing with trafgen, it is recommended to have a direct
411 link between the host you want to analyze (``victim'' machine) and the host
412 you run trafgen on (``attacker'' machine). If the ICMP reply from the victim
413 fails, we assume that probably its kernel crashed, thus we print the last
414 sent packet togther with the seed and quit probing. It might be very unlikely
415 to find such a ping-of-death on modern Linux systems. However, there might
416 be a good chance to find it on some proprietary (e.g. embedded) systems or
417 buggy driver firmwares that are in the wild. Also, fuzz testing can be done
418 on raw 802.11 frames, of course. In case you find a ping-of-death, please
419 mention that you were using trafgen in your commit message of the fix!
421 .SH BUGS
422 When I start trafgen, my kernel crashes: we have fixed this bug in the
423 mainline and stable kernels under commit 7f5c3e3a8 (``af_packet: remove
424 BUG statement in tpacket_destruct_skb''). Either update your kernel to
425 the latest version, e.g. clone and build it from git.kernel.org, to a
426 stable kernel, or don't start multiple trafgen instances at once resp.
427 start trafgen with flag -A to disable temporary socket memory adaptation!
429 .SH LEGAL
430 trafgen is licensed under the GNU GPL version 2.0.
432 .SH HISTORY
433 .B trafgen
434 was originally written for the netsniff-ng toolkit by Daniel Borkmann. It
435 is currently maintained by Tobias Klauser <tklauser@distanz.ch> and Daniel
436 Borkmann <dborkma@tik.ee.ethz.ch>.
438 .SH SEE ALSO
439 .BR netsniff-ng (8),
440 .BR mausezahn (8),
441 .BR ifpps (8),
442 .BR bpfc (8),
443 .BR flowtop (8),
444 .BR astraceroute (8),
445 .BR curvetun (8)
447 .SH AUTHOR
448 Manpage was written by Daniel Borkmann.