oui: minor: rename update file
[netsniff-ng.git] / netsniff-ng.8
blob023f77713f2c4efaf2cb334237f003f33acaaca7
1 .\" netsniff-ng - the packet sniffing beast
2 .\" Copyright 2013 Daniel Borkmann.
3 .\" Subject to the GPL, version 2.
5 .TH NETSNIFF-NG 8 "03 March 2013" "Linux" "netsniff-ng toolkit"
6 .SH NAME
7 netsniff-ng \- the packet sniffing beast
9 .SH SYNOPSIS
11 \fB netsniff-ng\fR { [\fIoptions\fR] [\fIfilter-expression\fR] }
13 .SH DESCRIPTION
15 netsniff-ng is a fast, minimal tool to i) analyze network packets, ii) capture
16 pcap files, iii) replay pcap files or iv) redirect traffic between interfaces
17 with the help of zero-copy packet(7) sockets. netsniff-ng uses both, Linux
18 specific RX_RING and TX_RING interfaces to perform zero-copy, that is, to avoid
19 copies and system call overhead between kernel and user address space. At the
20 time, we started hacking on netsniff-ng, the pcap(3) library did not use this
21 zero-copy facility.
23 netsniff-ng is Linux specific only, meaning there is no support for other
24 operating systems, thus we can keep the code footprint quite minimal and to
25 the point. Linux' packet(7) sockets and its RX_RING and TX_RING interfaces
26 bypass the normal packet processing path through the networking stack. Thus,
27 this is the fastest one can get out of the box in terms of capturing or
28 transmission performance from user space, without having to load unsupported
29 or non-mainline third-party kernel modules. We explicitly refuse to build
30 netsniff-ng on top of ntop/PF_RING. Not because we do not like it (we do find
31 it interesting), but because of the fact that it is not part of the mainline
32 kernel. Therefore, the ntop project has to maintain/sync out-of-tree drivers
33 to adapt them to their DNA. Eventually, we went for untainted Linux kernel,
34 since its code has a higher rate of reviews, maintenance, security and bug
35 fixes.
37 netsniff-ng also supports early packet filtering in the kernel. It has support
38 for low-level and high-level packet filters that are translated into Berkeley
39 Packet Filter instructions.
41 netsniff-ng can capture pcap files in several different pcap formats that
42 are interoperable with other tools. It has different pcap I/O methods supported
43 (scatter-gather, mmap(2), read(2)/write(2)) for efficient to-disc capturing.
44 netsniff-ng is also able to rotate pcap files based on data size or time
45 intervals, thus, making it a useful backend tool for subsequent traffic
46 analysis.
48 netsniff-ng itself also supports analysis, dumping or replay of raw 802.11
49 frames. For online or offline analysis netsniff-ng has a built-in packet
50 dissector for currently 802.3 (Ethernet), 802.11* (WLAN), ARP, MPLS, 802.1Q
51 (VLAN), 802.1QinQ, LLDP, IPv4, IPv6, ICMPv4, ICMPv6, IGMP, TCP and UDP,
52 including GeoIP location analysis. Since netsniff-ng does not establish any
53 state or reassembly during packet dissection, its memory footprint is quite
54 low, thus, making netsniff-ng quite efficient for offline analysis of large
55 pcap files as well.
57 .SH OPTIONS
59 .SS -i <dev|pcap|->, -d <dev|pcap|->, --in <dev|pcap|->, --dev <dev|pcap|->
60 Defines an input device, that can either be a networking device, a pcap file
61 or stdin (``-''). In case of a pcap file, the pcap type (``-D'' option) is
62 determined automatically by the pcap file magic. In case of stdin, it is
63 assumed that the input stream is a pcap file.
65 .SS -o <dev|pcap|dir|cfg|->, --out <dev|pcap|dir|cfg|->
66 Defines the output device, that can either be a networking device, a pcap file,
67 a folder, a trafgen(8) configuration file or stdout (``-''). In case of a pcap
68 file, that should not have the default pcap type (0xa1b2c3d4), the additional
69 option ``-T'' must be provided. If a directory is given, then, instead of a
70 single pcap file, multiple pcap files are generated with rotation based on
71 maximum file size or a given interval (``-F'' option). A trafgen configuration
72 file can currently only be specified if the input device is a pcap file. If
73 stdout is given as a device, then a trafgen configuration will be written to
74 stdout if the input device is a pcap file, or a pcap file if the input device
75 is a networking device.
77 .SS -f, --filter <bpf-file|expr>
78 Specifies to not dump all traffic, but to filter the network packet haystack.
79 As a filter, either a bpfc(8) compiled file can be passed as a parameter or
80 a tcpdump(1)-like filter expression in quotes. For details regarding the
81 bpf-file have a look at bpfc(8), for details regarding a tcpdump(1)-like filter
82 have a look at section ``filter example'' or at pcap-filter(7). A filter
83 expression may also be passed to netsniff-ng without option ``-f'' in case
84 there is no subsequent option following after the command-line filter expression.
86 .SS -t, --type <type>
87 This defines some sort of filtering mechanisms in terms of addressing. Possible
88 values for type are ``host'' (to us), ``broadcast'' (to all), ``multicast'' (to
89 group), ``others'' (promiscuous mode) or ``outgoing'' (from us).
91 .SS -F, --interval <size|time>
92 If the output device is a folder, with ``-F'' it is possible to define the pcap
93 file rotation interval either in terms of size or time. Thus, when the interval
94 limit has been reached, a new pcap file will be started. As size parameter, the
95 following values are possible ``<num>KiB/MiB/GiB'' while as a time parameter
96 it can be ``<num>s/sec/min/hrs''.
98 .SS -J, --jumbo-support
99 On default netsniff-ng's ring buffer frames are of a fixed size of 2048 bytes.
100 This means that if you're expecting jumbo frames or even super jumbo frames to
101 pass your line, then you need to enable support for that with the help of this
102 option. However, this has the disadvantage of a performance regression and a
103 bigger memory footprint for the ring buffer.
105 .SS -R, --rfraw
106 In case the input or output networking device is a wireless device, it is
107 possible with netsniff-ng to turn this into monitor mode and create a mon<X>
108 device that netsniff-ng will be listening on instead of wlan<X>, for instance.
109 This enables netsniff-ng to analyze, dump, or even replay raw 802.11 frames.
111 .SS -n <0|uint>, --num <0|uint>
112 Process a number of packets and then exit. If the number of packets is 0, then
113 this is equivalent to infinite packets resp. processing until interrupted.
114 Otherwise, a number given as an unsigned integer will limit processing.
116 .SS -P <name>, --prefix <name>
117 When dumping pcap files into a folder, a file name prefix can be defined with
118 this option. If not otherwise specified, the default prefix is ``dump-'' followed
119 by a unix timestamp.
121 .SS -T <pcap-magic>, --magic <pcap-magic>
122 Specify a pcap type for storage. Different pcap types with their various meta
123 data capabilities are shown with option ``-D''. If not otherwise specified, the
124 pcap-magic 0xa1b2c3d4, also known as a standard tcpdump-capable pcap format, is
125 used. Pcap files with swapped endianess are also supported.
127 .SS -D, --dump-pcap-types
128 Dump all available pcap types with their capabilities and magic numbers that
129 can be used with option ``-T'' and exit.
131 .SS -B, --dump-bpf
132 If a Berkeley Packet Filter is given, e.g. via option ``-f'', then dump the BPF
133 disassembly to stdout during ring setup. This only serves for informative or
134 verification purposes.
136 .SS -r, --rand
137 If the input and output device are both networking devices, then this option will
138 randomize packet order in the output ring buffer.
140 .SS -M, --no-promisc
141 The networking interface will not be put into promiscuous mode. On default,
142 promiscuous mode is turned on.
144 .SS -A, --no-sock-mem
145 On startup (and shutdown), netsniff-ng is trying to increase socket read and
146 write buffers if appropriate. This option will prevent netsniff-ng from doing
147 that.
149 .SS -m, --mmap
150 Use mmap(2) as pcap file I/O. This is default in case of replaying pcap files.
152 .SS -G, --sg
153 Use scatter-gather as pcap file I/O. This is default in case when capturing
154 pcap files.
156 .SS -c, --clrw
157 Use slower read(2)/write(2) I/O. This is not the default case anywhere, but in
158 some situations it could be preferred as it has a lower latency on write-back
159 to disc.
161 .SS -S <size>, --ring-size <size>
162 Manually define the RX_RING resp. TX_RING size in ``<num>KiB/MiB/GiB''. On
163 default the size is being determined based on the network connectivity rate.
165 .SS -k <uint>, --kernel-pull <uint>
166 Manually define the interval in micro-seconds where the kernel should be triggered
167 to batch process the ring buffer frames. On default, it is every 10us, but it can
168 manually be prolonged, for instance.
170 .SS -b <cpu>, --bind-cpu <cpu>
171 Pin netsniff-ng to a specific CPU and also pin resp. migrate the NIC's IRQ
172 CPU affinity to this CPU. This option should be preferred in combination with
173 ``-s'' in case a middle till high packet rate is expected.
175 .SS -u <uid>, --user <uid> resp. -g <gid>, --group <gid>
176 After ring setup drop privileges to a non-root user/group combination.
178 .SS -H, --prio-high
179 Set this process as a high priority process in order to achieve a higher
180 scheduling rate resp. CPU time. This is however not default setting, since
181 it could lead to starvation of other processes, e.g. low priority kernel
182 threads.
184 .SS -Q, --notouch-irq
185 Do not reassign the NIC's IRQ CPU affinity settings.
187 .SS -s, --silent
188 Do not enter the packet dissector at all and do not print any packet information
189 to the terminal. Just shut up and be silent. This option should be preferred in
190 combination with pcap recording or replay, since it will not flood your terminal
191 which causes a significant performance regression.
193 .SS -q, --less
194 Print a less verbose one-line information for each packet to the terminal.
196 .SS -X, --hex
197 Only dump packets in hex format to the terminal.
199 .SS -l, --ascii
200 Only display ASCII prinable characters.
202 .SS -U, --update
203 If geographical IP locationing should be used, the built-in database update
204 mechanism will be invoked to get Maxmind's latest database. To configure
205 search locations for databases, the file /etc/netsniff-ng/geoip.conf contains
206 possible addresses. Thus, to save bandwidth or for mirroring Maxmind's
207 databases (to bypass their traffic limit policy), different hosts or IP
208 addresses can be placed into geoip.conf, separated by a newline.
210 .SS -V, --verbose
211 Be more verbose during startup, i.e. show detailled ring setup information.
213 .SS -v, --version
214 Show versioning information.
216 .SS -h, --help
217 Show user help.
219 .SH USAGE EXAMPLE
221 .SS netsniff-ng
222 The most simple command is to just run ``netsniff-ng''. This will start
223 listening on all available networking devices in promiscuous mode and dump
224 the packet dissector output to the terminal. No files will be recorded.
226 .SS  netsniff-ng --in eth0 --out dump.pcap -s -T 0xa1e2cb12 -b 0 tcp or udp
227 Capture TCP or UDP traffic from the networking device eth0 into the pcap file
228 named dump.pcap, which has netsniff-ng specific pcap extensions (see
229 ``netsniff-ng -D'' for capabilities). Also, do not print the content to the
230 terminal and pin the process and NIC IRQ affinity to CPU 0. The pcap write
231 method is scatter-gather I/O.
233 .SS  netsniff-ng --in wlan0 --rfraw --out dump.pcap --silent --bind-cpu 0
234 Put the wlan0 device into monitoring mode and capture all raw 802.11 frames
235 into the file dump.pcap. Do not dissect and print the content to the terminal
236 and pin the process and NIC IRQ affinity to CPU 0. The pcap write method is
237 scatter-gather I/O.
239 .SS  netsniff-ng --in dump.pcap --mmap --out eth0 -k1000 --silent --bind-cpu 0
240 Replay the pcap file dump.pcap which is read through mmap(2) I/O and send
241 the packets out via the eth0 networking device. Do not dissect and print the
242 content to the terminal and pin the process and NIC IRQ affinity to CPU 0.
243 Also trigger the kernel every 1000us to traverse the TX_RING instead of every
244 10us. Note that the pcap magic type is detected automatically from the pcap
245 file header.
247 .SS  netsniff-ng --in eth0 --out eth1 --silent --bind-cpu 0 --type host -r
248 Redirect network traffic from the networking device eth0 to eth1 for traffic
249 that is destined for our host, thus ignore broadcast, multicast and promiscuous
250 traffic. Randomize the order of packets for the outgoing device and do not
251 print any packet contents to the terminal. Also, pin the process and NIC IRQ
252 affinity to CPU 0.
254 .SS  netsniff-ng --in team0 --out /opt/probe/ -s -m -J --interval 100MiB -b 0
255 Capture on an aggregated team0 networking device and dump packets into multiple
256 pcap files that are split into 100MiB each. Use mmap(2) I/O as a pcap write
257 method, enable support for super jumbo frames up to 64KB, and do not print
258 the captured data to the terminal. Pin netsniff-ng to and NIC IRQ affinity to
259 CPU 0. The default pcap magic type is 0xa1b2c3d4 (tcpdump-capable pcap).
261 .SS  netsniff-ng --in vlan0 --out dump.pcap -c -u `id -u bob` -g `id -g bob`
262 Capture network traffic on device wlan0 into a pcap file called dump.pcap
263 by using normal read(2), write(2) I/O for the pcap file (slower but less
264 latency). Also, after setting up the RX_RING for capture, drop privileges
265 from root to the user/group ``bob''. Invoke the packet dissector and print
266 packet contents to the terminal for further analysis.
268 .SS  netsniff-ng --in any --filter http.bpf -B --jumbo-support --ascii -V
269 Capture from all available networking interfaces and install a low-level
270 filter that was previously compiled by bpfc(8) into http.bpf in order to
271 filter HTTP traffic. Enable super jumbo frame support and only print
272 human readable packet data to the terminal, and also be more verbose during
273 setup phase. Moreover, dump a BPF disassembly of http.bpf.
275 .SS  netsniff-ng --in dump.pcap --out dump.cfg --silent
276 Convert the pcap file dump.pcap into a trafgen(8) configuration file dump.cfg.
277 Do not print pcap contents to the terminal.
279 .SS netsniff-ng -i dump.pcap -f beacon.bpf -o -
280 Convert the pcap file dump.pcap into a trafgen(8) configuration file and write
281 it to stdout. However, do not dump all of its content, but only the one that
282 passes the low-level filter for raw 802.11 from beacon.bpf. The BPF engine
283 here is invoked in user space inside of netsniff-ng, so Linux extensions
284 are not available.
286 .SS cat foo.pcap | netsniff-ng -i - -o -
287 Read a pcap file from stdin and convert it into a trafgen(8) configuration
288 file to stdout.
290 .SH CONFIG FILES
292 Under /etc/netsniff-ng/ there are the following files stored that are used
293 by netsniff-ng and can be extended if wished:
295     * oui.conf - OUI/MAC vendor database
296     * ether.conf - Ethernet type descriptions
297     * tcp.conf - TCP port/services map
298     * udp.conf - UDP port/services map
299     * geoip.conf - GeoIP database mirrors
301 .SH FILTER EXAMPLE
303 netsniff-ng supports both, low-level and high-level filters that are
304 attached to its packet(7) socket. Low-level filters are described in
305 the bpfc(8) man page.
307 Low-level filters can be used with netsniff-ng in the following way:
309     1. bpfc foo > bar
310     2. netsniff-ng -f bar
312 Here, foo is the bpfc program that will be translated into a netsniff-ng
313 readable ``opcodes'' file and passed to netsniff-ng through the -f option.
315 Similarly, high-level filter can be either passed through the -f option,
316 e.g. -f "tcp or udp" or at the end of all options without the ``-f''.
318 The filter syntax is the same as in tcpdump(8), which is described in
319 the man page pcap-filter(7). Just to quote some examples from pcap-filter(7):
321 .SS host sundown
322 To select all packets arriving at or departing from sundown.
324 .SS host helios and \( hot or ace \)
325 To select traffic between helios and either hot or ace.
327 .SS ip host ace and not helios
328 To select all IP packets between ace and any host except helios.
330 .SS net ucb-ether
331 To select all traffic between local hosts and hosts at Berkeley.
333 .SS gateway snup and (port ftp or ftp-data)
334 To select all ftp traffic through internet gateway snup.
336 .SS ip and not net localnet
337 To select traffic neither sourced from nor destined for local hosts (if you
338 gateway to one other net, this stuff should never make it onto your local net).
340 .SS tcp[tcpflags] & (tcp-syn|tcp-fin) != 0 and not src and dst net localnet
341 To select the start and end packets (the SYN and FIN packets) of each TCP
342 conversation that involve a non-local host.
344 .SS tcp port 80 and (((ip[2:2] - ((ip[0]&0xf)<<2)) - ((tcp[12]&0xf0)>>2)) != 0)
345 To select all IPv4 HTTP packets to and from port 80, i.e. print only packets
346 that contain data, not, for example, SYN and FIN packets and ACK-only packets.
347 (IPv6 is left as an exercise for the reader.)
349 .SS gateway snup and ip[2:2] > 576
350 To select IP packets longer than 576 bytes sent through gateway snup.
352 .SS ether[0] & 1 = 0 and ip[16] >= 224
353 To select IP broadcast or multicast packets that were not sent via Ethernet
354 broadcast or multicast.
356 .SS icmp[icmptype] != icmp-echo and icmp[icmptype] != icmp-echoreply
357 To select all ICMP packets that are not echo requests/replies (i.e., not
358 ping packets).
360 .SH NOTE
361 For introducing bit errors, delays with random variation and more
362 while replaying pcaps, make use of tc(8) with its disciplines such
363 as netem.
365 netsniff-ng does only some basic, architecture generic tuning on
366 startup. If you are considering to do high performance capturing,
367 you need to carefully tune your machine, hardware and software-wise.
368 Simply letting netsniff-ng run without thinking about your underlying
369 system might not necessarily give you the desired performance. Note
370 that tuning your system is always a tradeoff and fine-grained
371 balancing act (e.g. throughput vs. latency). You should know what
372 you're doing!
374 One recommendation for software-based tuning is tuned(8). Besides
375 that, there are many other things to consider. Just to throw you
376 a few things that you might want to look at: NAPI networking drivers,
377 tickless kernel, I/OAT DMA engine, Direct Cache Access, RAM-based
378 file systems, multi-queues, and many more things. Also, you might
379 want to read the kernel's Documentation/networking/scaling.txt file
380 regarding technologies such as RSS, RPS, RFS, aRFS and XPS. Also
381 check your ethtool(8) settings, e.g. regarding offloading or
382 Ethernet pause frames etc.
384 Moreover, to get a deeper understanding of netsniff-ng internals
385 and how it interacts with the Linux kernel, the kernel documentation
386 under Documentation/networking/{packet_mmap.txt, filter.txt,
387 multiqueue.txt} might be of interest.
389 How do you sniff in a switched environment? I rudely refer to dSniff's
390 documentation that says:
392 The easiest route is simply to impersonate the local gateway, stealing
393 client traffic en route to some remote destination. Of course, the traffic
394 must be forwarded by your attacking machine, either by enabling kernel IP
395 forwarding or with a userland program that acccomplishes the same
396 (fragrouter -B1).
398 Several people have reportedly destroyed connectivity on their LAN to the
399 outside world by arpspoof'ing the gateway, and forgetting to enable IP
400 forwarding on the attacking machine. Don't do this. You have been warned.
402 If you do not need to dump all possible traffic, you have to consider
403 running netsniff-ng with a BPF filter for the ingress path. For that
404 purpose, read the bpfc(8) man page.
406 Also, to aggregate multiple NICs that you want to capture on, you
407 should consider using team devices, further explained in libteam resp.
408 teamd(8).
410 The following netsniff-ng pcap magic numbers are compatible with other
411 tools, at least tcpdump or Wireshark:
413     0xa1b2c3d4 (tcpdump-capable pcap)
414     0xa1b23c4d (tcpdump-capable pcap with ns resolution)
415     0xa1b2cd34 (Alexey Kuznetzov's pcap)
417 Pcap files with different meta data endianess are supported by netsniff-ng
418 as well.
420 .SH BUGS
422 When replaying pcap files, the timing information from the pcap packet
423 header is currently ignored.
425 Also, when replaying pcap files, demultiplexing traffic among multiple
426 networking interfaces does not work. Currently, it is only sent via the
427 interface that is given by the --out parameter.
429 When performing traffic capture on the Ethernet interface, the pcap file
430 is created and packets are received but without a 802.1Q header. When one
431 uses tshark, all headers are visible, but netsniff-ng removes 802.1Q
432 headers. Is that normal behavior?
434 Yes and no. The way how VLAN headers are handled in PF_PACKET sockets by the
435 kernel is somewhat ``problematic'' [1]. The problem in the Linux kernel is that
436 some drivers already handle VLAN, others not. Those who handle it can have
437 different implementations, i.e. hardware acceleration and so on. So in some
438 cases the VLAN tag is even stripped before entering the protocol stack, in
439 some cases probably not. Bottom line is that a "hack" was introduced in
440 PF_PACKET so that a VLAN ID is visible in some helper data structure that is
441 accessible from the RX_RING.
443 And then it gets really messy in the user space to artificially put the VLAN
444 header back into the right place. Not mentioning about the resulting performance
445 implications on that of all libpcap(3) tools since parts of the packet need to
446 be copied for reassembly via memmove(3).
448 A user reported the following, just to demonstrate this mess: some tests were
449 made with two machines, and it seems that results depends on the driver ...
450     AR8131:
451       ethtool -k eth0 gives "rx-vlan-offload: on"
452       - wireshark gets the vlan header
453       - netsniff-ng doesn't get the vlan header
454       ethtool -K eth0 rxvlan off
455       - wireshark gets a QinQ header even though noone sent QinQ
456       - netsniff-ng gets the vlan header
457     RTL8111/8168B:
458       ethtool -k eth0 gives "rx-vlan-offload: on"
459       - wireshark gets the vlan header
460       - netsniff-ng doesn't get the vlan header
461       ethtool -K eth0 rxvlan off
462       - wireshark gets the vlan header
463       - netsniff-ng doesn't get the vlan header
464 Even if we would agree on doing the same workaround as libpcap, we still will
465 not be able to see QinQ, for instance, due to the fact that only one VLAN tag
466 is stored in the kernel helper data structure. We think that there should be
467 a good consensus on the kernel space side about what gets transferred to the
468 userland first.
470 Update (28.11.2012): the Linux kernel and also bpfc(8) has built-in support
471 for hardware accelerated VLAN filtering, even though tags might not be visible
472 in the payload itself as reported here. However, the filtering for VLANs works
473 reliable if your NIC supports it. See bpfc(8) for an example.
475    [1] http://lkml.indiana.edu/hypermail/linux/kernel/0710.3/3816.html
477 .SH LEGAL
478 netsniff-ng is licensed under the GNU GPL version 2.0.
480 .SH HISTORY
481 .B netsniff-ng
482 was originally written for the netsniff-ng toolkit by Daniel Borkmann. Bigger
483 contributions were made by Emmanuel Roullit, Markus Amend, Tobias Klauser and
484 Christoph Jaeger. It is currently maintained by Tobias Klauser
485 <tklauser@distanz.ch> and Daniel Borkmann <dborkma@tik.ee.ethz.ch>.
487 .SH SEE ALSO
488 .BR trafgen (8),
489 .BR mausezahn (8),
490 .BR ifpps (8),
491 .BR bpfc (8),
492 .BR flowtop (8),
493 .BR astraceroute (8),
494 .BR curvetun (8)
496 .SH AUTHOR
497 Manpage was written by Daniel Borkmann.