flowtop: Simplify assignment of flow_entry->is_visible
[netsniff-ng.git] / trafgen.8
blob31c2f52cdea8b3ad47031258133a6c99f28162a3
1 .\" netsniff-ng - the packet sniffing beast
2 .\" Copyright 2013 Daniel Borkmann.
3 .\" Subject to the GPL, version 2.
4 .TH TRAFGEN 8 "03 March 2013" "Linux" "netsniff-ng toolkit"
5 .SH NAME
6 trafgen \- a fast, multithreaded network packet generator
7 .PP
8 .SH SYNOPSIS
9 .PP
10 \fBtrafgen\fR [\fIoptions\fR]
11 .PP
12 .SH DESCRIPTION
13 .PP
14 trafgen is a fast, zero-copy network traffic generator for debugging,
15 performance evaluation, and fuzz-testing. trafgen utilizes the packet(7)
16 socket interface of Linux which postpones complete control over packet data
17 and packet headers into the user space. It has a powerful packet configuration
18 language, which is rather low-level and not limited to particular protocols.
19 Thus, trafgen can be used for many purposes. Its only limitation is that it
20 cannot mimic full streams resp. sessions. However, it is very useful for
21 various kinds of load testing in order to analyze and subsequently improve
22 systems behaviour under DoS attack scenarios, for instance.
23 .PP
24 trafgen is Linux specific, meaning there is no support for other operating
25 systems, same as netsniff-ng(8), thus we can keep the code footprint quite
26 minimal and to the point. trafgen makes use of packet(7) socket's TX_RING
27 interface of the Linux kernel, which is a mmap(2)'ed ring buffer shared between
28 user and kernel space.
29 .PP
30 By default, trafgen starts as many processes as available CPUs, pins each
31 of them to their respective CPU and sets up the ring buffer each in their own
32 process space after having compiled a list of packets to transmit. Thus, this is
33 likely the fastest one can get out of the box in terms of transmission performance
34 from user space, without having to load unsupported or non-mainline third-party
35 kernel modules. On Gigabit Ethernet, trafgen has a comparable performance to
36 pktgen, the built-in Linux kernel traffic generator, except that trafgen is more
37 flexible in terms of packet configuration possibilities. On 10-Gigabit-per-second
38 Ethernet, trafgen might be slower than pktgen due to the user/kernel space
39 overhead but still has a fairly high performance for out of the box kernels.
40 .PP
41 trafgen has the potential to do fuzz testing, meaning a packet configuration can
42 be built with random numbers on all or certain packet offsets that are freshly
43 generated each time a packet is sent out. With a built-in IPv4 ping, trafgen can
44 send out an ICMP probe after each packet injection to the remote host in order
45 to test if it is still responsive/alive. Assuming there is no answer from the
46 remote host after a certain threshold of probes, the machine is considered dead
47 and the last sent packet is printed together with the random seed that was used
48 by trafgen. You might not really get lucky fuzz-testing the Linux kernel, but
49 presumably there are buggy closed-source embedded systems or network driver's
50 firmware files that are prone to bugs, where trafgen could help in finding them.
51 .PP
52 trafgen's configuration language is quite powerful, also due to the fact, that
53 it supports C preprocessor macros. A stddef.h is being shipped with trafgen for
54 this purpose, so that well known defines from Linux kernel or network programming
55 can be reused. After a configuration file has passed the C preprocessor stage,
56 it is processed by the trafgen packet compiler. The language itself supports a
57 couple of features that are useful when assembling packets, such as built-in
58 runtime checksum support for IP, UDP and TCP. Also it has an expression evaluator
59 where arithmetic (basic operations, bit operations, bit shifting, ...) on constant
60 expressions is being reduced to a single constant on compile time. Other features
61 are ''fill'' macros, where a packet can be filled with n bytes by a constant, a
62 compile-time random number or run-time random number (as mentioned with fuzz
63 testing). Also, netsniff-ng(8) is able to convert a pcap file into a trafgen
64 configuration file, thus such a configuration can then be further tweaked for a
65 given scenario.
66 .PP
67 .SH OPTIONS
68 .PP
69 .SS -i <cfg|->, -c <cfg|i>, --in <cfg|->, --conf <cfg|->
70 Defines the input configuration file that can either be passed as a normal plain
71 text file or via stdin (''-''). Note that currently, if a configuration is
72 passed through stdin, only 1 CPU will be used.
73 .PP
74 .SS -o <dev>, -d <dev>, --out <dev>, --dev <dev>
75 Defines the outgoing networking device such as eth0, wlan0 and others.
76 .PP
77 .SS -p, --cpp
78 Pass the packet configuration to the C preprocessor before reading it into
79 trafgen. This allows #define and #include directives (e.g. to include
80 definitions from system headers) to be used in the trafgen configuration file.
81 .PP
82 .SS -J, --jumbo-support
83 By default trafgen's ring buffer frames are of a fixed size of 2048 bytes.
84 This means that if you're expecting jumbo frames or even super jumbo frames to
85 pass your line, then you will need to enable support for that with the help of
86 this option. However, this has the disadvantage of a performance regression and
87 a bigger memory footprint for the ring buffer.
88 .PP
89 .SS -R, --rfraw
90 In case the output networking device is a wireless device, it is possible with
91 trafgen to turn this into monitor mode and create a mon<X> device that trafgen
92 will be transmitting on instead of wlan<X>, for instance. This enables trafgen
93 to inject raw 802.11 frames.
94 .PP
95 .SS -s <ipv4>, --smoke-test <ipv4>
96 In case this option is enabled, trafgen will perform a smoke test. In other
97 words, it will probe the remote end, specified by an <ipv4> address, that is
98 being ''attacked'' with trafgen network traffic, if it is still alive and
99 responsive. That means, after each transmitted packet that has been configured,
100 trafgen sends out ICMP echo requests and waits for an answer before it continues.
101 In case the remote end stays unresponsive, trafgen assumes that the machine
102 has crashed and will print out the content of the last packet as a trafgen
103 packet configuration and the random seed that has been used in order to
104 reproduce a possible bug. This might be useful when testing proprietary embedded
105 devices. It is recommended to have a direct link between the host running
106 trafgen and the host being attacked by trafgen.
108 .SS -n <0|uint>, --num <0|uint>
109 Process a number of packets and then exit. If the number of packets is 0, then
110 this is equivalent to infinite packets resp. processing until interrupted.
111 Otherwise, a number given as an unsigned integer will limit processing.
113 .SS -r, --rand
114 Randomize the packet selection of the configuration file. By default, if more
115 than one packet is defined in a packet configuration, packets are scheduled for
116 transmission in a round robin fashion. With this option, they are selected
117 randomly instread.
119 .SS -P <uint>, --cpus <uint>
120 Specify the number of processes trafgen shall fork(2) off. By default trafgen
121 will start as many processes as CPUs that are online and pin them to each,
122 respectively. Allowed value must be within interval [1,CPUs].
124 .SS -t <time>, --gap <time>
125 Specify a static inter-packet timegap in seconds, milliseconds, microseconds,
126 or nanoseconds: ''<num>s/ms/us/ns''. If no postfix is given default to
127 microseconds. If this option is given, then instead of packet(7)'s TX_RING
128 interface, trafgen will use sendto(2) I/O for network packets, even if the
129 <time> argument is 0. This option is useful for a couple of reasons: i)
130 comparison between sendto(2) and TX_RING performance, ii) low-traffic packet
131 probing for a given interval, iii) ping-like debugging with specific payload
132 patterns. Furthermore, the TX_RING interface does not cope with interpacket
133 gaps.
135 .SS -S <size>, --ring-size <size>
136 Manually define the TX_RING resp. TX_RING size in ''<num>KiB/MiB/GiB''. On
137 default the size is being determined based on the network connectivity rate.
139 .SS -E <uint>, --seed <uint>
140 Manually set the seed for pseudo random number generator (PRNG) in trafgen. By
141 default, a random seed from /dev/urandom is used to feed glibc's PRNG. If that
142 fails, it falls back to the unix timestamp. It can be useful to set the seed
143 manually in order to be able to reproduce a trafgen session, e.g. after fuzz
144 testing.
146 .SS -u <uid>, --user <uid> resp. -g <gid>, --group <gid>
147 After ring setup, drop privileges to a non-root user/group combination.
149 .SS -H, --prio-high
150 Set this process as a high priority process in order to achieve a higher
151 scheduling rate resp. CPU time. This is however not the default setting, since
152 it could lead to starvation of other processes, for example low priority kernel
153 threads.
155 .SS -A, --no-sock-mem
156 Do not change systems default socket memory setting during testrun.
157 Default is to boost socket buffer memory during the test to:
159    /proc/sys/net/core/rmem_default:4194304
160    /proc/sys/net/core/wmem_default:4194304
161    /proc/sys/net/core/rmem_max:104857600
162    /proc/sys/net/core/wmem_max:104857600
164 .SS -Q, --notouch-irq
165 Do not reassign the NIC's IRQ CPU affinity settings.
167 .SS -q, --qdisc-path
168 Since Linux 3.14, the kernel supports a socket option PACKET_QDISC_BYPASS,
169 which trafgen enables by default.  This options disables the qdisc bypass,
170 and uses the normal send path through the kernel's qdisc (traffic control)
171 layer, which can be usefully for testing the qdisc path.
173 .SS -V, --verbose
174 Let trafgen be more talkative and let it print the parsed configuration and
175 some ring buffer statistics.
177 .SS -e, --example
178 Show a built-in packet configuration example. This might be a good starting
179 point for an initial packet configuration scenario.
181 .SS -C, --no-cpu-stats
182 Do not print CPU time statistics on exit.
184 .SS -v, --version
185 Show version information and exit.
187 .SS -h, --help
188 Show user help and exit.
190 .SH SYNTAX
192 trafgen's packet configuration syntax is fairly simple. The very basic things
193 one needs to know is that a configuration file is a simple plain text file
194 where packets are defined. It can contain one or more packets. Packets are
195 enclosed by opening '{' and closing '}' braces, for example:
197    { /* packet 1 content goes here ... */ }
198    { /* packet 2 content goes here ... */ }
200 When trafgen is started using multiple CPUs (default), then each of those packets
201 will be scheduled for transmission on all CPUs by default. However, it is possible
202 to tell trafgen to schedule a packet only on a particular CPU:
204    cpu(1): { /* packet 1 content goes here ... */ }
205    cpu(2-3): { /* packet 2 content goes here ... */ }
207 Thus, in case we have a 4 core machine with CPU0-CPU3, packet 1 will be scheduled
208 only on CPU1, packet 2 on CPU2 and CPU3. When using trafgen with \-\-num option,
209 then these constraints will still be valid and the packet is fairly distributed
210 among those CPUs.
212 Packet content is delimited either by a comma or whitespace, or both:
214    { 0xca, 0xfe, 0xba 0xbe }
216 Packet content can be of the following:
218    hex bytes:   0xca, xff
219    decimal:     42
220    binary:      0b11110000, b11110000
221    octal:       011
222    character:   'a'
223    string:      "hello world"
224    shellcode:   "\\x31\\xdb\\x8d\\x43\\x17\\x99\\xcd\\x80\\x31\\xc9"
226 Thus, a quite useless packet packet configuration might look like this (one can
227 verify this when running this with trafgen in combination with \-V):
229    { 0xca, 42, 0b11110000, 011, 'a', "hello world",
230      "\\x31\\xdb\\x8d\\x43\\x17\\x99\\xcd\\x80\\x31\\xc9" }
232 There are a couple of helper functions in trafgen's language to make life easier
233 to write configurations:
235 i) Fill with garbage functions:
237    byte fill function:      fill(<content>, <times>): fill(0xca, 128)
238    compile-time random:     rnd(<times>): rnd(128), rnd()
239    runtime random numbers:  drnd(<times>): drnd(128), drnd()
240    compile-time counter:    seqinc(<start-val>, <increment>, <times>)
241                             seqdec(<start-val>, <decrement>, <times>)
242    runtime counter (1byte): dinc(<min-val>, <max-val>, <increment>)
243                             ddec(<min-val>, <max-val>, <decrement>)
245 ii) Checksum helper functions (packet offsets start with 0):
247    IP/ICMP checksum:        csumip/csumicmp(<off-from>, <off-to>)
248    UDP checksum:            csumudp(<off-iphdr>, <off-udpdr>)
249    TCP checksum:            csumtcp(<off-iphdr>, <off-tcphdr>)
251 iii) Multibyte functions, compile-time expression evaluation:
253    const8(<content>), c8(<content>), const16(<content>), c16(<content>),
254    const32(<content>), c32(<content>), const64(<content>), c64(<content>)
256    These functions write their result in network byte order into the packet
257 configuration, e.g. const16(0xaa) will result in ''00 aa''. Within c*()
258 functions, it is possible to do some arithmetics: -,+,*,/,%,&,|,<<,>>,^
259 E.g. const16((((1<<8)+0x32)|0b110)*2) will be evaluated to ''02 6c''.
261 Furthermore, there are two types of comments in trafgen configuration files:
263   1. Multi-line C-style comments:        /* put comment here */
264   2. Single-line Shell-style comments:   #  put comment here
266 Next to all of this, a configuration can be passed through the C preprocessor
267 before the trafgen compiler gets to see it with option \-\-cpp. To give you a
268 taste of a more advanced example, run ''trafgen \-e'', fields are commented:
270    /* Note: dynamic elements make trafgen slower! */
271    #include <stddef.h>
273    {
274      /* MAC Destination */
275      fill(0xff, ETH_ALEN),
276      /* MAC Source */
277      0x00, 0x02, 0xb3, drnd(3),
278      /* IPv4 Protocol */
279      c16(ETH_P_IP),
280      /* IPv4 Version, IHL, TOS */
281      0b01000101, 0,
282      /* IPv4 Total Len */
283      c16(59),
284      /* IPv4 Ident */
285      drnd(2),
286      /* IPv4 Flags, Frag Off */
287      0b01000000, 0,
288      /* IPv4 TTL */
289      64,
290      /* Proto TCP */
291      0x06,
292      /* IPv4 Checksum (IP header from, to) */
293      csumip(14, 33),
294      /* Source IP */
295      drnd(4),
296      /* Dest IP */
297      drnd(4),
298      /* TCP Source Port */
299      drnd(2),
300      /* TCP Dest Port */
301      c16(80),
302      /* TCP Sequence Number */
303      drnd(4),
304      /* TCP Ackn. Number */
305      c32(0),
306      /* TCP Header length + TCP SYN/ECN Flag */
307      c16((8 << 12) | TCP_FLAG_SYN | TCP_FLAG_ECE)
308      /* Window Size */
309      c16(16),
310      /* TCP Checksum (offset IP, offset TCP) */
311      csumtcp(14, 34),
312      /* TCP Options */
313      0x00, 0x00, 0x01, 0x01, 0x08, 0x0a, 0x06,
314      0x91, 0x68, 0x7d, 0x06, 0x91, 0x68, 0x6f,
315      /* Data blob */
316      "gotcha!",
317    }
319 Another real-world example by Jesper Dangaard Brouer [1]:
321    {
322      # --- ethernet header ---
323      0x00, 0x1b, 0x21, 0x3c, 0x9d, 0xf8,  # mac destination
324      0x90, 0xe2, 0xba, 0x0a, 0x56, 0xb4,  # mac source
325      const16(0x0800), # protocol
326      # --- ip header ---
327      # ipv4 version (4-bit) + ihl (4-bit), tos
328      0b01000101, 0,
329      # ipv4 total len
330      const16(40),
331      # id (note: runtime dynamic random)
332      drnd(2),
333      # ipv4 3-bit flags + 13-bit fragment offset
334      # 001 = more fragments
335      0b00100000, 0,
336      64, # ttl
337      17, # proto udp
338      # dynamic ip checksum (note: offsets are zero indexed)
339      csumip(14, 33),
340      192, 168, 51, 1, # source ip
341      192, 168, 51, 2, # dest ip
342      # --- udp header ---
343      # as this is a fragment the below stuff does not matter too much
344      const16(48054), # src port
345      const16(43514), # dst port
346      const16(20),    # udp length
347      # udp checksum can be dyn calc via csumudp(offset ip, offset tcp)
348      # which is csumudp(14, 34), but for udp its allowed to be zero
349      const16(0),
350      # payload
351      'A',  fill(0x41, 11),
352    }
354    [1] http://thread.gmane.org/gmane.linux.network/257155
356 .SH USAGE EXAMPLE
358 .SS trafgen --dev eth0 --conf trafgen.cfg
359 This is the most simple and, probably, the most common use of trafgen. It
360 will generate traffic defined in the configuration file ''trafgen.cfg'' and
361 transmit this via the ''eth0'' networking device. All online CPUs are used.
363 .SS trafgen -e | trafgen -i - -o lo --cpp -n 1
364 This is an example where we send one packet of the built-in example through
365 the loopback device. The example configuration is passed via stdin and also
366 through the C preprocessor before trafgen's packet compiler will see it.
368 .SS trafgen --dev eth0 --conf fuzzing.cfg --smoke-test 10.0.0.1
369 Read the ''fuzzing.cfg'' packet configuration file (which contains drnd()
370 calls) and send out the generated packets to the ''eth0'' device. After each
371 sent packet, ping probe the attacked host with address 10.0.0.1 to check if
372 it's still alive. This also means, that we utilize 1 CPU only, and do not
373 use the TX_RING, but sendto(2) packet I/O due to ''slow mode''.
375 .SS trafgen --dev wlan0 --rfraw --conf beacon-test.txf -V --cpus 2
376 As an output device ''wlan0'' is used and put into monitoring mode, thus we
377 are going to transmit raw 802.11 frames through the air. Use the
378  ''beacon-test.txf'' configuration file, set trafgen into verbose mode and
379 use only 2 CPUs.
381 .SS trafgen --dev em1 --conf frag_dos.cfg --rand --gap 1000us
382 Use trafgen in sendto(2) mode instead of TX_RING mode and sleep after each
383 sent packet a static timegap for 1000us. Generate packets from ''frag_dos.cfg''
384 and select next packets to send randomly instead of a round-robin fashion.
385 The output device for packets is ''em1''.
387 .SS trafgen --dev eth0 --conf icmp.cfg --rand --num 1400000 -k1000
388 Send only 1400000 packets using the ''icmp.cfg'' configuration file and then
389 exit trafgen. Select packets randomly from that file for transmission and
390 send them out via ''eth0''. Also, trigger the kernel every 1000us for batching
391 the ring frames from user space (default is 10us).
393 .SS trafgen --dev eth0 --conf tcp_syn.cfg -u `id -u bob` -g `id -g bob`
394 Send out packets generated from the configuration file ''tcp_syn.cfg'' via
395 the ''eth0'' networking device. After setting up the ring for transmission,
396 drop credentials to the non-root user/group bob/bob.
398 .SH NOTE
400 trafgen can saturate a Gigabit Ethernet link without problems. As always,
401 of course, this depends on your hardware as well. Not everywhere where it
402 says Gigabit Ethernet on the box, will you reach almost physical line rate!
403 Please also read the netsniff-ng(8) man page, section NOTE for further
404 details about tuning your system e.g. with tuned(8).
406 If you intend to use trafgen on a 10-Gbit/s Ethernet NIC, make sure you
407 are using a multiqueue tc(8) discipline, and make sure that the packets
408 you generate with trafgen will have a good distribution among tx_hashes
409 so that you'll actually make use of multiqueues.
411 For introducing bit errors, delays with random variation and more, there
412 is no built-in option in trafgen. Rather, one should reuse existing methods
413 for that which integrate nicely with trafgen, such as tc(8) with its
414 different disciplines, i.e. netem.
416 For more complex packet configurations, it is recommended to use high-level
417 scripting for generating trafgen packet configurations in a more automated
418 way, i.e. also to create different traffic distributions that are common for
419 industrial benchmarking:
421     Traffic model              Distribution
423     IMIX                       64:7,  570:4,  1518:1
424     Tolly                      64:55,  78:5,   576:17, 1518:23
425     Cisco                      64:7,  594:4,  1518:1
426     RPR Trimodal               64:60, 512:20, 1518:20
427     RPR Quadrimodal            64:50, 512:15, 1518:15, 9218:20
429 The low-level nature of trafgen makes trafgen rather protocol independent
430 and therefore useful in many scenarios when stress testing is needed, for
431 instance. However, if a traffic generator with higher level packet
432 descriptions is desired, netsniff-ng's mausezahn(8) can be of good use as
433 well.
435 For smoke/fuzz testing with trafgen, it is recommended to have a direct
436 link between the host you want to analyze (''victim'' machine) and the host
437 you run trafgen on (''attacker'' machine). If the ICMP reply from the victim
438 fails, we assume that probably its kernel crashed, thus we print the last
439 sent packet together with the seed and quit probing. It might be very unlikely
440 to find such a ping-of-death on modern Linux systems. However, there might
441 be a good chance to find it on some proprietary (e.g. embedded) systems or
442 buggy driver firmwares that are in the wild. Also, fuzz testing can be done
443 on raw 802.11 frames, of course. In case you find a ping-of-death, please
444 mention that you were using trafgen in your commit message of the fix!
446 .SH BUGS
447 For old trafgen versions only, there could occur kernel crashes: we have fixed
448 this bug in the mainline and stable kernels under commit 7f5c3e3a8 (''af_packet:
449 remove BUG statement in tpacket_destruct_skb'') and also in trafgen.
451 Probably the best is if you upgrade trafgen to the latest version.
453 .SH LEGAL
454 trafgen is licensed under the GNU GPL version 2.0.
456 .SH HISTORY
457 .B trafgen
458 was originally written for the netsniff-ng toolkit by Daniel Borkmann. It
459 is currently maintained by Tobias Klauser <tklauser@distanz.ch> and Daniel
460 Borkmann <dborkma@tik.ee.ethz.ch>.
462 .SH SEE ALSO
463 .BR netsniff-ng (8),
464 .BR mausezahn (8),
465 .BR ifpps (8),
466 .BR bpfc (8),
467 .BR flowtop (8),
468 .BR astraceroute (8),
469 .BR curvetun (8)
471 .SH AUTHOR
472 Manpage was written by Daniel Borkmann.
474 .SH COLOPHON
475 This page is part of the Linux netsniff-ng toolkit project. A description of the project,
476 and information about reporting bugs, can be found at http://netsniff-ng.org/.