measurementlab/packet-headers

packet-headers

镜像概述和主要用途

packet-headers服务提供一个二进制程序，用于收集所有传入TCP流的数据包头部信息，并将每个流的捕获内容保存为独立的.pcap文件。文件名采用对应TCP流的UUID命名，仅保存数据包头部以减少存储占用，同时支持通过命令行参数对IP地址进行***化处理，保护网络地址隐私。

核心功能和特性

• TCP流头部捕获：专注于收集传入TCP流的数据包头部，不保存完整数据包，有效控制存储消耗。
• UUID命名管理：每个TCP流的捕获数据保存为独立.pcap文件，文件名使用流的UUID，便于流识别与数据追溯。
• IP化支持**：提供"none"（默认）和"netblock"两种IP**化模式，可通过命令行参数灵活配置，保护敏感地址信息。
• 长流存储保护：支持配置捕获时长，仅保存每个流的前N秒数据，避免长连接持续写入导致硬盘空间耗尽。
• 流超时自动关闭：设置流超时时间，当流在指定时长内无数据包活动时，自动判定为关闭并停止捕获。

使用场景和适用范围

适用于需要监控、分析TCP流头部特征的场景，如网络流量审计、TCP连接行为研究、网络安全监控等。特别适合对IP地址隐私有保护需求，或需严格控制存储资源占用的网络环境。

使用方法和配置说明

前提条件

运行packet-headers需配合启动https://github.com/m-lab/tcp-info%E6%9C%8D%E5%8A%A1%EF%BC%8C%E5%B9%B6%E9%80%9A%E8%BF%87%60-tcpinfo.eventsocket%60%E5%8F%82%E6%95%B0%E6%8C%87%E5%AE%9A%E5%85%B6%E4%BA%8B%E4%BB%B6unix%E5%9F%9F%E5%A5%97%E6%8E%A5%E5%AD%97%E6%96%87%E4%BB%B6%E8%B7%AF%E5%BE%84%E3%80%82

命令行参数详解

Usage of ./packet-headers:
  -anonymize.ip value
        IP匿名化模式，有效值为"none"（默认）和"netblock"。
  -captureduration duration
        单个流的最大捕获时长，防止长流占用过多存储，默认30s。
  -datadir string
        数据存储目录，默认当前目录（"."）。
  -flowtimeout duration
        流超时判定时间，流无活动超过此时长即判定为关闭，默认30s。
  -interface value
        流量捕获网络接口，可重复指定；未设置时捕获所有可用接口。
  -maxheadersize int
        最大数据包头部大小，默认256字节（较小值节省资源，过小将可能截断IPv6扩展头部）。
  -maxidleram value
        允许的最大空闲内存，超过后主动释放给系统，默认3GB。
  -prometheusx.listen-address string
        Prometheus指标暴露地址，默认":9990"。
  -sigtermwait duration
        收到SIGTERM信号后等待退出的时间，默认1s。
  -stream
        启用流式写入磁盘模式，禁用内存缓冲。
  -tcpinfo.eventsocket string
        tcp-info事件unix域套接字文件路径（必填）。
  -uuidwaitduration duration
        流UUID分配等待时间，超时后丢弃后续数据包，默认5s。

部署示例

基础运行命令

bash
# 需先启动tcp-info并创建事件套接字，假设套接字路径为/tmp/tcpinfo.sock
./packet-headers \
  -interface eth0 \
  -datadir /var/packet-headers \
  -anonymize.ip netblock \
  -captureduration 60s \
  -flowtimeout 45s \
  -tcpinfo.eventsocket /tmp/tcpinfo.sock

FAQ

关于UDP、ICMP支持

UDP和ICMP协议的支持是计划中的功能，但在v1版本中暂未实现。