Überwachung ARP-Tabelle ändert

Question

Ich versuche, meine ARP-Tabelle in Linux mit C++ zu überwachen und bis jetzt die einzige Lösung, die ich habe, ist die Abfrage/proc/net/arp jedes Intervall und vergleichen mit dem vorherigen Zustand.

Kann ich Netlink-Sockets verwenden, um Ereignisse vom Kernel bei diesen Änderungen zu empfangen?

Ich habe mich umgesehen und kann keine klare Antwort finden, ich fand Maut wie ip-monitor, aber habe nicht herausgefunden, wie sie diese Daten bekommen.

Wenn netlink socket diese Informationen nicht bereitstellen kann, gibt es eine andere Möglichkeit, dies mit Ereignissen zu extrahieren und nicht zu pollen?

Answer 1

ich war in der Lage zu finden, wie die Ereignisse auf ARP-Tabelle Änderungen mit Netlink-Socket zu bekommen, das einzige, was ich vermisst habe, ist, wie die ARP Details aus dem Ereignis zu extrahieren, aber jetzt wird dies tun:

int sock; 
static struct sockaddr_nl g_addr; 

/* Zeroing addr */ 
bzero(&g_addr, sizeof(g_addr)); 
g_addr.nl_family = AF_NETLINK; 
g_addr.nl_groups = nl_mgrp(RTNLGRP_NEIGH); 

if ((sock = socket(AF_NETLINK, SOCK_RAW, NETLINK_ROUTE)) < 0) { 
    printf("socket() error: %s", strerror(errno)); 
    return -1; 
} 

if (bind(sock, (struct sockaddr *) &g_addr, sizeof(g_addr)) < 0) { 
    printf("bind() error: %s", strerror(errno)); 
    return -1; 
} 

char buffer[4096]; 
int received_bytes = 0; 

while (true) { 
    received_bytes = recv(sock, buffer, sizeof(buffer), 0); 
    if (received_bytes > 0) { 
     printf("Event\n"); 
     // How to parse the event 
    } 
}