BPF自己写过滤包程序

最新推荐文章于 2025-10-02 02:26:28 发布
原创 最新推荐文章于 2025-10-02 02:26:28 发布 · 1.5w 阅读 · 14 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#filter #byte #汇编 #tcp #socket #struct

本文介绍了如何使用BPF(Berkeley Packet Filter)来编写过滤网络包的程序,涉及BPF指令集、过滤逻辑以及网络包的结构。通过示例展示了过滤TCP源端口非79、目的端口为79的包(TCP Finger)的过滤规则。

  BPF:Berkeley Packet Filter

  英文高手可以直接看原文:http://www.gsp.com/cgi-bin/man.cgi?section=4&topic=bpf#1

或许有一部分人会看不太懂,那么结合下面第二部分的封包结构,就会容易一些。let's go

 

 

首先,要确保我们从socket中读取的是packet,也就是说是 MAC头+IP头+TCP/UDP头,这个样子的才可以。当然,如果用linux下lpf也可以在IP包上做过滤。一样的道理。

 

BPF(Berkeley Packet Filter)
(1) 需要包含的头文件

(2) FILTER MACHINE

最低0.47元/天 解锁文章
网络安全系列-二十二: BPF网络包过滤机制详解
penriver的博客
04-30 3094
BPF 一种抓取并过滤网络数据包(capture and filter packet)的内核结构(kernel architecture)。BPF包含2个重要的组成部分:网络分流器(network tap)和包过滤器(packet filter)。网络分流器负责从网络驱动拷贝数据包,而包过滤器则过滤掉不符合条件的数据包,只把符合需求的数据包上报给应用程序。 基本上所有的抓包工具的过滤底层都是基于BPF实现的。 本文介绍什么是BPF,BPF主要解决什么问题,什么程序使用BPFBPF的设计及设计约束,最后
12、BPF在网络数据包过滤中的应用与实践
gin88的博客
08-07 36
本文深入介绍了BPF(Berkeley Packet Filter)在网络数据包过滤中的应用与实践,涵盖BPF的基本概念、与套接字相关的程序类型及其应用场景。通过tcpdump工具展示了如何使用pcap过滤语法进行数据包捕获与分析,并解析了其背后的BPF指令执行逻辑。此外,文章还详细讲解了如何编、编译和加载BPF程序,实现对TCP、UDP和ICMP数据包的统计功能。最后,总结了BPF在流量监控、网络安全及未来网络技术中的扩展应用前景,为读者提供了一条从基础到实践的学习路径。
bpf数据包过滤用例
12-24
bpf过滤相关实现,实现pcap文件的数据包过滤,该例子只使用与过滤,不做包分析
TCP/IP详解卷2:实现》笔记--BPF:BSD 分组过滤程序
TODD911的专栏
01-12 3583
BSD分组过滤程序BPF)是一种软件设备,用于过滤网络接口的数据流,即给网络接口加上开关。应用进程打开/dev/bpf0、 /dev/bpf1等等后,可以读取BPF设备,每个应用进程一次只能打开一个BPF设备。 通过若干ioctl命令,可以配置BPF设备,把它与某个网络接口相关联,并安装过滤程序,从而能够选择性地接收输入的分组。 BPF设备打开后,应用进程通过读设备来接收分组,或将分组放
3分钟上手BPF抓包:Sniffnet可视化过滤规则从入门到精通
最新发布
gitblog_00172的博客
10-02 301
你是否还在为网络抓包中充斥大量无关流量而头疼?作为零基础也能上手的网络监测工具,Sniffnet通过可视化界面与Berkeley Packet FilterBPF,伯克利包过滤器)语法的结合,让复杂的流量过滤变得简单直观。本文将带你从BPF基础语法开始,掌握在Sniffnet中构建高效过滤规则的方法,轻松定位关键网络流量。 ## BPF过滤规则:网络流量的精准筛子 BPF是一套用于描述网络数...
伯克利包过滤器(Berkeley Packet Filter,缩 BPF),是类Unix系统上数据链路层的一种原始接口,提供原始链路层封包的收发。
weixin_40191861的博客
11-08 466
(Berkeley Packet Filter,缩 BPF),是系统上的一种原始接口,提供原始链路层的收发。除此之外,如果网卡驱动支持,那么它可以让网卡处于此种模式,这样可以收到网络上的所有包,不管他们的目的地是不是所在主机。另外,BPF支持过滤数据包——用户态的进程可以提供一个过滤程序来声明它想收到哪些数据包。通过这种过滤可以避免从向用户态复制其他对用户态程序无用的数据包,从而极大地提高性能。BPF有时也只表示过滤机制,而不是整个接口。一些系统,比如。
netfilter实现包过滤
weixin_42785235的博客
03-24 707
如果运行成功,会发生如下现象:1.无法下载“.exe”文件;2.通过命令dmesg可以查看到自己在网页端登录时输入的账号和密码 #include <linux/module.h> #include <linux/kernel.h> #include <linux/skbuff.h> #include <linux/in.h> #include <linux/ip.h> #include <linux/tcp.h> #includ..
eBPF.io eBPF文档:扩展的数据包过滤器(BPF
RToax
10-10 2266
eBPF导致在网络,安全性,应用程序性能分析/性能跟踪和性能故障排除等领域开发了新一代的工具,这些工具不再依赖现有的内核功能,而是在不影响执行效率或安全性的情况下主动重新编程运行时行为。可以创建内核探针(kprobe)或用户探针(uprobe),以将eBPF程序附加到内核或用户应用程序中的几乎任何位置。eBPF程序无法调用任意内核功能。
BPF过滤器在数据包嗅探和过滤中的应用(C/C++代码实现)
chen1415886044的博客
07-14 1815
BPF(Berkeley Packet Filter)和eBPF(extended Berkeley Packet Filter)是Linux内核中强大的网络数据包过滤和处理工具。 BPF起源于1992年,由Steven McCanne和Van Jacobson在UNIX平台上提出,它最初用于网络数据包过滤,提供了一种用户级别的数据包捕获架构。BPF通过引入虚拟机设计和优化数据复制策略,实现了高效的数据包过滤性能。经典的BPF被广泛应用在如tcpdump等网络监控工具中,其可以通过特定的汇编指令来指定过滤
bpf编程系列之一:hello world
绿水白川的博客
07-16 1178
bpf程序由两部分组成,一个是内核态执行程序,一个是用户态执行程序,二者并不是直接链接的,可以看成是两个程序。linux内核为方便测试和提供样例,为用户态的接口、文件操作封装了一些helper函数,本次hello world程序里就用到了read_trace_pipe这个函数,我将涉及的辅助库文件贴在下方。bpf程序是在内核的bpf虚拟机运行的,它的。基于上述描述的,内核态程序是一个bpf类型的.o文件,用户态程序是一个可执行文件,生成相应程序的makefile如下,执行。,不是一个用户态可执行的文件。
bpf-example:在Mac上的Rust中开发BPF程序的示例存储库
04-03
Rust中的BPF示例 一个示例仓库,显示了使用Rust编程语言的Mac上Linux内核的BPF开发环境。 要求 安装及其扩展包。 安装和插件。 brew install vagrant vagrant plguin install vagrant-reload vagrant plugin install vagrant-vbguest 初始化Vagrant VM 注意:VM的默认内存在已设置为4GB。 如果您的主机Mac计算机的内存较少,则可以减少内存。 但是请确保不少于2GB。 现在让我们使用ONE命令启动环境: vagrant up 差不多了 如果一切顺利,我们可以登录到无所事事的VM,并构建和运行bpf程序。 # SSH login into the Vagrant VM env vagrant ssh # Project workspace path cd /work
Berkeley Packet Filter (BPF) syntax
04-25
libpcap支持一种功能非常强大的过滤语言——“伯克利包过滤”语法。使用BPF过滤规则,你可以确定该获取和检查哪些流量,忽略哪些流量。BPF让你能够通过比较第2、3、4层协议中各个数据字值的方法对流量进行过滤。本文档为BPF的语法介绍。
bpfcountd:一个使用 bpf(伯克利数据包过滤器)监控网络流量的小守护进程
05-29
bpfcountd 创建此守护程序是为了在不增加 CPU 资源压力的情况下获取大型网络中的数据包统计信息。 bpfcountd将随着时间的推移计算包和字节的数量(对于每个定义的规则)。 这些规则是使用 tcpdump 过滤器语法 ( ) 定义的。 收集的数据以明文形式在unix套接字上提供。 依赖关系 libpcap 支持的平台 经测试: Arch Linux Debian 应该在没有特别注意的情况下工作: 任何基于 systemd 的 Linux 发行版 在 init 系统中集成后应该可以工作: Linux 尚不支持: 任何其他支持 libpcap 的平台 get_mac(...)还不是跨平台的 例子 您可以使用 bpf 语法定义多个规则,并为每个规则分配一个标识符。 格式为<identifier>;<bpf> 。 请参阅下面的示例: 筛选器 arp-me;arp an
ebpf教程(2):使用libbpf-bootstrap构建eBPF应用程序【译】
大草的博客
12-31 3814
使用libbpf-bootstrap构建BPF应用程序【译】
伯克利包过滤
LISTONE的个人博客
06-03 1104
伯克利包过滤器(BPF) 什么是BPFBPF,即伯克利包过滤器 Berkeley Packet Filter,诞生于1992年,其作用是提供一种过滤包的方法来避免在内核空间复制无用的数据到用户空间。由于其简化的语言以及存在于内核中的即时编译器(JIT),使BPF成为一个性能卓越的包过滤工具。 BPF语法 BPF过滤规则由一个或多个原语(原子式)组成。原语通常由一个标识(id,名称或数字)和标识前面的一个或多个限定词组成。 BPF过滤规则有三种类型的限定词,分别为type、dir和 proto。 ty
初识 BPF:从 Hello World 开始的内核编程之旅
m0_67544708的博客
05-22 989
BPF 在 Linux 内核中,被实现为一个非常精简的虚拟机,具有几乎性能无损的执行效率。我们可以用类似 C 语言的语法,编代码,编译成可以在 BPF 虚拟机中运行的汇编代码,实现其强大的逻辑处理能力。
wireshark-2-伯克利包过滤
bronze_s的博客
02-24 541
伯克利包过滤(Berkeley Packet FilterBPF) 名称 功能 常见类型 type 这种限定符表示指代的对象,例如 IP 地址、子网或者端口等。 host:表示主机名和IP地址 net:用来表示子网 port:用来表示端口 dir 表示数据包传输的方向 src:源地址 dst:目的地址 proto 表示与数据包匹配的协议类型 arp、http、dns 关系符 符号 用途 ...
BPF编译运行实例
sf_jiang的博客
07-14 1121
本文目标是运行一个bpf实例,实现系统运行时,每执行一次系统调用execve的调用监控
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值