深度剖析WinPcap之(十)——数据包的内核过滤(12)

最新推荐文章于 2021-08-23 20:01:13 发布
最新推荐文章于 2021-08-23 20:01:13 发布
阅读量754 收藏
点赞数
分类专栏: 开源库 文章标签: 编译器 优化 汇编 虚拟机 语言

本文转自http://eslxf.blog.51cto.com/918801/278879

 

1.1.1.      BPF系统架构图

10-5 BPF的系统架构图
一个用高层语言表示的过滤器,被编译与优化成 BPF 虚拟机中间字节码 (VM Byte Codes) 。字节码接着经过保护边界,检查代码的合法性,接着在线解释或汇编代码为本地机器码。
 
BPF 系统包含了下列组件,把 用高层语言表示的过滤器转换为底层可执行的数据包过滤器。
 
Ø  前端输入是一个高层语言的过滤器表达式,基于被最初 libpcaptcpdump 使用的公开的谓词语法。
Ø  BPF 编译器把该谓词表达式转换为一个命令,用一个 SSA 中间 形式表示的 控制流程图。
Ø  SSA 中间 形式通过代码优化器执行全局的与局部的数据流优化。优化器的输出为一个与BPF虚拟机模型一致的字节码。
Ø  BPF 字节码接着被传递到一个可执行的环境中,比如穿过用户层—内核层的边界去执行用户定义的协议分析。
Ø  一当进入目标保护区域,安全确认机制就认为该字节码是可信的。
Ø  最后,一个 “just in time” (JIT) 编译器 把优化过的并通过安全检查的字节码汇编成本地机器码,并执行可选的与机器相关的优化。如果目标环境中是一个解释器而不是一个本地硬件,比如在 BPF 内核执行,其解释执行过滤器的字节代码,那么最后一步将被省略。 但是, WinPcapNPF 不解释过滤器,而是执行它们。为了性能的原因,在使用过滤器之前, NPF 把它给 JIT 编译器,该编译器把它转换成一个本地 80X86 的函数。  当一个数据包被捕获后, NPF 调用该本地函数,而不是调用该过滤器的解释器,这使得过滤处理很快。

napu_sh
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
winpcap过滤表达式说明
07-03
winpcap过滤表达式说明 pdf
WinPcap过滤规则
caohao2008的专栏
01-11 1万+
下面对WinPcap过滤表达式语法进行一下简要的介绍,其中关键字用黑体字表示。1) 表达式支持逻辑操作符,可以使用关键字 and、or、not对子表达式进行组合,同时支持使用小括号。2) 基于协议的过滤要使用协议限定符,协议限定符可以为ip、arp、rarp、tcp、udp等。3) 基于MAC地址的过滤要使用限定符ether(代表以太网地址)、当该MAC地址仅作为源地址时表达式为ether sr
WinPcap 过滤器语法
阿波的专栏
07-26 4741
Normal 0 7.8 磅 0 2 false false false EN-US ZH-CN X-NONE
使用winpcap对报文进行过滤
05-23
利用winpcap进行报文过滤,需添加packet2.h等文件
深度剖析WinPcap之()——数据包内核过滤(1)
理性的幻想
06-23 1180
本文转自 http://eslxf.blog.51cto.com/918801/226693   WinPcap最强大的特性之一,就是拥有过滤数据包的引擎。它提供非常有效的方法去获取网络流量中的某些数据包,这也是WinPcap捕获机制中的一个重要组成部分。WinPcap过滤引擎直接源自BSD Packet Filter (BPF),所以WinPcap过滤机制与BPF的过滤机制类似。
深度剖析WinPcap
05-04
深度剖析WinPcap WinPcap是一个Windows平台下访问网络数据链路层的开源库,允许应用程序绕开网络协议栈来捕获与传递网络数据包,并具有额外的有用特性,包括内核层的数据包过滤、一个网络统计引擎与支持远程数据包...
winpcap编程捕获数据包
11-05
WinPcap编程捕获数据包是网络编程领域中的一个重要概念,尤其对于网络监控、数据分析以及安全检测等应用来说,它是核心工具之一。WinPcap是一个开源库,它为Windows操作系统提供了底层网络访问能力,允许程序直接与...
深度剖析WinPcap(网络编程进阶必备)
11-06
如果你学了Socket网络编程,那么本资料是你网络编程进阶的得力助手,深度剖析WinPcap
Winpcap 信息截获.rar_arp_hack_winpcap_winpcap 数据包内容_winpcap-pcap
09-21
2. **数据包过滤**:通过Winpcap过滤机制,攻击者可以选择性地拦截特定类型的数据包,如只关注ARP请求或响应。 3. **数据包构造与注入**:除了捕获,Winpcap还允许用户构建自定义的数据包并注入到网络中,因此攻击...
WinPcap基础知识(第五课:过滤信息)
qsycn的专栏
08-18 2793
WinPcap提供的最强大的特性之一就是过滤引擎。它是被集成到了winpcap的捕获机制中的,提供了一种非常高效的方法来获取部分网络数据。被用来过滤数据包的函数是 pcap_compile() 和 pcap_setfilter()。 pcap_compile() 接受一个包含布尔表达式的字符串,生成可以被捕获包驱动中的过滤引擎解释的代码。布尔表达式的语法在这个文档的Filtering expres
winpcap编程实现自动过滤FTP用户名及密码
Q1n6
12-15 3303
Wireshark提供了许多Filter Expression,我们可以很轻松的过滤出FTP的用户名和密码。请看下图 Filter Expression为ftp.request.command=="USER" or ftp.request.command=="PASS"。具体为什么查找FTP连接的建立过程,而且点击Expression之后可以看到wireshark封装了许多过滤规则。Wi
【笔记】wincap网络数据包过滤与分析
Welcome Friends~
09-18 2854
 一、网络层IP数据包的结构介绍二、传输层TCP结构图三、传输层UDP结构图四、网络数据包过滤分析介绍  WinPcap或libpca最强大的特点之一就是数据流的过滤引擎。它提供一种高效的方法来只捕获网络数据流的某些数据而且常常和系统的捕获机制相集成。过滤数据的函数是pcap_compile() 和 pcap_setfilter()来实现的。  pcap
eBPF系列学习(1)-什么是内核BPF、eBPF
西京刀客
08-23 5009
eBPF 是一种可以在操作系统内核中运行沙盒程序的技术。eBPF 使我们能够安全地扩展内核的功能,而不需要改变内核的源代码或加载内核模块。
过滤及分析数据包
weixin_34049948的博客
03-11 246
前面都是讲解如何获取适配器信息以及捕获数据包,从这一节开始讲一下WinPcap中更强大的一些特性。本节主要讲一下如何利用WinPcap过滤数据包。在WinPcap中用来过滤数据包的函数有两个,pcap_compile()和pcap_setfilter()。pcap_compile()的原理是将高层的布尔过滤表达式编译成能够被过滤引擎所解释的低层的字节码,关于布尔过滤表达式的语法会在后...
BPF(BSD Packet Filter)--应用和理念扩展
Netfilter
09-10 1万+
<br />BPF是一个过滤机制,它用于过滤送往特定地点比如用户空间的数据包,它被设计成一种类似汇编语言语言,可以称之为伪汇编码。虽然被设计用来过滤数据包,但这种设计方式更适合用于操作硬件,特别用来编写需要写少量固定序列的硬件驱动程序。不管用于什么,BPF的设计是优秀的,是状态机实现控制逻辑的完美实例。BPF实际上是一组基于状态机的匹配过滤序列,用于简单的数据包模式匹配。每个匹配包含四个元素,定义为一个结构体:<br /> struct socket_filter<br /> {<br />    
Winpcap 原理详细介绍
阿波的专栏
04-03 6453
winpcap(windows packet capture)是windows平台下一个免费,公共的网络访问系统。开发winpcap这个项目的目的在于为win32应用程序提供访问网络底层的能力。它提供了以下的各项功能: 捕获原始数据报,包括在共享网络上各主机发送/接收的以及相互之间交换的数据报; 在数据报发往应用程序之前,按照自定义的规则将某些特殊的数据报过滤掉; 在网络上发送原始的数据报; 收集网络通信过程中的统计信息。 winpcap的主要功能在于独立于主机协议(如TCP-IP)
Wireshark抓包详细分析
热门推荐
永远在奔跑的学习者
11-26 1万+
wireshark抓包介绍 这里选了wifi网卡,开始抓包 上方的文本框可以输入一些规则,对抓到的包进行过滤过滤策略: 只看 TCP 协议的包,可以输入 tcp 然后回车; 如果想看使用 UDP 协议的某个端口,输入 udp.port == 端口号 回车 如果想看目标 IP 地址是 192.168.1.123 的包,可以输入 ip.dst ==192.168.1.123 然后回车;...
WinPcap过滤表达式语法
howard的技术之路
07-03 4152
自己写了一个WinPcap过滤表达式语法检测软件,使用了SharpPcap包(它是使用.net对WinPcap进行了封装,其中过滤表达式和WinPcap相同)。 程序下载地址为:http://download.csdn.net/source/526497 源代码下载地址为:http://download.csdn.net/source/526501 转了两篇文章,第一篇写的很短但是很清楚,
简述利用WinPcap技术捕获和过滤网络数据包的编程步骤
最新发布
06-01
WinPcap是一个Windows平台下的网络抓包库,它可以实现在Windows系统中对网络数据包的抓取、过滤和分析。利用WinPcap技术捕获和过滤网络数据包的编程步骤如下: 1. 安装WinPcap库:在使用WinPcap编程之前,需要先下载和安装WinPcap库。 2. 调用pcap_open_live函数打开网络接口,准备开始抓包。该函数指定了网络接口、抓包缓存大小、是否开启混杂模式等参数。 3. 调用pcap_compile函数编译过滤规则过滤需要抓取的数据包。该函数指定了过滤规则、是否优化过滤规则等参数。 4. 调用pcap_setfilter函数设置过滤规则。该函数将编译后的过滤规则设置到网络接口中,以便对数据包进行过滤。 5. 调用pcap_loop函数进入循环抓包状态,等待网络数据包的到来。该函数指定了抓包次数、回调函数等参数。 6. 在回调函数中处理抓取到的数据包。回调函数的参数包括抓包缓存、数据包头部指针等信息。 7. 调用pcap_close函数关闭网络接口,结束抓包。 通过上述步骤,可以利用WinPcap技术实现对网络数据包的捕获和过滤。需要注意的是,编写WinPcap程序需要对网络协议和数据包结构有一定的了解,同时需要根据实际情况选择合适的过滤规则

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值