Linux网络编程:原始套接字--包过滤器BPF

最新推荐文章于 2024-07-14 15:57:45 发布
最新推荐文章于 2024-07-14 15:57:45 发布
阅读量3k 收藏 16
点赞数
分类专栏: 网络编程 文章标签: 网络通信 socket bpf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jin787730090/article/details/117993915
版权

目录

参考文章

  1. linux网络和BPF
  2. linux 下的 包过滤器 BPF
  3. 使用socket BPF
  4. Linux bpf 3.1、Berkeley Packet Filter (BPF) (Kernel Document)

一、BPF的介绍

BPFBerkeley Packet Filter)伯克利包过滤器。 BPF允许用户空间程序将一个过滤(filter)附加到任何的套接字(socket)上面用来允许或不允许某些类型的数据通过socket。

通常,大多数对包 socket 上 socket filter 的使用已经被 libpcap 高层次的语法所覆盖,作为应用开发人员应当坚持使用。libpcap wraps是它的封装层。
除非:

  • i) 使用/链接libpcap不是选项;
  • ii) 需要的BPF filter使用了linux扩展,libpcap的编译器不支持;
  • iii) filter可能更复杂,不能由libpcap编译器清晰的实现;
  • iv) 特定的filter代码需要被优化成和libpcap内部编译器不同,在这种情况下“手工”编写filter可能是一种选择。例如,xt_bpf和cls_bpf用户有可能产生的需求需要更复杂的filter代码或者不能使用libpcap表达(例如不同代码路径对应不同返回码)。此外,BPF JIT实现者希望手工写测试用例,因此需要低层次的访问BPF代码。

二、BPF的结构

用户空间的应用程序 include <linux/filter.h> 头文件包含以下的相关结构:

struct sock_filter {    /* Filter block */
        __u16   code;   /* Actual filter code */
        __u8    jt;     /* Jump true */
        __u8    jf;     /* Jump false */
        __u32   k;      /* Generic multiuse field */
};

这样的结构被组装成一个4元数组,包含:code、jt、jf和K值。jt和jf是跳转偏移量,k是一个通用值提供给code使用。

struct sock_fprog {                     /* Required for SO_ATTACH_FILTER. */
        unsigned short             len; /* Number of filter blocks */
        struct sock_filter __user *filter;
};

其中 *filter 指向结构为 struct sock_filter 的 BPF过滤代码(code)。

三、BPF Socket 的配置

在Linux上,BPF比在BSD上简单的多。只需要创建你的 filter 代码,通过 setsockopt 调用来完成:

  • SO_ATTTACH_FILTER选项发送到内核,并且你的filter代码能通过内核的检查,这样你就可以立即过滤socket上面的数据了。
  • SO_DETACH_FILTER选项把filter从socket上移除。这可能不会被经常使用,因为当你关闭socket的时候如果有filter会被自动移除。另外一个不太常见的情况是在同一个socket上添加不同的filter,当你还有另一个filter正在运行:如果你的新filter代码能够通过内核检查,内核小心的把旧的filter移除把新的filter换上,如果检查失败旧的filter将继续保留在socket上。
  • SO_LOCK_FILTER 选项运行锁定附加到socket上的filter。一旦设置,filter不能被移除或者改变。这种允许一个进程设置一个socket、附加一个filter、锁定它们并放弃特权,确保这个filter保持到socket的关闭。

对socket过滤,将一个指向 struct sock_fprog 结构的指针 &Filter 通过 setsockopt 系统调用传递给内核,具体格式如下:

setsockopt(sockfd, SOL_SOCKET, SO_ATTACH_FILTER, &Filter, sizeof(Filter));
setsockopt(sockfd, SOL_SOCKET, SO_DETACH_FILTER, &Filter, sizeof(Filter));
setsockopt(sockfd, SOL_SOCKET, SO_LOCK_FILTER,   &Filter, sizeof(Filter));

setsockopt 调用SO_ATTACH_FILTER,将 tcpdump -dd 的结果内容添加到 struct sock_filter code[] = {} 结构体中,将 Filter.filter 指向这个code数组,Filter.len 设置长度,就可以用setsockopt设置过滤器了。
setsockopt 调用SO_DETACH_FILTER不需要任何参数,调用SO_LOCK_FILTER来预防filter被解绑附带一个整数参数0或1.

注意: socket filter没有限制仅仅用在PF_PACKET socket上,也可以用于其他socket家族。

四、BPF Code 生成方法

tcpdump 是linux 中调试网络的一个工具, 实际上 tcpdump 就是用利用BPF原理编写的一个工具,所以tcpdump 提供了一个生成 bpf code 的选项 -dd

使用 tcpdump 命令加上 -dd 选项来生成 bpf code,命令格式如下:

tcpdump -dd -i eth0 port 22

结果如下:
在这里插入图片描述

tcpdump 提供了 -d 选项来阐述这段数字的意义:
在这里插入图片描述

注意:
用tcpdump生成的BPF代码只能用于SOCK_RAW的socket,这类socket是可以直接操作数据链路层的。如果你打算将BPF用于ip层等较高层次的socket,那么你需要手工修改部分行的code.k,也就是修改如ldh [12]当中的[12]这个数值,因为这个数值的偏移量是按照从链路层开始计算得到的,在没有链路层之后,这个值就发生了变化,这个是需要注意的。

五、BPF Socket 实例

附加一个socket filter到一个PF_PACKET socket上,为了让所有IPv4/IPv6 port 22的包通过,这个socket上所有其他的包将会被丢弃。

代码如下:

#include <sys/socket.h>
#include <sys/types.h>
#include <arpa/inet.h>
#include <linux/if_ether.h>
/* ... */

/* From the example above: tcpdump -dd -i eth0 port 22 */
struct sock_filter code[] = {
	{ 0x28, 0, 0, 0x0000000c },
	{ 0x15, 0, 8, 0x000086dd },
	{ 0x30, 0, 0, 0x00000014 },
	{ 0x15, 2, 0, 0x00000084 },
	{ 0x15, 1, 0, 0x00000006 },
	{ 0x15, 0, 17, 0x00000011 },
	{ 0x28, 0, 0, 0x00000036 },
	{ 0x15, 14, 0, 0x00000016 },
	{ 0x28, 0, 0, 0x00000038 },
	{ 0x15, 12, 13, 0x00000016 },
	{ 0x15, 0, 12, 0x00000800 },
	{ 0x30, 0, 0, 0x00000017 },
	{ 0x15, 2, 0, 0x00000084 },
	{ 0x15, 1, 0, 0x00000006 },
	{ 0x15, 0, 8, 0x00000011 },
	{ 0x28, 0, 0, 0x00000014 },
	{ 0x45, 6, 0, 0x00001fff },
	{ 0xb1, 0, 0, 0x0000000e },
	{ 0x48, 0, 0, 0x0000000e },
	{ 0x15, 2, 0, 0x00000016 },
	{ 0x48, 0, 0, 0x00000010 },
	{ 0x15, 0, 1, 0x00000016 },
	{ 0x6, 0, 0, 0x00040000 },
	{ 0x6, 0, 0, 0x00000000 },
};

struct sock_fprog bpf = {
	.len = ARRAY_SIZE(code),
	.filter = code,
};

sock = socket(PF_PACKET, SOCK_RAW, htons(ETH_P_ALL));
if (sock < 0)
	/* ... bail out ... */

ret = setsockopt(sock, SOL_SOCKET, SO_ATTACH_FILTER, &bpf, sizeof(bpf));
if (ret < 0)
	/* ... bail out ... */

/* ... */
close(sock);
錦鈊銀
关注
  • 0
    点赞
  • 16
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
非常神奇的Linux技术:BPF
msbjy的博客
04-27 3395
近两年BPF技术跃然成为了一项热门技术,在KubeCon 2020 Europe会议上有7个关于BPF的技术分享, 而在KubeCon 2020 China会议上也已有了3个关于BPF技术的中文分享,分别来自腾讯和PingCAP,涉足网络优化和系统追踪等领域。在中文社区里,括阿里巴巴、网易、字节跳动等国内第一梯队IT公司也越来越关注BPF这项新技术。 一、前言 作为一个coder,时不时会遇到性能问题,有时候明明看资源,cpu,io都占用不高,程序的性能就是上不去,真有一种想进入到计算机里面看看到底发
BPF(Berkeley Packet Filter)伯克利抓过滤器实践
James的博客
08-11 4465
BPF(Berkeley Packet Filter)伯克利抓过滤器实践 BPF Berkeley Packet Filter是驱动级抓过滤接口,多数抓工具都支持该语法 过滤器就是一个表达式,由原语,运算符组成。 原语: 原语是限定符qualifiers(有时也称为keywords)+ID(字符或数字),如 host www.baidu.com, port 80 限定符: type host, net/mask,port, portrange dir dst, src, dst or src[缺省
BPF过滤器在数据嗅探和过滤中的应用(C/C++代码实现)
最新发布
chen1415886044的博客
07-14 936
BPF(Berkeley Packet Filter)和eBPF(extended Berkeley Packet Filter)是Linux内核中强大的网络数据过滤和处理工具。 BPF起源于1992年,由Steven McCanne和Van Jacobson在UNIX平台上提出,它最初用于网络数据过滤,提供了一种用户级别的数据捕获架构。BPF通过引入虚拟机设计和优化数据复制策略,实现了高效的数据过滤性能。经典的BPF被广泛应用在如tcpdump等网络监控工具中,其可以通过特定的汇编指令来指定过滤
Linux超能力BPF技术介绍及学习分享
Docker的专栏
09-15 5075
近两年BPF技术跃然成为了一项热门技术,在刚刚结束的KubeCon 2020 Europe会议上有7个关于BPF的技术分享, 而在KubeCon 2020 China会议上也已有了3个关...
BPF (Berkeley Packet Filter)的简单介绍(一)
chanimei_11的博客
04-24 7051
1. 介绍 过去在UNIX 系统上提供一种为监控网络而设计的用户层工具,他需要将数据从kernel 拷贝到user 空间,由于监控工具需要抓取的目标数据大部分时候不是所有数据,这就需要一个将拷贝数据最小化的内核代理过滤器(Packet Filter),最初在SunOS 上采用NIT(Network Interface Tap), 它是一种RISC CPU上基于内存栈的次最优过滤器,后面BPF 采用了一种基于寄存器的过滤器,其过滤计算效率比基于协议栈的方式提高了20倍,...
linux sock_raw原始套接字编程 (转)和Linux下Libpcap源码分析和过滤机制
seven407的专栏
10-25 1847
sock_raw原始套接字编程可以接收到本机网卡上的数据帧或者数据,对与监听网络的流量和分析是很有作用的.一共可以有3种方式创建这种 socket 1.socket(AF_INET, SOCK_RAW, IPPROTO_TCP|IPPROTO_UDP|IPPROTO_ICMP)发送接收ip数据 2.socket(PF_PACKET, SOCK_RAW, htons(ETH_P_IP|ETH_P_ARP|ETH_P_ALL))发送接收以太网数据帧 3.socket(AF_INET, SOCK_PA
初识 BPF:从 Hello World 开始的内核编程之旅
m0_67544708的博客
05-22 746
BPFLinux 内核中,被实现为一个非常精简的虚拟机,具有几乎性能无损的执行效率。我们可以用类似 C 语言的语法,编写代码,编译成可以在 BPF 虚拟机中运行的汇编代码,实现其强大的逻辑处理能力。
go-seccomp-bpf:Go库,用于安装seccomp BPF系统调用过滤器
05-09
go-seccomp-bpf go-seccomp-bpf是Go(golang)的库,用于通过使用安全计算模式(也称为seccomp)在Linux 3.17及更高版本上加载系统调用筛选器。 Seccomp限制进程可以调用的系统调用。 内核公开了大多数进程不使用的...
go-tc:纯粹的流量控制-它允许读取和更改队列,过滤器和类
04-17
tc 这是tc正在进行中的版本。 它为基于的提供了无绑定的API。 例子 func main () { // open a rtnetlink socket rtnl , err := tc . Open ( & tc.... fmt .... if err := rtnl .... fmt .... // get a
sockdump:使用bpf转储unix域套接字流量
05-09
转储Unix域套接字流量。 要求 密件抄送 python密件抄送绑定 例子 字符串输出 $ sudo ./sockdump.py --format string /var/run/docker.sock waiting for data 19:23:06.633 >>> process docker [31042 -> 13710] len...
nsjail:一个轻量级的进程隔离工具,利用Linux名称空间和seccomp-bpf syscall过滤器(借助kafel bpf语言)
02-02
它基于Linux操作系统,利用了Linux内核提供的高级功能,如**名称空间(namespaces)** 和 **Secure Computing(seccomp)**,以及**BPF(Berkeley Packet Filter)** 的syscall过滤机制。在本文中,我们将深入探讨...
Berkeley Packet Filter (BPF) syntax
04-25
libpcap支持一种功能非常强大的过滤语言——“伯克利过滤”语法。使用BPF过滤规则,你可以确定该获取和检查哪些流量,忽略哪些流量。BPF让你能够通过比较第2、3、4层协议中各个数据字段值的方法对流量进行过滤。本文档为BPF的语法介绍。
go-conntracer-bpf:使用eBPF转到库以跟踪网络流事件
04-03
go-conntracer-bpf go-conntracer-bpf是Go语言的一个库,用于跟踪受启发的BPF kprobe上的网络连接(TCP / UDP)事件(连接,接受,发送至recvfrom)。 go-conntracer-bpf是在之上实现的, 是BPFLinux内核的代表...
Linux 内核观测技术BPF
0 error(s)
03-12 2218
BPF允许任何人在Linux内核之中执行任意的代码,这听起来的十分危险,但是由于有着使得这一过程变的相当的安全。BPF时内核的一个模块,所有的BPF程序都必须经过它的审查才能够被加载到内核之中去运行。验证器执行的就是对BPF虚拟机加载的代码进行。这一步的目的是保证程序可以按照预期去结束,而不会产生死循环拜拜浪费系统资源。验证器会创建一个DAG(有向无环图),将BPF程序的每个执行首位相连之后去执行DFS(深度优先遍历),当且仅当每个路径都能达到DAG的底部才会通过验证。之后其会执行。
Linux内核BPF学习1
bcbobo21cn的专栏
03-06 253
随着 BPF 追踪系统(基于时间采样)最后一个主要功能被合并至 Linux 4.9-rc1 版本的内核中,现在 Linux 内核拥有类似 DTrace 的原生追踪功能。DTrace 是 Solaris 系统中的高级追踪器。对于长期使用 DTrace 的用户和专家,这将是一个振奋人心的里程碑。现在在 Linux 系统上,你可以在生产环境中使用安全的、低负载的定制追踪系统,通过执行时间的柱状图和频率统计等信息,分析应用的性能以及内核。 用于 Linux 的追踪项目有很多,但是这个最终被合并进 Linux...
原始套接字与抓过滤规则setsockopt(fd, SOL_SOCKET, SO_ATTACH_FILTER, ...)
阿群的笔记(同步备份自简书)
10-28 4220
英文资料: https://www.kernel.org/doc/Documentation/networking/filter.txt https://github.com/torvalds/linux/blob/master/tools/testing/selftests/net/psock_lib.h#L29-L73 struct sock_filter filter[]...
BPF( 伯克利数据过滤器 ) Performance Tools》 第二章 技术背景
weixin_55255438的博客
10-05 1803
下图是Sasha Goldshtein用户态预定义静态跟踪(user-level statically defined tracing, USDT)提供了一个用户空间版的跟踪点机制。BCC的USDT支持是Sasha Goldshtein实现的,bpfrace的USDT支持是由笔者和Matheus Marchini完成的。用户态的软件有很多与跟踪和日志相关的技术,而且许多应用程序自身也内置了自定义的事件日志系统,可以根据需要随时开启。USDT与众不同之处在于,它依赖于外部的系统跟踪器来唤起。
linux内核将用BPF替代iptables
限量发行的专栏
04-06 3808
Linux内核社区最近发布了bpfilter,一个使用Linux BPF提供的高性能网络过滤内核模块, 用来替代netfilter作为iptables的长期支持的内核底层的实现,实现Linux用户的无痛向BPF过渡的换心手术。 BPF(Berkeley Packet Filter)可能我们比较生疏,但是我说起tcpdump、Wireshark等流行的网络抓和分析工具你一定听说并可能使用...
Linux bpf 3.1、Berkeley Packet Filter (BPF) (Kernel Document)
pwl999的博客
09-07 5117
关于bpf最早是应用于network的filter,后续才被应用到trace,所以kernel中关于bpf的文档是”Documentation/networking/filter.txt”。 参考原文:Linux Socket Filtering aka Berkeley Packet Filter (BPF) 1、简介: LSF(Linux Socket Filtering)是从BPF...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值