BPF高阶 - 使用BPF过滤固定特征报文

最新推荐文章于 2024-06-07 14:54:37 发布
最新推荐文章于 2024-06-07 14:54:37 发布
阅读量2.4k 收藏 10
点赞数
文章标签: BPF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_14978113/article/details/80438106
版权

这篇文章主要介绍如何使用BPF过滤固定特征报文
参考文章:https://www.freebsd.org/cgi/man.cgi?query=bpf&sektion=4&manpath=FreeBSD | 4.7-RELEASE

前两篇文章分别介绍了BPF在Android中的运用实例,以及BPF规则指令的解析,相信大家对BPF及其规则都有了大致的了解。现在我们来看看如何运用BPF来过滤固定特征的报文,从这个过程中加深对BPF规则的了解和运用。

IP过滤

/**
 * 构建源ip和目标ip过滤的socket filter,并绑定在创建的socket上
 * @param socket_fd 已创建的socket fd
 * @param src_ip 需要过滤的源ip
 * @param dest_ip 需要过滤的目标ip
 */
void attachSocketFilter(int socket_fd, uint32_t src_ip, uint32_t dest_ip) {
    uint32_t ip_offset = sizeof(ether_header);
    std::vector<sock_filter> filter_code;
    // 源ip过滤
    uint32_t saddr_offset = ip_offset + offsetof(iphdr, saddr);
    filter_code.push_back(BPF_STMT(BPF_LD  | BPF_W   | BPF_ABS,  saddr_offset));
    filter_code.push_back(BPF_JUMP(BPF_JMP | BPF_JEQ | BPF_K, src_ip, 3, 4));

    // 目标ip过滤
    uint32_t daddr_offset = ip_offset + offsetof(iphdr, daddr);
    filter_code.push_back(BPF_STMT(BPF_LD  | BPF_W   | BPF_ABS,  saddr_offset));
    filter_code.push_back(BPF_JUMP(BPF_JMP | BPF_JEQ | BPF_K, src_ip, 0, 1));

    // Fail or Success
    filter_code.push_back(BPF_STMT(BPF_RET | BPF_K, 0xffff));
    filter_code.push_back(BPF_STMT(BPF_RET | BPF_K, 0));

    stru
最低0.47元/天 解锁文章
ulangch
关注
  • 0
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
BPF(Berkeley Packet Filter)伯克利抓包过滤器实践
James的博客
08-11 4355
BPF(Berkeley Packet Filter)伯克利抓包过滤器实践 BPF Berkeley Packet Filter是驱动级抓包过滤接口,多数抓包工具都支持该语法 过滤器就是一个表达式,由原语,运算符组成。 原语: 原语是限定符qualifiers(有时也称为keywords)+ID(字符或数字),如 host www.baidu.com, port 80 限定符: type host, net/mask,port, portrange dir dst, src, dst or src[缺省
zz bpf过滤规则
qsycn的专栏
02-03 2477
这两天在学习 ethereal ,上网搜索一下,才知“天下章一大抄”,于是,就有了这个狗屁不通的翻译,希望能抛砖引玉,还有几个我不知如何译的,译错的,请大家一起完成它。多谢各位啦。Filtering packets while capturing --------------------------------- Capture Filters are used to filter out
BPF技术:赋予Linux内核动态编程能力的革命性创新
最新发布
m0_66404702的博客
06-07 791
BPF 在 Linux 内核中,被实现为一个非常精简的虚拟机,具有几乎性能无损的执行效率。我们可以用类似 C 语言的语法,编写代码,编译成可以在 BPF 虚拟机中运行的汇编代码,实现其强大的逻辑处理能力。
BPF filter
shaohui973的专栏
03-18 569
:https://www.gsp.com/cgi-bin/man.cgi?section=4&topic=bpf#1 FILTER MACHINE A filter program is an array of instructions, with all branches forwardly directed, terminated by areturninstruction. Each instruction performs some action on the pseud...
伯克利包过滤(Berkeley Packet Filter,BPF)语言
weixin_34348174的博客
02-27 1565
libpcap支持一种功能非常强大的过滤语言——“伯克利包过滤”语法。使用BPF过滤规则,你可以确定该获取和检查哪些流量,忽略哪些流量。BPF让你能够通过比较第2、3、4层协议中各个数据字段值的方法对流量进行过滤BPF中内置了一些“基元”来指代一些常用的协议字段。可以用“host”、"prot"之类的基元写出非常简洁的BPF过滤规则,也可以检测位于指定偏移量上的字段(甚至可以是一个位)的值。BP...
BPF过滤规则
补丁_1024的博客
09-23 2138
概述 伯克利包过滤器(Berkeley Packet Filter,缩写 BPF),是类Unix系统上数据链路层的一种原始接口,提供原始链路层封包的收发。除此之外,如果网卡驱动支持混杂模式,那么它可以让网卡处于此种模式,这样可以收到网络上的所有包,不管他们的目的地是不是所在主机。另外,BPF支持过滤数据包——用户态的进程可以提供一个过滤程序来声明它想收到哪些数据包。通过这种过滤可以避免从操作系统内核向用户态复制其他对用户态程序无用的数据包,从而极大地提性能。 BPF简介 多年前很多程序,例如网络监控器,都
BPF-Performance-Tools-by-Brendan-Gregg.pdf
01-13
BPF-Performance-Tools-by-Brendan-Gregg
BPF Performance Tools - Brendan Gregg.pdf
01-30
BPF Performance Tools: Linux and Application Observability:源代码参加https://github.com/brendangregg/bpf-perf-tools-book
Brendan Gregg-BPF Performance Tools - Brendan Gregg.mobi
08-10
BPF Performance Tools: Linux and Application Observability:源代码参加https://github.com/brendangregg/bpf-perf-tools-book
go-seccomp-bpf:Go库,用于安装seccomp BPF系统调用过滤
05-09
go-seccomp-bpf go-seccomp-bpf是Go(golang)的库,用于通过使用安全计算模式(也称为seccomp)在Linux 3.17及更版本上加载系统调用筛选器。 Seccomp限制进程可以调用的系统调用。 内核公开了大多数进程不使用的...
go-conntracer-bpf:使用eBPF转到库以跟踪网络流事件
04-03
go-conntracer-bpf go-conntracer-bpf是Go语言的一个库,用于跟踪受启发的BPF kprobe上的网络连接(TCP / UDP)事件(连接,接受,发送至recvfrom)。 go-conntracer-bpf是在之上实现的, 是包含BPFLinux内核的代表...
Berkeley Packet Filter (BPF) syntax
04-25
libpcap支持一种功能非常强大的过滤语言——“伯克利包过滤”语法。使用BPF过滤规则,你可以确定该获取和检查哪些流量,忽略哪些流量。BPF让你能够通过比较第2、3、4层协议中各个数据字段值的方法对流量进行过滤。本档为BPF的语法介绍。
bpf数据包过滤用例
12-24
bpf过滤相关实现,实现pcap件的数据包过滤,该例子只使用过滤,不做包分析
bpftools, BPF工具包分析工具包.zip
09-18
bpftools, BPF工具包分析工具包 BPF工具介绍性博客章:http://blog.cloudflare.com/bpf-the-forgotten-bytecode/http://blog.cloudflare.com/introducing-the-bpf-t
BPF (Berkeley Packet Filter)的简单介绍(一)
chanimei_11的博客
04-24 6957
1. 介绍 过去在UNIX 系统上提供一种为监控网络而设计的用户层工具,他需要将数据包从kernel 拷贝到user 空间,由于监控工具需要抓取的目标数据大部分时候不是所有数据,这就需要一个将拷贝数据最小化的内核代理包过滤器(Packet Filter),最初在SunOS 上采用NIT(Network Interface Tap), 它是一种RISC CPU上基于内存栈的次最优过滤器,后面BPF 采用了一种基于寄存器的过滤器,其过滤计算效率比基于协议栈的方式提了20倍,...
raw socket 使用 BPF 过滤
~~ LINUX ~~
12-04 1260
抓包 使用 raw socket 进行网络底层抓包,想必大家都清楚(仔细想想tcpdump原理)。这里不赘述,网上许多资料。 注意,网卡需要开启混杂模式、其次程序运行需要root权限。 #include <stdlib.h> #include <stdio.h> #include <sys/socket.h> #include <net/if_arp.h> #include <net/if.h> #include <netinet...
bpf filter_使用bpf拦截缩放的加密数据
weixin_26637885的博客
10-07 907
bpf filterI originally wrote an earlier version of this post at the end of March, when I was working on adding uprobes support to redbpf. I wanted to blog about the work I was doing and needed an appl...
Wireshark的两种过滤器与BPF过滤规则
海阔天空
07-14 2241
Wirshark使用的关键就在于过滤出想要的数据包,下面介绍怎么过滤。 抓包过滤器 Wirshark有两种过滤器,一个是抓包过滤器,一个是显示过滤器,他们之间的区别在于抓包过滤器只抓取你设置的规则,同时丢弃其他信息,显示过滤器并不会丢弃信息,只是将不符合规则的数据隐藏起来而已。有时候一旦数据包被丢弃,这些数据包就无法在恢复回来。还有一个区别就是,捕捉过滤器必须在开始捕捉前设置完毕,这一点跟显示过滤器是不同的。 两种过滤器的目的也是不同的: 捕捉过滤器是数据经过的第一层过滤器,它用于控制捕捉数据的数量,
BPF过滤语法
qq_43665434的博客
10-31 7188
wireshark过滤器基本语法分析 lanhuazui10 2020-04-13 00:03:32 ...
BPF CO-RE(Compile Once – Run Everywhere).pdf
01-03
BPF

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值