《TCP/IP详解卷2:实现》笔记--BPF:BSD 分组过滤程序

最新推荐文章于 2022-04-30 11:38:30 发布
最新推荐文章于 2022-04-30 11:38:30 发布
阅读量3.4k 收藏 2
点赞数
分类专栏: 《TCP/IP详解卷2:实现》笔记 TCP/IP详解卷2:实现
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/todd911/article/details/42592753
版权
本文是《TCP/IP详解卷2:实现》中关于BPF(BSD分组过滤程序)的笔记,介绍了BPF如何作为软件设备过滤网络接口数据流,包括bpf_if和dpf_d结构,以及bpfopen、bpfioctl、bpf_setif、bpf_attachd等关键函数的使用。同时,讲解了BPF输入过程,如bpf_tap、catchpacket和bpfread函数的工作原理。
摘要由CSDN通过智能技术生成

BSD分组过滤程序(BPF)是一种软件设备,用于过滤网络接口的数据流,即给网络接口加上开关。应用进程打开/dev/bpf0、

/dev/bpf1等等后,可以读取BPF设备,每个应用进程一次只能打开一个BPF设备。

通过若干ioctl命令,可以配置BPF设备,把它与某个网络接口相关联,并安装过滤程序,从而能够选择性地接收输入的分组。

BPF设备打开后,应用进程通过读写设备来接收分组,或将分组放入网络接口队列中。

BPF设备工作的前提是网络接口必须能够支持BPF。之前提到的以太网和环回接口的驱动程序都调用了bpfattach,用于配置

读取BPF设备的接口。


1.bpf_if结构

BPF维护一个链表,包含所有支持BPF的网络接口,每个接口都有一个bpf_if结构描述,全局指针bpf_iflist指向表中的第一个
结构,下图给出了BPF接口结构。

bif_next指向链表中的下一个BPF接口结构。
bif_dlist指向另一个链表,包括所有已打开并配置过的BPF设备。
如果某个网络接口已配置了BPF设备,即被加上了开关,则bif_driverp为空。为某个网络接口配置BPF设备是时,*bif_driverp
将指向bif_if结构,从而告诉接口可以开始向BPF传递分组。
接口类型保存在bif_dlt中。下图列出了几个接口所对应的常量值。

下图给出了每个输入分组中附加的bpf_hdr结构。
最低0.47元/天 解锁文章
TODD911
关注
专栏目录
BPF(Berkeley Packet Filter)伯克利抓包过滤器实践
James的博客
08-11 4680
BPF(Berkeley Packet Filter)伯克利抓包过滤器实践 BPF Berkeley Packet Filter是驱动级抓包过滤接口,多数抓包工具都支持该语法 过滤器就是一个表达式,由原语,运算符组成。 原语: 原语是限定符qualifiers(有时也称为keywords)+ID(字符或数字),如 host www.baidu.com, port 80 限定符: type host, net/mask,port, portrange dir dst, src, dst or src[缺省
速读原著-TCP/IP(BSD 分组过滤器)
逍遥云恋
03-17 621
A.1 BSD 分组过滤器 当前由 B S D演变而来的 U n i x内核提供了 BSD 分组过滤BPF (BSD Packet Filter) ,t c p d u m p用它来截获和过滤来自一个被置为混杂模式的网络接口卡的分组。 B P F也可以工作在点对点的链路上,如 S L I P(2 . 4节),不需要什么特别的处理就可以截获所有通过接口的分组。B P F还可以工作在环回接口上( ...
TCP/IP一 阅读笔记 BSD分组过滤
对的时间点
12-11 323
BSD分组过滤器,又称为BSF,也就是BSD Packet Filter。 BSF是依赖与底层操作系统的,并不是所有的系统都支持。原理是将以太网设备的驱动程序设置为混杂模式,然后从驱动程序处接收所有发送和接收的数据。 在BSF中,会为每一个使用BSF的应用程序分配一个过滤器。这些从驱动程序处接收来的所有数据,经过过滤器后剩下的就是应用程序感兴趣的数据了。然后将这些数据从内核复制到用户空间,也就是应用程序。 为了避免频繁的从内核向用户空间复制数据,BSF增加了一个缓冲区,然后会提供一个应用程序可设置的超时时间
libpcap BSD Packet Filter(BPF)
jaskiller的专栏
07-30 1470
本文转自:http://blog.chinaunix.net/uid-9950859-id-98958.html 为了做到尽可能的灵活,这个过滤程序可以根据使用者的定义来运行!这个程序是由一种名为BPF的伪机器码写成的。BPF看上去很象带着一对寄存器和保存值的汇编语言,完成数学运算和条件分支程序过滤程序检查每个包,BP进程操作的内存空间包含着报文数据!过滤的结果是一个整数,指出有多少字节的报文
BPF(BSD Packet Filter)
RToax
03-14 1406
源地址: BPF(BSD Packet Filter)--应用和理念扩展 BPF是一个过滤机制,它用于过滤送往特定地点比如用户空间的数据包,它被设计成一种类似汇编语言的语言,可以称之为伪汇编码。虽然被设计用来过滤数据包,但这种设计方式更适合用于操作硬件,特别用来编写需要写少量固定序列的硬件驱动程序。不管用于什么,BPF的设计是优秀的,是状态机实现控制逻辑的完美实例。BPF实际上是一组基于状态机的...
TCP/IP协议详解二:实现
09-24
TCP/IP详解·2:实现》适用于希望理解TCP/IP协议如何实现的人,包括编写网络应用程序程序员以及利用TCP/IP维护计算机网络的系统管理员。 目录 · · · · · · 第一章 概述 1.1 引言 1.2 源代码表示 1.3 ...
TCP-IP详解TCP-IP详解TCP-IP详解
07-12
第1章概述 第2章mbuf:存储器缓存 第3章接口层 第4章接口:以太网 第5章接口:SLIP和环回 第6章IP编址 第7章域和协议 ...第31章BPFBSD分组过滤程序 第32章原始IP 附录A部分习题的解答 附录B源代码的获取
TCP-IP详解2:实现.rar
03-18
8.3 IP分组 165 8.4 输入处理:ipintr函数 167 8.4.1 ipintr概观 167 8.4.2 验证 168 8.4.3 转发或不转发 171 8.4.4 重装和分用 173 8.5 转发:ip_forward函数 174 8.6 输出处理:ip_output函数 180 8.6.1 首部初始...
BPF过滤规则
补丁_1024的博客
09-23 2235
概述 伯克利包过滤器(Berkeley Packet Filter,缩写 BPF),是类Unix系统上数据链路层的一种原始接口,提供原始链路层封包的收发。除此之外,如果网卡驱动支持混杂模式,那么它可以让网卡处于此种模式,这样可以收到网络上的所有包,不管他们的目的地是不是所在主机。另外,BPF支持过滤数据包——用户态的进程可以提供一个过滤程序来声明它想收到哪些数据包。通过这种过滤可以避免从操作系统内核向用户态复制其他对用户态程序无用的数据包,从而极大地提高性能。 BPF简介 多年前很多程序,例如网络监控器,都
bpf数据包过滤用例
12-24
bpf过滤相关实现实现pcap文件的数据包过滤,该例子只使用与过滤,不做包分析
BPF过滤语法
qq_43665434的博客
10-31 7799
wireshark过滤器基本语法分析 lanhuazui10 2020-04-13 00:03:32 ...
BPF自己写过滤程序
热门推荐
maeom的专栏
12-22 1万+
BPF:Berkeley Packet Filter  Linux下过滤程序如何编写,以及网络封包结构温习
网络安全系列-二十二: BPF网络包过滤机制详解
penriver的博客
04-30 2713
BPF 一种抓取并过滤网络数据包(capture and filter packet)的内核结构(kernel architecture)。BPF包含2个重要的组成部分:网络分流器(network tap)和包过滤器(packet filter)。网络分流器负责从网络驱动拷贝数据包,而包过滤器则过滤掉不符合条件的数据包,只把符合需求的数据包上报给应用程序。 基本上所有的抓包工具的过滤底层都是基于BPF实现的。 本文介绍什么是BPF,BPF主要解决什么问题,什么程序使用BPFBPF的设计及设计约束,最后
iptrace占用/dev/bpf0导致tcpdump报 BIOCSETIF: en1: Do not specify an existing file
zlhg的专栏
03-30 4292
iptrace占用/dev/bpf0导致tcpdump无法访问/dev/bpf0而报错。 在aix下可以用truss tcpdump看见在访问/dev/bpf0时报errno=EEXIST #define EEXIST  17      /* File exists                          */ 用下面2步解决问题:1)找到iptrace的pi
Wireshark的两种过滤器与BPF过滤规则
海阔天空
07-14 2615
Wirshark使用的关键就在于过滤出想要的数据包,下面介绍怎么过滤。 抓包过滤器 Wirshark有两种过滤器,一个是抓包过滤器,一个是显示过滤器,他们之间的区别在于抓包过滤器只抓取你设置的规则,同时丢弃其他信息,显示过滤器并不会丢弃信息,只是将不符合规则的数据隐藏起来而已。有时候一旦数据包被丢弃,这些数据包就无法在恢复回来。还有一个区别就是,捕捉过滤器必须在开始捕捉前设置完毕,这一点跟显示过滤器是不同的。 两种过滤器的目的也是不同的: 捕捉过滤器是数据经过的第一层过滤器,它用于控制捕捉数据的数量,
socket中BPF的设置
HTJOY1202的专栏
11-05 1978
*  This packet filter checks for the following conditions.  *    - Ethernet Type = IP (0x0800)  *    - IP Protocol Type = UDP (17)  *    - Not an IP fragment  *    - UDP Port = DHCP Client (68)  
libnet使用举例(14)----从libnet中挖掘BPF的发包机制
超然楼
07-13 1954
libnet使用举例(14)----从libnet中挖掘BPF的发包机制作者:NSFocus Security Team整理:小四 主页:http://www.nsfocus.com日期:2002-08-16这个系列的前面所有文章都可以在那里的Security版找到。本文也是9个月前顺手写的笔记而已。Linux用SOCK_PACKET来完成链路层的收发,大家都演练得太熟悉了吧,BPF的收包恐怕也差
"BPFBSD分组过滤程序详解实现方法
本文是关于TCP/IP详解二的第31章BPFBSD分组过滤程序)的总结。BPF是一种软件设备,用于过滤网络接口的数据流。通过打开/dev/bpf0、/dev/bpf1等BPF设备,应用进程可以读取BPF设备来选择性地接收输入的分组。每个...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值