BPF分析及使用方式

最新推荐文章于 2024-04-29 00:01:48 发布
最新推荐文章于 2024-04-29 00:01:48 发布
阅读量6.7k 收藏 14
点赞数
分类专栏: 无线网络 文章标签: filter socket
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u013837209/article/details/54926309
版权

在看hostapd源码的过程中,看到接收过滤使用的bpf,下面拷贝hostapd源码:

if (setsockopt(s, SOL_SOCKET, SO_ATTACH_FILTER,
               &msock_filter, sizeof(msock_filter))) {
        perror("SO_ATTACH_FILTER");
        return -1;
}

static struct sock_fprog msock_filter = {
    .len = ARRAY_SIZE(msock_filter_insns),
    .filter = msock_filter_insns,
};

// msock_filter_insns过长,这里只拷贝一部分
static struct sock_filter msock_filter_insns[] = {
    /*
     * do a little-endian load of the radiotap length field
     */
    /* load lower byte into A */
    BPF_STMT(BPF_LD  | BPF_B | BPF_ABS, 2),
    /* put it into X (== index register) */
    BPF_STMT(BPF_MISC| BPF_TAX, 0),
    /* load upper byte into A */
    BPF_STMT(BPF_LD  | BPF_B | BPF_ABS, 3),
    /* left-shift it by 8 */
    BPF_STMT(BPF_ALU | BPF_LSH | BPF_K, 8),
    .....
}

下面进行分析:

使用方式:
设置BPF过滤器是通过setsockopt调用来完成的,格式如下:

    setsockopt(sd, SOL_SOCKET, SO_ATTACH_FILTER, &Filter, sizeof(Filter));

这个调用的格式大家都很熟悉了,不清楚的在参数Filter的设置上。Filter的定义是struct sock_fprog Filter; 此结构在linux/filter.h当中有定义:

struct sock_fprog      
/*Required for SO_ATTACH_FILTER. */
{
    unsigned short  len;   
    /*Number of filter blocks */
    struct sock_filter   *filter;
};

其中的filter指针指向结构为struct sock_filter的BPF过滤代码。结构同样也在同一个文件当中定义:

struct sock_filter     
/*
 Filter block */
{
            __u16  code;   /*Actual filter code */
            __u8     jt;   /*Jump true */
            __u8     jf;   /*Jump false */
            __u32    k;    /*Generic multiuse field */
};

这个类似于汇编的样子。

msock_filter_insns结构体里面的数据,可以看 libpcap里面源码:

#define BPF_STMT(code, k) { (u_short)(code), 0, 0, k }
#define BPF_JUMP(code, k, jt, jf) { (u_short)(code), jt, jf, k }


/* instruction classes */
#define BPF_CLASS(code) ((code) & 0x07)
#define     BPF_LD      0x00
#define     BPF_LDX     0x01
#define     BPF_ST      0x02
#define     BPF_STX     0x03
#define     BPF_ALU     0x04
#define     BPF_JMP     0x05
#define     BPF_RET     0x06
#define     BPF_MISC    0x07

/* ld/ldx fields */
#define BPF_SIZE(code)  ((code) & 0x18)
#define     BPF_W       0x00
#define     BPF_H       0x08
#define     BPF_B       0x10
/*              0x18    reserved; used by BSD/OS */
#define BPF_MODE(code)  ((code) & 0xe0)
#define     BPF_IMM     0x00
#define     BPF_ABS     0x20
#define     BPF_IND     0x40
#define     BPF_MEM     0x60
#define     BPF_LEN     0x80
#define     BPF_MSH     0xa0
/*              0xc0    reserved; used by BSD/OS */
/*              0xe0    reserved; used by BSD/OS */

/* alu/jmp fields */
#define BPF_OP(code)    ((code) & 0xf0)
#define     BPF_ADD     0x00
#define     BPF_SUB     0x10
#define     BPF_MUL     0x20
#define     BPF_DIV     0x30
#define     BPF_OR      0x40
#define     BPF_AND     0x50
#define     BPF_LSH     0x60
#define     BPF_RSH     0x70
#define     BPF_NEG     0x80
#define     BPF_MOD     0x90
#define     BPF_XOR     0xa0
#define     BPF_JA      0x00
#define     BPF_JEQ     0x10
#define     BPF_JGT     0x20
#define     BPF_JGE     0x30
#define     BPF_JSET    0x40

#define BPF_SRC(code)   ((code) & 0x08)
#define     BPF_K       0x00
#define     BPF_X       0x08

/* ret - BPF_K and BPF_X also apply */
#define BPF_RVAL(code)  ((code) & 0x18)
#define     BPF_A       0x10
/*              0x18    reserved */

/* misc */
#define BPF_MISCOP(code) ((code) & 0xf8)
#define     BPF_TAX     0x00
#define     BPF_TXA     0x80

下面是我从网上拷贝的一些解释:
链接在:http://blog.csdn.net/maeom/article/details/6092457
http://www.360doc.com/content/06/1026/17/13362_241408.shtml

//这个就是bpf instruction的缩写了  
struct bpf_insn {  
        u_short code;  
        u_char  jt;  
        u_char  jf;  
        u_long k;  
};  
BPF_LD  //将值拷贝进寄存器(accumulator),没学过汇编。我就当做赋给一个变量了  
BPF_LDX //将值拷贝进索引寄存器(index register)  
BPF_LD+BPF_W+BPF_ABS    A <- P[k:4]     //将一个Word 即4 byte赋给寄存器(accumulator)  
BPF_LD+BPF_H+BPF_ABS    A <- P[k:2]     //将一个Half Word 即2 byte赋给寄存器(accumulator)  
BPF_LD+BPF_B+BPF_ABS    A <- P[k:1]     //将一个Byte 赋给寄存器(accumulator)  
BPF_LD+BPF_W+BPF_IND    A <- P[X+k:4]   //偏移X寄存器后,将一个Word 即4 byte赋给寄存器(accumulator)  
BPF_LD+BPF_H+BPF_IND    A <- P[X+k:2]  
BPF_LD+BPF_B+BPF_IND    A <- P[X+k:1]  
BPF_LD+BPF_W+BPF_LEN    A <- len        //the packet length 不知道什么意思 :(  
BPF_LD+BPF_IMM          A <- k          //将常量k赋给寄存器(accumulator)  
BPF_LD+BPF_MEM          A <- M[k]       //将一个Word的地址为k的内存部分赋给寄存器(accumulator)  
//下面的部分是将值load进index register 大家自己理解吧  
BPF_LDX+BPF_W+BPF_IMM   X <- k  
BPF_LDX+BPF_W+BPF_MEM   X <- M[k]  
BPF_LDX+BPF_W+BPF_LEN   X <- len  
BPF_LDX+BPF_B+BPF_MSH   X <- 4*(P[k:1]&0xf)  
//来看看两个宏  
#define BPF_STMT(code, k) { (unsigned short)(code), 0, 0, k }  
#define BPF_JUMP(code, k, jt, jf) { (unsigned short)(code), jt, jf, k }  
//关键的判断指令忘贴了  
BPF_JMP+BPF_JA          pc += k  
BPF_JMP+BPF_JGT+BPF_K   pc += (A > k) ? jt : jf  
BPF_JMP+BPF_JGE+BPF_K   pc += (A >= k) ? jt : jf  
/* 
 *这个BPF_JEQ用的比较多,就拿它开刀了。 一看就知道,是用来判断是否相等的东西 
 *这个会判断我们给出的数,和A(也就是accumulator寄存器)的内容是否相等, 
 *结果就不用我说了,三目运算符。 
 */  
BPF_JMP+BPF_JEQ+BPF_K   pc += (A == k) ? jt : jf  
BPF_JMP+BPF_JSET+BPF_K  pc += (A & k) ? jt : jf  
BPF_JMP+BPF_JGT+BPF_X   pc += (A > X) ? jt : jf  
BPF_JMP+BPF_JGE+BPF_X   pc += (A >= X) ? jt : jf  
BPF_JMP+BPF_JEQ+BPF_X   pc += (A == X) ? jt : jf  
BPF_JMP+BPF_JSET+BPF_X  pc += (A & X) ? jt : jf  
//返回指令  
BPF_RET+BPF_A           //接受 A 寄存器中的数量bytes  
BPF_RET+BPF_K           //接受常量 k bytes  
//下面我们就直接看个实例吧  
/* 前提条件,这个filter的前提是我们抓的包是将物理层都抓下来的情况下。 
 * 不懂的 物理头-IP头-TCP/UDP头 的兄弟们结合下面的图吧,方便理解与记忆。 
 * 这是一个过滤TCP源端口不为79,目的端口为79的包(TCP Finger) 
 */  
struct bpf_insn insns[] = {  
    /*物理头,偏移12byte后,指向type*/     
    BPF_STMT(BPF_LD+BPF_H+BPF_ABS, 12),  
    /*进行比较,是否为IP协议。 true的话 0,  false 10 
     *这里说一下了,由于本人没学过汇编,对这玩意开始时相当困惑。对于学过汇编的兄弟,应该是小菜吧。 
     *true,则跳过0条指令执行。 就是继续执行下面的一条指令 
     *false,则跳过10条指令执行。 数数!结果就数到最后一条。即BPF_STMT(BPF_RET+BPF_K, 0),就返回了 
     *下面的照这个慢慢分析就OK了。 
     */  
    BPF_JUMP(BPF_JMP+BPF_JEQ+BPF_K, ETHERTYPE_IP, 0, 10),  
    BPF_STMT(BPF_LD+BPF_B+BPF_ABS, 23),  
    BPF_JUMP(BPF_JMP+BPF_JEQ+BPF_K, IPPROTO_TCP, 0, 8),  
    BPF_STMT(BPF_LD+BPF_H+BPF_ABS, 20),  
    BPF_JUMP(BPF_JMP+BPF_JSET+BPF_K, 0x1fff, 6, 0),  
    BPF_STMT(BPF_LDX+BPF_B+BPF_MSH, 14),  
    BPF_STMT(BPF_LD+BPF_H+BPF_IND, 14),  
    BPF_JUMP(BPF_JMP+BPF_JEQ+BPF_K, 79, 2, 0),  
    BPF_STMT(BPF_LD+BPF_H+BPF_IND, 16),  
    BPF_JUMP(BPF_JMP+BPF_JEQ+BPF_K, 79, 0, 1),  
    BPF_STMT(BPF_RET+BPF_K, (u_int)-1),  
    BPF_STMT(BPF_RET+BPF_K, 0),  
};

看到上面的东西,那么我们不用考虑这么多 ,可以用就行了。
我们可以直接使用tcpdump直接得到这样的一组类汇编代码

例如 :

$tcpdump ip -d -s 2048 host 192.168.1.2
(000) ldh      [12]
(001) jeq      #0x800           jt 2 jf 7
(002) ld       [26]
(003) jeq      #0xc0a80102      jt 6 jf 4
(004) ld       [30]
(005) jeq      #0xc0a80102      jt 6 jf 7
(006) ret      #2048
(007) ret      #0

$tcpdump ip -dd -s 2048 host 192.168.1.2
{ 0x28, 0, 0, 0x0000000c },
{ 0x15, 0, 5, 0x00000800 },
{ 0x20, 0, 0, 0x0000001a },
{ 0x15, 2, 0, 0xc0a80102 },
{ 0x20, 0, 0, 0x0000001e },
{ 0x15, 0, 1, 0xc0a80102 },
{ 0x6, 0, 0, 0x00000800 },
{ 0x6, 0, 0, 0x00000000 },

直接拷贝这样的数据到sock_filter里面

struct sock_filter bpf_code[] = {
      { 0x28, 0, 0, 0x0000000c },
      { 0x15, 0, 5, 0x00000800 },
      { 0x20, 0, 0, 0x0000001a },
      { 0x15, 2, 0, 0xc0a80102 },
      { 0x20, 0, 0, 0x0000001e },
      { 0x15, 0, 1, 0xc0a80102 },
      { 0x6, 0, 0, 0x00000800 },
      { 0x6, 0, 0, 0x00000000 }
};

然后直接这样:

struct sock_fprog filter;
filter.len = sizeof(bpf_code)/sizeof(bpf_code[0]);
filter.filter = bpf_code;
setsockopt(sock, SOL_SOCKET, SO_ATTACH_FILTER, &filter, sizeof(filter));
OnePunch-Man
关注
  • 0
    点赞
  • 14
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
0017-TIPS-pawnyable : eBPF
blind cat
06-22 469
原文 BPFの導入 検証器とJITコンパイラ eBPFのバグの悪用 题目下载 BPF介绍 BPF 在介绍eBPF之前,先介绍其前身BPF。 随着时代的发展,BPF的用途越来越广泛,扩展也越来越多。在重大更改后的BPF有时被称为eBPF(扩展BPF),而之前的BPF有时被称为cBPF(经典BPF)。然而,在当前的Linux中,内部仅使用eBPF,因此不需要明确区分时,eBPF/cBPF被统称为BPF。 什么是BPF BPF(伯克利数据包过滤器)是Linux内核拥有的专有RISC类型虚拟机。它是为了在内核空间中
linux-bpf-learning:了解如何使用BPFeBPF
05-06
学习Linux BPF/eBPF 编程 打造学习BPF知识的中文社区。学习计划如下: 相关博文参考 中文版: 实验环境准备 Linux操作系统,推荐使用最新稳定内核版本. 本人自己的实验环境是Ubuntu 18.04标准版vagrant虚拟机,内核版本为4.15.0。可以从这里下载该vagrant虚拟机环境,已安装bcc工具集合: 下载链接: 提取码: qvhc。 使用方式可以参考。 以下命令如无特殊说明,均在Ubuntu环境下测试执行。 预装clang、LLVM、iproute2、libelf-dev # for ubuntu apt install clang llvm libelf-dev iproute2 # test clang clang -v # test llvm llc --version # test iproute2 ip link bpftool命令行安装说明 下
BPF使用
shalan88的博客
12-28 1072
BPF-调试
Linux网络抓包工具tcpdump是如何实现抓包的,在哪个位置抓包的?
最新发布
李姓门徒
04-29 1981
随着G行架构从集中式体系向分布式式体系转型,行内系统服务快速增多,不同的服务短期内需要在集中式体系、分布式体系之间互相调用,调用链复杂,网络通讯相关问题时有发生。系统管理员在排查网络问题时就用到一款网络抓包工具tcpdump,该工具可以将网络中传送的数据包完全截获下来进行分析,能有效的排查复杂环境的网络问题。本文将从原理的角度分析tcpdump在Linux系统的实现。 主要是希望能够分析实现原理,以协助判断tcpdump抓的是网卡的包,还是经过内核处理后的包?对于分析服务器处理网络包过程有很大帮助。
LWN: Facebook使用BPF的情况以及其他
Linux News搬运工
10-24 460
点击上方蓝色“Linux News搬运工”关注我们~BPF at Facebook (and beyond)ByJonathan CorbetKernel Recipe...
BPF初探 - Android中BPF运用实例
ulangch的博客
05-28 4713
本文主要介绍在Android中对BPF使用及其解析,参考Android 7.1源码 注:阅读本文需要一定的网络协议基础 参考文章:https://www.freebsd.org/cgi/man.cgi?query=bpf&amp;amp;amp;amp;sektion=4&amp;amp;amp;amp;manpath=FreeBSD+4.7-RELEASE 什么是BPF   伯克利包过滤器(Berkeley Pack...
Seccomp BPF 详细解析
x646602196的博客
04-13 1348
Secommp (SECure COMPuting) 是 Linux 内核 2.6.12 版本引入的安全模块,主要是用来限制某一进程可用的系统调用 (system call)。它最初被用于 cpushare 这个项目,让人们可以出租自己空闲的 cpu cycle 来执行 untrusted code。这个 feature 本身并不是一个沙盒 (sandbox),它只是一种减少 Linux 内核暴露的机制,是构建一个安全的沙盒的重要组成部分。
bpf_portfolio
03-19
【描述】在该项目中,开发者可能使用了Jupyter Notebook的强大交互性来演示如何利用BPF技术收集、处理和分析与投资组合相关的数据。Jupyter Notebook是数据科学和机器学习领域常用的工具,它允许用户结合代码、文本...
BPF.zip_BPF_BPF by GUI matlab_bandpass matlab_bpf by matlab
09-20
标签“bpf bpf_by_gui_matlab bandpass__matlab bpf_by_matlab”分别对应带通滤波器(BPF)、使用MATLAB GUI设计的带通滤波器、MATLAB实现的带通滤波器以及MATLAB中实现的带通滤波器。这些标签强调了这个工具的适用...
cpp-BCC基于BPF的LinuxIO分析网络监控等工具
08-16
BCC(BPF Compiler Collection)是一个强大的工具集,它利用了Linux内核的eBPF(Extended Berkeley Packet Filter)技术,为开发者提供了一种高效且灵活的方式分析系统行为,特别是在IO、网络和系统监控方面。...
libpcap源码及分析
08-14
标题"libpcap源码及分析"指出我们将探讨的是一个与libpcap相关的项目,其中可能包括libpcap的原始代码和对其功能、结构和实现方式的详细解读。libpcap是一个在Linux操作系统下广泛使用的开源库,它允许程序员访问...
TestSharpPcap_C#Pcap库使用_
10-02
数据包捕获的过程中,我们可以使用事件驱动的方式处理每一个捕获到的数据包。例如,我们可以定义一个`PacketArrivalEventHandler`类型的事件处理器,当有新数据包到达时,该处理器会被调用。在这个处理器中,我们...
BPF进阶 - BPF常用命令
ulangch的博客
05-28 6108
这篇文章主要解析常用的BPF命令 参考文章:https://www.freebsd.org/cgi/man.cgi?query=bpf&amp;amp;amp;amp;amp;amp;sektion=4&amp;amp;amp;amp;amp;amp;manpath=FreeBSD | 4.7-RELEASE 上篇文章 BPF初探 - Android(DhcpClient)中BPF运用实例解析 介绍了Android源码中对BPF的运用,其中配置的BPF过滤规则...
BPF自己写过滤包程序
火星上的乡巴佬的专栏
07-05 1650
http://blog.csdn.net/maeom/article/details/6092457 BPF自己写过滤包程序 分类: linux知识学习 2010-12-22 19:09 2256人阅读 评论(4) 收藏 举报 filterbyte汇编tcpsocketstruct   BPF:Berkeley Packet Filter   英
使用BPF跟踪Linux内核
金荣的个人技术博客
03-11 1802
1. 前言 我们可以使用BPF对Linux内核进行跟踪,收集我们想要的内核数据,从而对Linux中的程序进行分析和调试。与其它的跟踪技术相比,使用BPF的主要优点是几乎可以访问Linux内核和应用程序的任何信息,同时,BPF对系统性能影响很小,执行效率很高,而且开发人员不需要因为收集数据而修改程序。 本文将介绍保证BPF程序安全的BPF验证器,然后以BPF程序的工具集BCC为例,介绍常见BPF程序,具体为kprobes和tracepoints类型的BPF程序的使用及程序编写示例。 2. BPF验证器 BPF
eBPF理解(三)
08-20 3005
使用例子第一条如:用户态 setsockopt(sock,SOL_SOCKET,SO_ATTACH_BPF,...)绑定BPF到具体的socket上。在网络驱动程序刚收到数据包时触发,无需通过网络协议栈,可用来实现高性能网络处理方案,常用于DDos防御,防火墙,4层负载均衡等场景。类型:BPF_PROG_TYPE_SCHED_CLS 和 BPF_PROG_TYPE_SCHED_ACT。这些类型的BPF程序都可以通过BPF系统调用的BPF_PROG_ATTACH进行挂载。用于过滤,观测或重定向套接字网络包。
linux中raw socket 和 libpcap中BPF过滤功能分析
Binary2014的博客
08-03 1673
项目描述:在我们的安卓系统终端中,既要支持以太网(基于MAC地址的二层网络传输通道)通信,又要支持互联网通信 ,我们其中一个进程中通过raw socket 接收eth0口的以太网数据,过滤掉其他MAC数据。另外一个进程中利用libpcap接收互联网数据同时转发到其他无线网卡。 具体实现参考不少网上资料。 代码如下: 基于raw socket实现: void v2v_setFilter(i...
基于seccomp的Android通用svc hook方案
Android技术之家
06-12 555
写在前面 众所周知,目前各大APP的安全模块几乎都会使用自实现的libc函数,如open,read等函数,通过自实现svc方式来实现系统调用。因此我们如果想要hook系统调用,只能通过扫描厂商自实现的代码段,定位svc指令所在地址,再通过inline hook方式来进行hook操作,但是这种方式需要涉及内存修改,很容易被检测到内存篡改行为。作者:风铃Cipher链接:https://juejin....
TCP-BPF :通过BPF定制TCP行为
u013396019的博客
11-15 4072
TCP-BPF :通过BPF定制TCP行为 TCP-BPF是近期由facebook工程师发明,推送到内核的。 它的设计初衷是提供一种新的定制TCP参数和行为的机制。例如可以灵活的修改tcp 缓冲区大小,SYN RTO, SYN-ACK RTO 参数等。那么这种新的机制有什么神奇之处?过去的机制又有何短处?且听下文。 介绍 Linux 本身提供了一些机制可以修改TCP的一些参数。 setsockopt 我们知道当我们建立了socket 之后,可以通过setsockopt 修改一些TCP的参数,例如SO_R
bpf map 使用实例
05-25
BPF(eBPF)是一种内核技术,它可以让开发人员在内核空间中运行代码。在BPF中,Map是一种数据结构,它可以在内核空间和用户空间之间传递数据。下面是一个简单的BPF Map使用实例: ``` c #include <stdio.h> #include <stdlib.h> #include <string.h> #include <unistd.h> #include <linux/bpf.h> #include <linux/if_ether.h> #include <linux/ip.h> #include <linux/in.h> #include <linux/tcp.h> #include <linux/udp.h> #include <linux/if_packet.h> #include <linux/filter.h> #include <linux/if_ether.h> #include <sys/types.h> #include <sys/socket.h> #include <arpa/inet.h> #define MAP_NAME "my_map" #define MAP_SIZE 1024 int main(int argc, char **argv) { int map_fd = bpf_create_map(BPF_MAP_TYPE_HASH, sizeof(uint32_t), sizeof(uint64_t), MAP_SIZE, 0); if(map_fd < 0) { perror("bpf_create_map"); return -1; } uint32_t key = 100; uint64_t value = 200; if(bpf_update_elem(map_fd, &key, &value, BPF_ANY) < 0) { perror("bpf_update_elem"); return -1; } uint64_t result; if(bpf_lookup_elem(map_fd, &key, &result) < 0) { perror("bpf_lookup_elem"); return -1; } printf("value: %lu\n", result); if(bpf_delete_elem(map_fd, &key) < 0) { perror("bpf_delete_elem"); return -1; } return 0; } ``` 这个例子创建了一个HASH类型的Map,它的键是一个32位的无符号整数,值是一个64位的无符号整数。然后,它插入一个键值对到Map中,并且查找这个键对应的值,并且删除这个键值对。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值