BPF socket filter

最新推荐文章于 2023-07-16 16:43:46 发布
最新推荐文章于 2023-07-16 16:43:46 发布
阅读量2k 收藏 2
点赞数
分类专栏: linux驱动程序
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wbd880419/article/details/72886637
版权
以dhcpc过滤udp port 68为例,进行一下说明
 
X = 表示index reg.也就是文件定位器。目前X=0,X=skb->data. skb->data指定的ip hdr.
A表示加速reg.保存临时变量
static const struct sock_filter filter_instr[] = {
/* load 9th byte (protocol) */
BPF_STMT(BPF_LD|BPF_B|BPF_ABS, 9), //报文0位置+9位置中读出一字节放到A reg中。//BPF_LD=load. BPF_B = byte(1字节); BPF_ABS表示是绝对值=skb->data
/* jump to L1 if it is IPPROTO_UDP, else to L4 */
//A的值与IPPROTO_UDP相比,相等则jump到本行(本行为-1)的下一行(就是0行),不相等则jump到本行的offset=6的一行。
//BPF_JMP,BPF_JEQ = if jump的意思。
BPF_JUMP(BPF_JMP|BPF_JEQ|BPF_K, IPPROTO_UDP, 0, 6),
/* 从IP头(index=0)定位到6,并读出(BPF_H表示)两个字节。这是IP的分片标志。 */
/* L1: load halfword from offset 6 (flags and frag offset) */
BPF_STMT(BPF_LD|BPF_H|BPF_ABS, 6),
/* jump to L4 if any bits in frag offset field are set, else to L2 */
/* */
BPF_JUMP(BPF_JMP|BPF_JSET|BPF_K, 0x1fff, 4, 0),
/* L2: skip IP header (load index reg with header len) */
/* 移动X,X+=*(X+k);本行中k=0; 也就是从IPhdr中读出一字节,把此字节的数据赋值给X
BPF_MSH就是移动X的意思。*/
BPF_STMT(BPF_LDX|BPF_B|BPF_MSH, 0),
/* load udp destination port from halfword[header_len + 2] */
/* BPF_IND从相对值X开始,加上k(2),在此位置取出一个16bit数据放到A中。 */
BPF_STMT(BPF_LD|BPF_H|BPF_IND, 2),
/* jump to L3 if udp dport is CLIENT_PORT, else to L4 */
/* A的值==68? yes,则jump 0行(本行号=-1)no 则jump (本行号-1)第一行。 */
BPF_JUMP(BPF_JMP|BPF_JEQ|BPF_K, 68, 0, 1),
/* L3: accept packet ("accept 0x7fffffff bytes") */
/* Accepting 0xffffffff works too but kernel 2.6.19 is buggy */
BPF_STMT(BPF_RET|BPF_K, 0x7fffffff),//返回FF,表示成功。
/* L4: discard packet ("accept zero bytes") */
BPF_STMT(BPF_RET|BPF_K, 0),//返回0表示失败。

参考:

yaxinsn
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
BPF(Berkeley Packet Filter)伯克利抓包过滤器实践
James的博客
08-11 4362
BPF(Berkeley Packet Filter)伯克利抓包过滤器实践 BPF Berkeley Packet Filter是驱动级抓包过滤接口,多数抓包工具都支持该语法 过滤器就是一个表达式,由原语,运算符组成。 原语: 原语是限定符qualifiers(有时也称为keywords)+ID(字符或数字),如 host www.baidu.com, port 80 限定符: type host, net/mask,port, portrange dir dst, src, dst or src[缺省
Socket-filter
as3522的博客
07-28 3506
看代码的时候突然遇到了一个很奇怪的结构体 struct sock_filter 当时就是一脸茫然,这是什么? 通过百度大概了解了一下皮毛,这个是过滤器,可以配置规则来过滤一些报文,只提取自己感兴趣的报文。 比较详细的介绍可以参考Linux内核工程导论——网络:Filter(LSF、BPF、eBPF) 本文大概简单介绍一下。 设置BPF过滤器是通过setsockopt调用来完成的,格式...
BPF_PROG_TYPE_SOCKET_FILTER 功能实现
already_skb的专栏
02-20 1782
BPF_PROG_TYPE_SOCKET_FILTER,从宏字面意思比较容易想到实现的是socket filter功能,它区别于sockops和tracepoint等功能,需要额外借助setsockopt能力将功能函数和socket绑定,功能才能真正生效。 如何定该类型 在内核态功能函数中定义SEC("socketxxxx"),则会被解析为BPF_PROG_TYPE_SOCKET_FILTER类型功能。 比如内核中实现的三个example程序: samples/bpf/sockex1_kern.c -
BPF filter
shaohui973的专栏
03-18 569
原文:https://www.gsp.com/cgi-bin/man.cgi?section=4&topic=bpf#1 FILTER MACHINE A filter program is an array of instructions, with all branches forwardly directed, terminated by areturninstruction. Each instruction performs some action on the pseud...
使用socket BPF/Linux内核工程导论——网络:Filter(LSF、BPF、eBPF
weixin_34278190的博客
08-16 406
使用socket BPF linux 下的 包过滤器 BPF Linux内核工程导论——网络:Filter(LSF、BPF、eBPF) 注意(文中描述的内容): 此外,这段BPF代码还存在的一个问题是,一般情况下tcpdump只返回所捕获包的头96字节,也就是0×60字节,可见代码的倒数第二行是ret #96。对于需要完整的包处理还是不行的,因此你需要将其设置为0×0000ffff,或者在...
BPF-performance.rar
04-01
在Linux系统中,BPF(Berkeley Packet Filter)是一种强大的技术,它允许用户空间程序对内核数据结构进行安全的、高效的访问。随着其发展,BPF已经演变为一个通用的、安全的虚拟机,支持多种用途,如网络过滤、性能...
ethmac_socket_mac_eth_linux_
10-02
由于使用`ETH_P_ALL`接收所有数据包可能会造成大量不必要的处理,可以使用`pcap`库或者BPF(Berkeley Packet Filter)来过滤和选择感兴趣的包。 8. 安全与权限: 原始套接字的使用通常需要root权限,因为它们能够...
socket 抓包程序
10-10
4. **设置过滤器**:为了减少不必要的数据包处理,我们可以使用`setsockopt()`函数设置BPF(Berkeley Packet Filter)过滤器,只接收我们感兴趣的特定类型的数据包。 5. **接收数据包**:调用`recvfrom()`或`read()...
raw_socket.zip
12-29
3. **Berkeley Packet Filter (BPF)**: - BPF是一种内置于Linux内核的过滤机制,用于在网络数据包到达用户空间之前进行过滤。它允许程序员定义规则来选择接收哪些类型的数据包,提高了抓包效率并减少了不必要的内存...
wpcap.7z(中文帮助文档)
最新发布
09-23
2. **过滤机制**:它支持BPF(Berkeley Packet Filter)语法,允许用户根据特定条件筛选要捕获的数据包。 3. **数据包存储**:捕获的数据包可以保存到磁盘上,以便后续分析或离线处理。 4. **网络统计**:wpcap可以...
Socket通信,封包处理, Filter过滤器处理
03-30
Socket通信,封包处理, Filter过滤器处理
libbpf-bootstrap开发指南:socket 监测与过滤 - sockfilter
阿呆的隐秘角落
07-16 934
做全网最好的libbpf-bootstrap 开发指南
BPF (Berkeley Packet Filter)的简单介绍(一)
chanimei_11的博客
04-24 6961
1. 介绍 过去在UNIX 系统上提供一种为监控网络而设计的用户层工具,他需要将数据包从kernel 拷贝到user 空间,由于监控工具需要抓取的目标数据大部分时候不是所有数据,这就需要一个将拷贝数据最小化的内核代理包过滤器(Packet Filter),最初在SunOS 上采用NIT(Network Interface Tap), 它是一种RISC CPU上基于内存栈的次最优过滤器,后面BPF 采用了一种基于寄存器的过滤器,其过滤计算效率比基于协议栈的方式提高了20倍,...
BackTrack5r3中执行nmap时提示invalid bpf filter
weixin_34334744的博客
10-04 145
Hello,I want to do a TCP idle scan with metasploit&nmapBut I keep having a problem with Metasploit.Here is what I do and the error I get.msf>use auxiliary/scanner/ip/ipidseqmsfauxili...
bpf filter_使用bpf拦截缩放的加密数据
weixin_26637885的博客
10-07 907
bpf filterI originally wrote an earlier version of this post at the end of March, when I was working on adding uprobes support to redbpf. I wanted to blog about the work I was doing and needed an appl...
Seccomp BPF 详细解析
x646602196的博客
04-13 1401
Secommp (SECure COMPuting) 是 Linux 内核 2.6.12 版本引入的安全模块,主要是用来限制某一进程可用的系统调用 (system call)。它最初被用于 cpushare 这个项目,让人们可以出租自己空闲的 cpu cycle 来执行 untrusted code。这个 feature 本身并不是一个沙盒 (sandbox),它只是一种减少 Linux 内核暴露的机制,是构建一个安全的沙盒的重要组成部分。
BPF分析及使用方式
记录项目中所学到的问题,以及自学记录
02-08 6813
bpf
BPF自己写过滤包程序
火星上的乡巴佬的专栏
07-05 1652
http://blog.csdn.net/maeom/article/details/6092457 BPF自己写过滤包程序 分类: linux知识学习 2010-12-22 19:09 2256人阅读 评论(4) 收藏 举报 filterbyte汇编tcpsocketstruct   BPF:Berkeley Packet Filter   英
BPF进阶 - BPF常用命令
ulangch的博客
05-28 6120
这篇文章主要解析常用的BPF命令 参考文章:https://www.freebsd.org/cgi/man.cgi?query=bpf&sektion=4&manpath=FreeBSD | 4.7-RELEASE 上篇文章 BPF初探 - Android(DhcpClient)中BPF运用实例解析 介绍了Android源码中对BPF的运用,其中配置的BPF过滤规则...
bpf map 使用实例
05-25
#include <linux/filter.h> #include #include #include <sys/socket.h> #include #define MAP_NAME "my_map" #define MAP_SIZE 1024 int main(int argc, char **argv) { int map_fd = bpf_create_map(BPF_MAP...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值