BPF(Berkeley Packet Filter)伯克利抓包过滤器实践

已于 2022-02-16 15:24:06 修改
阅读量4.5k 收藏 8
点赞数 1
分类专栏: 笔记 文章标签: bpf wireshark tcpdump
于 2021-08-11 13:11:14 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45462681/article/details/119603224
版权
本文详细介绍了BPF(Berkeley Packet Filter)的基本概念、过滤器语法,包括原语、限定符、运算符及其在wireshark和tcpdump中的应用。通过实例展示了如何使用BPF来过滤特定协议、主机、端口和TCP标志,以及如何构造复杂表达式进行抓包过滤。
摘要由CSDN通过智能技术生成

BPF(Berkeley Packet Filter)伯克利抓包过滤器实践

BPF Berkeley Packet Filter伯克利抓包过滤器是驱动级抓包过滤接口,多数抓包工具都支持该语法。

过滤器就是一个表达式,由原语,运算符组成。

原语: 原语是限定符qualifiers(有时也称为keywords)+ID(字符或数字),如 host www.baidu.com, port 80
限定符:
type

  • host, net/mask,port, portrange

dir

  • dst, src, dst or src[缺省], dst and src;

protocol

  • ether,arp,icmp,ip,ip6, tcp, udp等底层协议,但不支持如dns, http等应用层协议。

其它

  • gateway, broadcast, multicast, less, greater
  • gateway host指数据包以host为网关, wireshark不支持

示例:
host www.baidu.com #某个主机
net 192.168.31.0/24 #一个CIDR格式网段
net 192.168.31.0 mask 255.255.255.0 #一个net/mask格式网段
注:wireshark中认为net 192.168.31.21/24是无效的bpf语法,而net 192.168.31.21/32是正确的,net/mask类似
host www.baidu.com and port 80 or 443
等效于host www.baidu.com and port 80 or port 443,表达的意思是主机为www.baidu.com且端口为80或443
host www.jd.com and portrange 80-443
net 192 表示以192开始的网段,mask是255.0.0.0

多个限定词可以叠加如tcp port 80

运算符:
and &&
or ||
not !
注:否定运算符有较高的

最低0.47元/天 解锁文章
乘风破浪2021
关注
专栏目录
Wireshark 抓包过滤命令大全,不会抓包的网工不是好网工!
网络技术联盟站
07-10 1480
你好,这里是网络技术联盟站,我是瑞哥。Wireshark 是一款开源软件,最早由 Gerald Combs 在 1998 年创建,原名 Ethereal。2006 年,由于商标问题,Ethereal 更名为 Wireshark。作为一个网络协议分析器,Wireshark 能够捕获网络接口上的数据包,并提供详细的解码和分析功能。Wireshark 支持多种操作系统,包括 Windows、macOS 和 Linux。
bpf数据包过滤用例
12-24
bpf过滤相关实现,实现pcap文件的数据包过滤,该例子只使用与过滤,不做包分析
内核ebpf基础知识
开源&&分享
08-03 622
2014 年初,Alexei Starovoitov 实现了 eBPF(extended Berkeley Packet Filter)。经过重新设计,eBPF 演进为一个通用执行引擎,可基于此开发性能分析工具、软件定义网络等诸多场景。
BPF过滤器在数据包嗅探和过滤中的应用(C/C++代码实现)
最新发布
chen1415886044的博客
07-14 1006
BPFBerkeley Packet Filter)和eBPF(extended Berkeley Packet Filter)是Linux内核中强大的网络数据包过滤和处理工具。 BPF起源于1992年,由Steven McCanne和Van Jacobson在UNIX平台上提出,它最初用于网络数据包过滤,提供了一种用户级别的数据包捕获架构。BPF通过引入虚拟机设计和优化数据复制策略,实现了高效的数据包过滤性能。经典的BPF被广泛应用在如tcpdump等网络监控工具中,其可以通过特定的汇编指令来指定过滤
Berkeley Packet Filter (BPF) syntax
04-25
libpcap支持一种功能非常强大的过滤语言——“伯克利包过滤”语法。使用BPF过滤规则,你可以确定该获取和检查哪些流量,忽略哪些流量。BPF让你能够通过比较第2、3、4层协议中各个数据字段值的方法对流量进行过滤。本文档为BPF的语法介绍。
Berkeley Packet Filter (BPF) BCC
weixin_34128501的博客
11-27 247
http://www.brendangregg.com/ebpf.html https://qmonnet.github.io/whirl-offload/2016/09/01/dive-into-bpf/ A thorough introduction to eBPF https://lwn.net/Articles/740157/     http://netdevconf.org...
伯克利过滤器Berkeley Packet Filter,缩写 BPF),是类Unix系统上数据链路层的一种原始接口,提供原始链路层封包的收发。
weixin_40191861的博客
11-08 240
Berkeley Packet Filter,缩写 BPF),是系统上的一种原始接口,提供原始链路层的收发。除此之外,如果网卡驱动支持,那么它可以让网卡处于此种模式,这样可以收到网络上的所有包,不管他们的目的地是不是所在主机。另外,BPF支持过滤数据包——用户态的进程可以提供一个过滤程序来声明它想收到哪些数据包。通过这种过滤可以避免从向用户态复制其他对用户态程序无用的数据包,从而极大地提高性能。BPF有时也只表示过滤机制,而不是整个接口。一些系统,比如。
BPF filter
shaohui973的专栏
03-18 585
原文:https://www.gsp.com/cgi-bin/man.cgi?section=4&topic=bpf#1 FILTER MACHINE A filter program is an array of instructions, with all branches forwardly directed, terminated by areturninstruction. Each instruction performs some action on the pseud...
BPF (Berkeley Packet Filter)的简单介绍(一)
chanimei_11的博客
04-24 7148
1. 介绍 过去在UNIX 系统上提供一种为监控网络而设计的用户层工具,他需要将数据包从kernel 拷贝到user 空间,由于监控工具需要抓取的目标数据大部分时候不是所有数据,这就需要一个将拷贝数据最小化的内核代理包过滤器(Packet Filter),最初在SunOS 上采用NIT(Network Interface Tap), 它是一种RISC CPU上基于内存栈的次最优过滤器,后面BPF 采用了一种基于寄存器的过滤器,其过滤计算效率比基于协议栈的方式提高了20倍,...
QNX系统上用Berkeley Packet Filter直接进行原始数据的收发
xiaoyuyu的博客
02-22 1895
在QNX系统上直接操作网络的数据链路层进行原始数据包收发的过程,即通过Berkeley Packet Filter我们可以绕过TCP/IP并且收发自己定义的协议。
linux-get-net-packet-libpcap.rar_libpcap_libpcap抓包
09-24
2. **过滤规则**:libpcap支持BPFBerkeley Packet Filter)语法,允许开发者设置过滤条件来筛选要捕获的数据包。这有助于减少不必要的计算开销,只关注特定类型或来源的数据包。 3. **实时处理**:libpcap可以在...
网络安全系列-二十二: BPF网络包过滤机制详解
penriver的博客
04-30 2666
BPF 一种抓取并过滤网络数据包(capture and filter packet)的内核结构(kernel architecture)。BPF包含2个重要的组成部分:网络分流器(network tap)和包过滤器packet filter)。网络分流器负责从网络驱动拷贝数据包,而包过滤器则过滤掉不符合条件的数据包,只把符合需求的数据包上报给应用程序。 基本上所有的抓包工具的过滤底层都是基于BPF实现的。 本文介绍什么是BPF,BPF主要解决什么问题,什么程序使用BPFBPF的设计及设计约束,最后
BPF过滤语法
qq_43665434的博客
10-31 7542
wireshark过滤器基本语法分析 lanhuazui10 2020-04-13 00:03:32 ...
Berkeley Packet Filter
iteye_20910的博客
06-26 252
The Berkeley Packet Filter or BPF provides, on some Unix-like systems, a raw interface to data link layers, permitting raw link-layer packets to be sent and received. In addition, if the driver for th...
伯克利包过滤 (学生版笔记)
qq_45650527的博客
05-24 453
本文章介绍的是 本菜自学wireshark时候的笔记 话不多说直接上图 准备好 开始 放大招 伯克利包过滤 英称(Berkeley packet filter) 额英文 采用一种与自然语言相近的语法 利用语法构造字符串确定保留具体符合规则的数据包 而忽略其他数据包 通俗一点就是 用语法构建一个字符串, 来代替表示 一种协议 代替要筛选的内容 (为什么要用这个 不要问 问就是事实就在用!)从而简化表示的方法(次要) 实现具体确定要保留那些协议 那些规则的数据包(主要) 并且 BP
BPF( 伯克利数据包过滤器 ) Performance Tools》 第一章 引言
weixin_55255438的博客
10-03 1099
并且显示了延迟离群点的存在。有人开发了动态跟踪工具(比如kerninstCambhs99l), 其也包含相应的跟踪语言,但是这些工具实在太过复杂,在实践中很少被使用,还有部分原因是它们会带来较大的运行风险:动态跟踪要求实时修改地址空间中的应用指令,一旦出现任何错误就会导致进程或者内核崩溃。opensnoop.bt 工具可以对出错的软件进行故障排查,也许软件尝试打开了错误的文件位置:也可以用于了解配置和日志文件的具体位置:还可以识别一些性能问题,比如文件打开频次过快,或者反复检查错误文件位置等。
BPF过滤规则
补丁_1024的博客
09-23 2181
概述 伯克利过滤器Berkeley Packet Filter,缩写 BPF),是类Unix系统上数据链路层的一种原始接口,提供原始链路层封包的收发。除此之外,如果网卡驱动支持混杂模式,那么它可以让网卡处于此种模式,这样可以收到网络上的所有包,不管他们的目的地是不是所在主机。另外,BPF支持过滤数据包——用户态的进程可以提供一个过滤程序来声明它想收到哪些数据包。通过这种过滤可以避免从操作系统内核向用户态复制其他对用户态程序无用的数据包,从而极大地提高性能。 BPF简介 多年前很多程序,例如网络监控器,都
Berkeley Packet Filter (BPF) zero copy buffer
weixin_33717298的博客
04-05 197
TheBerkeley Packet Filteror BPF provides, on someUnix-likesystems, a raw interface todata link layers, permitting raw link-layer packets to be sent and received. In additio...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值