linux 下的 包过滤器 BPF

最新推荐文章于 2024-09-28 23:31:30 发布
最新推荐文章于 2024-09-28 23:31:30 发布
阅读量5.7k 收藏 10
点赞数 3
分类专栏: socket 文章标签: BPF socket tcpdump 包过滤
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xiahzp/article/details/53047483
版权

一, 导论

    BPF(Berkeley Packet Filter)伯克利包过滤器。 是在linux 平台下的一个包过滤器。使用此过滤器可以在socket编程时非常方便的实现各种过滤规则。

    首先,要确保从socket中读取的是packet,也就是说是 MAC头+IP头+TCP/UDP头。

    关于BPF的相关介绍可以查看英文文档:http://www.gsp.com/cgi-bin/man.cgi?section=4&topic=bpf#1

二, BPF的使用

最低0.47元/天 解锁文章
xiahzp
关注
专栏目录
网络安全系列-二十二: BPF网络过滤机制详解
penriver的博客
04-30 2723
BPF 一种抓取并过滤网络数据(capture and filter packet)的内核结构(kernel architecture)。BPF含2个重要的组成部分:网络分流器(network tap)和过滤器(packet filter)。网络分流器负责从网络驱动拷贝数据,而过滤器过滤掉不符合条件的数据,只把符合需求的数据上报给应用程序。 基本上所有的抓工具的过滤底层都是基于BPF实现的。 本文介绍什么是BPF,BPF主要解决什么问题,什么程序使用BPFBPF的设计及设计约束,最后
Linux过滤防火墙
橙子的博客
09-23 1663
Linux过滤防火墙 Netfilter 位于linux内核中的过滤功能体系 称为linux防火墙的“内核态” Iptables 位于/sbin/iptables,用来管理防火墙规则的工具 称为linux防火墙的“用户态” 过滤的工作层次 主要是网络层,针对IP数据 体现在针对内的IP地址,端口等信息的处理上 Iptables的表,链结构 规则链 规则的作用:对数据进行过滤或处理 链...
Linux防火墙-filter
最新发布
09-28 1049
filter表可以算防火墙应用最广泛的表,因为它主要控制着防火墙流量的进出,也是做防护功能的最基本的手段。当然随着云服务器的应用,目前都是通过安全组来实现,已经较少应用于生产环境。
Iptables防火墙基础
weixin_48190892的博客
10-23 390
Iptables防火墙基础1. Linux过滤防火墙概述1.1 过滤的工作层次2. Iptables的表,链结构2.1 规则链2.2 规则表2.3 默认的表,链结构示意图2.4 数据过滤的匹配流程3. iptables安装3.1 iptables的基本语法3.2 数据的常见控制类型3.3 iptables的管理选项3.4 规则的匹配条件 1. Linux过滤防火墙概述 netfilter 位于linux内核中的过滤功能体系 称为linux防火墙的“内核态” iptables 位于/sbin/
[操作系统]Linux 2.4 Packet Filtering HOWTO,iptables,route,过滤
小小李的博客
12-29 317
1.引入 举例,从内网访问外网 问题: 服务器收到的 源ip是192.168.1.66,他不知道怎么把返回去. 那如果每一台机器都有一个外网地址呢? 也不太现实,没有那么多外网地址. 还好有NAT,也就是network address translate.路由器可以在发往服务器的时候,把的源ip,从192.168.1.66-->2.22.22.12. 这样,在服务端收到后,返回回去的时候,可以发给路由器. 同时,路由器在收到返回的后,把目的Ip,2.22.22.12--..
构建基于Linux系统的过滤型防火墙
03-31
基于Libpcap的数据的捕获,Libpcap的描述。
Linux过滤原理
lihevvv的专栏
08-03 321
关键字:INPUT,OUTPUT,FORWARD iptables
BPF(Berkeley Packet Filter)伯克利抓过滤器实践
James的博客
08-11 4706
BPF(Berkeley Packet Filter)伯克利抓过滤器实践 BPF Berkeley Packet Filter是驱动级抓过滤接口,多数抓工具都支持该语法 过滤器就是一个表达式,由原语,运算符组成。 原语: 原语是限定符qualifiers(有时也称为keywords)+ID(字符或数字),如 host www.baidu.com, port 80 限定符: type host, net/mask,port, portrange dir dst, src, dst or src[缺省
nsjail:一个轻量级的进程隔离工具,利用Linux名称空间和seccomp-bpf syscall过滤器(借助kafel bpf语言)
02-02
它基于Linux操作系统,利用了Linux内核提供的高级功能,如**名称空间(namespaces)** 和 **Secure Computing(seccomp)**,以及**BPF(Berkeley Packet Filter)** 的syscall过滤机制。在本文中,我们将深入探讨...
DrawBridge:第4层单数据身份验证Linux内核模块,利用Netfilter挂钩和内核支持的Berkeley数据过滤器BPF
05-18
第4层单数据身份验证(SPA)模块,用于隐藏面向公众的计算机上的TCP / UDP端口并增加额外的安全性。 注意:DrawBridge现在支持IPv4和IPv6流量 演示版 请阅读相应的,以更深入地了解该设计。...
Linux 可观测性 BPF&eBPF 以及 BCC&bpftrace 认知
山河已无恙
01-16 668
博文内容为读书笔记整理,对原书内容做了摘要博文内容涉及:BPF和eBPF认知BCC和bpftrace认知BCC和bpftrace工具简单认知理解不足小伙伴帮忙指正对每个人而言,真正的职责只有一个:找到自我。然后在心中坚守其一生,全心全意,永不停息。所有其它的路都是不完整的,是人的逃避方式,是对大众理想的懦弱回归,是随波逐流,是对内心的恐惧 ——赫尔曼·黑塞《德米安》BCC和bpftrace。它们运行需的动态和静态插桩(跟踪)技术。
Ping命令出现 Packet filtered
热门推荐
路过的小阳仔
01-09 1万+
在服务器上执行ping命令,想看看能不能连接外网,然后就ping了一下www.baidu.com,遇到了以下两个问题: 1. unkonw hostname… 这个问题很简单,DNS解析不正常,也就是没有设置DNS服务器地址或DNS服务器连不上。 有些童鞋可以直接ping 百度的ip地址, 1.1 如果能够ping通 则百分之百是DNS服务器的问题,则相应的解决方法就是: 注意:本解决方法中的命令...
如何在Linux编程中像tcpdump一样过滤报文?——BPF
10-25 1599
linux下使用tcpdump进行报文抓取是理解和分析网络信息交互过程的重要步骤。相信有不少同学在设计网络程序时有过这样的冲动——能否在代码中也像tcpdump一样过滤获得我想要的报文呢?答案当然是“没问题”。这里介绍的BPF就是编程中使用的工具,当然似乎tcpdump也是利用该工具来实现的。 一、关于BPF BPF(Berkeley Packet Filter)伯克利过滤器。其最初构想提...
绕过nftables/PacketFilter防火墙过滤规则传输ICMP/ICMPv6数据的漏洞详解(上)
systemino的博客
05-10 3872
背景知识介绍 目前的防火墙总共分四类: 过滤防火墙:过滤防火墙不检查数据区,过滤防火墙不建立连接状态表,前后报文无关,应用层控制很弱。 应用网关防火墙:不检查IP、TCP标头,不建立连接状态表,网络层保护比较弱。 状态检测防火墙:不检查数据区,建立连接状态表,前后报文相关,应用层控制很弱。 复合型防火墙:可以检查整个数据内容,根据需要建立连接状态表,网络层保护强,应用层控制细,会...
使用socket BPF/Linux内核工程导论——网络:Filter(LSF、BPF、eBPF
weixin_34278190的博客
08-16 442
使用socket BPF linux 下的 过滤器 BPF Linux内核工程导论——网络:Filter(LSF、BPF、eBPF) 注意(文中描述的内容): 此外,这段BPF代码还存在的一个问题是,一般情况下tcpdump只返回所捕获的头96字节,也就是0×60字节,可见代码的倒数第二行是ret #96。对于需要完整的处理还是不行的,因此你需要将其设置为0×0000ffff,或者在...
Linux网络编程:原始套接字--过滤器BPF
jin787730090的博客
06-17 3345
目录参考文章一、BPF介绍二、BPF的结构三、BPF Socket 实例三、BPF Code 生成方法 参考文章 linux网络和BPF linux 下的 过滤器 BPF Linux bpf 3.1、Berkeley Packet Filter (BPF) (Kernel Document) 一、BPF介绍 BPF(Berkeley Packet Filter)伯克利过滤器BPF允许用户空间程序将一个过滤(filter)附加到任何的套接字(socket)上面用来允许或不允许某些类型的数据通过
SADP功能使用
demo的博客
11-19 7568
SADP主要使用的是链路层多播及UDP多播的原理进行实现的。 1.链路层多播 socket(PF_PACKET, SOCK_RAW, htons(0x8033)) PF_PACKET接口可以操作链路层的数据 使用SOCK_RAW发送的数据必须含链路层的 协议头,接受得到的数据含链路层协议头。 而使用SOCK_DGRAM则都不含链路层的协议头。 0x8033指的是socket以广播协议发送 setsockopt(sock, SOL_SOCKET, SO_ATTACH_FILTER, &Fi
原始套接字与抓过滤规则setsockopt(fd, SOL_SOCKET, SO_ATTACH_FILTER, ...)
阿群的笔记(同步备份自简书)
10-28 4469
英文资料: https://www.kernel.org/doc/Documentation/networking/filter.txt https://github.com/torvalds/linux/blob/master/tools/testing/selftests/net/psock_lib.h#L29-L73 struct sock_filter filter[]...
BFP 过滤规则
Tiamoo的博客
03-18 2196
设置过滤规则就是让网络设备只是捕获我们感兴趣的网络数据,如果没有设置过滤规则,即上面的 filter_app 是空字符串,那么网络设备就捕获所有类型的数据,否则只是捕获过滤规则设置的数据,此时过滤规则的逻辑值为真。此过滤规则是通用的,由著名的网络程序 tcpdump 推出,其他很多的网络程序都是基于此规则进行设计的。此过滤规则的内部解析机制上面介绍过,下面我们参考 tcpdump过滤规则...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值