BPF_PROG_TYPE_SOCKET_FILTER 功能实现

最新推荐文章于 2025-07-14 12:19:50 发布
原创 最新推荐文章于 2025-07-14 12:19:50 发布 · 2.1k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#tcp/ip #udp #网络

本文详细阐述了BPF_PROG_TYPE_SOCKET_FILTER的作用,如何在内核态通过SEC(socketxxxx)定义功能函数,并通过setsockopt与socket关联。涉及内核数据结构bpf_prog的初始化过程,以及如何通过文件fd操作获取和关联structbpf_prog。重点讲解了功能函数与sock的关联机制和执行流程。

BPF_PROG_TYPE_SOCKET_FILTER,从宏字面意思比较容易想到实现的是socket filter功能,它区别于sockops和tracepoint等功能,需要额外借助setsockopt能力将功能函数和socket绑定,功能才能真正生效。

如何定该类型

在内核态功能函数中定义SEC("socketxxxx"),则会被解析为BPF_PROG_TYPE_SOCKET_FILTER类型功能。

比如内核中实现的三个example程序:
samples/bpf/sockex1_kern.c --->SEC("socket1")
samples/bpf/sockex1_user.c
samples/bpf/sockex2_kern.c --->SEC("socket2")
samples/bpf/sockex2_user.c
samples/bpf/sockex3_kern.c --->SEC("socket3")
samples/bpf/sockex3_user.c

功能程序加载

这个没什么好讲的,程序肯定是装载到了内核,内核定义了一个数据结构

 478 struct bpf_prog {
 479         u16                     pages;          /* Number of allocated pages */
 480         u16                     jited:1,        /* Is our filter JIT'ed? */
 481                                 jit_requested:1,/* archs need to JIT the prog */
 482                                 undo_set_mem:1, /* Passed set_memory_ro() checkpoint */
 483                                 gpl_compatible:1, /* Is filter GPL compatible? */
 484                                 cb_access:1,    /* Is control block accessed? */
 485                                 dst_needed:1,   /* Do we need dst entry? */
 486                                 blinded:1,      /* Was blinded */
 487                                 is_func:1,      /* program is a bpf function */
 488                                 kprobe_override:1, /* Do we override a kprobe? */
 489
最低0.47元/天 解锁文章
【无标题】Android上使用BPF工具获取内核信息
hudongliang2006nb的专栏
03-05 2073
android中ebpf是如何从内核获取信息,并在framework层进行处理的
ebpf 字节码elf文件信息读取
hubingsong的博客
08-25 1240
对于复杂的ebpf程序来说需要对其map与prog sect进行复杂的编排管理,而这些操作在用户态程序中一般都是基于文件描述符fd来进行的。本文介绍了获取map与prog sect对应的fd的基本方法。
一文搞懂所有bpf程序分类
zhjwang的博客
06-01 4658
bpf的程序可以分为两大类:第一大类是tracing,可以帮助你更好的理解系统发生了什么,例如:cpu和内存的使用情况等。第二大类就是networking,主要可以帮助你检查和处理网络流量,它可以允许你filter或者reject网络数据包,不同的网络类型程序,可以发生在网络的不同阶段。 2.Socket Filter Programs BPF_PROG_TYPE_SOCKET_FILTER是第一个被添加到内核的程序类型。当你attach一个bpf程序到socket上,你可以获取到被socket处理的所有数
Socket-filter
as3522的博客
07-28 4193
看代码的时候突然遇到了一个很奇怪的结构体 struct sock_filter 当时就是一脸茫然,这是什么? 通过百度大概了解了一下皮毛,这个是过滤器,可以配置规则来过滤一些报文,只提取自己感兴趣的报文。 比较详细的介绍可以参考Linux内核工程导论——网络Filter(LSF、BPF、eBPF) 本文大概简单介绍一下。 设置BPF过滤器是通过setsockopt调用来完成的,格式...
BPF socket filter
刘末的专栏
06-06 2228
伯克利包过滤(Berkeley Packet Filter,BPF) 以dhcpc过滤udp port 68为例,进行一下说明 static const struct sock_filter filter_instr[]
bpf_prog_load_xattr用法
03-28
- typeBPF程序的类型,可以是BPF_PROG_TYPE_SOCKET_FILTERBPF_PROG_TYPE_KPROBE等。 - attr:一个指向bpf_prog_load_attr结构体的指针,用于指定BPF程序的加载属性,如BPF程序的运行环境、BPF程序的最大大小等。...
3、深入了解BPF程序类型
embedding5hiker的博客
07-14 55
本文深入介绍了BPF(Berkeley Packet Filter)程序类型,包括追踪类和网络类程序,详细分析了各类BPF程序的功能、应用场景及性能影响。文章还通过表格和流程图展示了不同程序类型的附加点和调用关系,帮助开发者根据需求选择合适的BPF技术方案。
struct bpf_prog { u16 pages; /* Number of allocated pages */ u16 jited:1, /* Is our filter JIT'ed? */ jit_requested:1,/* archs need to JIT the prog */ gpl_compatible:1, /* Is filter GPL compatible? */ cb_access:1, /* Is control block accessed? */ dst_needed:1, /* Do we need dst entry? */ blinding_requested:1, /* needs constant blinding */ blinded:1, /* Was blinded */ is_func:1, /* program is a bpf function */ kprobe_override:1, /* Do we override a kprobe? */ has_callchain_buf:1, /* callchain buffer allocated? */ enforce_expected_attach_type:1, /* Enforce expected_attach_type checking at attach time */ call_get_stack:1, /* Do we call bpf_get_stack() or bpf_get_stackid() */ call_get_func_ip:1, /* Do we call get_func_ip() */ tstamp_type_access:1, /* Accessed __sk_buff->tstamp_type */ sleepable:1; /* BPF program is sleepable */ enum bpf_prog_type type; /* Type of BPF program */ enum bpf_attach_type expected_attach_type; /* For some prog types */ u32 len; /* Number of filter blocks */ u32 jited_len; /* Size of jited insns in bytes */ u8 tag[BPF_TAG_SIZE]; struct bpf_prog_stats __percpu *stats; int __percpu *active; unsigned int (*bpf_func)(const void *ctx, const struct bpf_insn *insn); struct bpf_prog_aux *aux; /* Auxiliary fields */ struct sock_fprog_kern *orig_prog; /* Original BPF program */ /* Instructions for interpreter */ union { DECLARE_FLEX_ARRAY(struct sock_filter, insns); DECLARE_FLEX_ARRAY(struct bpf_insn, insnsi); }; };
最新发布
09-10
| `type` | BPF 程序类型,如 `BPF_PROG_TYPE_SOCKET_FILTER`, `BPF_PROG_TYPE_XDP` 等 | | `expected_attach_type` | 期望的挂载类型(如 `BPF_ATTACH_TYPE_XDP`) | | `len` | 指令数量 | | `jited_len` | JIT ...
libbpf-bootstrap开发指南:socket 监测与过滤 - sockfilter
阿呆的隐秘角落
07-16 1783
做全网最好的libbpf-bootstrap 开发指南
使用socket BPF/Linux内核工程导论——网络Filter(LSF、BPF、eBPF
weixin_34278190的博客
08-16 507
使用socket BPF linux 下的 包过滤器 BPF Linux内核工程导论——网络Filter(LSF、BPF、eBPF) 注意(文中描述的内容): 此外,这段BPF代码还存在的一个问题是,一般情况下tcpdump只返回所捕获包的头96字节,也就是0×60字节,可见代码的倒数第二行是ret #96。对于需要完整的包处理还是不行的,因此你需要将其设置为0×0000ffff,或者在...
Socket通信,封包处理, Filter过滤器处理
03-30
Socket通信,封包处理, Filter过滤器处理
使用 eBPF 监听和过滤 Socket 流量
weixin_45887654的博客
03-12 626
使用socket类型的eBPF程序进行数据包抓取。
BPF高阶 - 使用BPF过滤固定特征报文
ulangch的博客
05-30 2620
这篇文章主要介绍如何使用BPF过滤固定特征报文
ebpf指令系统
大草的博客
07-21 1454
了解ebpf的指令系统。阅读一个使用ebpf指令集编程的示例。
BPF程序类型及其原理
zhjwang的博客
08-05 6742
bpf都可以干啥 为了回到这个问题,我们在bpf.h中看到了一些bpf类型的枚举定义: enum bpf_prog_type { BPF_PROG_TYPE_UNSPEC, BPF_PROG_TYPE_SOCKET_FILTER, BPF_PROG_TYPE_KPROBE, BPF_PROG_TYPE_SCHED_CLS, BPF_PROG_TYPE_SCHED_ACT, BPF_PROG_TYPE_TRACEPOINT, BPF_PROG_TYPE_
Linux bpf 1.1、BPF内核实现
热门推荐
pwl999的博客
09-28 1万+
BPF的字面上意思Berkeley Packet Filter意味着它是从包过滤而来。如果在开始前对BPF缺乏感性的认识建议先看一下参考文档:“3.1、Berkeley Packet Filter (BPF) (Kernel Document)”、“3.2、BPF and XDP Reference Guide”。 本质上它是一种内核代码注入的技术: 内核中实现了一个cBPF/eBPF虚拟机; ...
Linux网络编程:原始套接字--包过滤器BPF
jin787730090的博客
06-17 4155
目录参考文章一、BPF介绍二、BPF的结构三、BPF Socket 实例三、BPF Code 生成方法 参考文章 linux网络BPF linux 下的 包过滤器 BPF Linux bpf 3.1、Berkeley Packet Filter (BPF) (Kernel Document) 一、BPF介绍 BPF(Berkeley Packet Filter)伯克利包过滤器。 BPF允许用户空间程序将一个过滤(filter)附加到任何的套接字(socket)上面用来允许或不允许某些类型的数据通过
Linux中基于eBPF的恶意利用与检测机制
美团技术团队
04-07 6163
总第499篇2022年 第016篇近几年云原生领域飞速发展,eBPF技术成为各厂商首选技术,在网络编排、行为观测等领域四处开花。然而收益与风险并存,不久前爆出的Bvp47后门正是利用BPF技术惊人地在世界各地潜伏了近二十年。今日BPF已演进为eBPF,黑客会如何利用,造成什么危害?我们又该如何防范?前言现状分析海外资料国内资料eBPF技术恶意利用的攻击原理Linux网络层...
Linux网络和eBPF
RandyLambert的博客
03-23 2267
目录关于本文如何实现分类器和流量控制程序套接字过滤器程序(BPF_PROG_TYPE_SOCKET_FILTER)套接字相关程序功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 关于本文 Linux 现在已经支持了很多种和网络相关的
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值