如何在Linux编程中像tcpdump一样过滤报文?——BPF

最新推荐文章于 2025-03-22 11:37:08 发布
原创 最新推荐文章于 2025-03-22 11:37:08 发布 · 2.2k 阅读 · 4 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文深入探讨了BPF(Berkeley Packet Filter)在Linux下的应用,特别是在网络报文抓取和过滤中的作用。BPF作为一种高性能的包过滤工具,不仅用于tcpdump等网络分析软件,还可在代码中实现精准的网络数据筛选。文章详细解析了BPF的字节码构造及如何在socket层面设置过滤器,揭示了BPF强大的过滤能力。

在linux下使用tcpdump进行报文抓取是理解和分析网络信息交互过程的重要步骤。相信有不少同学在设计网络程序时有过这样的冲动——能否在代码中也像tcpdump一样过滤获得我想要的报文呢?答案当然是“没问题”。这里介绍的BPF就是编程中使用的工具,当然似乎tcpdump也是利用该工具来实现的。

一、关于BPF

BPF(Berkeley Packet Filter)伯克利包过滤器。其最初构想提出于 1992 年,其目的是为了提供一种过滤包的方法,并且要避免从内核空间到用户空间的无用的数据包复制行为。它最初是由从用户空间注入到内核的一个简单的字节码构成,它在那个位置利用一个校验器进行检查 —— 以避免内核崩溃或者安全问题 —— 并附着到一个套接字上,接着在每个接收到的包上运行。几年后它被移植到 Linux 上,并且应用于一小部分应用程序上(例如,tcpdump)。其简化的语言以及存在于内核中的即时编译器(JIT),使 BPF 成为一个性能卓越的工具。

二、使用BPF

1.  预置条件:创建socket,并确保从socket中读取的是packet,也就是说是 MAC头+IP头+TCP/UDP头。

2.  参考说明:http://www.gsp.com/cgi-bin/man.cgi?section=4&topic=bpf#1

3.  使用步骤:

                    a.  创建socket                   

                    b.  初始化BPF过滤器

                    c.  使用setsockopt将过滤器SO_ATTACH_FILTER 到了socket 上

      注:a和b无先后顺序。

4.  代码分析:

//dump arp 0x0806
struct sock_filter CODE_BPF [] = {
		{0x20, 0, 0, 0x0000000c},
		{0x15, 0, 1, 0x00000806},
		{0x6, 0, 0, 0x00040000},
		{0x6, 0, 0, 0x00000000}
};

int packet_handle_init(struct lib_cap *p)
{
	int sock = -1;
	struct sock_fprog Filter;
	struct sockaddr_ll sll;

	if (NULL == p) 
	{
		return -1;
	}
 
	// init filter settings 
	Filter.len =4;
	Filter.filter = CODE_BPF;
 
	//set default value
	p->ifindex = -1;
	p->fd = -1;
	p->buffer = NULL;
	p->buf_len = 0;
 
	if ( (sock = socket(PF_PACKET, SOCK_RAW, htons(ETHERTYPE_SADP))) < 0)
	{
		return -1;
	}
 
	if ( setsockopt(sock, SOL_SOCKET, SO_ATTACH_FILTER, &Filter, sizeof(Filter)) < 0); 
}

其中sock_fprog和sock_filter为BPF库特固定的结构体,其定义如下:

struct sock_fprog
{
        unsigned short      len;
        struct sock_filter    *filter;
}


struct sock_filter
{
	__u16	code;	/* actual filter code */
	__8		jt;		/* jump true 		*/
	__8		jf;		/* jump false		*/
	__u32	k;		/* Generic multiuse field */
}

三、字节码分析

什么是字节码?即上文代码中定义的结构体struct sock_filter CODE_BPF初始化编码,

//dump arp 0x0806
struct sock_filter CODE_BPF [] = {
		{0x20, 0, 0, 0x0000000c},
		{0x15, 0, 1, 0x00000806},
		{0x6, 0, 0, 0x00040000},
		{0x6, 0, 0, 0x00000000}
};

其具体的含义,需要借助于tcpdump来说明:

上述代码的生成,使用命令tcpdump -dd ether proto 0x0806

{ 0x20, 0, 0, 0x0000000c },
{ 0x15, 0, 1, 0x00000806 },
{ 0x6, 0, 0, 0x00040000 },
{ 0x6, 0, 0, 0x00000000 }

其意义即过滤以太网协议中类型是0x0806(arp)的数据包。这段数字到底实现了什么功能呢?-d 选项来可获得其意义:

tcpdump -d ether proto 0x0806

(000) ldh    [12]
(001) jeq    #0x806         jt 2  jf 3
(002) ret    #262144
(003) ret    #0

查阅相关资料可知:

ldh:高字节加载, 即从帧第12字节起载入内存,即IP报文中12字节src与dst mac后的两字节,如下图所示

jeq: 如果类型字段是 0x0806 的话就返回 262144个字节,不是的话就返回 0字节。

至此就已达到过滤类型为0x0806数据包的目的。

四、扩展

有过一些tcpdump使用经验的同学可能会发现,CODE_BPF数组的有时候非常复杂,其实这与其过滤条件有关,如:

tcpdump ip -dd -s 2048 host 192.168.1.2

tcpdump ip -d -s 2048 host 192.168.1.2

不同的过滤条件会有不同的过滤BPF code。

通过以上分析和实验过程,可以清楚的看到,tcpdump的强大远远不止抓包分析,其本身也有很多值得去研究的价值。

 

linux 原始套接字实现分析
01-19 2785
目录 1 原始套接字概述 1.1链路层原始套接字 1.2网络层原始套接字 1.2.1 接收报文 1.2.2 发送报文 2 原始套接字实现 2.1原始套接字报文收发流程 2.2链路层原始套接字的实现 2.2.1套接字创建 2.2.2报文接收 2.2.3报文发送 2.2.4 小结 2.3网络层原始套接字的实现 2.3.1套接字创建 2.3.2报文接收 2.3.3报文发送 2.3.4 小结 3 应用及注意事项 3.1 使用链路层原始套...
linux安全之seccomp
快乐时光
04-15 4678
介绍 seccomp按照字面意思可以理解为security computing,最早是作用于网格计算,主要通过限制进程的系统调用来完成部分沙箱隔离功能。 通过man prctl可以发现,seccomp的引入是在内核2.6.23,早期的seccomp主要限制read、write、exit以及sigreturn四个系统调用。内核3.5版本引入filter模式,将seccomp分成strict和filter两种。其中strict依旧限制四种系统调用,而filter模式则借助了Berkeley ...
linuxtcpdump 详解 后篇(自己实现抓包过滤
bie_niu1992的专栏
09-03 3400
一 概述 在了解了tcpdump的原理后,你有没有想过自己去实现抓包过滤? 可能你脑子里有个大概的思路,但是知道了理论知识,其实并不能代表你完全的理解。只要运用后,你才知道哪些点需要注意,之前没有考虑到的。
pwn学习笔记(8)--初识Pwn沙箱
qq_66013948的博客
08-06 1800
​ 沙箱机制,英文sandbox,是计算机领域的虚拟技术,常见于安全方向。一般说来,我们会将不受信任的软件放在沙箱中运行,一旦该软件有恶意行为,则禁止该程序的进一步运行,不会对真实系统造成任何危害。​ 安全计算模式seccomp(Secure Computing Mode)在Linux2.6.10之后引入到kernel的特性,可用其实现一个沙箱环境。使用seccomp模式可以定义系统调用白名单和黑名单。seccomp机制用于限制应用程序可以使用的系统调用,增加系统的安全性。​ 在ctf中主要通过两种方
linux 下的 包过滤BPF
xiahzp的专栏
11-05 5925
一, 导论     BPF(Berkeley Packet Filter)伯克利包过滤器。 是在linux 平台下的一个包过滤器。使用此过滤器可以在socket编程时非常方便的实现各种过滤规则。     要确保从socket中读取的是packet,也就是说是 MAC头+IP头+TCP/UDP头。     关于BPF的相关介绍可以查看英文文档:http://www.gsp.com/cgi-bi
tcpdumpbpf 指令集
龙瑜的博客
01-09 2034
Instruction Addressing mode Description ld 1, 2, 3, 4, 12 Load word into A ldi 4 Load word into A ldh 1, 2 Load half-word into A ldb 1, 2
libcap与libpcap库在Linux锐捷客户端中的应用
“libcap linux库文件”这一标题所涉及的知识点主要围绕Linux系统中的网络编程、动态链接库机制、权限控制以及校园网认证客户端(如锐捷)的运行依赖展开。结合描述中提到的“在Ubuntu 8.04上设置锐捷(Linux客户端...
深入剖析Linux网络栈:揭秘数据包在内核中流转的7个关键路径
在现代云计算、边缘计算和高性能服务架构中,网络已不再是“后台配角”,而是决定系统吞吐、延迟与稳定性的核心支柱。你有没有遇到过这样的场景:明明网卡流量正常,`tcpdump` 也能抓到包,但应用就是收不到?或者...
C/C++网络编程高级应用—— libpcap 详解
xiaoyaGrace的博客
05-15 1977
概述 libpcap 是一个网络数据包捕获函数库,功能非常强大,Linux 下著名的 tcpdump 就是以它为基础的。 libpcap主要的作用 1)捕获各种数据包,列如:网络流量统计。 2)过滤网络数据包,列如:过滤掉本地上的一些数据,类似防火墙。 3)分析网络数据包,列如:分析网络协议,数据的采集。 4)存储网络数据包,列如:保存捕获的数据以为将来进行分析。 libpcap 的安装 ...
深入MQTT协议层:QoS等级在ESP32中的底层实现(3大关键技术首次公开)
MQTT(Message Queuing Telemetry Transport)是一种轻量级的发布/订阅型消息传输协议,专为低带宽、高延迟或不稳定的网络环境设计,广泛应用于物联网通信中。其核心优势在于通过三种服务质量等级(QoS 0、QoS 1、...
linux 简单的过滤
zhliu1991的专栏
05-18 688
一、分页命令pr
tcpdump wireshark 实用过滤表达式(针对ip、协议、端口、长度和内容) 实例介绍
ttyttytty12的专栏
05-15 9705
一、针对wireshark最常用的自然是针对IP地址的过滤。其中有几种情况:   (1)对源地址为192.168.0.1的包的过滤,即抓取源地址满足要求的包。            表达式为:ip.src == 192.168.0.1   (2)对目的地址为192.168.0.1的包的过滤,即抓取目的地址满足要求的包。            表达式为:ip.dst == 192.168.0
tcpdump高级过滤
任我行的博客
06-22 2062
一:查看帮助选项 tcpdump --help Usage: tcpdump [-aAbdDefhHIJKlLnNOpqStuUvxX#] [ -B size ] [ -c count ] [ -C file_size ] [ -E algo:secret ] [ -F file ] [ -G seconds ] [ -i interface ] [ -j tstamptype ] [ -M secret ] [ --number ] [ -Q|-P in|out|inout ] [ -r file ]
bpf filter_使用bpf拦截缩放的加密数据
weixin_26637885的博客
10-07 1148
bpf filterI originally wrote an earlier version of this post at the end of March, when I was working on adding uprobes support to redbpf. I wanted to blog about the work I was doing and needed an appl...
tcpdump抓取TCP协议、GRE协议数据
每天多一分钟学习,生命就多一份精彩
08-19 7810
tcpdump抓取tcp数据 1、tcpdump -i eth0 port 11751 and src host 192.168.1.34 -x -s0tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on eth0, link-type EN10MB (Ethernet), c
linuxtcpdump详解 后篇(自己实现抓包过滤
lkq19941204的博客
11-28 2795
linuxtcpdump详解 后篇(自己实现抓包过滤
什么是BPF过滤规则
最新发布
sinat_29173481的博客
03-22 628
**防火墙**:Linux 内核中的 `iptables` 和 `nftables` 支持 BPF 规则,用于过滤和转发数据包。- **网络监控工具**:如 `tcpdump`、`Wireshark` 等工具使用 BPF 过滤规则来捕获特定类型的数据包。- **比较运算符**:支持 `=`(等于)、`!- **协议关键字**:如 `tcp`、`udp`、`icmp`、`ip` 等,用于指定协议类型。- **逻辑运算符**:支持 `and`(与)、`or`(或)、`not`(非)等逻辑运算。
Socket-filter
as3522的博客
07-28 4206
看代码的时候突然遇到了一个很奇怪的结构体 struct sock_filter 当时就是一脸茫然,这是什么? 通过百度大概了解了一下皮毛,这个是过滤器,可以配置规则来过滤一些报文,只提取自己感兴趣的报文。 比较详细的介绍可以参考Linux内核工程导论——网络:Filter(LSF、BPF、eBPF) 本文大概简单介绍一下。 设置BPF过滤器是通过setsockopt调用来完成的,格式...
Linux网络编程:原始套接字--过滤BPF
jin787730090的博客
06-17 4173
目录参考文章一、BPF介绍二、BPF的结构三、BPF Socket 实例三、BPF Code 生成方法 参考文章 linux网络和BPF linux 下的 包过滤BPF Linux bpf 3.1、Berkeley Packet Filter (BPF) (Kernel Document) 一、BPF介绍 BPF(Berkeley Packet Filter)伯克利包过滤器。 BPF允许用户空间程序将一个过滤(filter)附加到任何的套接字(socket)上面用来允许或不允许某些类型的数据通过
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值