BPF进阶 - BPF常用命令

最新推荐文章于 2025-07-03 12:11:43 发布
原创 最新推荐文章于 2025-07-03 12:11:43 发布 · 6.3k 阅读 · 14 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#BPF

本文深入解析BPF(Berkeley Packet Filter)的常用命令,包括其8种指令类型,如复制到累加器、条件跳转等,并讲解了如何计算到ip、udp/tcp/icmp头的偏移。通过对基础知识的阐述,帮助读者更好地理解BPF过滤规则的配置和工作原理。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

这篇文章主要解析常用的BPF命令
参考文章:https://www.freebsd.org/cgi/man.cgi?query=bpf&sektion=4&manpath=FreeBSD | 4.7-RELEASE

上篇文章 BPF初探 - Android中BPF运用实例解析 介绍了Android源码中对BPF的运用,其中配置的BPF过滤规则看起来很简洁,但类似汇编代码的规则配置让初学者看起来非常难受,下面就对常用的指令进行解释。

基础知识

  在指令解析之前,为了能够更好的理解,我们需要先贯彻以下几点知识:
  
  1. 以太头长度定长,一共14个字节

/** if_ether.h*/
#define ETH_ALEN 6
struct ethhdr {
    unsigned char h_dest[ETH_ALEN];          // 6字节dest mac
    unsigned char h_source[ETH_ALEN];        // 6字节src mac
    __be16 h_proto;                          // 2字节protocol
}

  2. ip头不定长,需要根据ip头中第一个字节后4位(BIG_ENDIAN)来确定

/** ip.h*/
struct iphdr {
#if defined(__LITTLE_ENDIAN_BITFIELD)
    __u8    ihl:4,
            version:4;
#elif defined (__BIG_ENDIAN_BITFIELD)
    __u8    version:4,                     // IPv4|IPv6
            ihl:4;                         // ip头长度
#else
#error  "Please fix <asm/byteorder.h>"
#endif
    __u8    tos;                           // 服务类型,代表包的优先级
    __be16  tot_len;                       // 整个包分节长度
    __be16  id;                            // 标识 
    __be16  frag_off;
最低0.47元/天 解锁文章

200万优质内容无限畅学
XDP/eBPFBPF
烟云的计算
07-14 8105
目录 文章目录目录BPFtcpdump BPF 的运行架构BPF 的实现原理eBPF 诞生的背景eBPFeBPF 与 cBPF 的区别eBPF 的逻辑框架eBPF 的整体设计eBPF JIT CompilereBPF VerifiereBPF HelperseBPF HookseBPF MapseBPF Tail and Function Calls BPF 1992 年,Steven McCanne 和 Van Jacobson 发表了名为《BSD Packet Filter(数据包过滤):一种新的用户级
Linux抓包命令tcpdump使用技巧大全
网络技术联盟站
06-07 1051
tcpdump是一个网络数据包分析工具,由Van Jacobson、Craig Leres和Steven McCanne在1988年开发。它是一个命令行工具,能够实时地捕获和显示通过网络接口传输的数据包。tcpdump基于libpcap库工作,libpcap是一个跨平台的C/C++库,用于捕获网络数据包。
bpf 指令集
weixin_30877181的博客
03-27 525
bpf 指令用于过滤逻辑 (filter program) 是有一个指令数组表示。 只有向前跳转 ret指令结束过滤 每一个指令操作 bpf虚拟机的内部状态 包括 累加器:accumulator, 指示器:index register, bpf内存:memory store, pc 程序指针: program counter. 指令格式 /** The ins...
Linux BPF技术深度解析(1):Hello World实现
最新发布
07-03 929
BPF(Berkeley Packet Filter)是Linux内核中的高效技术,最初用于网络数据包过滤,现已扩展到系统监控、安全等领域。它通过在内核态运行虚拟机实现高性能的数据处理,核心优势包括:避免内核态/用户态切换、通过验证器保证安全性、支持动态加载。文章详细介绍了BPF的工作原理(程序加载、数据包过滤、数据交互)、环境搭建方法(Ubuntu系统部署、内核源码获取)以及一个监控execve系统调用的示例程序。该示例展示了如何编写BPF程序(C语言编译为BPF字节码)、加载到内核跟踪点。
BPF架构(一)指令集
barryX的技术笔记
08-10 810
原文链接:https://docs.cilium.io/en/latest/bpf/architecture/BPF并不仅仅通过提供指令集来定义自身,还提供了进一步的基础设施,例如作为高效的键值存储的映射(maps),用于和内核功能进行交互的辅助函数(helper functions),用于调用其他BPF程序的尾调用(tail calls),用于安全加固的原语,用于固定对象(maps、programs)的伪文件系统,以及用于实现BPF卸载(offload)的基础设施,例如加载到网卡中。
ebpf工作原理介绍——ebpf指令集及虚拟机
内核工匠
05-16 1662
从前两章介绍可以看到,BPF程序是运行在BPF虚拟机上的,它有自己的指令集,有虚拟机的寄存器。前面一节中介绍了BPF字节码在BPF虚拟机上执行的逻辑,即使没有本章内容,EBPF程序也可以执行起来了,但是虚拟机执行效率肯定不如真实物理机,所以现在BPF还支持JIT编译,将BPF字节码编译成本地可执行的机器指令,直接运行在真实的物理机上。其实可以根据第二章中介绍的BPF字节码中的信息可以看到,每个字节码的opcode是占据8位的,所以这里的jumptable就对应了所有的opcode的取值。
perf bpf
06-19
步骤:一、perf工具使用基础1.1安装perf(如果系统没有)1.2常用命令:perflist,perfstat,perfrecord,perfreport,perfannotate1.3调用图(call-graph)记录:perfrecord-g1.4符号解析:perfinject和perfreport二、...
系统性能分析从入门到进阶
阿里巴巴中间件
04-06 427
作者 | 勿非 本文以系统为中心, 结合日常工作和用例, 由浅入深地介绍了性能分析的一些方法和体会, 希望对想了解系统性能分析的同学有所帮助。 入门篇 资源角度 USE 产品跑在系统的各种资源上面, 从系统资源的角度入门性能分析是个不错的选择, 我们以业界知名大牛 Brendan Gregg 的 USE 方法开始, USE 特点就是简单有效适合入门, 用 Brendan 的话描述 USE 的效果: I find it solves about 80% of server issues with 5% of
BPF表达式
John的博客
03-17 3941
BPF(Berkeley Packet Filters)是一个强大的网络分析工具,通过指定过滤条件,BPF过滤器可以极大的减少捕获的数据包,tcpdump和wireshark都支持BPF过滤器。 BPF表达式 BPF表达式由一个或者多个原语(primitives)组成。 [not] primitive [and|or [not] primitive …] 原语(primitive) 原语由标识符(Identifiers), 以及描述它的多个限定词(qualifiers)组成。 qualifier Id
BPF过滤语法
qq_43665434的博客
10-31 8994
wireshark过滤器基本语法分析 lanhuazui10 2020-04-13 00:03:32 ...
内核ebpf基础知识
开源&&分享
08-03 1152
2014 年初,Alexei Starovoitov 实现了 eBPF(extended Berkeley Packet Filter)。经过重新设计,eBPF 演进为一个通用执行引擎,可基于此开发性能分析工具、软件定义网络等诸多场景。
[译]Cilium:BPF和XDP参考指南,一同认识eBPF【概念篇】
少年强,六月试锋芒。小弟踉跄学朝步,百战成钢,初登场。
05-03 2522
当你真正认识一门科学时,你才会感受到它的魅力。 eBPF技术已经不再小众。从Linux3.18的初次亮相,现在的生态算得上是“内核关联技术”里的翘楚。其中代表性的有BCC、libbpf、cilium、Katran等等,被广泛用于解决不同的问题。 虽然用起来不难,但想系统性的掌握却并非件易事。其中,Cilium官方文档中的BPF and XDP Reference Guide是一份好资料。于是,就有了译文的想法,愿一同在技术层面再认识eBPF。 转译过程中有参考其他资料,亦有基于个人认知补充的背景知识。主
【转】BPF详解
mrhesongze的博客
09-25 1万+
原文地址:https://linux.cn/article-9507-1.html 什么是 BPF? BPF,及伯克利包过滤器BerkeleyPacketFilter,最初构想提出于 1992 年,其目的是为了提供一种过滤包的方法,并且要避免从内核空间到用户空间的无用的数据包复制行为。它最初是由从用户空间注入到内核的一个简单的字节码构成,它在那个位置利用一个校验器进行检查 —— 以避免内核...
BPF(BSD Packet Filter)
RToax
03-14 1538
源地址: BPF(BSD Packet Filter)--应用和理念扩展 BPF是一个过滤机制,它用于过滤送往特定地点比如用户空间的数据包,它被设计成一种类似汇编语言的语言,可以称之为伪汇编码。虽然被设计用来过滤数据包,但这种设计方式更适合用于操作硬件,特别用来编写需要写少量固定序列的硬件驱动程序。不管用于什么,BPF的设计是优秀的,是状态机实现控制逻辑的完美实例。BPF实际上是一组基于状态机的...
eBPF理解(二)
08-20 2774
eBPF运行时在内核中有五个模块组成。
BPF自己写过滤包程序
热门推荐
maeom的专栏
12-22 1万+
BPF:Berkeley Packet Filter  Linux下过滤程序如何编写,以及网络封包结构温习
eBPF汇编指令你还不知道?看这一篇文就够了
m0_74282605的博客
12-03 448
大家好,我是你们的彦祖,今天这篇文主要介绍 eBPF 的指令系统,对于想深入理解 eBPF 的同学千万不要错过,会对你有很大的帮助。参考资料: https://www.kernel.org/doc/html/latest/networking/filter.html#ebpf-opcode-encodingBPF 是一个通用的 RISC 指令集,最初是为了用 C 的子集编写程序而设计的,这些程序可以通过编译器后端(例如 LLVM)编译成 BPF 指令,以便内核稍后可以通过将内核 JIT 编译器转换为原生操作
BPF CO-RE:一次编译,到处运行的BPF应用开发与挑战
BPF CO-RE(Compile Once - Run Everywhere)是一种在现代IT环境中实现高效、灵活的BPF(Berkeley Packet Filter)应用程序开发和部署策略。BPF是一种轻量级的内核扩展机制,用于在Linux内核中实现高级网络处理、...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值