无需libpacp库,BPF指令高效捕获指定数据包

最新推荐文章于 2025-04-11 15:40:49 发布
最新推荐文章于 2025-04-11 15:40:49 发布
阅读量933 收藏 13
点赞数 6
分类专栏: linux 文章标签: linux BPF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_47126666/article/details/147079125
版权

【环境】无libpacp库的Linux服务器
【要求】高效率读取数据包,并过滤指定端口和ip

目前遇到两个问题

  • 一是手写BPF,难以兼容,有些无法正常过滤
  • 二是性能消耗问题,尽可能控制到1%

大方向:过滤数据包要在内核层处理,不能放到应用层

Ⅰ 基本常识普及

以太网帧

正常一个从网卡读取到的数据包,基本格式如下

Preamble: AA AA AA AA AA AA AA
SFD: AB
Destination MAC: 00 11 22 33 44 55 
Source MAC: 66 77 88 99 AA BB
EtherType: 08 00  // 表示 IPv4
Data: ...  // 这里是 IPv4 数据包
FCS: 12 34 56 78

参数详细说明
在这里插入图片描述
常见以太网协议类型

case 0x0800:
    fmt.Println(" (IPv4)")
case 0x0806:
    fmt.Println(" (ARP)")
case 0x86DD:
    fmt.Println(" (IPv6)")
case 0x8100:
    fmt.Println(" (VLAN标签)")

ipv4数据包

在这里插入图片描述

Version: 4
IHL: 5
DSCP: 00
Total Length: 00 3C  // 表示 60 字节
Identification: 12 34
Flags: 00
Fragment Offset: 00 00
TTL: 40
Protocol: 06  // 表示 TCP
Header Checksum: 56 78
Source IP: C0 A8 01 01  // 192.168.1.1
Destination IP: C0 A8 01 02  // 192.168.1.2
Options: None
Data: ...  // 这里是 TCP 段

在这里插入图片描述

TCP包

Source Port: 12 34
Destination Port: 56 78
Sequence Number: 00 00 00 01
Acknowledgment Number: 00 00 00 00
Data Offset: 5
Reserved: 00
Control Bits: 02  // 表示 SYN
Window Size: 12 34
Checksum: 56 78
Urgent Pointer: 00 00
Options: None
Data: ...  // 这里是应用层数据

数据包过滤案例说明

第一步:捕获原始数据包frame

1 128 194 0 0 0 130 162 63 131 202 77 0 38 66 66 3 0 0 0 0 0 112 0 60 178 51 77 202 131 0 0 0 0 112 0 60 178 51 77 202 131 128 2 0 0 20 0 2 0 0 0 0 0 0 0 0 0 0 0

取前14个字节
目标mac地址:提取前六个字节
源mac地址:提取后六个字节
以太网类型EtherType:最后两个字节,索引12、13,共两个字节

  • ipv4:0x0800
  • ipv6:0x86DD
  • ARP:0x0806

第二步:IP包判断

以太网头(14) + IP协议字段偏移(9)

tcp/udp判断:第24个字节,索引23,共一个字节
Tcp:6

  • 源端口:索引24、25,最方便的是,判断完后,去掉9字节,留下最后的数据
  • 目标端口:索引26、27

UDP:17
ICMP:1

Ⅱ 如何写出高效有用的BPF指令

第一种:手写BPF指令
【限制】不适合写太过复杂的规则
【工具】使用bpf库

第二种:将tcpdump生成的c语言规则数组,转换成BPF指令
【限制】tcp和udp只能选择一个
【工具】tcpdump + Bpf库

第三种:调用第三方包装好的库libpacp
【限制】需要安装libpacp环境

实际上libpacp实现bpf指令转换主要有两种方式

  • 第一种:AST树拆分tcp指令,生成bpf指令
  • 第二种:转换tcpdump生成的C语言规则数组

Ⅲ BPF过滤案例说明

第一种:手写BPF指令

LoadAbsolute加载数据包:从数据包的指定偏移位置加载一定大小的数据

type LoadAbsolute struct {
        Off  uint32  //定位到数据包中想要加载数据的具体位置
        Size int // 1, 2 or 4,要加载的数据大小,限制加载大小
}

JumpIf 跳转

type JumpIf struct {
    Cond      JumpTest  //用于指定跳转的测试条件
    Val       uint32   // 表示用于比较的值。在进行条件判断时,会将某个寄存器或者数据包中的值与这个 Val 进行比较。
    SkipTrue  uint8  // 当条件判断为真时,要跳过的指令数量。
    SkipFalse uint8  // 当条件判断为假时,要跳过的指令数量
}

RetConstant 退出BPF程序,返回一个常量值

type RetConstant struct {
        Val uint32    //返回值,0表示忽视,4096返回数据包大小
}

LoadIndirect 从内存里以间接方式加载数据的操作

type LoadIndirect struct {
        Off  uint32   //定位到要加载数据的起始位置
        Size int // 1, 2 or 4  //要加载的数据的大小
}

BPF实战操作

调用第三方库https://pkg.go.dev/golang.org/x/net@v0.38.0/bpf

解析过程

bpf.Assemble([]bpf.Instruction{
        // Load "EtherType" field from the ethernet header.
        bpf.LoadAbsolute{Off: 12, Size: 2},
        // Skip over the next instruction if EtherType is not ARP.
        bpf.JumpIf{Cond: bpf.JumpNotEqual, Val: 0x0806, SkipTrue: 1},
        // Verdict is "send up to 4k of the packet to userspace."
        bpf.RetConstant{Val: 4096},
        // Verdict is "ignore packet."
        bpf.RetConstant{Val: 0},
})

BPF作用:捕获ARP数据包

bpf.LoadAbsolute{Off: 12, Size: 2}

从数据包偏移量为12字节位置,加载数据,也就是以太网头部加载协议字段

bpf.JumpIf{Cond: bpf.JumpNotEqual, Val: 0x0806, SkipTrue: 1}

条件判断,如果EtherType 字段不等于0x0806(ARP),则跳过下一条指令
EtherType 为ARP,则继续执行
EtherType 不为ARP,则跳过下一条指令

bpf.RetConstant{Val: 4096}

如果前面判断,EtherType 字段是0x0806,则返回常量值4096,到用户空间上

bpf.RetConstant{Val: 0}

如果前面的EtherType 不是ARP协议,则进入这一条指令,忽视该数据包

第二种:转换C语言规则数组

利用工具:tcpdump
执行指令

 tcpdump -i any -dd 'udp and (dst port 24359) and ip'

生成C语言的规则数组

{ 0x28, 0, 0, 0x00000000 },
{ 0x15, 9, 0, 0x000086dd },
{ 0x15, 0, 8, 0x00000800 },
{ 0x30, 0, 0, 0x0000001d },
{ 0x15, 0, 6, 0x00000011 },
{ 0x28, 0, 0, 0x0000001a },
{ 0x45, 4, 0, 0x00001fff },
{ 0xb1, 0, 0, 0x00000014 },
{ 0x48, 0, 0, 0x00000016 },
{ 0x15, 0, 1, 0x00005f27 },
{ 0x6, 0, 0, 0x00040000 },
{ 0x6, 0, 0, 0x00000000 },

go代码实现

package main

import (
    "fmt"
    "golang.org/x/net/bpf"
)

func main() {
    // 定义 BPF 指令
    instructions := []bpf.Instruction{
        // 加载字节:读取协议类型
        bpf.LoadAbsolute{Off: 0, Size: 1},
        // 比较:如果是 IPv6,跳转到第 9 条指令
        bpf.JumpIf{Cond: bpf.JumpEqual, Val: 0x86dd, SkipTrue: 9},
        // 比较:如果是 IPv4,继续执行
        bpf.JumpIf{Cond: bpf.JumpEqual, Val: 0x0800, SkipFalse: 8},
        // 加载半字:读取 IP 协议字段
        bpf.LoadAbsolute{Off: 29, Size: 2},
        // 比较:如果是 UDP,继续执行
        bpf.JumpIf{Cond: bpf.JumpEqual, Val: 0x11, SkipFalse: 6},
        // 加载字节:读取目标端口
        bpf.LoadAbsolute{Off: 26, Size: 2},
        // 比较:如果目标端口 >= 8191,跳转到第 4 条指令
        bpf.JumpIf{Cond: bpf.JumpGreaterOrEqual, Val: 8191, SkipTrue: 4},
        // 加载字节:读取源地址
        bpf.LoadAbsolute{Off: 20, Size: 4},
        // 比较:检查是否设置了特定标志位
        bpf.JumpIf{Cond: bpf.JumpBitsSet, Val: 0x0016, SkipFalse: 1},
        // 比较:如果目标端口 == 24359,继续执行
        bpf.JumpIf{Cond: bpf.JumpEqual, Val: 24359, SkipFalse: 1},
        // 返回:接受数据包
        bpf.RetConstant{Val: 0x00040000},
        // 返回:丢弃数据包
        bpf.RetConstant{Val: 0x00000000},
    }

    // 打印生成的指令
    for i, inst := range instructions {
        fmt.Printf("Instruction %d: %s\n", i, inst)
    }
}
C#网络数据包捕获利器:SharpPcap应用全攻略
墨夶的博客
11-29 701
SharpPcap是一个.NET环境下的网络包捕获框架,基于著名的pcap/WinPcap开发。它提供了捕获、注入、分析和构建的功能,适用于C#和VB.NET开发语言。SharpPcap由两部分组成:SharpPcap.dll负责数据的捕获,PacketDotNet.dll负责数据包的解析。
Linux入门之捕获网络数据包
蛐蛐的博客
09-24 450
xdpdump实用程序用于捕获网络数据包。与tcpdump实用程序不同,xdpdump使用扩展的 Berkeley Packet Filter (eBPF) 程序。xdpdump还可以捕获快速数据路径 (XDP) 程序丢弃的数据包。用户空间实用程序,如tcpdump,无法捕获这些丢弃的包,以及由 XDP 程序修改的原始数据包。可以使用 xdpdump 来调试已附加到接口的 XDP 程序。可以在 XDP 程序启动之前和完成之后捕获数据包。在后一种情况下,xdpdump也捕获 XDP 动作。
tcpdump与 bpf 指令
龙瑜的博客
01-09 1831
Instruction Addressing mode Description ld 1, 2, 3, 4, 12 Load word into A ldi 4 Load word into A ldh 1, 2 Load half-word into A ldb 1, 2
BPF过滤器在数据包嗅探和过滤中的应用(C/C++代码实现)
chen1415886044的博客
07-14 1412
BPF(Berkeley Packet Filter)和eBPF(extended Berkeley Packet Filter)是Linux内核中强大的网络数据包过滤和处理工具。 BPF起源于1992年,由Steven McCanne和Van Jacobson在UNIX平台上提出,它最初用于网络数据包过滤,提供了一种用户级别的数据包捕获架构。BPF通过引入虚拟机设计和优化数据复制策略,实现了高效数据包过滤性能。经典的BPF被广泛应用在如tcpdump等网络监控工具中,其可以通过特定的汇编指令指定过滤
Libpcap编程指南--数据包捕获
脱离了低级趣味的流氓
09-11 4213
简介Libpcap是一个运行在类UNIX系统下的网络数据包捕获函数,可以捕获网卡上的数据,也可以发送数据包,相应的Windows版本为WinPcap。
深入ARP数据包捕获与分析技术
weixin_35755188的博客
11-12 1121
本文还有配套的精品资源,点击获取 简介:本文讨论了ARP协议的基础知识以及ARP数据包捕获的关键技术。通过利用libcap,本文演示了如何开发一个ARP嗅探器,用于捕获和分析局域网中的数据包。ARP嗅探器能有效监控网络活动和识别潜在安全威胁。内容涵盖了ARP嗅探工作原理、libcap使用方法、数据包捕获与解析流程,并探讨了其在网络安全中的应用。 1. ARP协...
使用Libpcap捕获局域网中的数据包
Aft3rGl0w的博客
01-14 1470
如果过滤表达式中不包含网络地址相关的条件,例如只捕获所有数据包或仅捕获特定端口的数据包,那么可以不设置。结构体的指针,其中包含了数据包的元数据信息,比如时间戳、数据包长度等。第三个参数为指向数据包的原始字节流的指针,可以通过这个指针来访问数据包的内容。:表示捕获数据包数量,设置为 -1 表示无限循环捕获,直到遇到错误或显式停止。用于输出数据包的内容。第一个参数为指向数据payload的指针,第二个参数为数据包的字节数。的地址并转化为int类型的指针,然后对指针进行解引用并加1表示又收到了一个数据包
基于DPDK的高效数据包捕获技术分析与应用
weixin_30952535的博客
08-08 490
被NFV的论文折磨了两天,今天上午看了两篇DPDK的综述。 传统的包捕获机制 1. BPF 两个组成部分:转发部分和过滤部分。 转发部分负责从链路层提取数据包并转发给过滤部分。 过滤部分根据过滤规则,决定包的转发或者丢弃,然后交给应用层。 缺点:所有动作都在内核中完成。可移植性差。 2. libpcap 将网卡设置为混杂模式,拷贝所有流经网卡的数据包。 用BPF过滤后交付内核中的数据包...
Jpcap网络数据包捕获与分析实战指南
weixin_35756130的博客
11-22 1261
本文还有配套的精品资源,点击获取 简介:Jpcap是一个为Java设计的开源网络数据包处理,支持跨平台运行,实现了类似libpcap和WinPcap的功能。JpcapCaptor是一个基于Jpcap的网络数据包捕获工具,方便用户进行网络监控、数据分析和安全检测。本课程将深入讲解Jpcap的核心功能,包括数据包捕获、分析、过滤、回放以及事件驱动模型,并展示如何创建Capt...
利用WipCap捕获网络数据包并分析数据包,含源代码和工程文件,学习网络数据包捕获分析以及WinPcap的好程序
01-12
3. 使用API:熟悉WinPcap提供的API,如`pcap_open_live()`用于打开网络接口,`pcap_loop()`用于循环捕获数据包,`pcap_dumper`用于将数据包写入文件等。 4. 数据包解析:捕获数据包后,需要解析其内容,包括头部...
网络数据包捕获函数 jNetPcap.7z
07-06
jNetPcap是一个Java语言实现的网络数据包捕获,它是libpcap的Java封装,用于在Java应用程序中进行网络流量分析和数据包捕获。libpcap是广泛使用的开源,主要用于网络监控、故障排查和网络安全分析。jNetPcap...
如何利用Scapy在Python中抓取网络数据包,并通过BPF过滤特定类型的数据包进行解析?
10-26
`sniff()`函数的`prn`参数允许你指定数据包捕获时应调用的函数,而`filter`参数则可以指定BPF过滤规则,确保只捕获符合特定条件的数据包。 在回调函数内部,你可以进行数据包的详细解析,例如,提取IP头部...
Linux 中进程上下文和中断上下文
GPU全栈博主
04-09 329
上下文指的是当前正在运行的代码所处的执行环境,包括:是否可睡眠(can sleep)是否可以访问用户空间当前正在执行的是哪个进程或中断是否可以阻塞等待资源在 linux 中上下文包含中断上下文和进程上下文;
Linux __命令和权限
最新发布
shsbyshdbdhjsk的博客
04-11 1184
是什么:由上图可知操作系统是一款进行软硬资源管理的软件为什么:对下做好软硬件的管理工作(手段)操作系统要给用户提供一个良好的运行环境(目的)什么是良好:稳定 高效 安全目录的可执行权限是表示你可否在目录下执行命令如果目录没有-x权限,则无法对目录执行任何命令,甚至无法cd进入目录,即使这个目录仍然有-r读权限(这个地方容易犯错)而如果目录有-x权限,但没有-r权限,则用户可以执行命令,可以cd进入目录。但由于没有目录的读的权限 即可以执行ls命令,但是没有权限读出目录下的文档。
Linux红帽:RHCSA认证知识讲解(十 二)调试 SELinux,如何管理 SELinux 的运行模式、安全策略、端口和上下文策略
2402_83322742的博客
04-07 2511
在红帽 Linux 系统的管理工作中,SELinux 的调试和管理是系统管理员经常会遇到的重要任务。这些任务对于保障系统的安全性和稳定性起着关键作用。本文将深入且详细地讲解如何调试 SELinux,包括如何管理 SELinux 的运行模式、安全策略、端口和上下文策略等内容。掌握这些技能,对于确保系统的可靠性和安全性意义重大。我的个人主页,欢迎来阅读我的其他文章我的RHCSA认证知识文章专栏欢迎来阅读指出不足。
Linux】单例模式及其在线程池中的应用
2301_77954967的博客
04-08 988
上篇文章中笔者模拟了最基本的线程池,其实就是将多个线程放在一起统一管理这节课,笔者将遵循线程安全的原则,将单例模式融入 线程池 中。单例模式是一种创建型设计模式,其核心目标是确保一个类仅有一个实例,并为该实例提供全局访问点。它通过限制类的实例化次数,避免重复创建对象,常用于管理全局唯一资源(如线程池、配置管理器、日志系统等)。唯一性:类只能创建一个对象实例。全局访问:通过静态方法或全局变量提供统一的访问入口。延迟加载​(可选):实例在第一次被使用时才初始化,减少资源浪费。
linux shell looop循环写法
04-09 460
shell loop循环的多种写法,根据需求选择合适的方法,并确保循环内有可控的退出机制!如果需要在满足条件时退出循环,可结合。
Linux: network: tcpdump: packets dropped by kernel
mzhan017的博客
04-08 695
捕获缓冲区大小不足:tcpdump 使用的捕获缓冲区大小可能不足以容纳所有的数据包捕获过滤器效率低:如果使用的捕获过滤器效率低,可能会导致内核处理更多的数据包,从而增加丢包的可能性。系统资源不足:如果系统的CPU或内存资源不足,可能会导致内核无法及时处理所有捕获数据包,从而导致数据包丢失。网络流量过高:当网络流量非常高时,内核可能无法及时处理所有的数据包,导致部分数据包被丢弃。系统配置问题:某些系统配置可能会影响数据包捕获的性能,例如网络接口的配置、内核参数等。优化捕获过滤器,减少不必要的数据包捕获
基于望获实时Linux和EC-Master的人形机器人实时控制解决方案
望获实时Linux系统
04-11 445
望获实时Linux与北京盟通Acontis的EC-Master协议栈的结合,提供了一种高效、可靠的实时控制解决方案,满足了人形机器人在复杂环境中对高精度通信和控制的严格要求。:利用来自视觉、声音和触觉传感器的数据,控制层中的算法能够在实时处理环境信息的基础上,实现机器人对环境的感知和自主决策,提高了机器人的智能化水平。:在高等院校和研究机构中,该方案为人形机器人的研究与开发提供了坚实的技术基础,支持复杂的实验与创新项目,助力未来科技的发展。的控制周期内完成数据处理,满足动态环境下机器人对快速反应的需求。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值