无需libpacp库,BPF指令高效捕获指定数据包
【环境】无libpacp库的Linux服务器
【要求】高效率读取数据包,并过滤指定端口和ip
目前遇到两个问题
- 一是手写BPF,难以兼容,有些无法正常过滤
- 二是性能消耗问题,尽可能控制到1%
大方向:过滤数据包要在内核层处理,不能放到应用层
Ⅰ 基本常识普及
以太网帧
正常一个从网卡读取到的数据包,基本格式如下
Preamble: AA AA AA AA AA AA AA
SFD: AB
Destination MAC: 00 11 22 33 44 55
Source MAC: 66 77 88 99 AA BB
EtherType: 08 00 // 表示 IPv4
Data: ... // 这里是 IPv4 数据包
FCS: 12 34 56 78
参数详细说明
常见以太网协议类型
case 0x0800:fmt.Println(" (IPv4)")
case 0x0806:fmt.Println(" (ARP)")
case 0x86DD:fmt.Println(" (IPv6)")
case 0x8100:fmt.Println(" (VLAN标签)")
ipv4数据包
Version: 4
IHL: 5
DSCP: 00
Total Length: 00 3C // 表示 60 字节
Identification: 12 34
Flags: 00
Fragment Offset: 00 00
TTL: 40
Protocol: 06 // 表示 TCP
Header Checksum: 56 78
Source IP: C0 A8 01 01 // 192.168.1.1
Destination IP: C0 A8 01 02 // 192.168.1.2
Options: None
Data: ... // 这里是 TCP 段
TCP包
Source Port: 12 34
Destination Port: 56 78
Sequence Number: 00 00 00 01
Acknowledgment Number: 00 00 00 00
Data Offset: 5
Reserved: 00
Control Bits: 02 // 表示 SYN
Window Size: 12 34
Checksum: 56 78
Urgent Pointer: 00 00
Options: None
Data: ... // 这里是应用层数据
数据包过滤案例说明
第一步:捕获原始数据包frame
1 128 194 0 0 0 130 162 63 131 202 77 0 38 66 66 3 0 0 0 0 0 112 0 60 178 51 77 202 131 0 0 0 0 112 0 60 178 51 77 202 131 128 2 0 0 20 0 2 0 0 0 0 0 0 0 0 0 0 0
取前14个字节
目标mac地址:提取前六个字节
源mac地址:提取后六个字节
以太网类型EtherType:最后两个字节,索引12、13,共两个字节
- ipv4:0x0800
- ipv6:0x86DD
- ARP:0x0806
第二步:IP包判断
以太网头(14) + IP协议字段偏移(9)
tcp/udp判断:第24个字节,索引23,共一个字节
Tcp:6
- 源端口:索引24、25,最方便的是,判断完后,去掉9字节,留下最后的数据
- 目标端口:索引26、27
UDP:17
ICMP:1
Ⅱ 如何写出高效有用的BPF指令
第一种:手写BPF指令
【限制】不适合写太过复杂的规则
【工具】使用bpf库
第二种:将tcpdump生成的c语言规则数组,转换成BPF指令
【限制】tcp和udp只能选择一个
【工具】tcpdump + Bpf库
第三种:调用第三方包装好的库libpacp
【限制】需要安装libpacp环境
实际上libpacp实现bpf指令转换主要有两种方式
- 第一种:AST树拆分tcp指令,生成bpf指令
- 第二种:转换tcpdump生成的C语言规则数组
Ⅲ BPF过滤案例说明
第一种:手写BPF指令
LoadAbsolute加载数据包:从数据包的指定偏移位置加载一定大小的数据
type LoadAbsolute struct {Off uint32 //定位到数据包中想要加载数据的具体位置Size int // 1, 2 or 4,要加载的数据大小,限制加载大小
}
JumpIf 跳转
type JumpIf struct {Cond JumpTest //用于指定跳转的测试条件Val uint32 // 表示用于比较的值。在进行条件判断时,会将某个寄存器或者数据包中的值与这个 Val 进行比较。SkipTrue uint8 // 当条件判断为真时,要跳过的指令数量。SkipFalse uint8 // 当条件判断为假时,要跳过的指令数量
}
RetConstant 退出BPF程序,返回一个常量值
type RetConstant struct {Val uint32 //返回值,0表示忽视,4096返回数据包大小
}
LoadIndirect 从内存里以间接方式加载数据的操作
type LoadIndirect struct {Off uint32 //定位到要加载数据的起始位置Size int // 1, 2 or 4 //要加载的数据的大小
}
BPF实战操作
调用第三方库https://pkg.go.dev/golang.org/x/net@v0.38.0/bpf
解析过程
bpf.Assemble([]bpf.Instruction{// Load "EtherType" field from the ethernet header.bpf.LoadAbsolute{Off: 12, Size: 2},// Skip over the next instruction if EtherType is not ARP.bpf.JumpIf{Cond: bpf.JumpNotEqual, Val: 0x0806, SkipTrue: 1},// Verdict is "send up to 4k of the packet to userspace."bpf.RetConstant{Val: 4096},// Verdict is "ignore packet."bpf.RetConstant{Val: 0},
})
BPF作用:捕获ARP数据包
bpf.LoadAbsolute{Off: 12, Size: 2}
从数据包偏移量为12字节位置,加载数据,也就是以太网头部加载协议字段
bpf.JumpIf{Cond: bpf.JumpNotEqual, Val: 0x0806, SkipTrue: 1}
条件判断,如果EtherType 字段不等于0x0806(ARP),则跳过下一条指令
EtherType 为ARP,则继续执行
EtherType 不为ARP,则跳过下一条指令
bpf.RetConstant{Val: 4096}
如果前面判断,EtherType 字段是0x0806,则返回常量值4096,到用户空间上
bpf.RetConstant{Val: 0}
如果前面的EtherType 不是ARP协议,则进入这一条指令,忽视该数据包
第二种:转换C语言规则数组
利用工具:tcpdump
执行指令
tcpdump -i any -dd 'udp and (dst port 24359) and ip'
生成C语言的规则数组
{ 0x28, 0, 0, 0x00000000 },
{ 0x15, 9, 0, 0x000086dd },
{ 0x15, 0, 8, 0x00000800 },
{ 0x30, 0, 0, 0x0000001d },
{ 0x15, 0, 6, 0x00000011 },
{ 0x28, 0, 0, 0x0000001a },
{ 0x45, 4, 0, 0x00001fff },
{ 0xb1, 0, 0, 0x00000014 },
{ 0x48, 0, 0, 0x00000016 },
{ 0x15, 0, 1, 0x00005f27 },
{ 0x6, 0, 0, 0x00040000 },
{ 0x6, 0, 0, 0x00000000 },
go代码实现
package mainimport ("fmt""golang.org/x/net/bpf"
)func main() {// 定义 BPF 指令instructions := []bpf.Instruction{// 加载字节:读取协议类型bpf.LoadAbsolute{Off: 0, Size: 1},// 比较:如果是 IPv6,跳转到第 9 条指令bpf.JumpIf{Cond: bpf.JumpEqual, Val: 0x86dd, SkipTrue: 9},// 比较:如果是 IPv4,继续执行bpf.JumpIf{Cond: bpf.JumpEqual, Val: 0x0800, SkipFalse: 8},// 加载半字:读取 IP 协议字段bpf.LoadAbsolute{Off: 29, Size: 2},// 比较:如果是 UDP,继续执行bpf.JumpIf{Cond: bpf.JumpEqual, Val: 0x11, SkipFalse: 6},// 加载字节:读取目标端口bpf.LoadAbsolute{Off: 26, Size: 2},// 比较:如果目标端口 >= 8191,跳转到第 4 条指令bpf.JumpIf{Cond: bpf.JumpGreaterOrEqual, Val: 8191, SkipTrue: 4},// 加载字节:读取源地址bpf.LoadAbsolute{Off: 20, Size: 4},// 比较:检查是否设置了特定标志位bpf.JumpIf{Cond: bpf.JumpBitsSet, Val: 0x0016, SkipFalse: 1},// 比较:如果目标端口 == 24359,继续执行bpf.JumpIf{Cond: bpf.JumpEqual, Val: 24359, SkipFalse: 1},// 返回:接受数据包bpf.RetConstant{Val: 0x00040000},// 返回:丢弃数据包bpf.RetConstant{Val: 0x00000000},}// 打印生成的指令for i, inst := range instructions {fmt.Printf("Instruction %d: %s\n", i, inst)}
}
相关文章:
无需libpacp库,BPF指令高效捕获指定数据包
【环境】无libpacp库的Linux服务器 【要求】高效率读取数据包,并过滤指定端口和ip 目前遇到两个问题 一是手写BPF,难以兼容,有些无法正常过滤二是性能消耗问题,尽可能控制到1% 大方向:过滤数据包要在内核层处理&…...
_36)
LeetCode算法题(Go语言实现)_36
题目 给定一个二叉树的根节点 root ,和一个整数 targetSum ,求该二叉树里节点值之和等于 targetSum 的 路径 的数目。 路径 不需要从根节点开始,也不需要在叶子节点结束,但是路径方向必须是向下的(只能从父节点到子节点…...
react实现上传图片到阿里云OSS以及问题解决(保姆级)
一、优势 提高上传速度:前端直传利用了浏览器与 OSS 之间的直接连接,能够充分利用用户的网络带宽。相比之下,后端传递文件时,文件需要经过后端服务器的中转,可能会受到后端服务器网络环境和处理能力的限制,…...
无法看到新安装的 JDK 17
在 Linux 系统中使用 update-alternatives --config java 无法看到新安装的 JDK 17,可能是由于 JDK 未正确注册到系统备选列表中。 一、原因分析 JDK 未注册到 update-alternatives update-alternatives 工具需要手动注册 JDK 路径后才能识别新版本。如果仅安装 JDK…...
一次倒序遍历)
LeetCode 3396.使数组元素互不相同所需的最少操作次数:O(n)一次倒序遍历
【LetMeFly】3396.使数组元素互不相同所需的最少操作次数:O(n)一次倒序遍历 力扣题目链接:https://leetcode.cn/problems/minimum-number-of-operations-to-make-elements-in-array-distinct/ 给你一个整数数组 nums,你需要确保数组中的元素…...
)
Vue2 快速过度 Vue3 教程 (后端学习)
隔好长一段时间没有写文章了,因为最近公司一个项目进度很赶,导致一直加班,没有时间空出来学习新的东西,这次趁着周末,赶紧补一下之前落下的一直想重新学一下整个大前端生态的想法,这次写一篇自己学习Vue3的…...
供应链管理-职业规划:数字化供应链管理专家 / 供应链管理商业模式专家 / 供应链管理方案专家
一、背景阐述 依据联合国产业分类标准,工业体系被细致划分为41个工业大类、207个工业中类以及666个工业小类。中国凭借其独特的产业布局,成为全球唯一一个全面涵盖所有这些门类的国家,成功构建起独立且完备的现代工业体系。这一辉煌成就&…...
无状态版的DHCPv6是不是SLAAC? 笔记250405
无状态版的DHCPv6是不是SLAAC? 笔记250405 无状态版 DHCPv6 不是 SLAAC,但二者在 IPv6 网络中可协同工作。以下是核心区别与协作关系: 本质区别 特性SLAAC无状态 DHCPv6主要功能生成 IPv6 地址(基于路由器通告的前缀)分发 DNS、…...
遍历算法及其应用详解
李升伟 整理 什么是遍历? 遍历是指按照某种规则或顺序,系统地访问数据结构(如树、图等)中的每个节点一次且仅一次的过程。遍历是算法设计中的基本操作,用于访问、检查或修改数据结构中的所有元素。 主要遍历算法 1…...
Python 字典和集合(常见的映射方法)
本章内容的大纲如下: 常见的字典方法 如何处理查找不到的键 标准库中 dict 类型的变种set 和 frozenset 类型 散列表的工作原理 散列表带来的潜在影响(什么样的数据类型可作为键、不可预知的 顺序,等等) 常见的映射方法 映射类型…...
基于大模型的ALS预测与手术优化系统技术方案
目录 技术方案文档:基于大模型的ALS预测与手术优化系统1. 数据预处理与特征工程模块流程图伪代码2. 多模态融合预测模型模型架构图伪代码3. 术中实时监测与动态干预系统系统流程图伪代码4. 统计验证与可解释性模块验证流程图伪代码示例(SHAP分析)5. 健康教育与交互系统系统架…...
创建一个简单的HTML游戏站
创建一个简单的HTML游戏站涉及多个步骤,包括规划网站结构、设计用户界面、编写游戏逻辑以及测试和部署。下面是一个详细的步骤指南: 1. 规划网站结构 确定目标受众:了解你的目标用户群体。选择游戏类型:决定你要开发的游戏类型&…...
Matlab轴承故障信号仿真与故障分析
1.摘要 本文介绍了一个基于Matlab的轴承故障信号仿真与分析程序,旨在模拟和分析轴承内圈故障信号的特征。程序首先通过生成故障信号、共振信号和调制信号,添加噪声和离散化处理,构建模拟的振动信号,并保存相关数据。通过快速傅里…...
Linux 进程 | 概念 / 特征 / 状态 / 优先级 / 空间
注: 本文为 “Linux 进程” 相关文章合辑。 未整理去重。 Linux 进程概念(精讲) A little strawberry 于 2021-10-15 10:23:55 发布 基本概念 课本概念:程序的一个执行实例,正在执行的程序等。 内核观点ÿ…...
项目中如何防止超卖
什么是超卖?假如只剩下一个库存,却被多个订单买到了,简单理解就是库存不够了还能正常下单。 方案1:数据库行级锁 1. 实体类 Data TableName("product") public class Product {TableId(type IdType.AUTO)private Lon…...
重回全面发展亲自操刀
项目场景: 今年工作变动,优化后在一家做国有项目的私人公司安顿下来了。公司环境不如以前,但是好在瑞欣依然可以每天方便的买到。人文氛围挺好,就是工时感觉有点紧,可能长期从事产品迭代开发,一下子转变做项…...
3D珠宝渲染用什么软件比较好?渲染100邀请码1a12
印度珠宝商 Mohar Fine Jewels 和英国宝石商 Gemfields 在今年推出了合作珠宝系列——「Emeralds in Full Bloom」,它的灵感源自花草绽放的春季田野,共有 39 件作品,下面这个以植物为主题的开口手镯就是其中一件。 在数字时代,像这…...
【数据结构】邻接矩阵完全指南:原理、实现与稠密图优化技巧
邻接矩阵 导读一、图的存储结构1.1 分类 二、邻接矩阵法2.1 邻接矩阵2.2 邻接矩阵存储网 三、邻接矩阵的存储结构四、算法评价4.1 时间复杂度4.2 空间复杂度 五、邻接矩阵的特点5.1 特点1解析5.2 特点2解析5.3 特点3解析5.4 特点4解析5.5 特点5解析5.6 特点6解析 结语 导读 大…...
【嵌入式-stm32电位器控制以及旋转编码器控制LED亮暗】
嵌入式-stm32电位器控制LED亮暗 任务1代码1Key.cKey.hTimer.cTimer.hPWM.cPWM.hmain.c 实验现象1任务2代码2Key.cKey.hmain.c 实验现象2问题与解决总结 源码框架取自江协科技,在此基础上做扩展开发。 任务1 本文主要介绍利用stm32f103C8T6实现电位器控制PWM的占空比…...
ragflow开启https访问:添加证书后,使用浏览器还是有警告,如何解决?
如果在 Windows 系统中安装了 PEM 证书(使用方法一通过证书管理器 MMC 导入),但浏览器仍然提示安全警告,可能有以下几个原因及解决方法: 1. 证书未正确安装到受信任的存储位置 问题:如果证书被导入到错误的存储位置(如“个人”而非“受信任的根证书颁发机构”),浏览器…...
字符串——面试考察高频算法题
目录 转换成小写字母 字符串转化为整数 反转相关的问题 反转字符串 k个一组反转 仅仅反转字母 反转字符串里的单词 验证回文串 判断是否互为字符重排 最长公共前缀 字符串压缩问题 转换成小写字母 给你一个字符串 s ,将该字符串中的大写字母转换成相同的…...
Uniapp 集成极光推送(JPush)完整指南
文章目录 前言一、准备工作1. 注册极光开发者账号2. 创建应用3. Uniapp项目准备 二、集成极光推送插件方法一:使用UniPush(推荐)方法二:手动集成极光推送SDK 三、配置原生平台参数四、核心功能实现1. 获取RegistrationID2. 设置别…...
Plusar集群搭建-Ubuntu20.04-Winterm
1 背景 已经部署了Pulsar集群在生产上,新项目需要用到Pulsar。对Pulsar不熟,故搭建练手。 环境:Windows10vmwareUbuntu20.04,ssh工具使用的Winterm。 使用的是root账户,ubuntu防火墙都ufw disable了。 2 参考文档 集…...
selenium元素获取
from selenium import webdriver from selenium.webdriver.common.by import Bydriver webdriver.Chrome()driver.maximize_window()#最大化窗口 #隐式等待 driver.implicitly_wait(10)#打开网页 driver.get("https://www.zhipin.com/beijing/?kacity-sites-101010100&q…...
AI比人脑更强,因为被植入思维模型【50】邓克效应思维模型
giszz的理解:DK Effect,就是井底之蛙。这里有个启发,就是人的认知提升,有4个阶段,愚昧区、崩溃区、成长区、智慧区。也分别对应4个境界:自然境界、功利境界、道德境界、天地境界。我个人觉得自己刚刚过了崩…...
)
8、nRF52xx蓝牙学习(boards.h文件学习)
boards.h文件的代码如下: #ifndef BOARDS_H #define BOARDS_H#include "nrf_gpio.h" #include "nordic_common.h"#if defined(BOARD_NRF6310)#include "nrf6310.h" #elif defined(BOARD_PCA10000)#include "pca10000.h" #…...
声明文件.d.ts
在 TypeScript 中,.d.ts 文件是类型声明文件(Declaration Files),用于描述 JavaScript 库或模块的类型信息,但不包含具体实现。它们帮助 TypeScript 编译器进行类型检查,同时保持与纯 JavaScript 的兼容性。…...
java整合socket通信全流程
前言 大家好,由于工作上业务的需要,在java项目中引入了socket通信,特此记录一下,用以备份,本文章中的socket通信实现了,服务端与客户端的双向通讯,以及二者之间的心跳通信,服务端重启之后,客户端的自动重连功能。 原理 Socket通信是计算机网络中常用的一种通信机制…...
2025年常见渗透测试面试题-sql(题目+回答)
网络安全领域各种资源,学习文档,以及工具分享、前沿信息分享、POC、EXP分享。不定期分享各种好玩的项目及好用的工具,欢迎关注。 目录 SQLi 一、发现test.jsp?cid150 注入点的5种WebShell获取思路 1. 文件写入攻击 2. 日志文件劫持 3.…...
【RabbitMQ】队列模型
1.概述 RabbitMQ作为消息队列,有6种队列模型,分别在不同的场景进行使用,分别是Hello World,Work queues,Publish/Subscribe,Routing,Topics,RPC。 下面就分别对几个模型进行讲述。…...