第一次听说socket BPF的东西是CTO说sniffer要注意效率问题,需要针对规则设定一定的过滤规则,这样可以减少程序在用户空间和内核空间的切换。于是就去google那个东西了。不过结果并不是很理想的,似乎研究这个的人不多。从方方面面的情况看,似乎用libpcap库设置BPF的过滤器是比较容易的,但是我的机器并没有装libpcap,man了半天就是没有东西,呵呵。不过折腾了一下也是弄出来了,那都是大半年前的事情了。今天写程序又用到BPF了,突然想到应用过程当中有一个逻辑问题,所以就想顺便写点什么吧。如果你不想装libpcap库,又想折腾BPF,看这篇文章就对了。不过,如果你是打算空手套白狼,不会用tcpdump,或者想从头学怎么写BPF规则,那我还没有钻研得那么深,咱们可以以后讨论讨论,呵呵。 设置BPF过滤器是通过setsockopt调用来完成的,格式如下: setsockopt(sd, SOL_SOCKET, SO_ATTACH_FILTER, &Filter, sizeof(Filter)); 这个调用的格式大家都很熟悉了,不清楚的在参数Filter的设置上。Filter的定义是struct sock_fprog Filter; 此结构在linux/filter.h当中有定义: struct sock_fprog /* Required for SO_ATTACH_FILTER. */ { unsigned short len; /* Number of filter blocks */ struct sock_filter *filter; };
其中的filter指针指向结构为struct sock_filter的BPF过滤代码。结构同样也在同一个文件当中定义: struct sock_filter /* Filter block */ { __u16 code; /* Actual filter code */ __u8 jt; /* Jump true */ __u8 jf; /* Jump false */ __u32 k; /* Generic multiuse field */ };
其实我们并不关心如何具体的编写struct sock_filter内的东西,因为tcpdump已经内置了这样的功能。例如,想要对所接受的数据包过滤,只想接收udp数据包,那么在tcpdump当中的命令就是tcpdump udp。如果你想让tcpdump帮你编译这样的过滤器,则用tcpdump udp -d,可以得到输出: [root@Kernel26 root]# tcpdump udp -d (000) ldh [12] (001) jeq #0x86dd jt 2 jf 4 (002) ldb [20] (003) jeq #0x11 jt 7 jf 8 (004) jeq #0x800 jt 5 jf 8 (005) ldb [23] (006) jeq #0x11 jt 7 jf 8 (007) ret #96 (008) ret #0 瞧,这就是BPF的代码了,看不懂吧@_@,其实挺像汇编的,琢磨一下就会了,ld开头的表示加载某地址数据,jeq是比较啦,jt就是jump when true,jf呢就是jump when false,后面表示行号。不过这样的东西用在程序里还是不习惯,再用tcpdump udp -dd,可以得到: [root@Kernel26 root]# tcpdump udp -dd { 0x28, 0, 0, 0x0000000c }, { 0x15, 0, 2, 0x000086dd }, { 0x30, 0, 0, 0x00000014 }, { 0x15, 3, 4, 0x00000011 }, { 0x15, 0, 3, 0x00000800 }, { 0x30, 0, 0, 0x00000017 }, { 0x15, 0, 1, 0x00000011 }, { 0x6, 0, 0, 0x00000060 }, { 0x6, 0, 0, 0x00000000 }, 哈哈,这个像什么?像c当中的数组的定义吧。不错,这个就是过滤udp包的struct sock_filter的数组代码。把这部分复制到程序当中,将Filter.filter指向这个数组,Filter.len设置长度,就可以用setsockopt设置过滤器了。 不过使用这样的过滤器还是有一些需要注意的问题的,例如,设置一个过滤器,只允许两个源MAC地址的数据包进入,我们先用: [root@Kernel26 root]# tcpdump ether src 01:02:03:04:05:06 or ether src 04:05:06:07:08:09 -dd { 0x20, 0, 0, 0x00000008 }, { 0x15, 0, 2, 0x03040506 }, { 0x28, 0, 0, 0x00000006 }, { 0x15, 3, 4, 0x00000102 }, { 0x15, 0, 3, 0x06070809 }, { 0x28, 0, 0, 0x00000006 }, { 0x15, 0, 1, 0x00000405 }, { 0x6, 0, 0, 0x00000060 }, { 0x6, 0, 0, 0x00000000 }, 生成模板,我们注意到第2、4行比较了第一个MAC地址,第5、7行比较了第二个MAC地址,所以我们只需要在我们的程序当中动态的改变这四行当中的数值就可以了,例如: SetFilter(char *mac1, char *mac2) { struct sock_filter code[]={ { 0x20, 0, 0, 0x00000008 }, { 0x15, 0, 2, ntohl(*(unsigned int *)(mac1 + 2)) }, { 0x28, 0, 0, 0x00000006 }, { 0x15, 3, 4, ntohs(*(unsigned short *)mac1) }, { 0x15, 0, 3, ntohl(*(unsigned int *)(mac2 + 2)) }, { 0x28, 0, 0, 0x00000006 }, { 0x15, 0, 1, ntohs(*(unsigned short *)mac2) }, { 0x6, 0, 0, 0x00000060 }, { 0x6, 0, 0, 0x00000000 } }; ... } 这里,需要用ntohl/ntohs等函数将网络字节序转换为主机字节序。但是这段代码是有逻辑问题的。它首先比较第一个mac地址的后4个字节,如果不正确转入比较第二个mac地址,如果正确转入比较第一个mac地址的高2个字节。因此,如果打算将这个代码用作通用的mac比较,那么在输入的两个mac地址后4字节都相同的情况下就会出现逻辑覆盖错误,即无法对满足第二个mac地址的条件进行判断。因此在这种情况下必须要准备两段比较代码,根据情况进行设置。具体不再累述。 此外,这段BPF代码还存在的一个问题是,一般情况下tcpdump只返回所捕获包的头96字节,也就是0x60字节,可见代码的倒数第二行是ret #96。对于需要完整的包处理还是不行的,因此你需要将其设置为0x0000ffff,或者在用tcpdump生成的时候用tcpdump -s 65535 -dd ... 来生成。 最后,用tcpdump生成的BPF代码只能用于SOCK_RAW的socket,这类socket是可以直接操作数据链路层的,如果你打算将BPF用于ip层等较高层次的socket,那么你需要手工修改部分行的code.k,也就是修改如ldh [12]当中的[12]这个数值,因为这个数值的偏移量是按照从链路层开始计算得到的,在没有链路层之后,这个值就发生了变化,这个是需要注意的。
参考资料:《Linux下Sniffer程序的实现》作者:Gianluca Insolvibile, http://www./index.php?act=magazine&do=view&mid=1797
Trackback: http://tb./TrackBack.aspx?PostId=173266
|