Linux 网络中的 BPF 应用与数据包过滤
1. BPF 概述与应用场景
在网络领域,BPF(Berkeley Packet Filter)程序主要用于两个方面:数据包捕获和过滤。用户空间程序可以为任何套接字附加过滤器,提取流经该套接字的数据包信息,并根据需要允许、禁止或重定向特定类型的数据包。
BPF 程序在网络中的应用场景主要包括以下几种:
- 实时流量丢弃:例如,只允许用户数据报协议(UDP)流量,丢弃其他所有流量。
- 实时观察过滤后的数据包:对实时系统中流经的过滤后数据包进行观察。
- 回顾性网络流量分析:使用 pcap 格式捕获实时系统中的网络流量,以便后续分析。
2. tcpdump 与 BPF 表达式
tcpdump 是一款广为人知的命令行工具,本质上是 libpcap 的前端,允许用户定义高级过滤表达式。它从指定的网络接口读取数据包,然后将接收到的数据包内容输出到标准输出或文件中。数据包流可以使用 pcap 过滤语法进行过滤,该语法是一种领域特定语言(DSL),使用一组高级表达式来过滤数据包,这些表达式通常比 BPF 汇编更容易记忆。
以下是一个使用 tcpdump 过滤 IPv4 TCP 端口 8080 流量的示例:
# tcpdump -n 'ip and tcp port 8080'-n:告诉 tcpdump 不将地址转换为相应的名称,以便查看源地址和目的地址。ip and tc
