个人中心
文章发布
退出
作者热门文章
- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
25
4
目标:编写一个 BPF 过滤器,仅允许来自特定 src 地址的 UDP 数据包并将其附加到 UDP 套接字。
问题:如果我执行程序并尝试从具有正确源 IP 的虚拟机发送 udp 数据包,我不会收到任何数据包
#include <stdio.h>
#include <stdlib.h>
#include <string.h>
#include <sys/types.h>
#include <sys/socket.h>
#include <unistd.h>
#include <arpa/inet.h>
#include <linux/filter.h>
/* udp and src 192.168.56.101 */
struct sock_filter bpfcode[] = {
{ 0x28, 0, 0, 0x0000000c },
{ 0x15, 6, 0, 0x000086dd },
{ 0x15, 0, 5, 0x00000800 },
{ 0x30, 0, 0, 0x00000017 },
{ 0x15, 0, 3, 0x00000011 },
{ 0x20, 0, 0, 0x0000001a },
{ 0x15, 0, 1, 0xc0a83865 },
{ 0x6, 0, 0, 0x00040000 },
{ 0x6, 0, 0, 0x00000000 },
};
int main(void)
{
struct sock_fprog bpf = {
sizeof(bpfcode) / sizeof(struct sock_filter),
bpfcode
};
struct sockaddr_in src = {
.sin_family = AF_INET,
.sin_addr.s_addr = INADDR_ANY,
.sin_port = htons(1025)
};
char buf[1024];
ssize_t res;
int fd, ret;
fd = socket(AF_INET, SOCK_DGRAM, IPPROTO_UDP);
if (fd < 0) {
printf("error: socket\n");
exit(EXIT_FAILURE);
}
ret = setsockopt(fd, SOL_SOCKET, SO_ATTACH_FILTER, &bpf, sizeof(bpf));
if (ret < 0) {
perror("error: setsockopt\n");
close(fd);
exit(EXIT_FAILURE);
}
ret = bind(fd, (struct sockaddr *)&src, sizeof(src));
if (ret < 0) {
printf("error: bind\n");
close(fd);
exit(EXIT_FAILURE);
}
res = recvfrom(fd, buf, sizeof(buf), 0, NULL, 0);
printf("res = %zi\n", res);
close(fd);
return 0;
}
最佳答案
评论中的讨论摘要:
首先,套接字的类型是 SOCK_DGRAM,因此您获取的数据从 L4 (UDP) 开始,而不是像过滤器期望的那样从 L2 开始。请改用 SOCK_RAW。
然后,使用 SOCK_RAW 将使您能够访问 L3,而不是 L2(您需要为此更改套接字域)。所以你需要稍微调整你的过滤器:
{ 0x28, 0, 0, 0x0000000c }, // load Ethertype
{ 0x15, 6, 0, 0x000086dd }, // If IPv6 goto drop
{ 0x15, 0, 5, 0x00000800 }, // If not IPv4 (and not IPv6) goto drop
{ 0x30, 0, 0, 0x00000017 }, // Load IP protocol
{ 0x15, 0, 3, 0x00000011 }, // If not UDP goto drop
{ 0x20, 0, 0, 0x0000001a }, // Load src address
{ 0x15, 0, 1, 0xc0a83865 }, // If not 192.168.56.1.1 goto drop
{ 0x6, 0, 0, 0x00040000 }, // Pass packet
{ 0x6, 0, 0, 0x00000000 }, // Drop
应该成为(归功于自己修复它的OP:)):
// UDP check is harmless but useless
// { 0x30, 0, 0, 0x00000009 }, // Note the offset update
// { 0x15, 0, 3, 0x00000011 },
{ 0x20, 0, 0, 0x0000000c }, // Note the offset update
{ 0x15, 0, 1, 0xc0a83865 },
{ 0x6, 0, 0, 0x00040000 },
{ 0x6, 0, 0, 0x00000000 },
关于c - 为什么我使用带有 udp 套接字的 BPF 收不到任何数据包?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/57199413/
25
4
0
我正在尝试在 Linux 源代码中编译示例 bpf 程序。于是我下载了当前的内核源代码,进入samples/bpf文件夹 apt source linux cd linux-*/samples/bpf
我最近一直在研究 BPF,但由于一个非常基本的问题,它没有继续进行。 我按照 man bpf(2) 中的描述包含了 linux/bpf.h,但是 GCC 找不到 bpf 函数。此代码仅用于测试以确保
尝试运行示例 hello_world.py 时出现以下错误。 Traceback (most recent call last): File "/usr/share/bcc/examples/he
我有一个函数 f(),它返回 0 或 1 - 0 表示假,1 表示真。我想做的是用 seccomp-bpf 设置一个规则,这样系统调用“fopen”只有在 f( --fopen 的第一个参数 -- )
我正在尝试加载一个 BPF 程序,它只是复制 tty_write 的 buf 参数。到 BPF 堆栈。我的程序如下: #define BUFSIZE 256 SEC("kprobe/tty_write
我知道 bpf 程序可以通过不同的方式加载到内核中,tc/kprobe/socket ... 而且我想知道有没有一个接口(interface)之类的东西,通过它我可以得到我加载的所有bpf程序?如果没
我正在尝试重定向 NIC 和 WIFI 之间的流量。我正在尝试从 eth0 转发数据包,通过 wlan0 发送偶数数据包,通过 wlan1 发送奇数数据包。 我无法成功地将数据包从一个接口(inter
我查看了不同类型的 BPF 程序,并注意到对于不同的程序类型,上下文的传递方式不同。 例子: 对于程序类型BPF_PROG_TYPE_SOCK_OPS,类型为struct bpf_sock_ops_k
我想了解 bpfilter。我不能使用 netfilter(太慢)、nftables(没有我的功能集)。 内核说: CONFIG_BPFILTER:│ │ 这构建了旨在 │ │ 通过 BPF 提供 n
我写了几个生产 BPF 代理,但我的方法是 非常迭代直到我取悦验证者并可以继续。我又到了极限。 这是一个如果我少一个就可以工作的程序 &&条件 - 否则会中断。令人困惑的部分是警告暗示 103 ins
我想使用 bpf 过滤数据包。我研究了bpf手册并编写了过滤器。这是我的过滤器的最后一行: BPF_STMT(BPF_LD+BPF_W+BPF_ABS, 16), 我加载了ip包长度。现在我要回siz
我正在尝试编写一个示例 eBPF 程序,它可以访问 __sk_buff 成员并将其转储到 /sys/内核/调试/跟踪/跟踪。 #include #include #include SEC("du
我正在编写一个 BPF_PROG_TYPE_SOCKET_OPS 程序,我在 /sys/kernel/debug/tracing/trace_pipe 中看到以下内容: -12586 [001] ..
我正在尝试编写一个 BPF 程序来检查调用 tty_write 内核函数的任何进程的 session ID。为了检索 ID,我需要从一个指向当前 task_struct 的指针跟随一些字段,但是从一个
上下文 在 Linux Debian 64 位上研究 Berkeley 数据包过滤器以过滤打开的套接字接收的数据包。 我使用 AF_PACKET 所以我什至管理数据包的第 2 层。 到目前为止,它工作
我正在使用 Scapy 并希望根据目标 mac 地址进行过滤。 但是,我得到显示的数据包,其中目标 MAC 地址不是过滤器中指定的地址。 这是一个代码片段: from scapy.all import
我正在研究 seccomp-bpf 的实现细节,这是从 3.5 版开始引入 Linux 的系统调用过滤机制。我从 Linux 3.10 查看了 kernel/seccomp.c 的源代码,想问一些关于
bcc使用python编译ebpf程序,有什么方便的方法可以将这些python脚本生成可执行文件,以便我可以在没有安装clang和llvm环境的服务器上运行这些跟踪程序? 最佳答案 TL;DR. 不,
对于下面的程序,我从验证器那里得到一个错误,说它超过了 1M 指令,即使它不应该。该程序查找 HTTP 数据包的主机名。 #include #include struct server_name
关闭。这个问题需要debugging details .它目前不接受答案。 想改善这个问题吗?更新问题,使其成为 on-topic对于堆栈溢出。 3个月前关闭。 Improve this questi
我是一名优秀的程序员,十分优秀!