12、Linux 网络中的 BPF 应用与数据包过滤

Linux 网络中的 BPF 应用与数据包过滤

1. BPF 概述与应用场景

在网络领域，BPF（Berkeley Packet Filter）程序主要用于两个方面：数据包捕获和过滤。用户空间程序可以为任何套接字附加过滤器，提取流经该套接字的数据包信息，并根据需要允许、禁止或重定向特定类型的数据包。

BPF 程序在网络中的应用场景主要包括以下几种：
- 实时流量丢弃：例如，只允许用户数据报协议（UDP）流量，丢弃其他所有流量。
- 实时观察过滤后的数据包：对实时系统中流经的过滤后数据包进行观察。
- 回顾性网络流量分析：使用 pcap 格式捕获实时系统中的网络流量，以便后续分析。

2. tcpdump 与 BPF 表达式

tcpdump 是一款广为人知的命令行工具，本质上是 libpcap 的前端，允许用户定义高级过滤表达式。它从指定的网络接口读取数据包，然后将接收到的数据包内容输出到标准输出或文件中。数据包流可以使用 pcap 过滤语法进行过滤，该语法是一种领域特定语言（DSL），使用一组高级表达式来过滤数据包，这些表达式通常比 BPF 汇编更容易记忆。

以下是一个使用 tcpdump 过滤 IPv4 TCP 端口 8080 流量的示例：

# tcpdump -n 'ip and tcp port 8080'

• -n：告诉 tcpdump 不将地址转换为相应的名称，以便查看源地址和目的地址。
• ip and tc