Linux 网络数据包过滤与流量控制:eBPF 实战指南
1. 网络数据包过滤
1.1 编写自定义代码过滤数据包
除了分析tcpdump生成的汇编代码,我们还可以编写自己的代码来过滤网络数据包。不过,调试代码执行以确保其符合预期是一大挑战。在 Linux 内核源代码树的tools/bpf目录下,有一个名为bpf_dbg.c的调试器,它允许我们加载程序和pcap文件,逐步测试执行过程。此外,tcpdump也可以直接从.pcap文件读取数据并应用 BPF 过滤器。
1.2 原始套接字的数据包过滤
BPF_PROG_TYPE_SOCKET_FILTER程序类型允许我们将 BPF 程序附加到套接字上。所有接收到的数据包都会以sk_buff结构体的形式传递给程序,程序可以决定丢弃或允许这些数据包。这类程序还可以访问和操作映射。
1.2.1 示例程序目的
我们的示例程序旨在统计观察接口中 TCP、UDP 和 ICMP 数据包的数量。为此,我们需要以下几个部分:
- 能够查看数据包的 BPF 程序。
- 加载程序并将其附加到网络接口的代码。
- 编译程序并启动加载器的脚本。
1.2.2 编写 BPF 程序
我们可以用两种方式编写 BPF 程序:一是将 C 代码编译成 ELF 文件,二是
