BPF进阶 - BPF常用命令
这篇文章主要解析常用的BPF命令
参考文章:https://www.freebsd.org/cgi/man.cgi?query=bpf&sektion=4&manpath=FreeBSD | 4.7-RELEASE
上篇文章 BPF初探 - Android中BPF运用实例解析 介绍了Android源码中对BPF的运用,其中配置的BPF过滤规则看起来很简洁,但类似汇编代码的规则配置让初学者看起来非常难受,下面就对常用的指令进行解释。
基础知识
在指令解析之前,为了能够更好的理解,我们需要先贯彻以下几点知识:
1. 以太头长度定长,一共14个字节
/** if_ether.h*/
#define ETH_ALEN 6
struct ethhdr {
unsigned char h_dest[ETH_ALEN]; // 6字节dest mac
unsigned char h_source[ETH_ALEN]; // 6字节src mac
__be16 h_proto; // 2字节protocol
} 2. ip头不定长,需要根据ip头中第一个字节后4位(BIG_ENDIAN)来确定
/** ip.h*/
struct iphdr {
#if defined(__LITTLE_ENDIAN_BITFIELD)
__u8 ihl:4,
version:4;
#elif defined (__BIG_ENDIAN_BITFIELD)
__u8 version:4, // IPv4|IPv6
ihl:4; // ip头长度
#else
#error "Please fix "
#endif
__u8 tos; // 服务类型,代表包的优先级
__be16 tot_len; // 整个包分节长度
__be16 id; // 标识
__be16 frag_off; // 片偏移
__u8 ttl; // 生存时间
__u8 protocol; // 应用协议
__sum16 check; // 校验和
__be32 saddr; // 源地址
__be32 daddr; // 目标地址
/*The options start here. */ // 上面一共20字节,如果有可选选项,则会导致ip头长度超过20
}; 综上两点,我们可以得出,到ip头的偏移就是ether头的长度,到udp/tcp/icmp头的偏移需要动态计算ip头的长度。
BPF常用指令解析
BPF一共有8种类型的指令,分别是 BPF_LD, BPF_LDX, BPF_ST, BPF_STX, BPF_ALU, BPF_JMP, BPF_RET, BPF_MISC。
BPF_LD 将值复制到累加器(A)
/**BPF_LD */
BPF_STMT(BPF_LD | BPF_W | BPF_ABS, k) A <- P[k:4] // 将k字节偏移处往后4个字节存入A中
BPF_STMT(BPF_LD | BPF_H | BPF_ABS, k) A <- P[k:2] // 将k字节偏移处往后2个字节存入A中
BPF_STMT(BPF_LD | BPF_B | BPF_ABS, k) A <- P[k:1] // 将k字节偏移处往后1个字节存入A中
BPF_STMT(BPF_LD | BPF_W | BPF_IND, k) A <- P[X+k:4] // 将(X寄存器值与k的和)偏移处往后4个字节存入A中
BPF_STMT(BPF_LD | BPF_H | BPF_IND, k) A <- P[X+k:2] // 将(X寄存器值与k的和)偏移处往后2个字节存入A中
BPF_STMT(BPF_LD | BPF_B | BPF_IND, k) A <- P[X+k:1] // 将(X寄存器值与k的和)偏移处往后1个字节存入A中
BPF_STMT(BPF_LD | BPF_W | BPF_LEN) A <- len // 将包长度存存入A中
BPF_STMT(BPF_LD | BPF_IMM, k) A <- k // 将k值存入A中
BPF_STMT(BPF_LD | BPF_MEM, k) A <- M[k] // 将k地址内存的值存入A中 BPF_LDX 将值复制到寄存器(X)
/**BPF_LDX */
BPF_STMT(BPF_LDX | BPF_W | BPF_IMM, k) X <- k // 将k值存入X中
BPF_STMT(BPF_LDX | BPF_W | BPF_MEM, k) X <- M[k] // 将k地址内存的值存入X中
BPF_STMT(BPF_LDX | BPF_W | BPF_LEN, k) X <- len // 将包长度存入X中
BPF_STMT(BPF_LDX | BPF_B | BPF_MSH, k) X <- 4*(P[k:1]&0xf) // 用于计算ip头的长度 --->
// ---> 将偏移k处一个字节后4位转换成十进制乘以4 BPF_ST 将A累加器中的值存入存储器中
/**BPF_ST */
BPF_STMT(BPF_ST, k) M[k] <- X // 将A中的值存入存储器中 BPF_STX 将X寄存器中的值存入存储器中
/**BPF_STX */
BPF_STMT(BPF_ST, k) M[k] <- X // 将X中的值存入存储器中 BPF_ALU 将A累加器中的值进行不同方式的计算并存入A中
/**BPF_ALU */
BPF_STMT(BPF_ALU | BPF_ADD | BPF_K, k) A <- A + k // A + k 后存入A中
BPF_STMT(BPF_ALU | BPF_SUB | BPF_K, k) A <- A - k // ..
BPF_STMT(BPF_ALU | BPF_MUL | BPF_K, k) A <- A * k
BPF_STMT(BPF_ALU | BPF_DIV | BPF_K, k) A <- A / k
BPF_STMT(BPF_ALU | BPF_AND | BPF_K, k) A <- A & k
BPF_STMT(BPF_ALU | BPF_OR | BPF_K, k) A <- A | k
BPF_STMT(BPF_ALU | BPF_LSH | BPF_K, k) A <- A << k
BPF_STMT(BPF_ALU | BPF_RSH | BPF_K, k) A <- A >> k
BPF_STMT(BPF_ALU | BPF_ADD | BPF_X) A <- A + X
BPF_STMT(BPF_ALU | BPF_SUB | BPF_X) A <- A - X
BPF_STMT(BPF_ALU | BPF_MUL | BPF_X) A <- A * X
BPF_STMT(BPF_ALU | BPF_DIV | BPF_X) A <- A / X
BPF_STMT(BPF_ALU | BPF_AND | BPF_X) A <- A & X
BPF_STMT(BPF_ALU | BPF_OR | BPF_X) A <- A | X
BPF_STMT(BPF_ALU | BPF_LSH | BPF_X) A <- A << X
BPF_STMT(BPF_ALU | BPF_RSH | BPF_X) A <- A >> X
BPF_STMT(BPF_ALU | BPF_NEG) A <- -A BPF_JMP 条件跳转,根据条件跳转到不同偏移的命令
/**BPF_JMP */
BPF_JUMP(BPF_JMP | BPF_JA, k) pc += k // 永远跳转到这条命令后偏移k的命令
// 如果A>k,则跳转到偏移jt的命令,否则跳转到偏移为jf的命令
BPF_JUMP(BPF_JMP | BPF_JGT | BPF_K, k) pc += (A > k) ? jt : jf
BPF_JUMP(BPF_JMP | BPF_JGE | BPF_K, k) pc += (A >= k) ? jt : jf
BPF_JUMP(BPF_JMP | BPF_JEQ | BPF_K, k) pc += (A == k) ? jt : jf
BPF_JUMP(BPF_JMP | BPF_JSET | BPF_K, k) pc += (A & k) ? jt : jf
BPF_JUMP(BPF_JMP | BPF_JGT | BPF_X) pc += (A > X) ? jt : jf
BPF_JUMP(BPF_JMP | BPF_JGE | BPF_X) pc += (A >= X) ? jt : jf
BPF_JUMP(BPF_JMP | BPF_JEQ | BPF_X) pc += (A == X) ? jt : jf
BPF_JUMP(BPF_JMP | BPF_JSET | BPF_X) pc += (A & X) ? jt : jf BPF_RET 结束指令,设定接收的包的长度
/** BPF_RET*/
BPF_STMT(BPF_RET | BPF_A), // 接收长度为A累加器值的包
BPF_STMT(BPF_RET | BPF_K, k) // 接收长度为k的包 BPF_MISC 将A中的值存入X中,或将X中的值存入A中
/** BPF_MISC*/
BPF_STMT(BPF_MISC | BPF_TAX) X <- A // 将A中的值存入X中
BPF_STMT(BPF_MISC | BPF_TXA) A <- X // 将X中的值存入A中使用BPF_LD和BPF_LDX将k值存入A或者X中,使用BPF_JUMP将A中的值与k或者X进行比较,实现指令跳转,可以跳转到下一步的过滤指令,或者跳转到BPF_RET进行截取包长度的限定,如果截取包的长度为0,则代表未匹配。