在Linux Debian 64位上学习Berkeley数据包过滤器来过滤打开的套接字接收到的数据包。
我使用AF_PACKET所以我甚至可以管理数据包的第2层。
到目前为止,它的工作非常精彩。但我必须过滤每个套接字上的每个数据包,但效率不高。因此我使用BPF。
由于我的应用程序自己使用
设置过滤器setsockopt(sd, SOL_PACKET, SO_ATTACH_FILTER, &filter, sizeof(filter)) < 0 )
我想知道:
如果内核将过滤并将数据包定向到正确的套接字(在内核级别的系统上每个数据包都会进行一次过滤)
如果内核将像以前一样发送所有数据包,并且bpf将在每个套接字中进行过滤(每个数据包将被分析+过滤多次,因为系统上有开放套接字,因为每个应用程序都会看到数据包即将到来。 - &gt;混杂模式。这效率不高。)
我不确定。
由于
答案 0 :(得分:0)
黑人 - 但问题显示对AF_PACKET套接字与混杂模式的基本误解,我想概述在LINUX中使用BP_PACKET套接字上的BPF过滤器是以有效的方式实现的(对于通常的用例)。
关于问题的一般问题:
使用AF_PACKET套接字并不意味着切换到NIC 混杂模式 - 它只是转发所有指向的帧 托管到用户空间(因此仍然应用基于L2地址的过滤器 - 与混杂模式中的NIC相比,它很乐意忽略不匹配的目标MAC)。这应该放松你的问题,因为即使有一个AF_PACKET套接字,也会应用通常的帧/包分发过程。
关于效率:
只有AF_PACKET套接字才能看到定向到主机的所有帧。每个插槽评估连接到套接字的过滤器。内核中没有处理所有过滤器并将帧分配到其方向的中心点。通常,AF_PACKET套接字用于在用户空间中实现协议(处理程序)。因此,那些实现AF_PACKET的老聪明人假设大多数指向AF_PACKET套接字的帧将被过滤/丢弃,因为用户只想处理非常特定的帧子集。
过滤器应用于套接字缓冲区(skb - 保存框架及其关联的控制/状态数据的容器),该框架缓冲区由参与框架处理的所有实体共享。仅当过滤器匹配此缓冲区的克隆时才会创建并移交给用户。在comment之上甚至还有一个function,负责在AF_PACKET套接字的上下文中处理skb:
* This function makes lazy skb cloning in hope that most of packets
* are discarded by BPF.
有关AF_PACKET套接字上的数据包过滤器的更多信息,请参阅kernel doc for network filter。
答案 1 :(得分:-1)
bpf程序将位于内核中。它将处理进入setsockopt调用中标识的特定套接字的数据。如果特定数据包通过过滤器,它将被传递,否则它被过滤掉。
我的意思是强调两个并行调用具有不同套接字的API不会影响另一个,并且应该正常工作。
关于内核中的内部实现,我不确定。
TX