0

我正在尝试为过滤器阅读一些 BPF 语法,以尝试弄清楚它的作用。我找不到的一件事是“字节偏移量的开始”。意思是,如果我们有以下汇编代码:

 0000: 0x28 0x00 0x00 0x00000004   ldh $data[4]
 0001: 0x15 0x00 0x61 0x00000028   jeq 40   true:0002 false:0099
 0002: 0x30 0x00 0x00 0x0000000d   ldb $data[13]
 0003: 0x14 0x00 0x00 0x00000033   sub 51
 0004: 0x15 0x00 0x5e 0x00000006   jeq 6    true:0005 false:0099
  1. 问题 1

对于字节偏移量 4,这是否将我置于 802.3 帧的目标 MAC 地址的中间?还是在序言中?我从数据包的哪个位置开始,然后走 4 个字节到我的半字,这就是我要问的。

  1. 问题2

如果它在 MAC 地址中,scapy 是否是编写我自己的数据包的以太网帧的可行选项?这样做的目标是编写一个连接并通过所有 BPF 要求的客户端。

4

1 回答 1

3

对于您的第一个问题:这取决于您附加 BPF 程序的位置和方式。

  • 如果将其作为分类器附加到 TC(流量控制)接口,它将开始处理 L2 以太网报头(目标 MAC 地址)。

  • 如果将它附加到套接字上,我认为有几种情况:

    • 例如,如果您在创建套接字时传递的协议是 TCP,那么程序将从 L3 (IP) 标头开始。例如看这个问题
    • 如果所需的协议是“每个数据包”,则程序开始处理 MAC 标头。请参阅BPF 内核文档中的示例(grep for ETH_P_ALL)。

    编辑:而不是协议,这更有可能是正在使用的套接字AF_PACKETAF_INET)在这里有所不同。

对于您的第二个问题,您可以使用 scapy 构建以太网标头和有效负载,但很抱歉,我不明白您所说的“连接并通过所有 BPF 要求”是什么意思……您能详细说明一下吗?

于 2018-03-30T16:37:38.187 回答