BPF(Berkeley Packet Filter)伯克利抓包过滤器实践
BPF Berkeley Packet Filter伯克利抓包过滤器是驱动级抓包过滤接口,多数抓包工具都支持该语法。
过滤器就是一个表达式,由原语,运算符组成。
原语: 原语是限定符qualifiers(有时也称为keywords)+ID(字符或数字),如 host www.baidu.com, port 80
限定符:
type
- host, net/mask,port, portrange
dir
- dst, src, dst or src[缺省], dst and src;
protocol
- ether,arp,icmp,ip,ip6, tcp, udp等底层协议,但不支持如dns, http等应用层协议。
其它
- gateway, broadcast, multicast, less, greater
- gateway host指数据包以host为网关, wireshark不支持
示例:
host www.baidu.com #某个主机
net 192.168.31.0/24 #一个CIDR格式网段
net 192.168.31.0 mask 255.255.255.0 #一个net/mask格式网段
注:wireshark中认为net 192.168.31.21/24是无效的bpf语法,而net 192.168.31.21/32是正确的,net/mask类似
host www.baidu.com and port 80 or 443
等效于host www.baidu.com and port 80 or port 443,表达的意思是主机为www.baidu.com且端口为80或443
host www.jd.com and portrange 80-443
net 192 表示以192开始的网段,mask是255.0.0.0
多个限定词可以叠加如tcp port 80
运算符:
and &&
or ||
not !
注:否定运算符有较高的优先级,and和or的优先级相同
基于协议域过滤
可以精确取到特定协议域进行抓取
tcp[13]&4 == 4
含义是抓取带RST标记的TCP分段
tcp[13]是取TCP的第14字节
&4==4是指抓取和4做’与’运算结果并等于4的分段
xxxxxxxx & 00000100 == 00000100,只有第3位为1的分段才会被捕捉。
注:就上述BPF抓包过滤器,wireshark显示过滤器可以用tcp.flags.reset==1
抓取HTTP GET报文
port 80 and tcp[((tcp[12:1] & 0xf0) >> 2):4] = 0x47455420
对应显示过滤器可以用http.request.method==GET
tcp[x:y], x起始字节位置,y读取字节数
tcp[12:1] 从第13字节读取1字节,可简写为tcp[12]
tcp[12:1] & 0xf0 取出offset
((tcp[12:1] & 0xf0) >> 2) # offset是以4个字节为单位,所以右移2位,相当于*4
tcp[((tcp[12:1] & 0xf0) >> 2):4] #取4个字节
0x47455420 = GET
注:上述过程主要目的是展示如何用BPF方式过滤待抓取的报文,除了要熟悉BPF语法,需要对TCP协议有较深入的了解。
一个完整的BPF抓包过滤器抓取HTTP GET报文
host www.chrono.com and port 80 and tcp[((tcp[12:1] & 0xf0) >> 2):4] = 0x47455420
生产中更好的做法可以是抓包过滤器+显示过滤器
抓包过滤器:host www.chrono.com and tcp port 80
显示过滤器:http.request.method==GET
参考:
Berkeley Packet Filter (BPF) syntax