上下文
在 Linux Debian 64 位上研究 Berkeley 数据包过滤器以过滤打开的套接字接收的数据包。
我使用 AF_PACKET
所以我什至管理数据包的第 2 层。
到目前为止,它工作得很好。但是我必须过滤每个套接字上的每个数据包,而且效率不高。因此我使用 BPF。
问题
因为我让我的应用程序自己设置过滤器
setsockopt(sd, SOL_PACKET, SO_ATTACH_FILTER, &filter, sizeof(filter)) < 0 )
我想知道:
如果内核将过滤并将数据包定向到正确的套接字(在内核级别的系统上每个数据包进行一次过滤)
- 或
如果内核将像以前一样发送所有数据包并且 bpf 将在每个套接字中进行过滤(每个数据包将被分析 + 过滤与系统上打开的套接字一样多的次数,因为每个应用程序都会看到数据包 <-> 混杂模式。这效率不高)。
我不确定。
谢谢
最佳答案
黑人 - 但这个问题显示了对 AF_PACKET 套接字与混杂模式的根本误解,我想概述一下,在 LINUX 中的 AF_PACKET 套接字上使用 BPF 过滤器是以一种有效的方式实现的(对于通常的用例)。
关于问题的一般问题:
使用AF_PACKET socket不代表网卡切换到 混杂模式 - 它只是转发所有指向 host 到用户空间(因此仍然应用基于 L2 地址的过滤器 - 与混杂模式下的 NIC 相比,后者愉快地忽略不匹配的目标 MAC)。这应该完全放宽您的问题,因为即使有 AF_PACKET 套接字,也会应用通常的帧/数据包分发过程。
关于效率:
只有 AF_PACKET 套接字可以看到所有定向到主机的帧。每个套接字都评估连接到套接字的过滤器。内核中没有处理所有过滤器并将帧分配到它的方向的中心点。通常 AF_PACKET 套接字用于在用户空间中实现协议(protocol)(处理程序)。因此,那些实现 AF_PACKET 的老智者假设大多数定向到 AF_PACKET 套接字的帧将被过滤/丢弃,因为用户只想处理非常特定的帧子集。
过滤器应用于由参与帧处理的所有实体共享的套接字缓冲区(skb - 保存帧及其相关控制/状态数据的容器)。仅当过滤器匹配时,才会创建此缓冲区的克隆并将其移交给用户。甚至还有一个 comment在 function 之上负责在 AF_PACKET 套接字的上下文中处理 skb,它说:
* This function makes lazy skb cloning in hope that most of packets
* are discarded by BPF.
有关 AF_PACKET 套接字上的数据包过滤器的更多信息,请参阅 kernel doc for network filter .
关于c - 原始套接字/BPF - 过滤完成一次还是多次?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/28123833/