Google berkomitmen untuk mendorong terwujudnya keadilan ras bagi komunitas Kulit Hitam. Lihat caranya.

Halaman ini diterjemahkan oleh Cloud Translation API.

Filter Paket Android

Android Packet Filter (APF) memungkinkan framework mengontrol logika pemfilteran paket perangkat keras saat runtime. Hal ini memungkinkan sistem menghemat daya dengan menghapus paket di perangkat keras, sekaligus memungkinkan framework Android mengubah aturan pemfilteran saat runtime berdasarkan kondisi jaringan.

Ikhtisar APF

APF terdiri dari dua komponen utama:

Penerjemah APF berjalan pada perangkat keras jaringan (biasanya, chipset Wi-Fi). Penerjemah APF menjalankan bytecode APF pada paket yang diterima oleh perangkat keras dan memutuskan apakah akan menerima atau membuangnya.
Kode pembuatan program APF berjalan pada CPU utama. Kode ini membuat dan memperbarui program APF sesuai dengan status jaringan dan perangkat.

Metode Wi-Fi HAL memungkinkan kerangka Android menginstal bytecode program APF dan membaca penghitung saat ini. Modul Network Stack Mainline dapat memperbarui bytecode program APF kapan saja saat APF sedang berjalan.

Ada beberapa filter APF yang diterapkan. Misalnya, APF menyertakan filter untuk menghapus ethertype yang tidak diizinkan, memfilter paket iklan router IPv6 (RA), memfilter lalu lintas multicast dan siaran jika kunci multicast tidak ditahan, menghapus paket DHCP untuk host lain, dan menghapus protokol resolusi alamat yang tidak diminta (ARP) dan (penemuan tetangga) paket ND. Daftar lengkap filter ditentukan di ApfFilter .

Karena kode pembuatan program APF adalah bagian dari modul Network Stack, logika pemfilteran dapat diperbarui, dan filter baru dapat ditambahkan, melalui pembaruan Mainline bulanan.

Integrasi APF

API APF didefinisikan dalam apf_interpreter.h . Kode firmware Wi-Fi memanggil int accept_packet() untuk menentukan apakah paket harus dibuang (nilai pengembalian nol) atau diteruskan (nilai pengembalian bukan nol). Instruksi APF memiliki panjang yang bervariasi. Setiap instruksi panjangnya setidaknya satu byte. Kode instruksi APF didefinisikan dalam apf.h .

APF mengandalkan memori khusus. Memori digunakan baik untuk program APF itu sendiri maupun untuk penyimpanan data, dan memori tidak boleh dihapus atau ditulis oleh chipset kecuali melalui metode APF HAL. Bytecode APF menggunakan penyimpanan data untuk menyimpan penghitung paket yang diterima dan dijatuhkan. Wilayah data dapat dibaca dari kerangka Android. Jumlah minimum memori yang tersedia untuk APF harus 1024 byte.

Men-debug APF

Untuk memeriksa apakah APF diaktifkan pada perangkat, menampilkan program saat ini, dan menampilkan penghitung saat ini, jalankan perintah adb shell dumpsys network_stack . Berikut ini adalah contoh dari perintah ini:

adb shell dumpsys network_stack
......
IpClient.wlan0 APF dump:
    Capabilities: ApfCapabilities{version: 4, maxSize: 4096, format: 1}
......
    Last program:
      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
    APF packet counters:
      TOTAL_PACKETS: 469
      PASSED_DHCP: 4
      PASSED_IPV4: 65
      PASSED_IPV6_NON_ICMP: 64
      PASSED_IPV4_UNICAST: 64
      PASSED_IPV6_ICMP: 223
      PASSED_IPV6_UNICAST_NON_ICMP: 6
      PASSED_ARP_UNICAST_REPLY: 4
      PASSED_NON_IP_UNICAST: 1
      DROPPED_RA: 4
      DROPPED_IPV4_BROADCAST_ADDR: 7
      DROPPED_IPV4_BROADCAST_NET: 27

Output untuk contoh perintah adb shell dumpsys network_stack ini meliputi:

ApfCapabilities{version: 4, maxSize: 4096, format: 1} : Ini berarti chip Wi-Fi mendukung APF (versi 4).
Last program : Bagian ini adalah program biner APF yang terakhir diinstal dalam format string hex.
APF packet counters : Bagian ini menunjukkan berapa banyak paket yang diteruskan atau dijatuhkan oleh APF dan alasan spesifiknya.

Untuk memecahkan kode dan membongkar kode ke dalam bahasa assembler yang dapat dibaca manusia, gunakan alat apf_disassembler . Untuk mengkompilasi biner yang dapat dieksekusi, jalankan perintah m apf_disassembler . Berikut ini adalah contoh cara menggunakan alat apf_disassembler .

echo "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" | out/host/linux-x86/bin/apf_disassembler
       0: li    r1, -4
       2: lddw  r0, [r1+0]
       3: add   r0, 1
       5: stdw  r0, [r1+0]
       6: ldh   r0, [12]
       8: li    r1, -108
      10: jlt   r0, 0x600, 504
      15: li    r1, -112
      17: jeq   r0, 0x88a2, 504
      22: jeq   r0, 0x88a4, 504
      27: jeq   r0, 0x88b8, 504
      32: jeq   r0, 0x88cd, 504
      37: jeq   r0, 0x88e1, 504
      42: jeq   r0, 0x88e3, 504
      47: jne   r0, 0x806, 116
......

Untuk memeriksa hasil APF secara offline, gunakan alat apf_run . Untuk mengkompilasi biner yang dapat dieksekusi, jalankan perintah m apf_run . Berikut ini adalah contoh cara memeriksa satu paket menggunakan perintah apf_run .

Untuk memberikan presentasi string biner hex dari paket mentah, gunakan opsi --packet . Untuk menyediakan string biner hex dari wilayah data, yang digunakan untuk menyimpan penghitung APF , gunakan --data option . Karena setiap counter panjangnya 4 byte, wilayah data harus cukup panjang untuk memastikan tidak terjadi buffer overflow.

out/host/linux-x86/bin/apf_run --program 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 --packet 5ebcd79a8f0dc244efaab81408060001080006040002c244efaab814c0a8ca1e5ebcd79a8f0d --data 00000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000
Packet passed
Data: 00000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000100000000000000000000000000000000000000000000000000000000000000000000000000000001

Untuk memeriksa hasil APF terhadap file pcap yang diambil oleh tcpdump, gunakan perintah apf_run sebagai berikut:

out/host/linux-x86/bin/apf_run --program 6bfcb03a01b8120c6b989401df06006b947c01d888a27c01d388a47c01ce88b87c01c988cd7c01c488e17c01bf88e384004408066a0e6bdca401a5000600010800060412147a1e016bd884019900021a1c6b907c01960000686bd4a401820006ffffffffffff6a266bc0a4017b0004c0a82b056bf874017084005f08000a17821f1112149c00181fffab0d2a108211446a3239a20506fabe589435936bf47401470a1e52f06bb07c014200e06bb81a1e7e00000135ffffffff6bb47e0000012ac0a82bff6be868a401160006ffffffffffff6bbc7401176bf074010c7c001086dd686bd0a2fb06ffffffffffff6bcc72fd0a147a0b3a6b9c0a267af1ff6be072e70a366bac7ae6858218886a26a2040fff02000000000000000000000000006ba872cbaa0e82be8eaa0f8c00b7025868a2a40ffabe5894359352a9874d08aa86dd606a12a2792600583afffe80000000000000f7d4e8ccd81ddb43fe80000000000000f8be58fffe94359386006a3aa272024108123c94006b02586a3ea25e0800000000000000006a56a25504030440c01a5a94004e02581a5e94004702586a62a23e04000000006a66a229102409891f9a26ae6d00000000000000006a76a22004190300001a7a94001902586a7ea204102409891f9a26ae6dba98e781ca9ef9ba6bc872086be4b03a01b87206b03a01b87201 --pcap apf.pcap --data 00000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000
37 packets dropped
1733 packets passed
Data: 00000000000000000000000000000000000000000200000005000000000000000000000002000000000000001b000000000000000000000001000000000000000000000000000000000000000000000000000000000000000000000689000000000000003c00000000000000000000000000000000000006ea