[讨论]netfilter和Libpcap的区别？

议题作者：wangfengmadking
信息来源：邪恶八进制信息安全团队（www.eviloctal.com）

以我现在的理解，libpcap的机制实际就是BPF机制我认为区别有：
1、netfilter是在主干道上抓包可以决定包的生死可以对包进行阻断，libpcap是监听已经流经的包。
2、netfilter是以一个包为触发单位，而为了提高效率BPF机制在将包交给libpcap时收集多个包一起返回给
libpcap的函数。

我有如下问题：
1、netfilter在获得包时，数据包进行过几次拷贝，我认为只有一次，就是从网卡拷贝到内核的内存区。
那libpcap获得包经过了几次呢？是不是由于其在用户空间，多经历了一次内核到用户空间的拷贝呢？
2、BPF机制在linux是用什么方式实现的呢？有没有什么资料共享一下，呵呵。