Netfilter——Netfilter中的HOOK机制

最新推荐文章于 2025-02-19 11:30:00 发布
最新推荐文章于 2025-02-19 11:30:00 发布
阅读量9.6k 收藏 28
点赞数 5
文章标签: 防火墙 内核 网络 Netfilter
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/windeal3203/article/details/51204911
版权

  Netfilter 是 Linux网络内核协议栈提供了报文过滤(防火墙)框架,HOOK机制是Netfilter的核心。

一、如何在协议栈中调用钩子函数

  在协议栈中相应位置嵌入Netfilter的函数NF_HOOK,来拦截报文送到Netfilter中进行处理。
 

协议栈中的五条内置链

我们知道Linux网络内核内置了5条链PREROUTING、INPUT、FORWARD、OUTPUT、POSTROUTING, 其实就是在内核的五个位置嵌入了NF_HOOK函数,然后通过NF_HOOK进入Netfilter框架处理。我们以PREROUTING为例,看下插入NF_HOOK的五个位置。
  网卡驱动接收到报文,经过二层处理后,会调用net_receive_skb传递给具体的协议处理函数, 对于IPv4来说,这里的协议处理函数指的就是ip_rcv了。而我们PREROUTING链的NF_HOOK函数正是在ip_rcv中嵌入的。

/*
   *  Main IP Receive routine.
   *  主要功能:对IP头部合法性进行严格检查,然后把具体功能交给ip_rcv_finish。
   */    
  int ip_rcv(struct sk_buff *skb, struct net_device *dev, struct packet_type *pt, struct net_device *orig_dev)
  {           
            ......
        /* 进入Netfilter处理,处理完后如果报文还要继续往下传递,则进入ip_rcv_finish函数处理 */
      return NF_HOOK(PF_INET, NF_INET_PRE_ROUTING, skb, dev, NULL,
                 ip_rcv_finish);
            ......
 }
其他几条链的嵌入位置分别如下:

+ PREROUTING: ip_rcv
+ INPUT:ip_local_deliver
+ FORWARDip_forward
+ OUTPUT:raw_send_hdrinc
+ POSTROUTING:ip_mc_outputip_mc_output

二、NF_HOOK 钩子函数

(一)、nf_hook 钩子函数的存储

  钩子函数存储在全局二维数组nf_hooks中。
struct list_head nf_hooks[NFPROTO_NUMPROTO][NF_MAX_HOOKS] __read_mostly;
从nf_hooks的定义我们可以看出,该结构体每一个成员都是一个struct list_head对象。
NFPROTO_NUMPROTO有一下取值

enum {
    NFPROTO_UNSPEC =  0, 
    NFPROTO_IPV4   =  2, 
    NFPROTO_ARP    =  3
最低0.47元/天 解锁文章
轮子学长
关注
netfilter hook函数
fengcai_ke的博客
07-18 381
netfilter hook函数
linux内核协议栈 netfilterhook 机制概述
10-29 5867
1 netfilter介绍 Linuxnetfilter就是借助一整套的hook函数的管理机制,实现数据包在三层以上的过滤、地址转换(SNAT、DNAT)、基于协议的连接跟踪。我们所说的内核netfilter,应该包括二层数据的filter操作,以及对三层及三层以上数据的filter等操作。 只不过二层的filter实现与三层及三层也上的filter实现有所不同。其中二层的filter与应用层程序ebtables结合使用,而三层及以上的filter结合iptables使用。但是二层filter与...
Linux netfilter HOOK机制
kklvsports的专栏
05-11 949
    Linux系统上TCP/IP协议栈在内核态(DPDK等在用户态收包情况例外),用户态如果想要干预报文的处理就需要向内核态注入hook函数,如Linux的iptables,netfilter框架中的HOOK机制即是提供该功能的。通过之前分析ip报文的内核处理路径点击打开链接可知,内核中有如下5个hook点,他们和iptables中chain一一对应。对应hook函数在内核中是NF_HOOK调...
Linux防火墙Netfilter的深度解析
最新发布
深度Linux
02-19 1001
Linux 2.4.x引入的子系统,Netfilter是Linux 2.4.x引入的一个子系统,它作为一个通用的、抽象的框架,提供一整套的hook函数的管理机制,使得诸如数据包过滤、网络地址转换(NAT)和基于协议类型的连接跟踪成为了可能, 在 Linux 系统中发挥着至关重要的作用。它是一个强大而灵活的网络包过滤框架,为系统管理员提供了对网络数据包的精细控制。Netfilter 通过在内核中插入钩子点,实现对网络数据包的过滤、修改和转发。
netfilter hook实验
kklvsports的专栏
05-11 866
    上一篇点击打开链接介绍了netfilter机制,本篇通过一个极简单的内核模块实践一下该机制
arptable_filter.rar_hook ip_netfilter_netfilter a_内核HOOK
09-19
Netfilter内核源代码,可以作为研究ARP,IP的HOOK的前提。
Linux 网络协议栈开发(七)—— Netfilter 概述及其hook
知秋一叶
01-14 3469
Netfilter概述          Netfilter/IPTables是Linux2.4.x之后新一代的Linux防火墙机制,是linux内核的一个子系统。Netfilter采用模块化设计,具有良好的可扩充性。其重要工具模块IPTables从用户态的iptables连接到内核态的Netfilter的架构中,Netfilter与IP协议栈是无缝契合的,并允许使用者对数据报进行过滤、地址转换
linux内核协议栈 netfilter 之 ip 层的 hook 注册概述以及 hook 的调用场景
10-29 2279
1三层netfilterhook点的注册与注销 我们知道使用iptables,添加规则时需要指定表,在iptables中有filter、nat、mangle三张表,因为我们接下来几节分析的内容也是从这三个table表加上连接跟踪,此处我们也已这四个模块来将,而不是按HOOK点的分类来分析 1.1filter 表 hook 注册 struct nf_hook_ops ipt_ops Filter表主要在以下几个hook点上其作用: NF_IP_LOCAL_IN NF_IP_LOCAL_OUT ...
基于Netfilter框架, 编写自己的hook函数,修改经过hook点的数据包目的地址
xiangminlu的博客
12-07 910
参考连接 http://blog.chinaunix.net/uid-20662820-id-142433.html 修改经过钩子的数据包目的地址: 结果图: //linux 内核数据包转发模块 /** myhook_func.c Makefile 编译:make 加载:sudo insmod myhook_func.ko remark=0 dst=192.168.92.129 //re...
Hook技术--⑥Netfilter
一些个人笔记,写的不好之处,还请海涵
10-31 558
Netfilter/IPTables是Linux2.4.x之后新一代的Linux防火墙机制,是一套融入到linux内核网络协议栈的框架,是linux内核的一个子系统。Netfilter采用模块化设计,具有良好的可扩充性。其重要工具模块IPTables从用户态的iptables连接到内核态的Netfilter的架构中,在报文流经的关键位置处,基于不同协议(ipv4/ipv6)的hook方式,使用hook列表中对应的钩子函数匹配处理,以实现过滤、修改报文、跟踪等功能;
netfilter中的hook流程图
11-12
绝对自己总结的,详细介绍了hook的流程,其中包括调用的一些函数。
linux内核netfilter模块HOOKs点的注册及调用
04-19
详细介绍了linux下防火墙netfilter模块的hooks注册、调用、测试等情况。
【博客587】ipvs hook点在netfilter中的位置以及优先级
qq_43684922的博客
01-15 2221
根据定义,ipvs挂载在LOCAL_IN、FORWORD和LOCAL_OUT的hook点上了,根据优先级,我们得到以下结论:1、INPUT:ipvs的hook会在Filter TABLE 后执行,然后转到NAT TABLE2、OUTPUT:ipvs的hook会在NAT TABLE ,然后转到Filter TABLE3、FORWARD:ipvs的hookFilter TABLE后执行,然后结束整个FORWARD,包往POSTROUTING走。
【Linux 驱动】Netfilter/iptables (四) 窥探 Netfilter Hook 机制
wenqian 'blog
12-22 3908
上篇文章介绍了注册和注销Netfilter/iptables,其中对于hook函数,我们没有具体到数据包的规则处理,直接一律来者皆拒(NF_DROP)。 ok,我们接着前面,深入探索下hook函数: typedef unsigned int nf_hookfn(const struct nf_hook_ops *ops, struct sk_buff *s
【博客598】从netfilter hook执行原理分析iptables为什么自定义链无法主动调用只能从其它链跳转过来
qq_43684922的博客
01-18 1030
跳转目标(jump target)jump target 是跳转到其 他 chain 继续处理的动作。很多内置的 chain,它们和调用它们的 netfilter hook 紧密联系在一起。iptables 也支持管理员创建他们自己的用于管理目的的自定义chain。为什么自定义链无法主动调用只能从其它链跳转过来:用户定义的 chain 只能通过从另一个规则跳转(jump)到它,因为它们没有注册到 netfilter hook,因为netfilter hook中没有自定义hook点,只有固定的5个内置点。
Netfilter概述及其hook
热门推荐
lw_yang的博客
09-14 1万+
Netfilter概述          Netfilter/IPTables是Linux2.4.x之后新一代的Linux防火墙机制,是linux内核的一个子系统。Netfilter采用模块化设计,具有良好的可扩充性。其重要工具模块IPTables从用户态的iptable...
Netfilter 概述及其hook
咕唧咕唧shubo.lk的专栏
01-16 7907
Netfilter概述         Netfilter/IPTables是Linux2.4.x之后新一代的Linux防火墙机制,是linux内核的一个子系统。Netfilter采用模块化设计,具有良好的可扩充性。其重要工具模块IPTables从用户态的iptables连接到内核态的Netfilter的架构中,Netfilter与IP协议栈是无缝契合的,并允许使用者对数据报进行过滤、地址转换、处
Linux netfilter 学习笔记 之一 HOOK机制的分析与应用
lickylin的专栏
06-19 8217
ddddd
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值