Linux下如何修改TCP数据包内容

已于 2022-08-19 13:42:37 修改
阅读量2.4k 收藏 5
点赞数
文章标签: linux tcp/ip
于 2022-08-19 10:41:29 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/c_cppcoder/article/details/124351203
版权
本文介绍如何在CentOS 7环境下,利用Linux内核模块netfilter,针对IPv4的TCP数据包(端口25865),在用户态修改HTTP头部,包括调整TCP头和IP头,处理seq/ack及checksum。重点讲解了如何通过nf_conntrack和nf_nat_helper处理数据长度变化带来的seq/ack调整问题。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

前言:

        手里的一个项目有一个这样的需求: 用户态拿到一条完整的ip数据包让我修改tcp的内容, 那具体的要求就是如果用户层协议是http协议, 那就添加自定义的http头, 比如 username:lilei. 这对于nginx来说很容易实现, 因为它本身是个tcp服务也是个tcp客户端, 只需要在转发数据时添加自定义头就行了.

        但是如果用户态拿到ip数据包后硬刚, 还是比较麻烦的, 主要包含三个方面: 1要调整tcp头的长度字段和ip头的长度字段, 2要调整seq和ack(这个跟数据的长度还有直接关联), 3要调整checksum

        第1和第3很容易实现, 网上就能找到方法, 但是第2个是比较麻烦的. 因为seq和ack跟数据包的长度有直接关联, 所以你插入自定义数据头后, 数据长度增加, 相应的seq和ack也要调整, 所以你要存储这些变量, 这就很麻烦了.

        而且我也通过这三个方面的调整, 能初步实现<<修改tcp的数据内容>>功能, 增加的自定义头可以在服务端打印出来, 但是后续测试中发现此方法并不适合这个项目, 所以我就放弃了. 不过还好, linux内核模块netfilter帮我们实现了. 我们只需要使用netfilter写个内核模块即可.

条件:

        centos7, linux内核3.10, 针对ipv4协议的tcp数据包, 某个固定端口, 本文为25865. 正文如下:

目录:

         该目录主要包含两个文件, 一个是源码文件, 一个是Makefile文件.

append_ipv4.c:

#include <linux/module.h>
#include <net/ip.h>
#include <net/netfilter/nf_conntrack_helper.h>
#include <net/netfilter/nf_conntrack_seqadj.h>
#include <net/netfilter/nf_nat_helper.h>
#include <linux/kernel.h>

MODULE_LICENSE("GPL");
MODULE_AUTHOR("HELLO");
MODULE_DESCRIPTION("Append something");
MODULE_VERSION("0.0.1");

enum {  
        NF_IP_PRE_ROUTING,
        NF_IP_LOCAL_IN,
        NF_IP_FORWARD,
        NF_IP_LOCAL_OUT,
        NF_IP_POST_ROUTING,
        NF_IP_NUMHOOKS
};

static struct nf_hook_ops append_in;    // netfilter hook选项 in
static struct nf_hook_ops append_out;    // netfilter hook选项 out

// netfilter
// 当前无直接操作, 直接返回
static unsigned int hook_out(unsigned int hooknum, struct sk_buff *skb, const struct net_device *in, 
                                const struct net_device *out, int (*okfn)(struct sk_buff *))  
{
        return NF_ACCEPT;
}

// netfilter
// 进数据的hook回调函数
static unsigned int hook_in(unsigned int hooknum, struct sk_buff *skb, const struct net_device *in, 
                                const struct net_device *out, int (*okfn)(struct sk_buff *))  
{
        struct iphdr *ip_header = ip_hdr(skb);
        if (ip_header != NULL && ip_header->version == 4 && ip_header->protocol == IPPROTO_TCP)
        {
                struct tcphdr *tcp_header = NULL;
                struct nf_conn *n_conn = NULL;
                enum ip_conntrack_info i_conntract_info;
                int offset = 0, tcp_payload_len = 0;
                unsigned int saddr = 0, daddr = 0, sport = 0, dport = 0;
                char *tcp_payload = NULL, *pos = NULL, append_info[48] = {0x00};
                unsigned char src_ip[16] = {0x00};
                

                if (skb_linearize(skb)) 
                {
                        return NF_ACCEPT;
                }

                tcp_header = tcp_hdr(skb);
		saddr = (unsigned int)ip_header->saddr;
		daddr = (unsigned int)ip_header->daddr;
		sport = (unsigned int)ntohs(tcp_header->source);
		dport = (unsigned int)ntohs(tcp_header->dest);
		tcp_payload = (char *)((long long)tcp_header + ((tcp_header->doff) * 4));
		tcp_payload_len = skb->len - (ip_header->ihl * 4) - (tcp_header->doff * 4);

                if (tcp_payload_len == 0) 
                {
                        return NF_ACCEPT;
                }

                 // 为了判断HTTP协议
                if (tcp_payload_len < 10) 
                {
                        return NF_ACCEPT;
                }

                // 简单判断下是否为http协议, 如果不是则返回
                // 如果是正常的HTTP协议, 第一行格式: GET /uri HTTP/1.1 \r\n
                // 在TCP数据段找到第一个\r\n的位置, 如果没有\r\n肯定不是HTTP协议
                if ((pos = strstr(tcp_payload, "\r\n")) == NULL) 
                {
                        return NF_ACCEPT;
                }

                // HTTP协议
                if ((strncmp(pos - strlen("HTTP/1.0"), "HTTP/1.0", strlen("HTTP/1.0")) == 0 || strncmp(pos - strlen("HTTP/1.1"), "HTTP/1.1", strlen("HTTP/1.1")) == 0) && dport == 25865)
                {
                        sprintf(src_ip, "%pI4", &saddr);
                        sprintf(append_info, "Username: This_is_append_info\r\n");
                        printk(KERN_INFO "%s append something %s\n", src_ip, append_info);

			n_conn = nf_ct_get(skb, &i_conntract_info);
                        nfct_seqadj_ext_add(n_conn);
                        offset = (int)(pos - tcp_payload) + 2;

			if (n_conn && nf_nat_mangle_tcp_packet(skb, n_conn, i_conntract_info, ip_header->ihl * 4, offset, 0, append_info, strlen(append_info))) 
			{
                                return NF_ACCEPT;
		  	}
                }
        }
        return NF_ACCEPT;
}

static int append_modules_init(void)
{
        append_in.hook = (nf_hookfn*)hook_in;
        append_in.hooknum = NF_IP_LOCAL_IN;
        append_in.pf = PF_INET;
        append_in.priority = NF_IP_PRI_FIRST;
        
        append_out.hook = (nf_hookfn*)hook_out;
        append_out.hooknum = NF_IP_LOCAL_OUT;
        append_out.pf = PF_INET;
        append_out.priority = NF_IP_PRI_FIRST;
        printk(KERN_INFO "Register append_ipv4 modules!\n");
        return (nf_register_hook(&append_in) || nf_register_hook(&append_out)) ? -1 : 0;
}

static void append_modules_exit(void)
{
        nf_unregister_hook(&append_in);
        nf_unregister_hook(&append_out);
        printk(KERN_INFO "Cleaning append_ipv4 modules!\n");
}

module_init(append_modules_init);
module_exit(append_modules_exit);

Makefile:

# Makefile for append_ipv4

MODULE_NAME := append_ipv4
obj-m :=$(MODULE_NAME).o

KERNELDIR ?= /lib/modules/$(shell uname -r)/build
PWD := $(shell pwd)

all:
	$(MAKE) -C $(KERNELDIR) M=$(PWD)
clean:
	$(MAKE) -C $(KERNELDIR) M=$(PWD) clean

HTTP服务:

        我是用golang gin组件编写了一个简单的http服务, 监听端口为25865, 并打印自定义头Username. 部分代码如下:

package testforipv4

import (
	"fmt"

	"github.com/gin-gonic/gin"
)

func Post(c *gin.Context) {
	c.JSON(200, gin.H{"POST": "post method"})
}

func Get(c *gin.Context) {
	fmt.Println("append info:", c.GetHeader("Username"))
	c.JSON(200, gin.H{"GET": "get method"})
}

func HTTPServer() {
	router := gin.Default()
	router.POST("/post", Post)
	router.GET("/get", Get)

	err := router.Run(*addr)
	if err != nil {
		panic(err.Error())
	}
}

测试:

        加载该内核模块前后对比如下:

我不买vip
关注
分析Linux内核TCP数据包处理流程
数字人生
03-02 165
后的回调函数:由链路层协议(如ETH_P_IP)决定,IPv4 调用ip_rcv,IPv6 调用ipv6_rcv。TCP 传输的回调函数:在 IP 层处理完成后,根据协议号 6 调用tcp_v4_rcv(IPv4)或tcp_v6_rcv(IPv6)。这种分层处理机制确保了数据包能够准确地被传递到相应的协议处理模块,从而满足不同网络协议的需求。在Linux内核中,当网络接口接收到一个数据包并且调用 netif_receive_skb(skb) 函数时,这个数据包将在网络协议栈中进一步被处理。
linux内核打印数据包,打印TCP数据数据
weixin_31452537的博客
04-29 983
如何从TCP数据包打印数据下面是一个完全满足您需求的示例:挂钩接收TCP数据包并打印其有效负载.如果要从接收的数据包中打印一些其他信息(如二进制数据),您只需要修改此注释下的部分:/ * —–从收到的TCP数据包中打印所有需要的信息—— * /如果您需要跟踪传输的数据包而不是接收的数据包,则可以替换此行:nfho.hooknum = NF_INET_PRE_ROUTING;这一个:nfho.hoo...
Linux 基于IPqueue机制在用户修改数据包(一)——内核数据包结构
07-13
用户态接受数据报文的代码,测试内核态与用户态通信的TCP和UDP通信代码
windows系统下TCP参数介绍及优化
最新发布
weixin_54470733的博客
03-03 1515
使用wireshark抓包软件抓取底层数据包传输分析,发现win11系统下更易触发TCP重传机制(如下图),并且恢复的很慢,但win10系统就不会出现该情况,在 Windows 中,TCP 全局参数通过 netsh int tcp show global 命令查看,这些参数控制 TCP 协议栈的底层行为,直接影响网络性能(如吞吐量、延迟、重传效率)。通过合理配置这些参数,测试发现显著优化网络性能,但需要较长时间测试查看结果。
unix系统重启tcp服务器,修改TCP数据包,系统重启,请懂的朋友帮我看下呢。
weixin_35773130的博客
08-10 354
#include MODULE_LICENSE("GPL");MODULE_AUTHOR("limeng");struct nf_hook_ops nfho;unsigned int sample(unsigned int hooknum,struct sk_buff *__skb,const struct net_device *in,const struct net_device *out,i...
修改tcp数据
weixin_30376083的博客
08-21 656
修改tcp数据 http://blog.sina.com.cn/s/blog_6f0c85fb0100xi1x.html 2.6内核基于NetFilter处理框架修改TCP数据包实现访问控制 参考上面的钩子函数,结合下面的函数修改tcp数据。 __nf_nat_mangle_tcp_packet (十五)洞悉lin...
利用netfilter进行TCP数据包的源IP地址修改修改TCP数据包内
xinshuai111的博客
05-08 6554
代码是在别个基础上修改的,不过还是花了不少时间调试通过。 想实现的功能是,client的IP地址是192.168.1.187,但是server发现跟自己建立链接的是192.169.1.188,实现了IP地址的隐藏。 在server端内核进行数据修改,server也无法发现自己的数据修改了。例如192.168.1.187的client给192.168.1.111的server发送数据0x11,但是对于server来说,收到的是192.168.1.188的0xFF。 client是windows...
tcp修改数据包服务器不认,为什么当客户端愉快地发送TCP包时,TCP数据包总是无法到达服务器?...
weixin_39701735的博客
08-09 595
回答我自己的问题。。。在简单的回答是,仅使用TCP,客户机无法知道目标接收者是否真的收到了发送的字节。在ie:客户端是否“高兴地”发送了字节并不重要。。。即使使用TCP,它们也可能永远不会到达,而且您肯定不知道它们何时到达预期的接收者。无论如何,如果不在应用程序层中构建一些确认,就不可能了。在对于我的特殊情况,客户机发送的字节确实到达了服务器,但用了~30秒(!!!)此时客户端和服务器应用程序协议...
利用socket套接字发送tcp数据
08-03
填充一个TCP数据包,并发送给目的主机。 1. 以命令行形式运行:SendTCP source_ip source_port dest_ip dest_port。 2. 头部参数自行设定,数据字段为“This is my homework of network of network,I am happy!”
计算机网络 发送tcp数据包 课程设计
06-26
相反,Linux系统对TCP和UDP的支持都非常全面,因此在Linux上实现TCP数据包的发送更为便捷。 实现TCP数据包发送的关键步骤包括: 1. 创建套接字:使用socket()函数创建一个套接字描述符。 2. 连接服务器:对于TCP,...
linux内核态发送tcp包,Linux内核发送构造数据包的方式
weixin_42374763的博客
04-29 843
本文欢迎自由转载,但请标明出处,并保证本文的完整性。作者:Godbach日期:2009/09/01一、构造数据包简析这里并不详细介绍如何在内核中构造数据包,下文如有需要会在适当的位置进行分析。这里简单的分析讲一下内核态基于Netfilter框架构造数据包的方式。内核中可以用到的构造数据包的方式,个人认为可以分为两种。其一,我们直接用alloc_skb申请一个skb结构体,然后根据实际的应用填充不同...
C语言伪造TCP、UDP数据包.zip
07-22
1. 构造ip头部 2. 构造TCP头部 3. 构造UDP头部 使用C语言,最后再填入数据
修改TCP/IP修改TCP/IP
01-10
如何修改TCP/IP并发连接数,网络上提供不少修改办法,但其中有不少是行通的,本文将做详细分析. 一、注册表修改法的误区 为了突破SP2对TCP并发连接数的限制,网上曾经流传过一种修改注册表的方法,操作步骤如下: 单击“开始”/运行,输入Regedit打开注册表,定位到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters下,修改的“TcpNumConnections”的键值,将之由10改为150,即设置TCP最大并发连接数为150。 经过实际测试,我们发现该方法看起来有效,但实质上并不能突破并发连接数限制,提高SP2的多线程访问速度。因为SP2对线程数目的控制,是通过“Tcpip.sys”这个系统文件来实现的,并不是通过注册表实现的,因此,该方法不能增加SP2的TCP并发连接数。 二、使用工具来替换Tcpip.sys 为了突破SP2的TCP并发连接数限制,正确地方法是修改Windows XP SP2的系统文件Tcpip.sys。Tcpip.sys是Windows XP SP2重要的系统文件,位于“C:\Windows\system32\drivers目录下。该文件由于平时受到系统保护,所以正常情况下你是无法替换它的,必须在安全模式或纯DOS模式下才能替换,建议你使用以下专门工具、来替换“Tcpip.sys”文件,操作步骤如下: 从网上http://www.lvllord.de/download.php?url=en/EvID4226Patch223d-en.zip下载替换工具(仅为30KB),用它来修改系统文件Tcpip.sys最大安全并发连接限制;然后备份一下C:\Windows\system32\drivers\Tcpip.sys文件。 接下来,双击打开下载文件ZIP压缩包,运行其中的替换工具EvID4226Patch.exe,随之将弹出一个命令行提示符窗口,首先显示Windows当前的Tcpip.sys文件版本,以及并发连接的限制数值(默认为10);接着询问你是否将连接数限制在50,你可以选择“Yes/No/Change”,如果你输入“Y”,则会将并发连接数改为“50”,如果想改为其他数(例如150),可以在提示符后输入“c”,然后输入最大的并发连接数(例如150)回车,最后在提示符下输入“Y”并回车,这样就替换了Tcpip.sys文件Tcpip.sys文件被替换后,随之会弹出系统文件保护对话框,你可以点击“取消”按钮,然后点击“是”按钮,重新启动后,Tcpip.sys文件的替换就大功告成了! 现在你的最大并发连接数已超过10个,达到了150个,因此Windows XP SP2的多线程访问速度得到了提升,当你用FlashGet、BT等多线程下载时,就不会感到网络带宽的限制了。 三、DOS下修改Tcpip.sys文件 以上替换程序EvID4226Patch.exe也可以在DOS下使用,方法是:首先把EvID4226Patch.exe拷贝到C盘根目录下;然后再进入DOS模式,进入C盘根目录,输入命令EvID4226Patch/L=$n$/w=C:\WINDOWS\system32\drivers/L=tcpip.sys即可修改Tcpip.sys文件。 注意:以上$n$为你要设置的最大安全连接数,假如要把最大并发连接数设置为150个线程,那么输入命令EvID4226Patch/L=150/w=C:\WINDOWS\system32\drivers/L=tcpip.sys即可。
易语言TCP_UDP封包拦截修改经典例子源码
10-05
TCP_UDP封包拦截接口\TCP通信.exe ...................\UDP通信.exe ...................\安装钩子DLL.exe ...................\mydll.dll ...................\mydll.e ...................\TCP通信.e ...................\UDP通信.e ...................\安装钩子DLL.e TCP_UDP封包拦截接口 以前玩网络游戏,很多人可能都有使用过WPE这个封包拦截软件,虽然现在WPE已时过境迁,但拦截替换网络封包的功能依然可以在某些抓包软件的身上看到。 本节我们自已也将设计一个类似于WPE那样的封包拦截替换功能的程序.该程序的封包拦截功能是在APIHOOK的基础上扩展而来的。 本节的源代码包里有两个软件,都是用易语编的. TCP通信.exe UDP通信.exe 本节要编的一个封包拦截软件,是需要用钩子EXE把一个钩子DLL文件插入目标进程中。对于拦截封包替换修改封包的功能全在DLL中实现 本节的下面的图中有些内与源代码里有所不同,一切以源代码为准.
TCP/IP抓包和数据解析,vs2010调试通过
08-02
自已设计的TCP/IP抓包和数据解析工具,vs2010调试通过,希望能帮到需要此类资源的朋友。
网络数据包拦截之:修改TCP包内时注意的问题
热门推荐
fanxiushu的专栏
02-28 2万+
首先描述一种现象,曾经家里的ADSL宽带,当用IE浏览器浏览网页时候, 不管你打开什么类型的网站,都会出现电信广告,或是嵌入到原来网页中或是弹出广告框,十分的讨厌。 曾经天真的以为是每个网站都跟电信合作,在他们的网站代码里潜入了电信广告, 其实不是这样,只要在任何一个网关路由设备里,拦截TCP数据包,这里的拦截是基于IP层数据包的拦截。 分析TCP包里HTTP协议并在里边添加数据,即可实现
window filter platform (wfp)修改TCP数据包的方法
lxf20054658的专栏
12-28 1万+
问题描述:使用WFP重定向了TCP链接到本地localhost后,为了能够告诉应用层原始链接的地址和端口,需要修改数据包,即在三次握手后插入一个自定义包。在实现这个小小功能时,遇到了不少问题,走了很多弯路,希望在此记录一下,以备不时之需,也希望能够对有需要的朋友有所帮忙,因为WFP驱动,基本没有中文资料,所有的资料和问题都需要亲自到MSDN找,也是大费周折。 很显然,TCP的重定向,参考了MSDN
linux如何修改ip数据
04-13 6248
dsr0.0.1程序存档及说明---如何修改ip数据包 2007-10-08 19:41:38 本程序功能 对发送的数据包的数据包类型进行修改改为dsr类型,设dsr类型的值为24同时加入dsr选项,保存原来的数据类型接收的数据包为逆过程还原原数据包的数据类型去掉dsr选项实现的效果只用同时运行该程序的机子可以进行通讯无法其他机子的正常通讯单机测试效果ping自己的机子可以ping通但ping
linux netfilter queue 修改数据包,用netfilter_queue 在用户态修改网络数据包的例子程序...
weixin_39944944的博客
05-17 148
#include #include #include #include #include #include #include #include #include #include #include #ifdef __LITTLE_ENDIAN #define IPQUAD(addr) /((unsigned char *)&addr)[0], ...
linux优化tcp数据包传输大小
07-18
Linux系统对TCP数据包的传输大小进行优化主要是通过调整网络栈中的某些参数,以提高性能和效率。以下是一些关键的优化手段: 1. **TCP MSS (Maximum Segment Size)**:这是TCP的最大报文段尺寸。增大MSS可以减少分...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值