A example of NF_IP_PRE_ROUTING module(转载)

最新推荐文章于 2025-02-13 16:27:00 发布
转载 最新推荐文章于 2025-02-13 16:27:00 发布 · 1.1k 阅读 · 1
文章标签:

#module #struct #hook #list #数据结构 #table

1、 要做什么
  • netfilter Hook点注册一个自己的Hook函数,截取每一个数据包
  • 读取文件,获取IP列表
  • Ip匹配
  • 是否进行重定向的工作,是否丢弃等

2、netfilter结构以及HOOK点的选择

 

Fig.1 Hook Point of netfilter

[选择]NF_IP_PRE_ROUTING(local process所发送的包不在限制之列)

3、NF_IP_PRE_ROUTING下优先级的选择

            Hook点的Hook函数依照优先级一次执行。

            2.6Kernel(2.4Kernel下自己查询)PREROUTINGHOOK操作主要有(依优先级大小)

(1)     .hook = ip_sabotage       .priority = NF_IP_PRI_FIRST

      丢弃skb结构中设置桥参数但没有相关桥标志的包

(2)     .hook = ip_conntrack_defrag  .priority = NF_IP_PRI_CONNTRACK_ DEFRAG //(-400)

      完成分片重组,之后处理过程中的包都是非分片包,直到包要送出本机

(3)     .hook = ipt_hook   .priority = NF_IP_PRI_RAW //(-300)

      raw表,提供对收到的数据包在连接跟踪前进行处理的手段

(4)     .hook = ip_conntrack_in  .priority = NF_IP_PRI_CONNTRACK //(-200)

  完成连接跟踪,为每个skb找到所属连接(ESTABLISHED, REPLY)或新建连接(NEW, RELATED)

(5)     .hook = ipt_route_hook  .priority = NF_IP_PRI_MANGLE //(-150)

      mangle表,提供对收到的数据包进行修改的处理

(6)     .hook = ip_nat_in   .priority = NF_IP_PRI_NAT_DST //(-100)

      对刚收到的本机skb包进行目的NAT操作,只对NEW包处理

(7)     .hook = ing_hook   .priority = NF_IP_PRI_FILTER + 1 //(1)

      对进入本机的skb包进行排队处理,Qos操作

            [选择] .priority = NF_IP_PRI_CONNTRACK + 1(暂定)

       经过ip_conntrack_in之后,就可以判断连接状态,这样在进行IP匹配之前,可以判断这个状态,进一步减少要进行IP匹配包的数量

4、总体程序框架设计

数据结构与全局变量

struct ip_hash_data

{

       char       *ip_str;

};

 

typedef struct ip_hash_data *ip_hash_elem;

 

struct ip_hash_entry

{

       ip_hash_elem        elem;

       struct ip_hash_entry     *next;

 

};

 

typedef struct ip_hash_entry *ip_hash_table;

 

struct global_param

{

       ip_hash_table      *ipt_install;

       ip_hash_table      *ipt_update;

       int                  ip_num_install;

       int                  ip_num_update;

       struct ip_hash_data      data_install[4999];

       struct ip_hash_data      data_update[4999];

};

init()(example, 2.6 kernel , 2.4 kernel改变不大)

调用ip_hash_create创建2个空hash链表ipt_install ipt_update

调用2fileread模块填充2hash链表

调用rising_ip_match模块进行过滤匹配以及后续处理

 

 

 

 

static struct nf_hook_ops ip_match_ops = {

.hook = ip_match,  //主函数

.owner =  THIS_MODULE,

.pf = PF_INET,

.hooknum = NF_IP_PRE_ROUTING,

.priority = NF_IP_PRE_CONNTRACK + 1,

           };

 

            static int __init  init(void)

            {

              int ret;

              ret = nf_register_hook(ip_match_ops);  //注册自己的Hook函数

              if(ret < 0)

                     goto cleanup_hook;

              return ret;

 

            cleanup_hook:

              nf_unregister_hook(ip_match_ops)

              return ret;

            }

 

            module_init(init);

            ...

file_read()

static int fileread(const char *filename, ip_hash_table **ipt)

根据filename读取文件获取ip列表

调用hash模块的ip_hash_insert插入hash元素

 

 

 

 

ip_match()

(1) int packet_judge(struct sk_buff **pskb)

在匹配IP列表匹配之前,先允许通过一些没必要IP匹配的包:

从外网卡进来的包,不是IP包,包状态不是NEW的包

(2) int is_in_ip_list(struct sk_buff **pskb, ip_hash_table *ipt,)

调用ip_hash_find查找源IP是否在hash链表中

(3) void ip_redirection(struct sk_buff **pskb, char *ip_str)

       针对NEW包完成重定向功能,包目的地址改成ip_str

 

 

 

 

static unsigned int ip_match(

unsigned int hook,

struct sk_buff **pskb,

const struct net_device *in,

const struct net_device *out,

int (*okfn)(struct sk_buff *))

            {

              int ret;

              ret = get_list_from_server();

              if(ret < 0) {

                     printk(KERN_NOTICE “cannot get list from server.”);

                     return NF_DROP;  //拒绝所有包通过

              }

              //让一些不用IP匹配的包通过,比如不是IP包,或者ESTABLISHED的包,或者从外网卡发送过来的包。

              ret = packet_judge();

              if (ret == 0)

                     return NF_ACCEPT;

             

              //进行IP匹配

              if(is_in_install_list) {

                     if(is_in_update_list)

                            return NF_ACCEPT;         //允许通过

                     else

                            ip_redirection();           //转向update页面

              } else

                     ip_redirection();                  //转向安装页面

              return NF_ACCEPT;

            }

get_list_from_server()

有这么几种选择:

Ø       可以在应用层写一个程序,接受ip_list并写入文件ip_list_installip_list_update。而在内核里只要sys_read()进行简单的文件读取。

Ø       在内核中使用常用的socket函数完成ip_list的获取。比如调用bind(),可以用sys_socketcall(SYS_BIND, args)替代。

Ø       使用kernel socket lib完成ip_list的获取。常用的函数比如 sock_create_kern(), send_msg()

Ø       使用内核线程(没有mm域,会造成竞争以及并发的问题,不推荐使用)

Ø       自己构建TCP包,依葫芦画瓢构建SYN ACK的数据结构sk_buff以及TCP DATA,再用dev_queue_xmit()发送出去(该方法着眼于具体的包,有很多可以改进的地方,比如可以与服务器商定,在含有ip_list的包中,sk_buff的数据区域的最前面多加一些信息用于判断这个包是否位含有ip_list的包)

           

            问题:一个程序的kernel内核栈一般为8KB,而一个IP4byte,即使4000个也占有16KB

packet_judge()

            static int packet_judge(struct sk_buff **pskb)

            {

              //sk_buff中包含有三个union,分别为传输层、网络层和链路层的头,可以通

              //过判断这些头部进行这些数据包的率选。

              //当然,还可以通过sk_buff的其他部分进行判断,比如成员struct nf_ct_info           //*nfct 判断IP包的连接状态是否为ESTABLISHED

              //再比如判断是哪个网卡接受过来的包,判断是内网卡还是外网卡

              // 等等

}

is_in_install_list(),  is_in_update_list()

IP的匹配无论放在核还是核外都是一件很耗资源的事情(建议放在内核外面,不然会慢内核效率)

由于IP列表包含的IP数量多,一项一项地匹配是意见效率不高的事情,改进的一些想法有(留待进一步讨论)

Ø       hash表:一种用空间换取时间的方法,因为对于机器而言,用数组下标找寻数据是很快的方法,而hash表的作用就是把散列的数据用数组的形式进行存储。

Ø       其他方法(未及多想)

ip_redirecton()

static int ip_redirection(struct sk_buff **pskb, u_int_32_t ip)

{

//修改sk_buff中ip头的daddr,指定目的地址

(*pskb)->nh.iph->daddr = ip; //?

}

注1:替代inet_addrinet_itoa

unsigned long inet_addr_my(char *ip_str);

char *inet_itoa_my(unsigned long ip_num);

       char *iota(unsigned long num);

 

注2:sk_buff理解的差异:在这个插入点上,即使时TCP包,我发现(*pskb)->h.th->dest并没有得到我想要的目的端口,而只能通过struct tcphdr *tcph = (struct tcphdr *)((*pskb)->nh.iph + (*pskb)->nh.iph->ihl)来获取tcph的数据

 

 

 

28、IPv6与Netfilter子系统技术解析
ujm567890的博客
07-06 4
本文深入解析了IPv6子系统和Netfilter子系统的技术细节,涵盖IPv6功能函数、宏定义、特殊地址、路由管理,以及Netfilter的钩子机制、框架功能和应用场景。分析了两者在网络栈中的协作关系,并通过代码示例展示了IPv6组播操作和Netfilter钩子注册的实现方式。适用于对Linux网络内核、网络安全和IPv6技术感兴趣的开发者和研究人员。
netfilter 链接跟踪机制与NAT原理
m0_74282605的博客
01-11 447
(原因:当数据包进入连接跟踪后,会建立一个tuple以及相应的replay tuple,而应答的数据包,会查找与之匹配的repaly tuple,——对于源地址转换而言,应答包中的目的地址,将是转换后的地址,而不是真实的地址,所以,为了让应答的数据包能找到对应的replay tuple,很自然地,NAT模块应该修改replaly tuple中的目的地址,以使应答数据包能找到属于自己的replay)。对于本地的包,一旦它被生成,就必须经过路由代码的处理,但这个包具体到哪儿去,要由NAT代码处理之后才能确定。
关于NF_IP_PRE_ROUTING
zsszss0000的专栏
02-28 1505
关于NF_IP_PRE_ROUTING 问题:在内核编程中(2.6.25.17)中使用NF_IP_PRE_ROUTING,出现错误“'NF_IP_PRE_ROUTING' undeclared (first use in this function)”,而代码里面已经包含了netfilter_ipv4.h。 原因:在2.6.22以及以后的内核中,NF_IP_PRE_ROUTING
NF_IP_PRE_ROUTING挂钩子修改skbuff问题
high7344的专栏
03-20 2265
NF_IP_PRE_ROUTING挂钩子修改skbuff问题<br />[i=s] 本帖最后由 kangle000 于 2010-07-19 06:59 编辑 [/i]<br /><br />以下代码是在2.6.31内核中执行的,根据send_rst改写的。但是代码存在以下几个问题:<br />1、捕包发现ip头的version字段为0,offset的值不为0,校验出错。<br />2、udp头的内容好像并没有更改。<br />3、us指针指向的内容并没有改变<br />4、经常死机<br />请大家帮我
内核模块编写
qq_42477169的博客
08-11 574
下面是一个简单的内核模块示例,满足您的需求。该模块在钩子处监控ICMP报文,统计符合大小条件的ICMP包,并通过proc文件系统提供统计信息。
Linux netfilter 模块优先级
rclijia的专栏
03-15 1470
netfilter机制就不详述了,只想纪录一下netfilter模块匹配顺序。 比如下面的hook结构: struct nf_hook_ops my_hook = { .hook = hook_func, .hooknum = NF_INET_PRE_ROUTING, .pf = PF_INET, .priority = NF_IP_PRI_FIRST, }...
``` #include <linux/module.h> #include <linux/kernel.h> #include <linux/netfilter.h> #include <linux/netfilter_ipv4.h> #include <linux/ip.h> #include <linux/icmp.h> #include <linux/netlink.h> #include <net/sock.h> #include <linux/skbuff.h> #include <linux/string.h> #include <linux/time.h> #define NETLINK_USER 31 static struct sock *nl_sock = NULL; static unsigned int n = 100; // 传入的参数n,范围为[100~1000],默认100 // 统计信息结构体 struct ping_stat { u32 src_ip; struct timespec timestamp; }; static struct ping_stat stats[1000]; // 假设最多统计1000个包 static int stat_count = 0; // Netfilter钩子函数 static unsigned int ping_stat_hook(void *priv, struct sk_buff *skb, const struct nf_hook_state *state) { struct iphdr *ip_header; struct icmphdr *icmp_header; unsigned int data_len; ip_header = ip_hdr(skb); if (ip_header->protocol != IPPROTO_ICMP) return NF_ACCEPT; icmp_header = (struct icmphdr *)(skb->data + (ip_header->ihl * 4)); data_len = skb->len - (ip_header->ihl * 4) - sizeof(struct icmphdr); if (data_len == n) { if (stat_count < 1000) { stats[stat_count].src_ip = ip_header->saddr; getnstimeofday(&stats[stat_count].timestamp); stat_count++; } } return NF_ACCEPT; } // Netfilter钩子结构体 static struct nf_hook_ops nfho = { .hook = ping_stat_hook, .pf = NFPROTO_IPV4, .hooknum = NF_INET_PRE_ROUTING, .priority = NF_IP_PRI_FIRST, }; // Netlink消息处理函数 static void netlink_recv_msg(struct sk_buff *skb) { struct nlmsghdr *nlh; int pid; struct sk_buff *skb_out; int msg_size; int res; nlh = (struct nlmsghdr *)skb->data; pid = nlh->nlmsg_pid; // 发送方的PID // 准备响应消息 msg_size = stat_count * sizeof(struct ping_stat); skb_out = nlmsg_new(msg_size, 0); if (!skb_out) { printk(KERN_ERR "Failed to allocate new skb\n"); return; } nlh = nlmsg_put(skb_out, 0, 0, NLMSG_DONE, msg_size, 0); NETLINK_CB(skb_out).dst_group = 0; // 单播 memcpy(nlmsg_data(nlh), stats, msg_size); // 发送消息 res = nlmsg_unicast(nl_sock, skb_out, pid); if (res < 0) printk(KERN_ERR "Error while sending back to user\n"); } // 模块初始化函数 static int __init ping_stat_init(void) { struct netlink_kernel_cfg cfg = { .input = netlink_recv_msg, }; printk(KERN_INFO "Initializing Ping Stat Module\n"); // 注册Netfilter钩子 nf_register_hook(&nfho); // 创建Netlink socket nl_sock = netlink_kernel_create(&init_net, NETLINK_USER, &cfg); if (!nl_sock) { printk(KERN_ALERT "Error creating netlink socket\n"); return -1; } return 0; } // 模块退出函数 static void __exit ping_stat_exit(void) { printk(KERN_INFO "Exiting Ping Stat Module\n"); // 注销Netfilter钩子 nf_unregister_hook(&nfho); // 释放Netlink socket if (nl_sock) netlink_kernel_release(nl_sock); } module_init(ping_stat_init); module_exit(ping_stat_exit);```windows怎么ping指定200字节长度的报文
03-19
但要注意的是,-l参数指定的只是数据部分的大小,不包括ICMP头部和IP头部。ICMP头部通常是8字节,IP头部通常是20字节(如果没选项的话)。因此,总的数据包大小是200 + 8 + 20 = 228字节。用户可能需要知道这一点,...
netfilter例3:扩展ip报头
newand
12-10 1124
前两个例子是比较简单的应用。本例对报文头部做扩展,加上一个扩展报头。 /* * This programe is working as plugin of netfilter which will pin a timestamp to * the destination header of ipv6 packet every x seconds when the packet is * the
Kernel之Tcpdump和Netfilter
weixin_42271802的博客
02-13 1113
Netfilter 是 Linux 内核中的一个框架,用于对网络数据包进行过滤、修改和重定向。它提供了多个钩子点(hook points),允许用户在不同的网络层插入自定义逻辑。它可以用于捕获不同 ISO模型中的多个层次的数据包,具体取决于过滤条件和抓包配置。验证成功(无法连接)
linux钩子函数c代码示例
最新发布
08-02
MODULE_DESCRIPTION("Kprobe example for sys_open"); ``` --- ### 使用 LSM 实现钩子函数 LSM 是 Linux 提供的安全模块框架,允许安全策略模块插入到内核的关键路径中,常用于访问控制和审计。 以下是一个简单...
深入Linux网络核心堆栈--netfilter详解(整理)
maimang1001的专栏
04-02 2545
目录 1 - 简介 1.1 - 本文涉及的内容 1.2 - 本文不涉及的内容 2 - 各种Netfilter hook及其用法 2.1 - Linux内核对数据包的处理 2.2 - Netfilter对IPv4的hook 3 - 注册和注销Netfilter hook 4 - Netfilter 基本的数据报过滤技术[1] 4.1 - 深入hook函数 4.2 - 基于接口进行过滤 4.3 - 基于地址进行过滤 4.4 - 基于TCP端口进行过滤 5 - Netfilter...
Linux netfilter 学习笔记 之七 ip层netfilter的连接跟踪模块的概念及相关的数据结构分析
lickylin的专栏
06-26 6357
内核版本 2.6.16   连接跟踪(CONNTRACK)就是跟踪并且记录连接状态。包括 TCP 、UDP、ICMP  等协议类型的连接。其主要是判断该数据包是什么状态。根据数据包的源ip地址、目的ip地址、源端口、目的端口、协议号来确定一条连接。   因为连接跟踪支持TCP、UDP、ICMP等协议,而不同的协议,其处理上会有一些不同,因此增加了协议相关的连接跟踪结构,即nf_conntr
利用netfilter截获、修改数据包基础与实现
AFCC_的博客(Web_Dog)
08-21 4003
本着记录自己疯狂过的青春,对netfilter的应用学习做点记录。 0x00前提 双网卡硬件设备作中间件,一个网卡接收向另一网卡转发时进行操作数据包。下文中举例eth0为进入,eth1为发出,相对而言。本次开发利用netfilter框架进行完整开发,基本实现对数据包的任意操作。 0x01 什么是netfilter Netfilter是linux2.4.x引入的一个子系统,作为一个通用的、抽象的框...
linux nf_conntrack 连接跟踪机制 3-hook
weixin_30340617的博客
05-12 493
conntrack hook函数分析 enum nf_ip_hook_priorities { NF_IP_PRI_FIRST = INT_MIN, NF_IP_PRI_CONNTRACK_DEFRAG = -400//优先级最大, 涉及到ip 分片重组 NF_IP_PRI_RAW = -300, NF_IP_PRI_SELINUX_F...
防火墙之filter表()---AF_INET协议族
九天小哥的专栏
03-31 1075
继上一篇笔记Netfilter之filter表(),这篇笔记来看看AF_INET协议族的filter表的钩子的注册,以及防火墙检查时规则的遍历。 1. HOOK的注册 static int __init iptable_filter_init(void) { ... /* Register hooks */ ret = nf_register_hooks(ipt_ops, ARRAY_SIZ...
Linux netfilter 学习笔记 之二 ip 层netfilter的hook 注册以及执行hook函数的概要分析
lickylin的专栏
06-21 9211
上一节分析了hook机制,本节简单介绍下三层防火墙借助hook机制,实现的总体框架   1 三层netfilter hook点的注册与注销 我们知道使用iptables,添加规则时需要指定表,在iptables中有filter、nat、mangle三张表,因为我们接下来几节分析的内容也是从这三个table表加上连接跟踪,此处我们也已这四个模块来将,而不是按HOOK点的分类来分析 1.1 f
深入Linux网络核心堆栈--netfilter详解
linux
10-24 1154
目录   1 - 简介   1.1 - 本文涉及的内容   1.2 - 本文不涉及的内容 2 - 各种Netfilter hook及其用法   2.1 - Linux内核对数据包的处理   2.2 - Netfilter对IPv4的hook 3 - 注册和注销Netfilter hook 4 - Netfilter 基本的数据报过滤技术[1]   4.1 - 深入hook函数
从netfilter的NF_IP_PRE_ROUTING抓包 和 用libpcap抓包有什么区别?
hubi0952的专栏
06-07 2127
从netfilter上抓的包好象只能是进入本机或广播包,不能抓混杂模式下的不进入本机的数据。 不知道从netfilter上能不能监听网卡上的数据,就像原始套接字一样混杂模式下监听网络数据。 终于在ip_input.c中找到了 /* When the interface is in promisc. mode, drop all the crap * that it receiv
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值