kernel使用skb打印ip地址和tcp端口号

最新推荐文章于 2025-06-10 00:30:00 发布

原创最新推荐文章于 2025-06-10 00:30:00 发布 · 2k 阅读

1 ·

CC 4.0 BY-SA版权

文章标签：

#linux

计算机网络同时被 2 个专栏收录

27 篇文章

订阅专栏

kernel

5 篇文章

订阅专栏

本文介绍了在Linux内核代码中使用`printk_ratelimit()`结合宏`NIPQUAD()`来限制打印频率并优雅地显示IP地址的方法。当网络包为IP协议时，代码会提取并打印源和目标IP地址以及TCP信息，如端口号。此外，还展示了一个新的内核打印IP地址的简洁方式。

if(printk_ratelimit())

{

#define NIPQUAD(addr) \

((unsigned char *)&addr)[0],

\ ((unsigned char *)&addr)[1],

\ ((unsigned char *)&addr)[2],

\ ((unsigned char *)&addr)[3]

if((skb ->protocol) == htons(ETH_P_IP ))

{

struct iphdr *nh;

struct tcphdr *th;

nh = ip_hdr(skb);

//printk("src: %u.%u.%u.%u, dst: %u.%u.%u.%u\n", NIPQUAD(nh->saddr), NIPQUAD(nh->daddr));

if(nh->protocol == IPPROTO_TCP)

{

th = tcp_hdr(skb);

printk(" src: %u.%u.%u.%u, sport: %d dst: %u.%u.%u.%u dport: %d \n", NIPQUAD(nh->saddr), th->source, NIPQUAD(nh->daddr), th->dest);

}

最近编写内核代码，有发现一个新的内核打印ip地址的方法：

if (printk_ratelimit()) {

printk("%s fun: IP: %pI4\n", __func__, &iph->saddr);

}

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

kebi2009

关注关注

1
点赞
踩
1

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

专栏目录

TCP 连接排故：使用 BPF BCC工具包进行网络跟踪

山河已无恙

05-23

1479

博文内容为 BCC 进行网络跟踪常见工具介绍tcpconnect:主动的 TCP 连接跟踪tcpaccept:被动的 TCP 连接跟踪tcpretrans:重传的 TCP 连接跟踪tcptracer:已建立的 TCP 连接跟踪tcpconnlat:测量出站 TCP 连接的延迟tcpdrop:被内核丢弃的 TCP 数据包跟踪tcplife: TCP 会话追踪tcpstates: TCP 状态更改跟踪tcpsubnet:统计发送到特定子网的 TCP 流量tcptop。

linux内核协议栈 TCP服务器端收到ACK包

10-04

2001

Table of Contents 1 收到ACK报文处理过程概述 2 数据包入口tcp_v4_do_rcv 3 搜索 req_sock，创建新 sock (tcp_v4_hnd_req()核心） 3.1 SYN请求队列的搜索req_scok(inet_csk_search_req) 3.2创建建新sock，迁移req_sock到全连接队列 (tcp_check_req()核心) 4 创建新的 sock 过程tcp_v4_syn_recv_sock 4.1 创建新的 tcp sock...

参与评论您还未登录，请先登录后发表或查看评论

从skb结构中获取packet的ipv4地址

qq_38963393的博客

12-19

474

# this piece of code in the clean_rx_irq function #if 0 # similar logic to the another article of mine (need a little adaption)--> [从skb结构中获取packet的mac地址](https://editor.youkuaiyun.com/md/?articleId=111411995) # use the %pI4 instead of %pM #endif e1000_r

kernel 调试打印IP地址

weixin_30363981的博客

01-28

868

#define NIPQUAD(addr) \ ((unsigned char *)&addr)[0], \ ((unsigned char *)&addr)[1], \ ((unsigned char *)&addr)[2], \ ((unsigned char *)&addr)[3] struct iphdr *nh; s...

linux内核邻居子系统入门之打印局域网内所有机器的ip和mac地址

我的博客

12-01

286

linux内核邻居子系统入门之打印局域网内所有机器的ip和mac地址

打印skb内容的一小段代码

jason的专栏

06-17

2716

代码为：点击(此处)折叠或打开 if (skb) { char *buf = skb->data; int len = skb->len; int i; printk("[%s:%d]Packet length

内核动态打印

lyndon

08-11

1630

能够让程序员控制只打印某个文件、某个模块、某个函数的调试信息。

TCP/IP协议栈在Linux内核中的运行时序分析

Linuxhus的博客

06-18

705

本文主要是讲解TCP/IP协议栈在Linux内核中的运行时序，文章较长，里面有配套的视频讲解，建议收藏观看。 1 Linux概述　　1.1 Linux操作系统架构简介 Linux操作系统总体上由Linux内核和GNU系统构成，具体来讲由4个主要部分构成，即Linux内核、Shell、文件系统和应用程序。内核、Shell和文件系统构成了操作系统的基本结构，使得用户可以运行程序、管理文件并使用系统。内核是操作系统的核心，具有很多最基本功能，如虚拟内存、多任务、共享库、需求加载、可执行程序和TCP/I

Linux内核协议栈深度解析：从自定义协议族到TCP桥接的完整实践

数字人生

06-10

194

通过.create = ib_create, // 套接字创建回调// 模块初始化时注册本文通过协议族注册、协议桥接、地址转换、操作函数集注册等关键技术点的系统实践，完整展示了如何将自定义协议族无缝集成到Linux内核协议栈。该方案在保持TCP协议栈完整功能的同时，为上层应用提供了透明的协议扩展能力。硬件卸载集成：在ib_sendmsg中集成RDMA硬件加速协议特征扩展：通过实现定制化拥塞控制算法多协议支持：动态选择TCP/UDP/QUIC等底层协议。

linux的IP协议栈中 TCP连接建立过程中的内核函数调用内核中的结构体变化

06-24

通过`bind()`系统调用，用户可以将套接字绑定到指定的本地IP地址和端口号。内核会更新`sock`结构体中的相关字段[^3]。 ```c err = inet_bind(sk, uaddr, len); ``` 在此过程中，`tcp_sock`结构体中的以下字段会被...

打印skb内报文内容

huzk4409的专栏

03-12

1468

int i=0; struct vlan_ethhdr *veth; veth = (struct vlan_ethhdr *)(skb_mac_header(skb)); if(0x49==veth->h_source[5] || 0x49==veth->h_dest[5]){ printk("-----%s[%d]-%s-len:%d----------\n",__FUNCTION__,__LINE__,skb->dev->na...

SK_BUFF 内核打印调试

六六哥的博客

08-05

2930

为了更方便的调试报文，需要对sk_buff的真正数据载荷进行调试输出，只需要在驱动中加入如下代码就可以调试了 static void qdmalib_dump_skb(struct sk_buff *skb, struct net_device *dev){ int i = 0; if(!skb || !dev){ pr_err("%s: bad param\n",__FUNCTION__); goto out; } netdev_printk(KERN_INFO, dev...

打印IP地址以及网络数据包的方式

dymloveyxp1314的专栏

08-08

2932

打印网络数据包的方式 if (skb && skb->input_dev && (skb->srcPhyPort == 4)) { char *buf = skb->data; int len = skb->len; int i; printk("[%s:%d]Packet length = %#4x\n",

skb_buff操作

lkq19941204的博客

12-06

746

skb_buff操作

sk_buff结构详解

王以山的专栏

09-11

1683

struct sk_buff可能是linux网络代码中最重要的数据结构，它表示接收或发送数据包的包头信息，并包含很多成员变量供网络代码中的各子系统使用。这个结构被网络的不同层(MAC或者其他二层链路协议，三层的IP，四层的TCP或UDP等)使用，并且其中的成员变量在结构从一层向另一层传递时改变。L4向L3传递前会添加一个L4的头部，同样，L3向L2传递

netfilter使用

dongcheng123456789的博客

03-06

454

netfilter函数有5个挂载点，分别为NF_BR_LOCAL_IN，NF_BR_LOCAL_OUT，NF_BR_PRE_ROUTING，NF_BR_FORWARD和NF_BR_POST_ROUTING。本文主要使用了NF_BR_LOCAL_IN和NF_BR_LOCAL_OUT。

sk_buff操作函数学习

to_be_better_wen的博客

08-05

2023

linux 内核socket buffer的操作函数

skb里的数据

weixin_30505043的博客

08-14

415

接收 #include<stdio.h> #include<sys/types.h> #include<sys/socket.h> #include<netinet/in.h> #include<unistd.h> #include<errno.h> #include<string.h> #includ...

skb判断端口号的代码

最新发布

09-29

在 Linux 内核网络子系统中，`sk_buff`（简称 `skb`）是表示网络数据包的核心结构体。要从 `skb` 中提取 **端口号**（TCP/UDP 源或目的端口），你需要： 1. 确保 skb 包含传输层头部（TCP/UDP） 2. 正确获取 IP 头部和传输层头部指针 3. 提取源/目的端口字段 --- ## ✅ 基本原理 - `struct sk_buff *skb`：指向数据包缓冲区 - 使用 `skb->network_header` 获取 IP 头起始位置 - 使用 `skb->transport_header` 获取 TCP/UDP 头起始位置 - 强制类型转换为 `struct tcphdr` 或 `struct udphdr` - 读取 `.source` 和 `.dest` 字段（注意字节序） --- ## ✅ 示例代码：判断 UDP/TCP 端口号 ```c #include <linux/skbuff.h> #include <linux/ip.h> #include <linux/tcp.h> #include <linux/udp.h> #include <linux/in.h> // 判断是否匹配特定目的端口（例如 80） bool is_dest_port(struct sk_buff *skb, __be16 port) { struct iphdr *ip_header; struct tcphdr *tcp_header; struct udphdr *udp_header; // 1. 检查是否为 IPv4 协议 if (!pskb_may_pull(skb, sizeof(struct iphdr))) return false; ip_header = ip_hdr(skb); if (ip_header->version != 4) return false; // 2. 根据协议判断 switch (ip_header->protocol) { case IPPROTO_TCP: // 确保 TCP 头可访问 if (!pskb_may_pull(skb, ip_header->ihl * 4 + sizeof(struct tcphdr))) return false; tcp_header = tcp_hdr(skb); return tcp_header->dest == port; case IPPROTO_UDP: // 确保 UDP 头可访问 if (!pskb_may_pull(skb, ip_header->ihl * 4 + sizeof(struct udphdr))) return false; udp_header = udp_hdr(skb); return udp_header->dest == port; default: return false; } } ``` --- ### 🔍 关键函数解释 | 函数 / 宏 | 说明 | |----------|------| | `ip_hdr(skb)` | 获取 IP 头指针 | | `tcp_hdr(skb)` | 获取 TCP 头指针（基于 transport_header） | | `udp_hdr(skb)` | 获取 UDP 头指针 | | `pskb_may_pull(skb, len)` | 安全地检查是否有足够空间读取指定长度的数据（防止越界） | | `__be16` | 表示“大端 16 位整数”，即网络字节序 | > ⚠️ 所有端口号都是 **网络字节序（大端）**，所以比较时不要用 `htons()` 转换 `port` 参数！ --- ## ✅ 使用方式示例 ```c // 判断是否是发往 80 端口的包 if (is_dest_port(skb, htons(80))) { printk(KERN_INFO "HTTP traffic detected!\n"); } // 或直接写常量（推荐使用 htons 明确转换） if (is_dest_port(skb, htons(53))) { // DNS printk(KERN_INFO "DNS packet captured.\n"); } ``` --- ## ✅ 扩展：同时判断源端口和协议 ```c bool is_src_port_proto(struct sk_buff *skb, __be16 port, u8 proto) { struct iphdr *ip = ip_hdr(skb); if (ip->version != 4 || ip->protocol != proto) return false; if (!pskb_may_pull(skb, ip->ihl * 4)) return false; switch (proto) { case IPPROTO_TCP: { if (!pskb_may_pull(skb, ip->ihl * 4 + sizeof(struct tcphdr))) return false; return tcp_hdr(skb)->source == port; } case IPPROTO_UDP: { if (!pskb_may_pull(skb, ip->ihl * 4 + sizeof(struct udphdr))) return false; return udp_hdr(skb)->source == port; } default: return false; } } ``` --- ## ✅ 注意事项 1. **确保 `skb` 已经解析过头部** 如果你在 netfilter hook（如 `NF_INET_PRE_ROUTING`）中使用，通常没问题； 2. **避免未对齐访问** - 使用 `pskb_may_pull()` 是安全做法； - 不要直接强制转换指针而不检查； 3. **支持分片包？** - 上述代码不处理 IP 分片； - 若需处理，请先调用 `ip_defrag()` 或跳过分片包； 4. **IPv6 支持？** - 需额外判断 `ETH_P_IPV6` 和使用 `ipv6_hdr()`、`ipv6_find_hdr()`； --- ## ✅ IPv6 版本简略示例 ```c #include <linux/ipv6.h> if (skb->protocol == htons(ETH_P_IPV6)) { struct ipv6hdr *ip6h = ipv6_hdr(skb); unsigned int off = sizeof(struct ipv6hdr); u8 nexthdr = ip6h->nexthdr; // 解析扩展头（简化版） struct tcphdr _tcph; struct tcphdr *th; th = skb_header_pointer(skb, off, sizeof(_tcph), &_tcph); if (th) { if (nexthdr == IPPROTO_TCP && th->dest == htons(443)) { printk("IPv6 HTTPS packet\n"); } } } ``` --- ## ✅ 总结你可以在内核模块、Netfilter 钩子、TC BPF 等场景中使用上述代码来判断 `skb` 的端口号。 ---