Netfilter框架通过hook捕获数据包

最新推荐文章于 2023-03-07 15:12:13 发布
转载 最新推荐文章于 2023-03-07 15:12:13 发布 · 334 阅读 · 0
文章标签:

#Netfilter

本文介绍Linux内核2.4.x及2.6.x版本中Netfilter的数据包截获机制,替代了早期2.2.x内核中的ipchains。Netfilter支持防火墙、路由和数据包嗅探等功能,通过定义良好的钩子点对数据包进行处理。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

<pre class="cjk" style="margin-top:0px; margin-bottom:0px; white-space:pre-wrap; word-wrap:break-word; color:rgb(75,75,75); font-size:13px; line-height:19.5px; background-color:rgb(255,255,255)" name="code">数据包截获:<span style="font-family:'DejaVu Sans Mono',monospace;line-height:1.5;"><span style="line-height:1.5" lang="en-US">Netfilter</span></span>



<span style="font-family:'DejaVu Sans Mono',monospace;line-height:1.5;"><span style="line-height:1.5" lang="en-US"></span></span><pre class="cjk" style="margin-top:0px; margin-bottom:0px; white-space:pre-wrap; word-wrap:break-word; color:rgb(75,75,75); font-size:13px; line-height:19.5px; background-color:rgb(255,255,255)" name="code"><span style="font-family:'DejaVu Sans Mono',monospace;line-height:1.5;"><span style="line-height:1.5" lang="en-US">Netfilter </span></span>是由内核 <span style="font-family:'DejaVu Sans Mono',monospace;line-height:1.5;"><span style="line-height:1.5" lang="en-US">2.4.x </span></span>和 <span style="font-family:'DejaVu Sans Mono',monospace;line-height:1.5;"><span style="line-height:1.5" lang="en-US">2.6.x </span></span>提供的数据包截获机制,它替代了内核 <span style="font-family:'DejaVu Sans Mono',monospace;line-height:1.5;"><span style="line-height:1.5" lang="en-US">2.2.x </span></span>中 使用的 <span style="font-family:'DejaVu Sans Mono',monospace;line-height:1.5;"><span style="line-height:1.5" lang="en-US">ipchains</span></span>、防火墙钩子和其他方法。<span style="font-family:'DejaVu Sans Mono',monospace;line-height:1.5;"><span style="line-height:1.5" lang="en-US">Netfilter </span></span>也可以作为 <span style="font-family:'DejaVu Sans Mono',monospace;line-height:1.5;"><span style="line-height:1.5" lang="en-US">LKM </span></span>获得。

要使用 <span style="font-family:'DejaVu Sans Mono',monospace;line-height:1.5;"><span style="line-height:1.5" lang="en-US">netfilter</span></span>,在内核编译时设置 <span style="font-family:'DejaVu Sans Mono',monospace;line-height:1.5;"><span style="line-height:1.5" lang="en-US">Packet Filtering </span></span>选项。

可以对采用防火墙钩子机制的同类应用程序使用 <span style="font-family:'DejaVu Sans Mono',monospace;line-height:1.5;"><span style="line-height:1.5" lang="en-US">netfilter </span></span>机制,这些应用程序有:路由程序、数据包嗅探器和其他位于网络边缘并访问通信流的实体。








使用 <span style="font-family:'DejaVu Sans Mono',monospace;line-height:1.5;"><span style="line-height:1.5" lang="en-US">Netfilter</span></span>

<span style="font-family:'DejaVu Sans Mono',monospace;line-height:1.5;"><span style="line-height:1.5" lang="en-US">Netfilter </span></span>可以在通过 <span style="font-family:'DejaVu Sans Mono',monospace;line-height:1.5;"><span style="line-height:1.5" lang="en-US">TCP/IP </span></span>协议栈的路径中的几个定义良好的点上捕获数据包:

    <span style="font-family:'DejaVu Sans Mono',monospace;line-height:1.5;"><span style="line-height:1.5" lang="en-US">NF_IP_PRE_ROUTING</span></span>
    在对数据包进行初始正确性检查(校验和等)后,保存该数据包。
    <span style="font-family:'DejaVu Sans Mono',monospace;line-height:1.5;"><span style="line-height:1.5" lang="en-US">NF_IP_LOCAL_IN</span></span>
    如果数据包将要到达本地主机,则捕获该数据包。
    <span style="font-family:'DejaVu Sans Mono',monospace;line-height:1.5;"><span style="line-height:1.5" lang="en-US">NF_IP_FORWARD</span></span>
    如果数据包将要到达某些其他主机,则捕获该数据包。
    <span style="font-family:'DejaVu Sans Mono',monospace;line-height:1.5;"><span style="line-height:1.5" lang="en-US">NF_IP_LOCAL_OUT</span></span>
    在本地捕获其目的地是外部的已创建的数据包。
    <span style="font-family:'DejaVu Sans Mono',monospace;line-height:1.5;"><span style="line-height:1.5" lang="en-US">NF_IP_POST_ROUTING</span></span>
    这是最后的钩子,在此之后将传输数据包。

当数据包穿过 <span style="font-family:'DejaVu Sans Mono',monospace;line-height:1.5;"><span style="line-height:1.5" lang="en-US">TCP/IP </span></span>协议栈后,协议调用带有数据包和钩子号的 <span style="font-family:'DejaVu Sans Mono',monospace;line-height:1.5;"><span style="line-height:1.5" lang="en-US">netfilter </span></span>框架。钩子也 可以指派优先级。








函数的返回值包括:

    <span style="font-family:'DejaVu Sans Mono',monospace;line-height:1.5;"><span style="line-height:1.5" lang="en-US">NF_ACCEPT</span></span>
    数据包继续在正常的 <span style="font-family:'DejaVu Sans Mono',monospace;line-height:1.5;"><span style="line-height:1.5" lang="en-US">TCP/IP </span></span>路径上传输。
    <span style="font-family:'DejaVu Sans Mono',monospace;line-height:1.5;"><span style="line-height:1.5" lang="en-US">NF_DROP</span></span>
    丢弃数据包;不进一步处理。
    <span style="font-family:'DejaVu Sans Mono',monospace;line-height:1.5;"><span style="line-height:1.5" lang="en-US">NF_STOLEN</span></span>
    已获得数据包;不进一步处理。
    <span style="font-family:'DejaVu Sans Mono',monospace;line-height:1.5;"><span style="line-height:1.5" lang="en-US">NF_QUEUE</span></span>
    对数据包排队(通常用于用户空间处理)。
    <span style="font-family:'DejaVu Sans Mono',monospace;line-height:1.5;"><span style="line-height:1.5" lang="en-US">NF_REPEAT</span></span>
    再次触发这个钩子。








特定于进程的函数

特定于进程的函数(或钩子)的原型如下所示:

   <span style="font-family:'DejaVu Sans Mono',monospace;line-height:1.5;"><span style="line-height:1.5" lang="en-US">static unsigned int packet_interceptor_hook(unsigned int hook, struct</span></span>
   <span style="font-family:'DejaVu Sans Mono',monospace;line-height:1.5;"><span style="line-height:1.5" lang="en-US">sk_buff **pskb,</span></span>

   <span style="font-family:'DejaVu Sans Mono',monospace;line-height:1.5;"><span style="line-height:1.5" lang="en-US">const struct net_device *indev, const struct net_device *outdev, int</span></span>

   <span style="font-family:'DejaVu Sans Mono',monospace;line-height:1.5;"><span style="line-height:1.5" lang="en-US">(*okfn) (struct sk_buff *))</span></span>


您可以将字段定义为:

    <span style="font-family:'DejaVu Sans Mono',monospace;line-height:1.5;"><span style="line-height:1.5" lang="en-US">hook</span></span>
    您感兴趣的钩子的编号;例如 <span style="font-family:'DejaVu Sans Mono',monospace;line-height:1.5;"><span style="line-height:1.5" lang="en-US">NF_IP_LOCAL_OUT</span></span>、<span style="font-family:'DejaVu Sans Mono',monospace;line-height:1.5;"><span style="line-height:1.5" lang="en-US">NF_IP_LOCAL_IN</span></span>、<span style="font-family:'DejaVu Sans Mono',monospace;line-height:1.5;"><span style="line-height:1.5" lang="en-US">NF_IP_ FORWARD </span></span>等。
    <span style="font-family:'DejaVu Sans Mono',monospace;line-height:1.5;"><span style="line-height:1.5" lang="en-US">**pskb</span></span>
    指向 <span style="font-family:'DejaVu Sans Mono',monospace;line-height:1.5;"><span style="line-height:1.5" lang="en-US">TCP/IP </span></span>协议栈中数据包容器的指针;例如 <span style="font-family:'DejaVu Sans Mono',monospace;line-height:1.5;"><span style="line-height:1.5" lang="en-US">sk_buff</span></span>。
    <span style="font-family:'DejaVu Sans Mono',monospace;line-height:1.5;"><span style="line-height:1.5" lang="en-US">*indev & *outdev</span></span>
    指向流入和流出网络设备的设备结构的指针。在内核中注册的每种设备(例如,以太网卡)都 有一个由 <span style="font-family:'DejaVu Sans Mono',monospace;line-height:1.5;"><span style="line-height:1.5" lang="en-US">IRQ</span></span>、<span style="font-family:'DejaVu Sans Mono',monospace;line-height:1.5;"><span style="line-height:1.5" lang="en-US">IO </span></span>地址等组成的设备结构。当机器只有一个网络接口来处理流入和流出流量时,这两个结构是相同的。当流入和流出的流量由两种设备处理时,这两种结构是 不同的。
    <span style="font-family:'DejaVu Sans Mono',monospace;line-height:1.5;"><span style="line-height:1.5" lang="en-US">(*okfn) (struct sk_buff *)</span></span>
    在激活钩子时调用该函数。












<span style="font-family:'DejaVu Sans Mono',monospace;line-height:1.5;"><span style="line-height:1.5" lang="en-US">netfilter </span></span>结构
<pre class="cjk" style="margin-top:0px; margin-bottom:0px; white-space:pre-wrap; word-wrap:break-word; color:rgb(75,75,75); font-size:13px; line-height:19.5px; background-color:rgb(255,255,255)" name="code">核心 <span style="font-family:'DejaVu Sans Mono',monospace;line-height:1.5;"><span style="line-height:1.5" lang="en-US">netfilter </span></span>结构在 <span style="font-family:'DejaVu Sans Mono',monospace;line-height:1.5;"><span style="line-height:1.5" lang="en-US">/usr/src/include/linux/netfilter.h </span></span>中定义,类似如下:

<span style="font-family:'DejaVu Sans Mono',monospace;line-height:1.5;"><span style="line-height:1.5" lang="en-US">struct nf_hook_ops</span></span>
<span style="font-family:'DejaVu Sans Mono',monospace;line-height:1.5;"><span style="line-height:1.5" lang="en-US">{</span></span>
         <span style="font-family:'DejaVu Sans Mono',monospace;line-height:1.5;"><span style="line-height:1.5" lang="en-US">struct list_head list;</span></span>

         
         <span style="font-family:'DejaVu Sans Mono',monospace;line-height:1.5;"><span style="line-height:1.5" lang="en-US">nf_hookfn *hook;</span></span>
         <span style="font-family:'DejaVu Sans Mono',monospace;line-height:1.5;"><span style="line-height:1.5" lang="en-US">int pf;</span></span>
         <span style="font-family:'DejaVu Sans Mono',monospace;line-height:1.5;"><span style="line-height:1.5" lang="en-US">int hooknum;</span></span>
         
         <span style="font-family:'DejaVu Sans Mono',monospace;line-height:1.5;"><span style="line-height:1.5" lang="en-US">int priority;</span></span>
<span style="font-family:'DejaVu Sans Mono',monospace;line-height:1.5;"><span style="line-height:1.5" lang="en-US">};</span></span>





<pre class="cjk" style="margin-top:0px; margin-bottom:0px; white-space:pre-wrap; word-wrap:break-word; color:rgb(75,75,75); font-size:13px; line-height:19.5px; background-color:rgb(255,255,255)" name="code">参数是:

    <span style="font-family:'DejaVu Sans Mono',monospace;line-height:1.5;"><span style="line-height:1.5" lang="en-US">list</span></span>
    <span style="font-family:'DejaVu Sans Mono',monospace;line-height:1.5;"><span style="line-height:1.5" lang="en-US">Netfilter </span></span>本身是一个钩子链;它指向 <span style="font-family:'DejaVu Sans Mono',monospace;line-height:1.5;"><span style="line-height:1.5" lang="en-US">netfilter </span></span>钩子的头部,通常设置为 <span style="font-family:'DejaVu Sans Mono',monospace;line-height:1.5;"><span style="line-height:1.5" lang="en-US">{ NULL, NULL }</span></span>。
    <span style="font-family:'DejaVu Sans Mono',monospace;line-height:1.5;"><span style="line-height:1.5" lang="en-US">hook</span></span>
    该函数在数据包碰到钩子点时被调用。该函数与前面描述的函数相同,它必须返回 <span style="font-family:'DejaVu Sans Mono',monospace;line-height:1.5;"><span style="line-height:1.5" lang="en-US">NF_ACCEPT</span></span>、<span style="font-family:'DejaVu Sans Mono',monospace;line-height:1.5;"><span style="line-height:1.5" lang="en-US">NF_DROP </span></span>或 <span style="font-family:'DejaVu Sans Mono',monospace;line-height:1.5;"><span style="line-height:1.5" lang="en-US">NF_QUEUE</span></span>。如 果返回 <span style="font-family:'DejaVu Sans Mono',monospace;line-height:1.5;"><span style="line-height:1.5" lang="en-US">NF_ACCEPT</span></span>,则下一个钩子将被附加到将要调用的点。如 果返回 <span style="font-family:'DejaVu Sans Mono',monospace;line-height:1.5;"><span style="line-height:1.5" lang="en-US">NF_DROP</span></span>,则数据包被丢弃。如果返回 <span style="font-family:'DejaVu Sans Mono',monospace;line-height:1.5;"><span style="line-height:1.5" lang="en-US">NF_QUEUE</span></span>,则对数据包进行排队。<span style="font-family:'DejaVu Sans Mono',monospace;line-height:1.5;"><span style="line-height:1.5" lang="en-US">sk_buff </span></span>指针被传递到该函数中,并用数据包信息如 <span style="font-family:'DejaVu Sans Mono',monospace;line-height:1.5;"><span style="line-height:1.5" lang="en-US">IP </span></span>报头、<span style="font-family:'DejaVu Sans Mono',monospace;line-height:1.5;"><span style="line-height:1.5" lang="en-US">TCP </span></span>报头等进 行填充。您可以使用 <span style="font-family:'DejaVu Sans Mono',monospace;line-height:1.5;"><span style="line-height:1.5" lang="en-US">sk_buff </span></span>结构指针来操作或删除数据包(要删除数据包,只需将 <span style="font-family:'DejaVu Sans Mono',monospace;line-height:1.5;"><span style="line-height:1.5" lang="en-US">skb </span></span>指 针设置为空即可)。
    <span style="font-family:'DejaVu Sans Mono',monospace;line-height:1.5;"><span style="line-height:1.5" lang="en-US">pf</span></span>
    协议簇;例如,适用于 <span style="font-family:'DejaVu Sans Mono',monospace;line-height:1.5;"><span style="line-height:1.5" lang="en-US">IPv4 </span></span>的 <span style="font-family:'DejaVu Sans Mono',monospace;line-height:1.5;"><span style="line-height:1.5" lang="en-US">PF_INET</span></span>。
    <span style="font-family:'DejaVu Sans Mono',monospace;line-height:1.5;"><span style="line-height:1.5" lang="en-US">hooknum</span></span>
    您感兴趣的钩子号;例如 <span style="font-family:'DejaVu Sans Mono',monospace;line-height:1.5;"><span style="line-height:1.5" lang="en-US">NF_IP_LOCAL_IN </span></span>等。
内核注册








<span style="font-family:'DejaVu Sans Mono',monospace;line-height:1.5;"><span style="line-height:1.5" lang="en-US">init_module </span></span>函数中,需要注册在内核中填充的结构:

<span style="font-family:'DejaVu Sans Mono',monospace;line-height:1.5;"><span style="line-height:1.5" lang="en-US">int nf_register_hook(struct nf_hook_ops *req);</span></span>


这里,<span style="font-family:'DejaVu Sans Mono',monospace;line-height:1.5;"><span style="line-height:1.5" lang="en-US">nf_hook_ops </span></span>是 <span style="font-family:'DejaVu Sans Mono',monospace;line-height:1.5;"><span style="line-height:1.5" lang="en-US">netfilter </span></span>操作结构。

一旦该结构注册到内核中,<span style="font-family:'DejaVu Sans Mono',monospace;line-height:1.5;"><span style="line-height:1.5" lang="en-US">Linux </span></span>将调用这里定义的函数来处理数据包。





取消注册 <span style="font-family:'DejaVu Sans Mono',monospace;line-height:1.5;"><span style="line-height:1.5" lang="en-US">netfilter </span></span>结构





<span style="font-family:'DejaVu Sans Mono',monospace;line-height:1.5;"><span style="line-height:1.5" lang="en-US">netfilter </span></span>结构需要从内核中取消注册。这一操作在 <span style="font-family:'DejaVu Sans Mono',monospace;line-height:1.5;"><span style="line-height:1.5" lang="en-US">cleanup_module </span></span>函数中完成:

<span style="font-family:'DejaVu Sans Mono',monospace;line-height:1.5;"><span style="line-height:1.5" lang="en-US">void nf_unregister_hook(struct nf_hook_ops *req);</span></span>


<span style="font-family:'DejaVu Sans Mono',monospace;line-height:1.5;"><span style="line-height:1.5" lang="en-US">nf_hook_ops </span></span>也是 <span style="font-family:'DejaVu Sans Mono',monospace;line-height:1.5;"><span style="line-height:1.5" lang="en-US">netfilter </span></span>操作结构。








                

        

    

    
  



    



                



	

		

			

				
					
基于netfilter截取内核网络数据包

				
			

			

				

					影帝
				

				

					05-30
					
					332
					
				

			

		

		

			
				
Netfilter结构就是在整个网络处理流程中放置了一些检测点,每个检测点都可以对网络数据包进行操作,IP层的五个hook点如图:






			
		

	



                

            
              



	

		

			

				
					
Linux网络层收发包流程及Netfilter框架浅析

				
			

			

				

					j简说Linux的博客
				

				

					11-19
					
					884
					
				

			

		

		

			
				
在 TCP/IP 协议框架体系的五层网络模型中,每一层负责处理的数据包协议或类型均存在差异,物理层主要负责在物理载体上的数据包传输,如 WiFi,以太网,光纤,电话线等;数据链路层主要负责链路层协议解析(主要为以太网帧,其他类型此处暂不考虑),网络层主要负责 IP 协议(包括 IPv4 和 IPv6)解析,传输层负责传输层协议解析(主要为 TCP,UDP 等),而传输层以上我们均归类为应用层,主要包括各类应用层协议,如我们常用的 HTTP,FTP,SMTP,DNS,DHCP 等。

			
		

	



              


  
              

                


	

		

			

				
					
Netfilter实战一数据包捕获

				
			

			

				

					haoyuxuanyuan的博客
				

				

					03-07
					
					1445
					
				

			

		

		

			
				
  通过上文Netfilter介绍的了解到,Netfilter是通过注册钩子函数来将我们的代码加入Netfilter的处理机制中,我们首先需要了解各个钩子点的含义,PRE_ROUTING、LOCAL_IN、FORWARD、LOCAL_OUT和POST_ROUTING是Netfilter钩子点。它们是在Linux内核网络协议栈中定义的五个特定点,用于处理网络数据包的不同阶段。以下是它们的详细介绍:
  以上代码定义了一个hook_func函数,该函数将被注册到NF_INET_PRE_ROUTING钩子点,当有

			
		

	





	

		

			

				
					
基于netfilter抓包

				
			

			

				

					geshifei的博客
				

				

					12-11
					
					1617
					
				

			

		

		

			
				
网络数据包监听系统

背景

本文介绍一种监听网络数据包的方法,基本思想是通过netfilter/iptables在TCP /IP网络层抓取网络数据包,然后将数据压缩、加密后,上传至云端服务器分析。

采集的数据为上行的原始的TCP报文,包括MAC首部、PPP首部(如果是PPPOE连接), IP首部、TCP首部以及部分或全部用户数据。

代码基于linux3.14.10验证...

			
		

	



		

			
		



	

		

			

				
					
2.6内核中netfilter hook点一览

				
			

			

				

					王以山的专栏
				

				

					03-23
					
					1633
					
				

			

		

		

			
				
本文档的Copyleft归yfydz所有,使用GPL发布,可以自由拷贝,转载,转载时请保持文档的完整性,严禁用于任何商业用途。msn: yfydz_no1@hotmail.com来源:http://yfydz.cublog.cn1. 5个挂接点以下内核代码版本2.6.17.11。1.1 PREROTING/* net/ipv4/ip_input.c */int ip_rcv(s

			
		

	





	

		

			

				
					
Netfilter框架下的数据包过滤与入侵检测:Linux防火墙实现

				
			

			

				

					
				

			

		

		

			
				
在Linux内核层面,Netfilter框架允许在数据包的生命周期中插入钩子(hook),在关键阶段对数据包进行捕获、分析和操作。这使得防火墙能够在网络层处理数据包,提取基本元数据并与过滤规则进行比较,从而实现高效的...

			
		

	





	

		

			

				
					
Linux 网络协议栈开发(七)—— Netfilter 概述及其hook

				
			

			

				

					知秋一叶
				

				

					01-14
					
					3535
					
				

			

		

		

			
				
Netfilter概述
         Netfilter/IPTables是Linux2.4.x之后新一代的Linux防火墙机制,是linux内核的一个子系统。Netfilter采用模块化设计,具有良好的可扩充性。其重要工具模块IPTables从用户态的iptables连接到内核态的Netfilter的架构中,Netfilter与IP协议栈是无缝契合的,并允许使用者对数据报进行过滤、地址转换

			
		

	





	

		

			

				
					
netfilter,获取并分析底层数据包

				
			

			

				

					10-31
				

			

		

		

			
				
Netfilter的核心机制是通过一系列的hook点来拦截并处理网络数据包。这些hook点分布在数据包处理的不同阶段,允许开发者注册自己的回调函数来实现自定义的行为。  #### 1.1 本文涉及的内容  本文主要探讨了如何利用...

			
		

	





	

		

			

				
					
netfilter五个hook

				
			

			

				

					
				

				

					07-02
					
					1407
					
				

			

		

		

			
				
netfilter五个hook点分别是:
NF_INIT_PRE_ROUTING
NF_INIT_LOCAL_IN
NF_INIT_FORWARD
NF_INIT_LOCAL_OUT
NF_INIT_POST_ROUTING
 
大致流程:

			
		

	





	

		

			

				
					
Netfilter中返回值的具体用法

				
			

			

				

					xc889078的专栏
				

				

					04-13
					
					1146
					
				

			

		

		

			
				
返回值                  含义                                                                                     用途
NF_ACCEPT      数据包被该hook允许,继续netfilter流程                       如果数据包为正常数据包,一般都是这个返回值
NF

			
		

	





	

		

			

				
					
利用netfilter截获数据包基础知识及实现

				
			

			

				

					AFCC_的博客(Web_Dog)
				

				

					06-07
					
					4703
					
				

			

		

		

			
				
本着记录自己疯狂过的青春,对netfilter的应用学习做点记录。0x00前提双网卡硬件设备作中间件,一个网卡接收向另一网卡转发时进行操作数据包。下文中举例eth0为进入,eth1为发出,相对而言。本次开发利用netfilter框架进行完整开发,基本实现对数据包的任意操作。0x01 什么是netfilterNetfilter是linux2.4.x引入的一个子系统,作为一个通用的、抽象的框架,提供了...

			
		

	





	

		

			

				
					
利用netfilter抓包(一)----------netfilter介绍

				
			

			

				

					lw_yang的博客
				

				

					10-30
					
					3524
					
				

			

		

		

			
				
Netfilter是Linux 2.4.x引入的一个子系统,它作为一个通用的、抽象的框架,提供一整套的hook函数的管理机制,使得诸如数据包过滤、网络地址转换(NAT)和基于协议类型的连接跟踪成为了可能。
Netfilter在内核中位置如下图所示:

netfilter的架构就是在整个网络流程的若干位置放置了一些检测点(HOOK),而在每个检测点上登记了一些处理函数进行处理。
IP层的五个HOOK...

			
		

	





	

		

			

				
					
利用netfilter截获、修改数据包基础与实现

				
			

			

				

					AFCC_的博客(Web_Dog)
				

				

					08-21
					
					3992
					
				

			

		

		

			
				
本着记录自己疯狂过的青春,对netfilter的应用学习做点记录。
0x00前提
双网卡硬件设备作中间件,一个网卡接收向另一网卡转发时进行操作数据包。下文中举例eth0为进入,eth1为发出,相对而言。本次开发利用netfilter框架进行完整开发,基本实现对数据包的任意操作。
0x01 什么是netfilter

Netfilter是linux2.4.x引入的一个子系统,作为一个通用的、抽象的框...

			
		

	





	

		

			

				
					
linux网络包截获,netfilter截获数据包

				
			

			

				

					weixin_29011239的博客
				

				

					05-09
					
					375
					
				

			

		

		

			
				
一.nf_register_hook挂钩之截获数据包1.include\linux\netfilter.h查看nf_hookfn函数以及nf_hook_ops结构体的定义,再具体初始化typedef unsigned int nf_hookfn(unsigned int hooknum,struct sk_buff **skb,const struct net_device *in,const s...

			
		

	





	

		

			

				
					
走进Linux内核之Netfilter框架

				
			

			

				

					maimang1001的专栏
				

				

					05-24
					
					1339
					
				

			

		

		

			
				
走进Linux内核之Netfilter框架 - 掘金笔者此前对Linux内核相关模块稍有研究,实现内核级通信加密、视频流加密等。话不多说直接上才艺,现在带你走进Linux内核之Netfilter框架。https://juejin.cn/post/7008945265021288484

本文正在参与 “走过Linux三十年”话题征文活动


笔者此前对Linux内核相关模块稍有研究,实现内核级通信加密、视频流加密等,涉及:Linux内核网络协议栈、Linux内核通信模块、Linux内核加密模块、秘钥生成分发

			
		

	





	

		

			

				
					
数据包在内核态的捕获、修改和转发(基于netfilter)

				
			

			

				

					chengfangang的专栏
				

				

					02-25
					
					5123
					
				

			

		

		

			
				
http://biancheng.dnbcw.info/linux/263145.html

忙活了好几天,经过多次得死机和重启,终于把截获的数据包转发的功能给实现了。同时,也吧sk_buff结构学习了一下。
    本程序利用netfilter的钩子函数在PREROUTING处捕获数据包,并且修改数据包首部信息,之后直接转发,从而实现对数据包转发得功能。修改数据包得数据和地址之后,最主要的

			
		

	



              




          




        



    





    



      

      

        
      

      





	

		评论	
	

  
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值