NFQUEUE抓包

最新推荐文章于 2023-04-19 15:54:43 发布
最新推荐文章于 2023-04-19 15:54:43 发布
阅读量4.5k 收藏 4
点赞数 1
分类专栏: c++

nfqueue

和C的libipq比起来,支持python的nfqueue会显得强大很多,特别是和scapy结合起来用的时候。

首先需要说明的是在iptables中的target除了之前提到的五项(ACCEPT,DROP,RETURN,QUEUE,other_chain)之外,还有一个叫NFQUEUE,它是QUEUE的扩展。相比于QUEUE,它可以由用户指定不同的queue number。

在使用nfqueue之前,需要安装如下的包:

$ sudo aptitude install libnetfilter-queue-dev
$ sudo aptitude install nfqueue-bindings-python
$ sudo aptitude install python-scapy

之后就可以采用python对NFQUEUE进行操作了。

假设我们将封包从主机A(192.168.1.1)传输到主机B(192.168.1.2)时,需要对封包进行分析,如果是TCP协议的包,并且其flags为 ACK|PSH 的话,则将其payload进行修改(比如替换成“hack”):

首先,需要先在主机A中对iptables进行操作:

$ sudo iptables -A OUTPUT -d 192.168.1.2 -p tcp -j NFQUEUE

然后利用下面的代码:

<span class="line-number">1</span>
<span class="line-number">2</span>
<span class="line-number">3</span>
<span class="line-number">4</span>
<span class="line-number">5</span>
<span class="line-number">6</span>
<span class="line-number">7</span>
<span class="line-number">8</span>
<span class="line-number">9</span>
<span class="line-number">10</span>
<span class="line-number">11</span>
<span class="line-number">12</span>
<span class="line-number">13</span>
<span class="line-number">14</span>
<span class="line-number">15</span>
<span class="line-number">16</span>
<span class="line-number">17</span>
<span class="line-number">18</span>
<span class="line-number">19</span>
<span class="line-number">20</span>
<span class="line-number">21</span>
<span class="line-number">22</span>
<span class="line-number">23</span>
<span class="line-number">24</span>
<span class="line-number">25</span>
<span class="line-number">26</span>
<span class="line-number">27</span>
<span class="line-number">28</span>
<span class="line-number">29</span>
<span class="line-number">30</span>
<span class="line-number">31</span>
<span class="line-number">32</span>
<span class="line-number">33</span>
<span class="line-number">34</span>
<span class="line-number">35</span>
<span class="line-number">36</span>
<span class="line-number">37</span>

import os,sys,nfqueue,socket
from scapy.all import *

def ch_payload_and_send(pkt):
  pkt[TCP].payload == "hack"
  send(pkt, verbose=0)

def process(i, payload):
  data = payload.get_data()
  pkt = IP(data)

  # Check if TCP flags is ACK|PSH
  if pkt[TCP].flags == 24:
      # Dropping the packet
      payload.set_verdict(nfqueue.NF_DROP)
      ch_payload_and_send(pkt)
  else:
      # Accepting the packet
      payload.set_verdict(nfqueue.NF_ACCEPT)
  
def main():
  q = nfqueue.queue()
  q.open()
  q.unbind(socket.AF_INET)
  q.bind(socket.AF_INET)
  q.set_callback(process)
  q.create_queue(0)

  try:
      q.try_run()
  except KeyboardInterrupt:
      print "Exiting..."
      q.unbind(socket.AF_INET)
      q.close()
      sys.exit(1)

main()

这里用到了scapy这个非常牛逼的模块,它可以直接通过如IP()TCP()等直接对包进行解释和操作,非常方便,具体的可以参看它的文档。这里只是说明下它的安装方式:

$ wget scapy.net
$ mv index.html scapy-latest.zip
$ chmod +x scapy-latest.zip
$ mv scapy-latest.zip /usr/local/bin/scapy

然后就可以运行:

$ sudo scapy

直接开启scapy的交互模式了。

转载自:http://blog.youkuaiyun.com/langeldep/article/details/8788360
银河麒麟v10 sp1服务器操作系统安装使用tcpdump抓包工具
weixin_43238928的博客
07-26 8360
日常运维中,我们经常会用到抓包工具来捕获一些数据以便来分析业务系统收发包情况,今天我们将一起学习下如何在银河麒麟服务器操作系统上使用tcpdump工具进行抓包分析。
nf_queue改包
Kafka的博客
06-22 2557
系统:centos 7准备:安装libnetfilter_queue模块,可以yum安装,也可以网上下载rpm包安装简介:使用iptables在NAT表上创建DNAT与SNAT规则,对数据包进行转发;在MANGLE表上的FORWARD链上创建NF_QUEUE规则对数据进行勾取并修改;(iptables只有mangle表可以修改数据) 示例规则://把到本机 50.24 8889端口的数据包,na...
利用netfilter NFQUEUE实现网关认证的HTTP重定向
01-14
摘 要:利用netfilter的NFQUEUE机制,将未认证用户的TCP 80端口流量发送至用户态进程redir_http,redir_http使用原始套接字发送应答数据分组,在用户态实现HTTP重定向功能。这种实现方法既保证了重定向的高性能,又能避免Linux内核中的繁琐程序开发,降低程序开发复杂度,提高系统运行的稳定性。
NFQueue简单介绍
saturn254的专栏
09-19 1884
netfilter netlink
nfqueue安装
weixin_30266885的博客
11-05 802
root@OrangePizero:/home/nfqueue/libnfnetlink-1.0.1# ./configure checking build system type... armv7l-unknown-linux-gnueabihf checking host system type... armv7l-unknown-linux-gnueabihf checking ...
nfqueue性能评估
SHELLCODE_8BIT的博客
04-19 446
1.单个nfqueue的开销,和响应情况,然后逐渐增大nfqueue,来看响应情况。3.最后决定如果要保证响应质量,应该配什么配置。本质就是这个功能上了,成本要增加多少。1.nfqueue队列速度。那么影响性能的几个口子。
使用netfilter_queue改包笔记
weixin_30236595的博客
11-26 1055
系统:centos 7 准备:安装libnetfilter_queue模块,可以yum安装,也可以网上下载rpm包安装 简介:使用iptables在NAT表上创建DNAT与SNAT规则,对数据包进行转发;在MANGLE表上的FORWARD链上创建NF_QUEUE规则对数据进行勾取并修改;(iptables只有mangle表可以修改数据) 示例规则: //把到本机 50.24 ...
Linux tcpdump 命令详解与示例
踏歌行的专栏
02-20 4701
Linux tcpdump 命令详解,常用命令选项与常见示例
网络常用探测命令:nmap / ncat / tcpdump
weixin_44983653的博客
07-29 4877
网络常用探测命令:nmap / ncat / tcpdumpnmap概述语法OPTIONSARGUMENTS使用示例nc / ncat概述语法OPTIONSARGUMENTSPORTS示例Port Scanning(端口扫描)Chat ServerFile transfertcpdump概述语法OPTIONSARGUMENTS示例监视指定网络接口的数据包监视指定主机的数据包监视指定主机和端口的数据...
2020-10-17
nunu__的博客
10-17 516
Suricata学习笔记 1. Suricate用户手册 Suricata 5.0.3 documentation 2. Basic Setup sudo vim /etc/suricata/suricata.yaml HOME_NET 用于配置本地服务器的IP地址(可以是具体的某一个IP地址,也可以是一个网段) rule-path 用户可以自定义suricata将要使用的规则 通常我会把自己写的规则放在:/etc/suricata/rules/myrule/xxx.rules fast.lo
nfqueue-tcpip-socket.rar
11-24
在linux环境下,使用libnetfilter_queue进行网络数据内容的修改并且将数据返回到用户空间给对应的应用程序使用,其中: 1、文件夹nfqueue-tcpip中实现数据抓取-修改-发送的工作,只需要在linux环境下使用 make 即可生成对应的可执行程序,需要以root权限去执行 2、文件夹socket-tcp中实现socket的tcp客户端和服务端的代码,只需在linux下环境下make即可生成 server和client的可执行程序
nfqueue_sip_hijacker:演示 nfqueue 用于 SIP 消息操作的简单 Python 脚本
06-07
NFqueue SIP 劫持者 演示 NFQUEUE 用法的简单“代理”应用程序 注册将 SIP 消息推送到代理的 iptables 规则 代理修改外发 INVITE 消息的被叫电话号码 撤消传入 SIP 消息的电话号码替换 伪造 SIP 消息摘要认证(必须知道 UA 的密码)
netfilter-nfqueue-samples:使用 libnfqueue 的非常短的 C 示例代码,用户空间上的防火墙
06-04
netfilter-nfqueue-samples 使用 libnfqueue 的非常短的 C 示例代码,用户空间上的防火墙 编译链接到 nfnetlinkg、netfilter_queue、memcached、mysqlclient 和 pthread 示例链接:-lnfnetlink -lnetfilter_queue -lmemcached -lmysqlclient -lpthread -lz -lm -ldl
Scapy + Nfqueue
wang_walfred的专栏
01-07 7420
背景1:Nfqueue Nfqueue是iptables和ip6tables的target,这个target可以将数据包交给用户空间。比如,下面的一个iptables规则 iptables -A INPUT -j NFQUEUE --queue-num 0 那么在用户空间,可以使用libnetfilter_queue来连接到queue  0(默认)并且从内核获得该消息,然后,必须
python 控制有线网卡_Python选择网卡发包及接收数据包
weixin_39846361的博客
11-24 545
当一台计算机上有多个网卡时,需要选择对应IP地址的网卡进行发送数据包或者接受数据包。1、选择网卡发包(应用scapy):plface=conf.route.route("××.××.××.××")[0]#××.××.××.××为对应网卡网络中存在设备的IP地址。不能是需要发送数据包的网卡的IP地址(会报“result too large”)pkt=conf.L2socket(plface)pack...
nf-queue编译
weixin_30875157的博客
10-27 341
gcc nf-queue.c -o nf-queue -lnetfilter_queue -lmnl -I../libnetfilter_queue-1.0.2 gcc nf-queue.c -o nf-queue -lnetfilter_queue -lmnl -I../../libnetfilter_queue-1.0.2/include/ cp /home/libnetfil...
iptables目标NFQUEUE
redwingz的博客
05-01 2085
NFQUEUE目标帮助信息如下。 # iptables -j NFQUEUE -h NFQUEUE target options --queue-num value Send packet to QUEUE number <value>. Valid queue numbers are 0-65535 --queue-balance first:last Balance flows between
Linux NFQUEUE
zxygww的专栏
04-13 2981
默认队列大小为1024,当队列满或者无法通过netlink_unicast发送该skb时,该数据包会被丢弃。
iptables 3: 动作MARK NFQUEUE
weixin_42639771的博客
04-17 2277
1. 参考 https://blog.youkuaiyun.com/wangzhen_csdn/article/details/83038122 一、nfqueue相关函数 1. nfnl_open struct nfnl_handle *nfnl_open(void) 函数说明: 开启nfnetlink 处理程序 函数功能: 该函数创建一个nfnetlink 处理程序,此函数创建NFNETLi...
linux 接入dpi来进行操作
最新发布
03-29
<think>好的,我现在需要帮助用户解决关于在Linux系统中接入DPI(Deep Packet Inspection,深度包检测)进行操作的问题。首先,我要明确用户的需求,他们可能想知道如何在Linux环境下配置和使用DPI技术,可能的应用场景包括网络安全监控、流量管理或数据包分析等。 首先,我应该回顾一下DPI的基本概念。DPI不仅仅是检查数据包的头部,而是深入分析负载内容,识别应用层协议,检测恶意软件等。在Linux中,常见的实现方式可能涉及使用特定的库或工具,比如libpcap、nDPI,或者结合Netfilter框架进行数据包处理。 接下来,用户需要具体的操作步骤。可能需要先安装相关的软件包,比如nDPI或者Suricata,这些工具支持DPI功能。然后配置网络接口,设置抓包规则,可能涉及iptables或nftables来引导流量到DPI处理程序。同时,用户可能需要编写自定义的脚本来处理分析后的数据,比如使用Python的Scapy库。 然后,我需要考虑用户可能遇到的问题,比如性能优化,因为DPI对系统资源要求较高。可能需要建议用户使用内核旁路技术(如DPDK)或者多线程处理来提高效率。另外,权限问题也是常见的,运行这些工具可能需要root权限或者相应的capabilities设置。 还要确保回答中提到的命令和配置示例准确无误,比如使用apt-get安装依赖,编译nDPI的步骤,以及配置Suricata的示例。同时,需要区分不同的使用场景,比如实时监控与离线分析的不同方法。 最后,生成的相关问题需要覆盖用户可能进一步询问的方向,比如工具比较、性能优化、安全性考虑以及容器环境中的应用。这有助于用户全面了解DPI在Linux中的集成和操作。</think>### Linux系统中DPI集成与操作方法 #### 一、DPI技术基础 DPI(深度包检测)通过解析网络数据包的应用层内容实现流量识别与控制,其核心在于协议识别和负载分析[^1]。在Linux系统中,DPI通常通过以下组件实现: 1. 抓包引擎:如$libpcap$提供原始数据包捕获 2. 协议解析库:如$nDPI$(开源深度包检测库) 3. 处理框架:如$Netfilter$的$xt_layer7$模块 #### 二、基本集成步骤 1. **安装依赖** ```bash sudo apt-get install libpcap-dev libndpi-dev build-essential ``` 2. **编译nDPI示例** ```bash git clone https://github.com/ntop/nDPI cd nDPI ./autogen.sh && ./configure && make ``` 3. **配置网络接口** ```bash sudo ip link set eth0 promisc on # 启用混杂模式 sudo ethtool -K eth0 gro off lro off # 禁用卸载功能 ``` 4. **使用Netfilter进行流量引导** ```iptables配置示例: iptables -A FORWARD -j NFQUEUE --queue-num 0 # 将流量导向用户空间 ``` #### 三、操作实践方法 1. **实时流量分析** ```python from scapy.all import sniff def packet_handler(pkt): if pkt.haslayer('Raw'): print(f"Payload: {pkt.load.hex()[:20]}...") sniff(iface="eth0", prn=packet_handler, filter="tcp port 80") ``` 2. **使用Suricata进行深度检测** ```yaml # suricata.yaml配置片段 app-layer: protocols: tls:
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值