Linux Kernel 学习笔记10:hook函数

最新推荐文章于 2023-03-18 21:37:23 发布
最新推荐文章于 2023-03-18 21:37:23 发布
阅读量1.1w 收藏 56
点赞数 4
分类专栏: linux kernel 学习笔记 文章标签: 内核 netfilter hook nf_hook_ops nf_register_hook
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/stone8761/article/details/72821733
版权
(本章基于: Linux -4.4.0-37)

linux 内核中有一套hook函数机制,可在不同hook点位置监控网络数据包,并执行丢弃、修改等操作。网络防火墙就是通过此机制实现的。

注册注销hook函数:

linux/netfilter.h

注册钩子函数:
int nf_register_hook(struct nf_hook_ops *reg);
注销:
void nf_unregister_hook(struct nf_hook_ops *reg);

struct nf_hook_ops数据结构:
 
struct nf_hook_ops {
	struct list_head 	list;

	/* User fills in from here down. */
	nf_hookfn		*hook;			//hook处理函数
	struct net_device	*dev;		
	void			*priv;
	u_int8_t		pf;			//协议类型
	unsigned int		hooknum;		//hook点
	/* Hooks are ordered in ascending priority. */
	int			priority;		//优先级
};

list:链表结构,被注册的nf_hook_ops实际是以链表节点的形式存储在nf_hooks中的,nf_hooks是一个二维数组,后面详细介绍;
hook:hook处理函数,当接收到一个数据包后,调用此函数进行处理;
pf:协议类型,ipv4就选PF_INET;
hooknum:hook点,linux 网络协议栈中包含5个hook,在不同的情况下对数据包进行监控,后面详细介绍;
priority:优先级(越小优先级越高)

HOOK点:
linux网络协议栈中有5个hook点:
之间的关系如下图:


PRE_ROUTING: 所有进入协议栈的数据包都会经过PRE_ROUTING;
LOCAL_IN:经过路由判决,确认是发给本机的数据包会经过LOCAL_IN;
FORWARD:若经路由判决不是发送本机,而且经本机转发的报文会经过FORWARD;
LOCAL_OUT:由本机进程发送出去数据包经过LOCAL_OUT;
POST_ROUTING:所有数据包在离开本机前会经过POST_ROUTING;

linux/netfilter_bridge.h中定义了相关hook点:
 
/* Bridge Hooks */
/* After promisc drops, checksum checks. */
#define NF_BR_PRE_ROUTING	0
/* If the packet is destined for this box. */
#define NF_BR_LOCAL_IN		1
/* If the packet is destined for another interface. */
#define NF_BR_FORWARD		2
/* Packets coming from a local process. */
#define NF_BR_LOCAL_OUT		3
/* Packets about to hit the wire. */
#define NF_BR_POST_ROUTING	4

nf_hooks结构:
struct list_head nf_hooks[NFPROTO_NUMPROTO][NF_MAX_HOOKS];
这是一个二维数组,NFPROTO_NUMPROTO表示相关协议,NF_MAX_HOOKS表示hook点位置。被注册的hook操作节点按照优先级接在在这个二位数据后面,如下图:


linux/netfilter_ipv4.h中定义了优先级信息(越小优先级越高): 
enum nf_ip_hook_priorities {
	NF_IP_PRI_FIRST = INT_MIN,
	NF_IP_PRI_CONNTRACK_DEFRAG = -400,
	NF_IP_PRI_RAW = -300,
	NF_IP_PRI_SELINUX_FIRST = -225,
	NF_IP_PRI_CONNTRACK = -200,
	NF_IP_PRI_MANGLE = -150,
	NF_IP_PRI_NAT_DST = -100,
	NF_IP_PRI_FILTER = 0,
	NF_IP_PRI_SECURITY = 50,
	NF_IP_PRI_NAT_SRC = 100,
	NF_IP_PRI_SELINUX_LAST = 225,
	NF_IP_PRI_CONNTRACK_HELPER = 300,
	NF_IP_PRI_CONNTRACK_CONFIRM = INT_MAX,
	NF_IP_PRI_LAST = INT_MAX,
};

回调函数:
回调函数结构如下: 
unsigned int nf_hookfn(void *priv,
		struct sk_buff *skb,
	        const struct nf_hook_state *state);
每监控到一条数据包,就会调用一次次函数,数据包信息存储在sk_buff结构中,参考sk_buff相关介绍。这个函数的返回值决定了函数结束后此数据包的走向,有如下几种返回值:
1. NF_ACCEPT继续正常传输数据报。这个返回值告诉Netfilter:到目前为止,该数据包还是被接受的并且该数据包应当被递交到网络协议栈的下一个阶段。
2. NF_DROP丢弃该数据报,不再传输。
3. NF_STOLEN模块接管该数据报,告诉Netfilter“忘掉”该数据报。该回调函数将从此开始对数据包的处理,并且Netfilter应当放弃对该数据包做任何的处理。但是,这并不意味着该数据包的资源已经被释放。这个数据包以及它独自的sk_buff数据结构仍然有效,只是回调函数从Netfilter获取了该数据包的所有权。
4. NF_QUEUE对该数据报进行排队(通常用于将数据报给用户空间的进程进行处理)
5. NF_REPEAT 再次调用该回调函数,应当谨慎使用这个值,以免造成死循环。

例:
此例程用于捕捉来自192.168.31.4的ping包: 
#include <linux/init.h>
#include <linux/module.h>
#include <linux/netfilter.h>
#include <linux/netfilter_bridge.h>
#include <linux/netfilter_ipv4.h>
#include <linux/ip.h>

static void
IP2Str(char *ipaddr, int size, uint32_t ip)
{
        snprintf(ipaddr, size, "%d.%d.%d.%d", ( ip >> 24 ) & 0xff
                                        , ( ip >> 16 ) & 0xff
                                        , ( ip >> 8 ) & 0xff
                                        , ip & 0xff);
}

unsigned int
my_hook_fun(void *priv, struct sk_buff *skb, const struct nf_hook_state *state)
{
        struct iphdr *iph;
        char ipaddr[17];

        if( unlikely(!skb) ) {
                return NF_ACCEPT;
        }

        iph = ip_hdr(skb);
        if( unlikely(!iph) ) {
                return NF_ACCEPT;
        }

        if( likely(iph->protocol != IPPROTO_ICMP) ) {
                return NF_ACCEPT;
        }

        memset(ipaddr, 0, sizeof(ipaddr));
        IP2Str(ipaddr, sizeof(ipaddr), ntohl(iph->saddr));
        if( strcmp(ipaddr, "192.168.31.4") == 0 ) {
                printk(KERN_INFO "receive ping from 192.168.31.4\n");
        }

        return NF_ACCEPT;
}

static struct nf_hook_ops my_hook_ops = {
        .hook           = my_hook_fun,          //hook处理函数
        .pf             = PF_INET,              //协议类型
        .hooknum        = NF_BR_PRE_ROUTING,    //hook注册点
        .priority       = NF_IP_PRI_FIRST,      //优先级
};

static void
hello_cleanup(void)
{
        nf_unregister_hook(&my_hook_ops);
}

static __init int hello_init(void)
{

        if ( nf_register_hook(&my_hook_ops) != 0 ) {
                printk(KERN_WARNING "register hook error!\n");
                goto err;
        }
        printk(KERN_ALERT "hello init success!\n");
        return 0;

err:
        hello_cleanup();
        return -1;
}

static __exit void hello_exit(void)
{
        hello_cleanup();
        printk(KERN_WARNING "helloworld exit!\n");
}

module_init(hello_init);
module_exit(hello_exit);

MODULE_LICENSE("GPL");
MODULE_AUTHOR("Stone");


stone8761
关注
  • 4
    点赞
  • 56
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 9
    评论
专栏目录
c++钩子函数:copy hook_linux函数hook
12-27
c++钩子函数:copy hook c++调用钩子函数监视复制文件操作
Linux高级内核Inline HOOK
weixin_34378045的博客
11-12 360
高级Linux Kernel Inline Hook技术分析与实现 2010-01-01 12:40 By wzt [目录] 1. 简述 2. 更改offset实现跳转 ...
Windows NT 驱动程序开发人员提示——应注意避免的事项
人是会思考的一棵苇草
05-09 1888
下面是开发人员在使用 Windows NT 设备驱动程序时应当避免的事项列表: 1. 一定不要在没有标注 I/O 请求数据包 (IRP) 挂起 (IoMarkIrpPending) 的情况下通过调度例程返回 STATUS_PENDING。 2
linux系统调用挂钩方法总结
热门推荐
sdulibh的专栏
12-22 1万+
相关学习资料 http://xiaonieblog.com/?post=121 http://hbprotoss.github.io/posts/li-yong-ld_preloadjin-xing-hook.html http://www.catonmat.net/blog/simple-ld-preload-tutorial/ http://os.51cto.com/art/2010
linux accept过程,accept()函数 Unix/Linux
weixin_39845039的博客
05-14 868
名称accept - 接受连接套接字上内容简介#include #include int accept(intsockfd, struct sockaddr *addr, socklen_t *addrlen);描述说明accept()系统调用用于基于连接的套接字类型(SOCK_STREAM,SOCK_SEQPACKET)。提取完成连接队列中的第一个连接请求,创建一个新的连接套接字,并返回一个新的...
linux kernel hook
weixin_33929309的博客
03-14 354
其时是用的linux一个热修补技术。调用内核api 把旧函数前修改成跳转,跳转到新的函数里去执行。这个api就是stop_machine 但是传的不是函数而是一个包好的结构体stop_machine https://www.ibm.com/developerworks/cn/aix/library/au-spunix_ksplice/源码地址:https://github.com/haidrago...
hook Linux 内核函数
m0_46671092的博客
09-03 451
可以尝试使用如下几种方案来拦截Linux内核函数: 使用Linux安全API 修改系统调用表 使用kprobes 拼接 使用ftrace处理程序 使用Linux安全API 从最佳实践的角度来说,我们认为使用Linux安全API的hook函数是最佳选择,因为这个接口就是为此而设计的。 内核代码的关键点包含安全函数调用,这些调用可能导致安全模块安装的回调。该模块可以研究特定操作的上下文,并决定是允许还是禁止它。不幸的是,Linux Security API有两个主要限制: 安全模块无法动态加载,因此我们需
linux hook 任意内核函数,linux内核中的hook函数详解
weixin_28766581的博客
05-02 158
在编写linux内核中的网络模块时,用到了钩子函数也就是hook函数。现在来看看linux是如何实现hook函数的。先介绍一个结构体:struct nf_hook_ops,这个结构体是实现钩子函数必须要用到的结构体,其实际的定义为:其中的成员信息为:hook :是一个函数指针,可以将自定义的函数赋值给它,来实现当有数据包到达是调用你自定义的函数。自定义函数的返回值为:owner:是模块的所有者,...
Linux x86架构内核Hook实现
qq_42931917的博客
12-27 5126
Linux x86架构内核Hook实现 一、内核函数 text_poke()函数用于在内核动态替换opcode,从而达到Inline Hook的效果。 /** * text_poke - Update instructions on a live kernel * @addr: address to modify * @opcode: source of the copy * @len: length to copy * * Only atomic text poke/set should be
linux内核中的hook函数详解,linux内核中的hook函数详解
weixin_28968285的博客
05-09 1080
在编写linux内核中的网络模块时,用到了钩子函数也就是hook函数。现在来看看linux是如何实现hook函数的。先介绍一个结构体:struct nf_hook_ops,这个结构体是实现钩子函数必须要用到的结构体,其实际的定义为:其中的成员信息为:hook :是一个函数指针,可以将自定义的函数赋值给它,来实现当有数据包到达是调用你自定义的函数。自定义函数的返回值为:owner:是模块的所有者,...
linux内核hook系统调用execve函数
12-07
功能:hook系统调用execve函数,在系统调用dpkg命令时返回。 这样系统无法安装软件,以及删除软件。 1.下载后 解压直接 make编译 2. sudo insmod hook.ko 进行安装 3. sudo dmesg --follow 查看内核调试信息 4....
ftrace-hook:在Linux内核中使用ftrace进行函数挂钩
05-04
Linux内核模块演示了如何使用ftrace框架进行函数挂钩:就像在挂钩函数周围执行任意代码一样。 该代码已根据许可。 如何建造 请考虑使用虚拟机(VirtulBox,VMWare,QEMU等)进行实验。 (不变的)模块是完全无害的...
Hook函数任意地址 c++
10-22
该实例实现了Hook函数任意地址的功能,并可以获取CPU寄存器的内容。
kernel-modules-hook:内核升级后保持Arch Linux的全部功能
05-04
内核模块挂钩 厌倦了在更新内核时缺少模块的情况?...$ ${your_aur_helper} -S kernel-modules-hook # Or from git: $ git clone https://github.com/saber-nyan/kernel-modules-hook.git kmh $ cd kmh $ makepkg -
linux内核hook模块
faxiang1230的专栏
12-03 3604
linux内核支持动态加载module,今天不聊正常的module,只简单看一下实现Hook的module. hook通常翻译做劫持,不过这个翻译听起来让人不舒服,感觉有点恐怖,所以大家都是喊行话:hook. 上图是经典的堆栈式hook,也是splice典型的做法,在原有的流程中插入hook,更加典型的做法是栈在调用过程中从funcA->funcB变成了funcA->hook-&gt...
linux kernel 5.0 inline hook框架
qq_42931917的博客
03-18 972
linux kernel inline hook
高级Linux kernel inline hook技术
lucien的博客
05-08 5197
==Ph4nt0m Security Team== Issue 0x02, Phile #0x05 of 0x0A |=---------------------------------------------------------------------------=| |=-------------------=[ 高级Linux kernel inline hook技术
linux内核编程--4netfiter钩子函数
本博客纯属个人学习记载,不对外负责,若有错误,请批评指正
03-09 5475
1. 背景京东金融资深C/C++开发工程师 岗位被面试到,本来在《深入linux内核架构》一书中见过,但由于整本书看的不是很懂,也没实验,当时吱吱唔唔的回答了,答案不是很理想。后来也就没有了后来······2. 概述netfilter是自2.4内核的一个数据包过滤框架。可以过滤数据包,网络地址和端口转换(nat和napt技术),以及其他操作数据包的功能。主要工作原理是在内核模块注册回调函数(hoo...
linux hook函数详解,linux内核中的hook函数详解
weixin_32019219的博客
05-10 1641
在编写linux内核中的网络模块时,用到了钩子函数也就是hook函数。现在来看看linux是如何实现hook函数的。先介绍一个结构体:struct nf_hook_ops,这个结构体是实现钩子函数必须要用到的结构体,其实际的定义为: 其中的成员信息为:hook :是一个函数指针,可以将自定义的函数赋值给它,来实现当有数据包到达是调用你自定义的函数。自定义函数的返回值为: owner:是模块的所有...
c语言 hook函数学习
最新发布
05-30
C语言中的Hook函数是指在程序运行期间,通过修改函数入口地址或者中间代码,使得程序执行期间执行另外一个函数的一种技术。 Hook函数一般分为两种类型:函数钩子和消息钩子。函数钩子是对函数的调用进行拦截和修改...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 9
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

stone8761

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值