使用 nlmon 驱动抓取 netlink 报文的原理

已于 2023-08-31 10:39:29 修改
阅读量6.0k 收藏 10
点赞数 3
分类专栏: Linux LINUNX KERNEL 文章标签: netlink nlmon tcpdump 原理 netlink 抓包 netlink tap
于 2020-09-30 23:53:25 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Longyu_wlz/article/details/108883293
版权

前言

如何抓取 netlink 报文 这篇博客中,我描述了使用 nlmon 驱动创建虚拟 tap 口抓取 netlink 报文的过程,在这篇文章中,我探讨下这一过程背后的原理。

nlmon 驱动

nlmon 驱动源码位于内核源码树中 drivers/net/ 目录中,由单个源文件——nlmon.c 组成,其代码长度只有 150 多行。

与普通的驱动代码一样,它也有一个初始化与解初始化函数,这两个函数分别实现的功能是在内核中注册一个 rtnl_link_ops 结构,解除注册的 rtnl_link_ops 结构。

rtnetlink link_ops 链表

这里首先需要指明的是,在 rtnetlink.c 中创建了一个 link_ops 链表,这个链表将所有的 rtnl_link_ops 以 kind 为唯一标识符链接起来

这里描述的 rtnl_link_ops 是什么东西呢?

这里的 rtnl_link_ops 是 net device 中 netlink 相关操作的方法,在每个 struct net 结构体中有一个指向 rtnl_link_ops 的指针,用以实例化不同的 rtnl_link_ops。

struct net_device 中的相关定义如下:

  	const struct rtnl_link_ops *rtnl_link_ops;

这里我需要说明两点内容:

  1. rtnl_link_register 函数与 rtnl_link_unregister 函数都涉及到了对 link_ops 的操作。
  2. rtnl_link_ops 通过 struct net_device 中的 rtnl_link_ops 指针与一个 netdev 关联起来,注册一个 rtnl_link_ops 并不涉及与 netdev 的关联,只需要在 link_ops 链表中添加一个节点就行,而当删除一个 rtnl_link_ops 时,就需要对 netdev 中使用到待删除的 rtnl_link_ops 的网络设备进行相应处理。

这里也说明其实 rtnl_link_ops 类似于一个框架性的功能,netdev 是它的客户,它本身的注册类似于扩展功能的行为,对 netdev 客户的正在使用的功能没有影响,但是当解注册时就需要考虑可能正在被一个 netdev 客户使用的场景。

下面我分别描述下 rtnl_link_ops 的注册与解注册相关函数的原理。

rtnl_link_register 函数

rtnl_link_register 函数的主要逻辑及如下:

  1. 使用 rtnl_link_ops 中的 kind 字段检索 link_ops 链表,如果存在则返回 -EEXIST
  2. kind 字段检索 link_ops 链表发现待链入的 ops 不存在则将传入的 ops 链入到 link_ops 中。

这里内核还对传入的 rtnl_link_ops 中的函数指针进行了合法值校验当 setup 函数值非空而 dellink 为空的时候,内核将 dellink 设定为 unregister_netdevice_queue 函数。

同时需要注意的是 link_ops 是一个共享的数据结构,对它的修改需要进行串行化处理。

可以看到,在 rtnl_link_register 中对 link_ops 链表的修改是在占用了 rtnl 锁的条件下执行的,执行完成后释放 rtnl 锁就完成了注册的完整过程。

rtnl_link_unregister 函数

相较 rtnl_link_register 而言,unregister 函数做了更多的事情,从这个 unregister 函数中我们可以看到一些更内部的原理。

其主要执行逻辑如下:

  1. 获取 pernet_ops_rwsem 信号量,就获取此信号量是为了消除与 setup_net 及 cleanup_net 的竞争条件。(具体的场景目前我并不清楚!)

  2. 调用 rtnl_lock_unregistering_all

rtnl_lock_unregisering_all 函数值得研究,其代码如下:

/* Return with the rtnl_lock held when there are no network
 * devices unregistering in any network namespace.
 */
static void rtnl_lock_unregistering_all(void)
{
	struct net *net;
	bool unregistering;
	DEFINE_WAIT_FUNC(wait, woken_wake_function);

	add_wait_queue(&netdev_unregistering_wq, &wait);
	for (;;) {
		unregistering = false;
		rtnl_lock();
		/* We held write locked pernet_ops_rwsem, and parallel
		 * setup_net() and cleanup_net() are not possible.
		 */
		for_each_net(net) {
			if (net->dev_unreg_count > 0) {
				unregistering = true;
				break;
			}
		}
		if (!unregistering)
			break;
		__rtnl_unlock();

		wait_woken(&wait, TASK_UNINTERRUPTIBLE, MAX_SCHEDULE_TIMEOUT);
	}
	remove_wait_queue(&netdev_unregistering_wq, &wait);
}

上述函数,当没有任何一个 net namespace 中的 netdev 处于 unregistering 状态时它会直接返回并占有 rtnl_lock,当检测到有 netdev 处于 unregistering 状态时,它会设定 timeout 并将当前线程挂起等待,此函数会等待所有 namespace 中的即将 unregistering 的 netdev 事件完成后返回并占有 rtnl_lock。在这一过程完成后此函数会将当前进程从 netdev_unregistering_wq 等待队列中移除。

这里需要注意的是在 for_each_net 中通过判断 dev_unreg_count判断是否有 netdev 待释放,实际上 netdev 的释放过程使用了类似延后释放的机制,真正释放是在调用了 netdev_run_todo 后完成的,在 netdev_run_todo 中还会唤醒等待 netdev_unregistering 事件的进程,与唤醒相关的代码如下:

		wake_up(&netdev_unregistering_wq);

wak_up 最终会调用 __wake_up_common 来执行预先注册的唤醒事件函数,实际上将挂起到等待队列中的程序状态修改的过程也是在这个函数中完成的。

上面提到的唤醒事件函数是 wait_queue_entry 结构体中的 func 函数指针。wait_queue_entry 结构体内容如下:

struct wait_queue_entry {
	unsigned int		flags;
	void			*private;
	wait_queue_func_t	func;
	struct list_head	entry;
};
  1. 调用 __rtnl_link_unregister

此函数遍历所有的 netdev 结构,并使用 __rtnl_kill_links 来调用 netdev 中使用了传入的 rtnl_link_ops 的 dellink 函数,然后调用 unregister_netdevice_many 来 unregister 这些相关的 netdev。最终将 ops 从注册链表中移除就完成了所有的过程。

  1. 释放 pernet_ops_rwsem 信号量

nlmon_link_ops

nlmon_link_ops 是一个 rtnl_link_ops 的实例,它通过调用上文描述的 rtnl_link_register 函数来完成工作。

rtnl_link_ops 中的 setup 函数在 nlmon 驱动中有自己的实现,其代码如下:

static void nlmon_setup(struct net_device *dev)
{
	dev->type = ARPHRD_NETLINK;
	dev->priv_flags |= IFF_NO_QUEUE;

	dev->netdev_ops	= &nlmon_ops;
	dev->ethtool_ops = &nlmon_ethtool_ops;
	dev->needs_free_netdev = true;

	dev->features = NETIF_F_SG | NETIF_F_FRAGLIST |
			NETIF_F_HIGHDMA | NETIF_F_LLTX;
	dev->flags = IFF_NOARP;

	/* That's rather a softlimit here, which, of course,
	 * can be altered. Not a real MTU, but what is to be
	 * expected in most cases.
	 */
	dev->mtu = NLMSG_GOODSIZE;
	dev->min_mtu = sizeof(struct nlmsghdr);
}

这个 nlmon_setup 函数代码对 netdev 中的多个字段进行了设定,其中需要注意的是 netdev_ops 与 ethtool_ops,这两个字段表明 nlmon 实现了一组虚拟网卡驱动

nlmon 驱动中 netdev_ops 结构体代码如下:

static const struct net_device_ops nlmon_ops = {
	.ndo_init = nlmon_dev_init,
	.ndo_uninit = nlmon_dev_uninit,
	.ndo_open = nlmon_open,
	.ndo_stop = nlmon_close,
	.ndo_start_xmit = nlmon_xmit,
	.ndo_get_stats64 = nlmon_get_stats64,
};

这里 ndo_open 与 ndo_stop 是 ifconfig up、ifconfig down 最终调用到的函数接口。

这里我着重描述下 nlmon_open 函数的执行过程。首先贴上函数的代码:

static int nlmon_open(struct net_device *dev)
{
	struct nlmon *nlmon = netdev_priv(dev);

	nlmon->nt.dev = dev;
	nlmon->nt.module = THIS_MODULE;
	return netlink_add_tap(&nlmon->nt);
}

这里调用了 netlink_add_tap 接口,这个接口可以理解为创建了一个 netlink 类型的 tap 口,tcpdump 抓取 netlink 消息实际上就是从这个 tap 口的接收与发送队列中获取 netlink 数据包的。

用户态发送 netlink 到内核态以及内核态发送 netlnk 到用户态,报文都会复制到这个注册的 netlink tap 口中,这样 tcpdump 就能够从这个 netlink tap 口中抓取到 netlink 报文了。

可以看到在 netlink 发送与接收的接口中都有调用 netlink_deliver_tap、 netlink_deliver_tap_kernel 来投递消息到 netlink tap 口中。

tcpdump 抓取 netlink 包的原理

上面已经大致描述完了使用 nlmon 驱动抓取 netlink 报文的原理,不过对于 tcpdump 如何从内核抓取报文却没有进行描述,这里简单的提一提。

tcpdump 首先创建一个 AF_PACKET 类型的 socket,这个 socket 有自己独立的 proto_ops 操作。然后 tcpdump 通过 ioctl 获取 nlmon0 网络接口ifindex,这个 ifindex 被用来获取 net_device 结构。

tcpdump 的钩子函数在 af_packet 协议操作的 bind 函数中 hook 到对应的 net_device 结构中,在这个结构中添加了一个协议

核心代码是调用 register_prot_hook 函数,此函数中主要通过 dev_add_pack 来完成工作。

dev_add_pack 函数代码如下:

void dev_add_pack(struct packet_type *pt)
{
	struct list_head *head = ptype_head(pt);

	spin_lock(&ptype_lock);
	list_add_rcu(&pt->list, head);
	spin_unlock(&ptype_lock);
}

这里需要注意 ptype_head 函数,其代码如下:

static inline struct list_head *ptype_head(const struct packet_type *pt)
{
	if (pt->type == htons(ETH_P_ALL))
		return pt->dev ? &pt->dev->ptype_all : &ptype_all;
	else
		return pt->dev ? &pt->dev->ptype_specific :
				 &ptype_base[ntohs(pt->type) & PTYPE_HASH_MASK];
}

这里 pt->dev 就是待 hook 的 dev,在调用此函数前已经设定了此字段,这里的目标就是 nlmon0 的 net_device 结构体

可以看到 dev_add_pack 实际上是修改 dev->ptype_all、dev->ptype_specific 链表的内容。

底层接口在收到包后要进行协议栈分发,这时候就会访问 ptype_allptype_specific 链表,将报文 deliver 到链表中注册的协议中,这里的注册的 af_packet 协议也会被推送报文,这样 af_packet 协议就能够得到一份报文的拷贝,并传递给抓包模块,就完成了抓包的过程。

与上面描述相关的代码如下:

static int __netif_receive_skb_core(struct sk_buff *skb, bool pfmemalloc,
				    struct packet_type **ppt_prev)
{

...............
	list_for_each_entry_rcu(ptype, &ptype_all, list) {
		if (pt_prev)
			ret = deliver_skb(skb, pt_prev, orig_dev);
		pt_prev = ptype;
	}

	list_for_each_entry_rcu(ptype, &skb->dev->ptype_all, list) {
		if (pt_prev)
			ret = deliver_skb(skb, pt_prev, orig_dev);
		pt_prev = ptype;
	}

总结

本文对 nlmon 驱动以及 tcpdump 抓取 netlink 报文的工作原理进行了描述。尽管 nlmon 驱动的代码内容很少,但是其依赖的函数接口的代码量却不容小觑。

同时也必须指出的是 tcpdump 工具的原理也比表面上看上更复杂一些,不过对其原理进行研究有助于提高我对协议栈工作原理的了解。

这篇文章发出,算上私密的两篇文章,就完成了 200 篇文章的目标,这个目标的实现值得庆祝,同时也意味着我能够挑战更高的目标,我想这也是不成问题的。

longyu_wlz
关注
  • 3
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
Broadcom NetLink (TM) Gigabit Ethernet网卡驱动 WIN10 32/64
08-19
Broadcom NetLink (TM) Gigabit Ethernet网卡驱动17.2.0.2版本,适用于WIN 系统网卡经常有感叹号,重启后正常适用的驱动更改。该驱动不支持BCM5700, BCM5701 and BCM5702 devices
网卡驱动,针对Broadcom NetLink (TM) Gigabit Ethernet网卡
05-06
在本案例中,我们关注的是Broadcom NetLink (TM) Gigabit Ethernet网卡,这是一种支持千兆速度的网络接口控制器。该驱动程序是专门为这款网卡设计的,用于确保其在Windows 10操作系统中的正常运行。 在升级到...
前端炫酷登录页,拿来就能用
热门推荐
lb6514052的博客
05-19 5万+
一. 炫酷星空 代码 <!DOCTYPE HTML> <html> <head> <meta http-equiv="Content-Type" content="text/html; charset=utf-8"> <title>运营系统登录页</title> <link href="static/css/login.css" rel="stylesheet" type="text/css"> &...
什么是回调(Callback)函数
欢迎光临
11-22 877
回调函数 参考:http://www.zhihu.com/question/19801131 1、“你到一个商店买东西,刚好你要的东西没有货,于是你在店员那里留下了你的电话,过了几天店里有货了,店员就打了你的电话,然后你接到电话后就到店里去取了货。在这个例子里,你的电话号码就叫回调函数,你把电话留给店员就叫登记回调函数,店里后来有货了叫做触发了回调关联的事件,店员给你打电话叫做调用回调函数
什么是callback(回调函数)?
weixin_40286308的博客
06-28 254
回调函数不是由该函数的实现方直接调用,而是在特定的事件发生时由另外的一方调用的。 调用的方式是将A的函数指针(即地址)作为参数,在函数B里调用。函数A就是callback。
什么是回调函数(callback)?
The_upside_of_down的博客
09-14 678
什么是回调函数呢? 在js中,当一个函数可以作为另一个函数的参数时,这个作为参数的函数被称为回调函数,并且以回调函数作为参数的函数称为主函数。 回调函数的简单格式: function main(callback){ callback(参数); } main(function callback(参数){}) 一个回调函数的简单例子:今天中午吃啥饭?lunch为吃饭的种类,scale为吃...
tcpdump 抓取 netlink 报文
龙瑜的博客
09-30 1816
tcpdump 抓取 netlink 报文的方法
CALLBACK函数的一些知识
105694832的专栏
09-23 4639
如何实现自己的CALLBACK函数,系统如何知道何时调用CALLBACK函数?下面是摘自MSDN对CALLBACK的介绍:CALLBACK:Calling convention for callback functions. This type is declared in WinDef.h as follows:#define CALLBACK __stdcallThe __
linux下使用netlink获取gateway的IP地址
04-23
在Linux系统中,获取网关IP地址通常是网络编程的一部分,特别是在需要低级别访问网络配置时。Netlink是一种在用户空间和内核空间之间传递...理解Netlink原理和操作,对于深入理解Linux网络编程和系统管理至关重要。
Linux 用户空间使用Netlink监听uevent
05-21
Linux 用户空间使用Netlink监听uevent,不是原理介绍,而是实战demo
netlink.rar_netlink_内核
07-14
本压缩包文件“netlink.rar”很可能包含了关于Netlink的详细资料,包括其工作原理、API使用方法以及相关的示例代码。 Netlink主要由以下几部分组成: 1. **Netlink Socket API**:这是用户空间与内核通信的接口,...
认识callback函数
goodpeter的专栏
07-01 622
什么是callback函数最简单的解释就是一个函数通过函数指针被调用,如果讲一个函数的地址(也就是指针)作为一个参数传递给另外一个函数,当通过这个指针调用它所指向的函数时,回调就发生了。   那么使用回调函数的动机是什么?设想这样一个问题,我们要对一个list上的每个元素进行任意一种操作,习惯上我们会怎么做呢?肯定是遍历这个list,然后针对每一个元素进行操作,但显然最容易想到往往不是最理想的
nlmon 驱动只能抓取部分 netlink 报文的原因
龙瑜的博客
10-06 444
static bool netlink_filter_tap(const struct sk_buff *skb) { struct sock *sk = skb->sk; /* We take the more conservative approach and * whitelist socket protocols that may pass. */ switch (sk->sk_protocol) { case NETLINK_ROUTE: case NETLINK_
callback&&callback()到底有什么涵义?
程序员小陶的大数据分享
09-27 9537
背景:在写小程序的时候,使用wx.request发起一次请求,等待结果返回,使用回调函数。 function getItems(callback) { db.collection('items').where({ //... }).get({ success: function(res) { if (res) { //console.log(res.data) callback && callback(res.data);.
callback&&callback()的理解
YinhaoR的博客
08-17 236
callback&&callback()
什么是回调函数,对于“回”字的理解
百学成瘾
07-26 130
在开发应用程序时我们往往会去调用库函数,这时候如果库函数的参数要求传入一个你自己定义好的函数,库函数稍后会反过来调用你写的函数,而这个过程由 你调用库函数变成了库函数调用你写的函数,在我看来,这个角色的互换才是名为“回调函数”的本质所在。......
使用 strace、tcpdumpnlmon、wireshark 探索 ethtool netlink 框架的原理
龙瑜的博客
08-15 678
在ethtool 的工作原理这篇文章中我描述了 ethtool 使用 ioctl 获取信息的流程,最近却发现新版本内核与 ethtool 命令已经支持通过 netlink 来交互,又刷新了认知,本文通过使用现有的一些工具来探索此交互的细节。...
回调函数(CALLBACK)学习总结
04-02 1万+
回调函数应该和设计相关而不是和语言相关。在分层设计中,高层次的模块会叫低层次的模块做一些事情,通常是通过函数调用。 从设计上来说,低层次的模块不应该直接调用高层次模块的函数。所以高层次模块在叫低层模块做事的时候会注册一个回调函数给低层模块,然后低层模块做完了就调用这个函数。表现在C语言上是个函数指针调用(calling)机制从汇编时代起已经大量使用:准备一段现成的代码,调用者可以随时跳
GTK Gossip: 自訂 callback 函式
uunubt的专栏
12-08 447
您可以自訂callback函式,使用g_signa_connect()函式連接,在指定的Signal發生時呼叫自訂的callback函式,自訂的callback函式原型基本上是以下的形式:void func_name(GtkWidget *widget, ..., gpointer user_data); 第一個參數是發出信號的Widget指標,第二個參數是呼叫callback函式時,所要傳遞給callback函式的相關資料,舉個實際的例子,下面這個範例會有一個按鈕,當按下按鈕時,
如何使用netlink
最新发布
05-28
Netlink是Linux内核提供的一种基于套接字的机制,用于内核与用户空间进程之间的通信。在Linux系统中,Netlink通常被用于管理网络设备、路由表、防火墙等。 下面是使用Netlink的一些基本步骤: 1. 创建Netlink套接字:可以使用socket()函数创建一个Netlink套接字。 2. 绑定Netlink套接字:使用bind()函数将Netlink套接字绑定到一个本地地址上。 3. 构造Netlink消息:使用struct nlmsghdr结构体构造Netlink消息,并将消息发送给内核。 4. 接收Netlink消息:使用recvmsg()函数从Netlink套接字中接收内核发送的消息。 5. 解析Netlink消息:使用struct nlmsghdr结构体解析内核发送的Netlink消息。 6. 处理Netlink消息:根据消息的类型和数据内容,进行相应的处理。 需要注意的是,Netlink通信的协议格式比较复杂,需要了解相关的协议字段和数据结构。可以参考Linux内核源代码中的netlink.h文件,了解Netlink协议的具体实现。另外,可以使用libnl等相关的库简化Netlink通信的操作。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值