nlmon 驱动只能抓取部分 netlink 报文的原因

已于 2022-08-13 08:39:20 修改
阅读量444 收藏 2
点赞数
分类专栏: LINUNX KERNEL 文章标签: netlink netlink tap nlmon tcpdump
于 2020-10-06 16:18:23 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Longyu_wlz/article/details/108916416
版权

前言

我在 tcpdump 抓取 netlink 报文 这篇博文中描述了如何使用 nlmon 驱动抓取 netlink 报文的过程,在实际的测试中我发现对于一些 netlink 消息,例如 usb 设备热插拔事件发送的 netlink 消息就不能抓取到。

再次描述 tcpdump 抓取 netlink 报文的原理

我在 使用 nlmon 驱动抓取 netlink 报文的原理 这篇博文中描述了通过 nlmon 驱动抓取 netlink 报文的原理,其核心是创建了一个 netlink tap 口,当内核在发送、接收 netlink 消息时,报文会 deliver 到这虚拟的 netlink tap 口上,tcpdump 就是通过这个 tap 口来抓取 netlink 消息的。

netlink_deliver_tap 函数

上文提到的 deliver netlink 消息到 tap 口上,实际是通过调用 netlink_deliver_tap 函数来完成的。

netlink_deliver_tap 又会调用 __netlink_deliver_tap 函数,在 __netlink_deliver_tap 函数中有如下相关代码:

static void __netlink_deliver_tap(struct sk_buff *skb, struct netlink_tap_net *nn)
{
	int ret;
	struct netlink_tap *tmp;

	if (!netlink_filter_tap(skb))
		return;

可以看到,_netlink_deliver_tap 函数会先调用 netlink_filter_tap 函数来过滤发送到 tap 口的 netlink 消息,当 netlink_filter_tap 函数返回 false 后 _netlink_deliver_tap 函数直接返回,相关的 netlink 消息就不会过 tap 口,tcpdump 自然也就抓取不到这部分报文。

netlink_filter_tap

netlink_filter_tap 函数的代码如下:

static bool netlink_filter_tap(const struct sk_buff *skb)
{
	struct sock *sk = skb->sk;

	/* We take the more conservative approach and
	 * whitelist socket protocols that may pass.
	 */
	switch (sk->sk_protocol) {
	case NTLINK_ROUTE:
	case NETLINK_USERSOCK:
	case NETLINK_SOCK_DIAG:
	case NETLINK_NFLOG:
	case NETLINK_XFRM:
	case NETLINK_FIB_LOOKUP:
	case NETLINK_NETFILTER:
	case NETLINK_GENERIC:
		return true;
	}

	return false;
}

可以看到它通过判断 sock 中的 sk_protocol 字段的值进行分发,仅仅当 sk_protocol 的值是 switch 中列举的那些 NETLINK 协议消息类型时它才会返回 true,否则它会返回 false,这就是 tcpdump 无法抓取到诸如 usb 设备热插拔时内核发送的 netlink 报文的原因。

热插拔事件 netlink 对应的 sk_protocol 字段的值

热插拔事件处理相关的代码在内核源码树的 lib/kobject_uevent.c 中,着实让我一顿好找。这里我们只需要看看其初始化代码中创建 netlink sock 的函数调用就可以了。相关调用代码如下:

ue_sk->sk = netlink_kernel_create(net, NETLINK_KOBJECT_UEVENT, &cfg);

此函数最终会调用到 __netlink_create 并在其中创建一个 struct sock 接口,然后将该结构体中的 sk_protocol 字段赋值为 NETLINK_KOBJECT_UEVENT

这样在 netlink_filter_tap 中判断到这个 sk_protocol 后,函数将会返回 false,不会将相关的报文添加到 netlink tap 口中,自然也就抓取不到这种类型的报文了。

longyu_wlz
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
tcpdump 抓取 netlink 报文
龙瑜的博客
09-30 1816
tcpdump 抓取 netlink 报文的方法
使用 nlmon 驱动抓取 netlink 报文的原理
龙瑜的博客
09-30 6099
前言 在 如何抓取 netlink 报文 这篇博客中,我描述了使用 nlmon 驱动创建虚拟 tap抓取 netlink 报文的过程,在这篇文章中,我探讨下这一过程背后的原理。 nlmon 驱动 nlmon 驱动源码位于内核源码树中 drivers/net/ 目录中,由单个源文件——nlmon.c 组成,其代码长度只有 150 多行。 与普通的驱动代码一样,它也有一个初始化与解初始化函数,这两个函数分别实现的功能是在内核中注册一个 rtnl_link_ops 结构,解除注册的 rtnl_link_ops
Linux netlink
汽车以太网和SOA
10-08 2429
Linux netlink
基于netfilter抓包
geshifei的博客
12-11 1411
网络数据包监听系统 背景 本文介绍一种监听网络数据包的方法,基本思想是通过netfilter/iptables在TCP /IP网络层抓取网络数据包,然后将数据压缩、加密后,上传至云端服务器分析。 采集的数据为上行的原始的TCP报文,包括MAC首部、PPP首部(如果是PPPOE连接), IP首部、TCP首部以及部分或全部用户数据。 代码基于linux3.14.10验证...
使用 strace、tcpdumpnlmon、wireshark 探索 ethtool netlink 框架的原理
龙瑜的博客
08-15 678
在ethtool 的工作原理这篇文章中我描述了 ethtool 使用 ioctl 获取信息的流程,最近却发现新版本内核与 ethtool 命令已经支持通过 netlink 来交互,又刷新了认知,本文通过使用现有的一些工具来探索此交互的细节。...
网卡驱动,针对Broadcom NetLink (TM) Gigabit Ethernet网卡
05-06
在本案例中,我们关注的是Broadcom NetLink (TM) Gigabit Ethernet网卡,这是一种支持千兆速度的网络接口控制器。该驱动程序是专门为这款网卡设计的,用于确保其在Windows 10操作系统中的正常运行。 在升级到...
Broadcom NetLink (TM) Gigabit Ethernet网卡驱动 WIN10 32/64
08-19
Broadcom NetLink (TM) Gigabit Ethernet网卡驱动17.2.0.2版本,适用于WIN 系统网卡经常有感叹号,重启后正常适用的驱动更改。该驱动不支持BCM5700, BCM5701 and BCM5702 devices
netlink.rar_netlink_内核
07-14
Netlink主要由以下几部分组成: 1. **Netlink Socket API**:这是用户空间与内核通信的接口,类似于传统的网络套接字(Socket)。开发人员可以通过创建、绑定、监听、发送和接收消息来使用Netlink。这些操作都通过...
netlink:netlink库防锈
03-17
网络链接该项目旨在为提供构建块(请参见man 7 netlink )。组织板条箱提供了netlink套接字。 与和集成是可选的。 每个netlink协议都有一个netlink-packet-板条箱,用于提供该协议的数据包: 提供有关消息提供有关...
Broadcom NetLink (TM)Gigabit Ethernet 博通网卡驱动 BCM57780 17.2.0.2
05-14
在本案例中,我们关注的是"Broadcom NetLink (TM) Gigabit Ethernet",这是一个专为千兆以太网设计的网络适配器驱动程序,适用于博通的BCM57780芯片。 BCM57780是博通公司生产的一款高性能的以太网控制器,支持...
基于NETLINK IPC机制的进程间通信调试
dyllanzhou1979的博客
07-04 1274
对基于NETLINK的应用来说, 我们需要一种方式能够用来查看应用与内核之间通信的命令和事件目前内核已经实现了netlink监控的内核模块,基于此内核模块,我们可以使用传统的网络协议抓包方式来获取NETLINK相关的命令和事件1)打开内核NETLINK监控模块功能 CONFIG_NLMON=m //以模块的方式打开2)使用ip 命令创建nlmon网口  #ip link add nlmon0 ty...
内核与用户空间的通信实现—netlink
ljl113的博客
09-25 2568
netlink的简单驱动和应用程序实现
linux的netlink接口详解(下)
热门推荐
coder
09-04 1万+
——linux版本: 3.14.38 netlink支持用户进程和内核相互交互(两边都可以主动发起),同时还支持用户进程之间相互交互(虽然这种应用通常都采用unix-sock) 但是有一点需要注意,内核不支持接收netlink组播消息 本文将从用户进程发送一个netlink消息开始,对整个netlink消息通信原理进行展开分析 用户进程一般都通过调用sendmsg来向内核或其他
j link linux内核_Linux内核学习:netlink的内核实现原理
weixin_34177635的博客
03-04 303
注:当用户态进程发送数据时,调用sendmsg实现,其调用内核netlink_sendmsg函数完成,新建了sk_buff,然后给其cb私有缓存中保存了源地址信息,然后把数据拷贝到sk_buff中[nlmsghdr头部已经附在数据部分前面,作为数据部分了]然后利用netlink_unicast发送出去而当内核态发送时,新建了一个sk_buff,头部填写了nlmsghdr[利用了nlmsg_put实...
网络子系统48_ip协议数据帧的发送
奔跑的Linerdx的专栏
10-11 1551
//ip协议与l4协议接口,l4通过此接口向下l3传递数据帧 1.1 int ip_queue_xmit(struct sk_buff *skb, int ipfragok) { struct sock *sk = skb->sk; struct inet_sock *inet = inet_sk(sk); struct ip_options *opt = inet->opt;//选项与so
How SKBs work(图解sk_buff数据操作)
mengxp的博客
04-09 607
http://vger.kernel.org/~davem/skb_data.html This first diagram illustrates the layout of the SKB data area and where in that area the various pointers in 'struct sk_buff' point. The rest of this p...
Linux内核--网络协议栈深入分析(一)--与sk_buff有关的几个重要的数据结构
星.云计算
09-12 178
本文分析基于Linux Kernel 3.2.1 原创作品,转载请标明http://blog.csdn.net/yming0221/article/details/7971463 更多请查看专栏http://blog.csdn.net/column/details/linux-kernel-net.html 作者:闫明 几个月之前做了关于Linux内核版本1.2.13网络栈的结构框架分析并实现了...
Netlink 内核实现分析(二):通信
My Linux Journey
04-03 1万+
Netlink 是一种用于内核与用户空间通信的IPC(Inter Process Commumicate)机制,本文主要分析内核空间和用户空间使用netlink进行通信的具体流程。
NBNS 数据包 和 NetBIOS 协议
ghnbvfrtyujm的专栏
09-25 1920
第一,NetBIOS基本概念     NetBIOS: NetBIOS Services Protocols, RFC-1001,1002,网络基本输入/输出系统协议。     Provides three distinct services:          (1)Name service for name registration and resolution.
broadcom netlink (tm)gigabity ethernet 驱动
最新发布
06-25
Broadcom NetLink Gigabit Ethernet驱动是一种网络适配器驱动程序,用于控制计算机中的Broadcom NetLink网卡。这个驱动程序通常由浏览器或操作系统自带,可以通过设备管理器来更新。它是用来管理和控制计算机与网络...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值