Linux内核:网络过滤器简介与示例代码

最新推荐文章于 2023-03-21 00:12:55 发布
翻译 最新推荐文章于 2023-03-21 00:12:55 发布 · 2k 阅读 · 5 ·
CC 4.0 BY-SA版权
原文链接:https://devarea.com/introduction-to-network-filters-linux/#.X3PNWWgzaUk

本文介绍了如何在Linux内核中构建网络过滤器,用于丢弃特定源IP的数据包。通过示例代码展示了如何编写内核模块,动态加载和卸载,并解释了内核模块的网络过滤功能。此外,还提到了用户空间处理,通过libnetfilter_queue库将数据包传递给用户空间进行进一步处理。

目录

简单的例子

实施

用户空间处理

 

Linux的一大优点是其网络功能。路由器,交换机等许多网络产品均基于嵌入式Linux操作系统。

网络过滤是Linux内核中很好的基础结构,它使我们能够过滤和操作网络堆栈中的数据包。您可以构建用于防火墙过滤的网络过滤器,记录数据包,加密/解密等等。

我们可以将网络过滤器构建为内核模块,并动态地加载/卸载它的功能。

这篇文章假定您知道如何编写和加载一个简单的内核模块,如果不是从本文开始的话

 

简单的例子

#include <linux/module.h>
#include <linux/skbuff.h>          
#include <linux/init.h>
#include <net/sock.h>
#include <linux/inet.h>
#include <linux/ip.h>             
#include <linux/kernel.h> 
#include <linux/netfilter.h>
#include <uapi/linux/netfilter_ipv4.h> 
 
 
unsigned int main_hook(unsigned int hooknum,
                       struct sk_buff *skb,
                       const struct net_device *in,
                       const struct net_device *out,
                       int (*okfn)(struct sk_buff*))
{
    struct iphdr *iph;
 
    iph = ip_hdr(skb);
    if(iph->saddr == in_aton("192.168.0.2"))
    { 
        return NF_DROP; 
    }
    return NF_ACCEPT;
}
 
static struct nf_hook_ops netfops;                    
 
int __init my_module_init(void)
{
    netfops.hook              =       main_hook;
    netfops.pf                =       PF_INET;        
    netfops.hooknum           =       0;
    netfops.priority          =       NF_IP_PRI_FIRST;
    nf_register_hook(&netfops);
 
    return 0;
}
 
void  my_module_exit(void) 
{ 
    nf_unregister_hook(&netfops); 
}
 
module_init(my_module_init);
module_exit(my_module_exit);
MODULE_LICENSE("GPL");

这是一个简单的过滤器示例,它将丢弃来自IP 192.168.0.2的所有数据包

模块初始化功能在路由之前在输入路径中注册过滤器。要注册过滤器,我们需要指定:

  • 挂钩函数– main_hook
  • 套接字系列(IPv4)– PF_INET
  • 挂钩类型–路由之前的输入路径– 0
  • 挂钩优先级–如果我们在同一位置注册多个挂钩– NP_IP_PRI_FIRST

参数取决于系列–在IPv4中,您可以注册5点过滤器:

  • 输入路径–路由之前
  • 输入路径–路由之后
  • 输出路径–布线之前
  • 输出路径–路由之后
  • 从一个网络适配器转发到另一个

要构建该模块,我们需要为内核配置网络过滤器支持:

构建模块并对其进行测试:

  • 从IP运行ping命令:192.168.0.2 –应该得到正确的答复–保持运行
  • 将模块插入本地内核(insmod ./filter.ko)
  • 您现在不应该看到回复
  • 删除模块-再次看到正确的回复

每个数据包都通过挂钩函数main_hook传递。让我们详细了解一下:

unsigned int main_hook(unsigned int hooknum,
                       struct sk_buff *skb,
                       const struct net_device *in,
                       const struct net_device *out,
                       int (*okfn)(struct sk_buff*))
{
    struct iphdr *iph;
 
    iph = ip_hdr(skb);
    if(iph->saddr == in_aton("192.168.0.2"))
    { 
        return NF_DROP; 
    }
    return NF_ACCEPT;
}

第一个参数是钩子编号–例如,如果我们想在路由之前将所有消息记录在输入和输出路径中,则可以对多个钩子使用相同的函数

第二个参数是套接字缓冲区–表示数据包的数据结构

接下来,我们有两个网络适配器–输入用于输入,输出用于输出,以及在转发的情况下两者

最后一个参数是指向最后一个过滤器的函数指针-调用它会取消该过滤器旁边的所有其他过滤器(这就是为什么我们有优先级的原因)

 

实施

我们首先设置一个指向数据包IP标头的指针。现在,我们可以访问源IP和目标IP以及所有其他IP标头字段。

然后我们检查源地址,并丢弃来自192.168.0.2的数据包。在其他情况下,我们接受该数据包,则将调用下一个过滤器

挂钩函数必须返回以下值之一:

  • NF_DROP –丢弃数据包–释放资源
  • NF_ACCEPT –接受数据包–继续下一个过滤器
  • NF_STOLEN –不要继续处理数据包但不要释放它–我的责任是释放它
  • NF_QUEUE –将数据包排队以进行用户空间处理
  • NF_REPEAT –再次调用此过滤器

 

用户空间处理

如果返回NF_QUEUE,则控件将交付给用户空间。要在用户空间中实现它,我们应该使用库:nfnetlinknetfilter_queue

我将在以后的文章中介绍这些库,但是对于这篇文章,这是一个非常简单的示例,仅用于理解概念(没有错误检查和复杂的处理):

#include <stdio.h>
#include <stdlib.h>
#include <unistd.h>
#include <netinet/in.h>
#include <linux/types.h>
#include <linux/netfilter.h>		
#include <libnetfilter_queue/libnetfilter_queue.h>
 
 
static int filter_fn(struct nfq_q_handle *qh, struct nfgenmsg *nfmsg, struct nfq_data *nfa, void *data)
{
	int id;
        struct nfqnl_msg_packet_hdr *ph;
	ph = nfq_get_msg_packet_hdr(nfa);	
	id = ntohl(ph->packet_id);
	printf("filter function id=%d\n",id);
	if ( id % 3 == 0)
		return nfq_set_verdict(qh, id, NF_DROP, 0, NULL);
	return nfq_set_verdict(qh, id, NF_ACCEPT, 0, NULL);
}
 
int main(int argc, char **argv)
{
	struct nfq_handle *h;
	struct nfq_q_handle *qh;
	int fd;
	int rv;
	char buf[4096];
 
	h = nfq_open();
 
	nfq_bind_pf(h, AF_INET);
 
	qh = nfq_create_queue(h,  0, filter_fn, NULL);
	nfq_set_mode(qh, NFQNL_COPY_PACKET, 0xffff);
 
	fd = nfq_fd(h);
 
	while ((rv = recv(fd, buf, sizeof(buf), 0)))
	{
		printf("received\n");
		nfq_handle_packet(h, buf, rv);
	}
 
	nfq_destroy_queue(qh);
 
	nfq_close(h);
 
	exit(0);
}

在主函数中,我们打开连接,创建队列,然后将函数filter_fn注册为我们的过滤器,然后启动接收循环。

在过滤功能中,我们可以丢弃或接受数据包。

更改内核代码以返回NF_QUEUE:

#include <linux/module.h>
#include <linux/skbuff.h>          
#include <linux/init.h>
#include <net/sock.h>
#include <linux/inet.h>
#include <linux/ip.h>             
#include <linux/kernel.h> 
#include <linux/netfilter.h>
#include <uapi/linux/netfilter_ipv4.h> 
 
 
unsigned int main_hook(unsigned int hooknum,
                       struct sk_buff *skb,
                       const struct net_device *in,
                       const struct net_device *out,
                       int (*okfn)(struct sk_buff*))
{
    struct iphdr *iph;
 
    iph = ip_hdr(skb);
    if(iph->saddr == in_aton("192.168.0.2"))
    { 
        return NF_QUEUE; 
    }
    return NF_ACCEPT;
}
 
static struct nf_hook_ops netfops;                    
 
int __init my_module_init(void)
{
    netfops.hook              =       main_hook;
    netfops.pf                =       PF_INET;        
    netfops.hooknum           =       0;
    netfops.priority          =       NF_IP_PRI_FIRST;
    nf_register_hook(&netfops);
 
    return 0;
}
void  my_module_exit(void) 
{ 
    nf_unregister_hook(&netfops); 
}
 
module_init(my_module_init);
module_exit(my_module_exit);
MODULE_LICENSE("GPL");

构建用户空间应用程序:

# gcc -o app ./simple.c -lnfnetlink -lnetfilter_queue

要测试代码,请构建并插入模块,然后运行应用程序

$ sudo insmod ./netfildrv.ko 
$ sudo ./app 
received
filter function id=1
received
filter function id=2
received
filter function id=3
received
...

 

Linux 操作系统原理 — netfilter/iptables 流量处理框架
烟云的计算
05-25 2669
即:内网 IP 地址向外访问 Internet 时,发起访问的内网 IP 地址转换为指定的对外 IP 地址(可指定具体的服务以及相应的端口或端口范围),这使内网的多部主机可以通过同一个有效的公网 IP 地址访问外部网络。IP 网络有公网私网的区分,企业内网使用私网 IP,Internet 使用公网 IP。DNAT(Destination Network Transform,目的地址转换) SNAT 相对,当外部网络访问内部网络时,进来的 IP 数据包会被改变 dstIP 地址。
利用Linux Netfilter框架实现Linux内核模块阻断HTTP数据包
qq_41727987的博客
05-08 1051
主要参考内容: netfilter数据包过滤【https://tcspecial.iteye.com/blog/2174784】(很旧版netfilter下阻断http包) Linux内核编程 -- 从HelloWord到基于NetFilter的Linux驱动Demo【https://blog.csdn.net/xushuzhan/article/details/78843218】(很详细...
netfilter_queue
江南又一春
04-14 1676
int nfq_set_verdict(struct nfq_q_handle *qh, uint32_t id, uint32_t verdict, uint32_t data_len, const unsigned char *buf) 函数功能: 对一个数据包发表裁决。 函数参数: qh: id: verdict: data_len: buf:包含数据包数据的缓冲...
Netfilter_queue 知识总结
wangzhen_csdn的博客
10-13 6201
Netfilter_queue 知识总结 函数名称: struct nfnl_handle *nfnl_open(void)   函数说明: 开启nfnetlink 处理程序 函数参数: void 函数功能: 该函数创建一个nfnetlink 处理程序,此函数创建NFNETLink处理程序,这是需要建立的用户空间NFNETLink系统之间的通信。   返回值: 成功 指向n...
netfilter 防火墙 包过滤 实例
eqxu的专栏
06-19 1712
下面这个模块是用来将 #include #include static struct nf_hook_ops user_hook_ops= {   { NULL, NULL },   user_hookfn, //用户定义的钩子函数   PF_INET,   NF_IP_LOCAL_IN, //挂载点 。对于所有进入本机的数据包(包括使用网络套接字的IPC),都是在此挂载点完成的过滤
linux netfilter 过滤数据包,Linux网络防火墙Netfilter的数据包传输过滤原理
weixin_36271649的博客
05-15 272
Linux网络防火墙Netfilter的数据包传输过滤原理保密及网络安全2010年第23卷第5期ElectronicSci &Tech /May 15,2010Linux网络防火墙Netfilter的数据包传输过滤原理朱 艳(西安市儿童医院医保合疗办,陕西西安 710003)摘 要 给出了Linux网络防火墙Netfilter在IPV4网络环境下,Netfilter框架挂接点...
利用Linux内核网络堆栈:Netfilter钩子隐藏传输
"深入Linux内核网络堆栈,讨论如何利用Netfilter钩子进行数据包过滤网络地址转换和连接跟踪,以及如何隐藏网络传输以避开Libpcap嗅探器。文章包含一个基本数据包过滤功能的内核模块示例,适用于Linux 2.4.5系统,...
深入Linux内核:C++系统编程的挑战机遇
Linux内核简介 Linux内核Linux操作系统的核心部分,负责管理系统的硬件资源和提供软件运行时的环境。本章将带领读者了解Linux内核的基本架构和工作原理,以及它是如何硬件设备交互的。 ## 1.1 Linux内核的...
深入Linux内核:精通进程管理任务调度(习题答案解析)
本文详细介绍了Linux内核进程管理的基本理论,深入探讨了进程调度器的工作原理和策略,以及进程同步通信机制。同时,本文提供了进程管理的实际应用案例,包括监控工具的使用、脚本编写以及调试性能分析的方法。...
使用SystemTap剖析Linux内核:调试性能分析专家指南
SystemTap是一个用于Linux内核的强大调试和分析工具,它允许开发者和系统管理员探索和监控正在运行的内核的行为,而无需修改源代码或重新编译内核。通过SystemTap,用户可以定义探测点来收集系统运行时的信息,并...
Linux内核网络钩子Netfilter深度探索:隐藏通信过滤
"本文深入解析了Linux内核中的Netfilter子系统,主要关注如何利用Netfilter hook来实现特殊目的,以及如何使网络通信避开基于Libpcap的嗅探器。Netfilter是Linux 2.4内核的一部分,允许执行数据包过滤、NAT和网络...
基于Netfilter从零开始写一个Linux防火墙
qq_41781462的博客
03-21 257
基于Netfilter从零开始写一个Linux防火墙,为我们的迷你防火墙编写代码
基于VC++的包过滤防火墙系统设计实现
毕业作品网站
09-09 2254
该工具最大优点就是提供了功能强大的MFC类库,MFC是一个很大的C++类层次结构,其中封装了大量的类及其函数,很多Windows程序所共有的标准内容可以由M-FC的类来提供,MFC类为这些内容提供了用户接口的标准实现方法,程序员所要做的就是通过预定义的接口把具体应用程序特有的东西填入这个轮廓,这将简化编程工作,大大地减少程序员编写的代码数量,使编程工作变得更加轻松容易。这样程序的功能模块应该有:过滤规则添加删除功能模块,过滤规则显示功能模块,过滤规则存储功能模块,文件储存功能模块,安装卸载规则功能模块。
基于Windows系统下网络数据包过滤方法的分析
热门推荐
chenyujing1234的专栏
07-31 1万+
1、windows的分层网络构架 可以把windows操作系统的网络构架粗略划分为6层,其中逻辑链路层、网络层和传输层都是通过传输驱动程序实现的,也叫做协议驱动程序。网络驱动接口标准(NDIS)用于windows环境下网络驱动程序的开发,NDIS提供了很多功能函数,在各种驱动程序的编写中只需要调用各种函数,NDIS负责把上下层驱动程序联系起来,实现网络数据包的上下发送接收。 例如,当协议驱动
基于VC++包过滤技术防火墙设计实现
毕业作品网站
10-27 1805
这种技术是在网络中适当的位置对数据包实施有选择的通过,选择依据,即为系统内设置的过滤规则(通常称为访问控制表-----Access Control List),只有满足过滤规则的数据包才被转发至相应的网络接口,其余数据包则被从数据流中删除。本文主要研究个人安全防御系统中包过滤系统的设计实现,通过对现有包过滤技术深入的研究分析,发现其中的不足之处,并在设计实现的过程中对其进行改进和完善。1全面深入的研究现有的包过滤技术,分析比较每一种包过滤技术的优缺点,结合个人安全防御系统的特点确定所要使用的技术。
Linux 内核开发 - NetFilter
阿呆的隐秘角落
09-12 2849
Linux 内核开发 - NetFilter
netfilter_queue 总结
weixin_43745072的博客
11-24 3831
转载请注明出处 函数部分 nfq_open():打开一个nfqueue的句柄。 struct nfq_handle *nfq_open(void); 参数 return:生成的句柄 nfq_close():关闭nfq_open()创建的句柄。 int nfq_close(struct nfq_handle *h); 参数 h:nfq_open()创建的句柄 return: 0 成功,非0失败 nfq_unbind_pf() 将给定队列连接句柄处理中的属于某个特定协议家族的数据包
linux netfilter queue 修改数据包,使用NFQUEUE和libnetfilter_queue
weixin_39822443的博客
05-17 1791
翻译来自这里介绍NFQUEUE是一个iptables和ip6tables目标,它将数据包的决定委托给用户空间软件。 例如,以下规则将要求所有去往包的数据包都要听取用户安全计划的决定:iptables -A INPUT -j NFQUEUE --queue-num 0在用户空间中,一个软件必须使用libnetfilter_queue连接到队列0(默认的)并从内核获取消息。 然后它必须对包进行判决。内...
iptables 3: 动作MARK NFQUEUE
weixin_42639771的博客
04-17 2392
1. 参考 https://blog.csdn.net/wangzhen_csdn/article/details/83038122 一、nfqueue相关函数 1. nfnl_open struct nfnl_handle *nfnl_open(void) 函数说明: 开启nfnetlink 处理程序 函数功能: 该函数创建一个nfnetlink 处理程序,此函数创建NFNETLi...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值