Linux网络截包不完全整理

最新推荐文章于 2021-09-13 18:21:28 发布
最新推荐文章于 2021-09-13 18:21:28 发布
阅读量2.1k 收藏 2
点赞数
分类专栏: linux 文章标签: 网络 linux linux内核 buffer 扩展 防火墙

网络截包是一项很有意思的课题,可以有数据过滤,防火墙,流量控制,报文篡改等诸多应用,按照内核分层架构将一些截包方法不完全整理如下,欢迎补充。

1、 L1层驱动截包法
    在驱动中下手应该可以说是最贴近底层的,网卡驱动中总有rx接收和xmit发送函数,参数总是sk_buffer,在这里修改很黄很暴力,而且几乎不需要什么linux内核的知识。
    xmit函数调用时的参数sk_buffer已经是一个发育健全的成熟体,因此在这里做过滤那真是得心应手美呆了,当然修改的时候还是要下一番功夫,而rx的时候则相反,可怜的sk_buffer在这时候只发育了链路层(L2)头部,一旦涉及到较为复杂的过滤,则需要做一些模拟协议栈的分析,如需要获取udp端口,就要从sk_buffer中先取出L3 IP层的长度,对sk_buffer->data作相应位移。

2、 L2层虚拟设备截包法
    与具体网卡设备无关,通过register_netdevice注册一个net_device结构,在驱动层上虚拟一个设备节点(ethx.y),来实现截包,通过设置路由,让需要拦截的报文通过该设备节点发出,从而实现过滤。
    正是因为需要结合路由来使用,该方法显得特别优雅,对目的IP的过滤甚至在路由设置中就已经完成,避免其他无关报文不必要的拦截判断。虚拟设备拦截到的sk_buffer也已经基本成熟了,可以方便的过滤。
    可惜佛说,优点即缺点,正是因为需要结合路由使用,该法对接收报文的过滤和修改无能为力(如果理解有误欢迎指正)。

3、 L3层自定义协议截包法
    又是非常优雅的做法,通过dev_add_pack注册packet_type结构,挂接上自定义协议的收发流程,就算Linux升级到3.0 4.0,估计也能轻易的移植。
    可惜该方法只能拦截接收的报文,而且只能拦截该协议的报文,多用于正规协议开发,不适用于一些小功能实现。

4、 L3层netfilter截包法
    netfilter是linux内核自带的正规防火墙,转一个netfilter钩子分布图:


 可以发现,netfilter钩子虽然不多,但是遍布协议栈的各个关键路径,通过这些钩子就可以基本实现二层以上报文的过滤和删改。

5、 应用层raw socket截包法
    原始套接字也是常用的截包方法,可惜功能有限。内核处理的所有其它类型的数据包都会传一个拷贝给匹配的原始套接字,但是方便监听的同时是修改上的无力,因为得到的数据仅仅是个拷贝。而原始套接字对于其他线程发送的报文更是无能为力。

6、 应用层pcap软件包截包法
    pcap的linux版本是libpcap函数库(在Windows下对应的函数库为Winpcap),libpcap有几个主要的调用函数,通过这些就可以看出libpcap的基本功能。
    1)确定捕获网络数据包的网卡。
       char *pcap_lookupdev(dev *errbuf);
    2)设置过滤条件。
       int pcap_compile(pcap_t *p, struct bpf_program *fp, char *str, int optimize, bpf_u_int32 netmask)
    3)获取数据包。
       const u_char *pcap_next(pcap_t *p, struct pcap_pkthdr *h)

 

总结:

L1层驱动截包法
    优点:因为暴力所以方便,不需要对linux内核有很深入地了解,过滤输出的报文很简单。
    缺点:与设备相关,扩展性差,对接收到的报文要做很复杂的修改相对麻烦。
    适用:开发周期短,功能相对简单,不需要对接收报文做三层以上复杂过滤的情况。
L2层虚拟设备截包法
    优点:与具体设备和协议无关,扩展性好,高效,通过修改路由也可以有很多更多功能的应用。
    缺点:只能截获发出的报文,要结合路由使用。
    适用:需要考虑扩展性或者多网卡支持的情况,或者基于路由的一些特殊应用。
L3层自定义协议截包法
    优点:通过协议头来过滤报文,可读性和扩展性好。
    缺点:因为优雅所以麻烦,只能截获接收的报文。
    适用:有专用协议头的情况。
L3层netfilter截包法
    优点:netfilter框架严密,钩子点很有代表性,易扩展,易维护,很容易作为一个单独的可加载模块来开发,方便调试。
    缺点:修改3层以下的报文相对困难。
    适用:不需要修改3层以下报文头的情况,应该是用途广的截包方法了。
应用层raw socket截包法
    优点:在用户态运行就可以方便的监听想要的各种报文。
    缺点:无力删改报文,无力截获其他线程发送的报文。
    适用:只监听不修改的情况。
应用层pcap软件包截包法
    优点:开发简单,而且libpcap库能大大简化对报文的分析工作。
    缺点:需要libpcap库支持,无力删改报文,无力截获其他线程发送的报文。
    适用:只监听不修改的情况。

 

当然,网络截包还有一个很重要的考虑因素就是性能,对于接收报文的拦截来说,偏底层的截包法

效率较高,而对于发送报文的拦截,偏上层的截包法效率更高。

佛说,没有最好的,只有最合适的,所以做网络报文截取的时候要综合考虑实际需求,采用最合适

的方法,就能事半功倍。

fatshaw
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Linux设备驱动网络设备驱动
04-14 3733
1.概述Linux系统多用于服务器上,Linux非常牢固的支持网络。在Linux,网络分为两个层,分别是网络堆栈协议支持层,以及接收和发送网络协议的设备驱动程序层。网络堆栈是硬件中独立出来的部分,主要用来支持TCP/IP等多种协议,而网络设备驱动层是连接网络堆栈协议层和网络硬件的中间层。网络设备驱动程序的主要功能是:(1)模块加载或内核启动相关的初始化处理(2)清除模块时的处理(3)网络设备的检索和探测(4)网络设备的初始化和注册(5)打开或关闭网络设备(6)发送网络数据(7)接收网络数据(8)中断处理(在
基于Linux操作系统下的数据包截取与分析
04-27
计算机网络具有联结形式的多样性、终端分布不均匀性和网络的开放性、互连性等特征,致使网络受黑客、恶意软件和其他不轨的攻击,所以网上信息的安全保密是一个重要的问题,也是网络世界里一个很热门的研究方向。
linux命令之----tcpdump用于截取或监视网络传输的数据包
xianjie0318的博客
06-15 7587
用途 tcpdump简义:dump the traffic on a network,根据使用者的定义对网络上的数据包进行截获的包分析工具。  tcpdump可以将网络中传送的数据包的“头”完全截获下来提供分析。它支持针对网络层、协议、主机、网络或端口的过滤,并提供and、or、not等逻辑语句来帮助你去掉无用的信息。 语法 tcpdump [-adeflnNOpqStvx][-c][-d
httpparse linux 截包工具
cominglately的博客
06-01 859
github 链接
课程设计:基于C++和QT实现的Linux 网络抓包系统.zip
最新发布
03-22
课程设计:基于C++和QT实现的Linux 网络抓包系统.zip 课程设计:基于C++和QT实现的Linux 网络抓包系统.zip 课程设计:基于C++和QT实现的Linux 网络抓包系统.zip 课程设计:基于C++和QT实现的Linux 网络抓包系统.zip ...
LINUX网络配置与包管理
01-03
LINUX网络配置与包管理
Centos网络工具包_linux_网络命令_安装包;_
09-30
Linux平台下的网络命令的rpm安装包,最小化安装 后没有网络命令,安装这个包后就可以啦
linux2.6.1内核源码注释
03-10
Linux 2.6.11.12内核源码注释是一份极其珍贵的资料,它涵盖了Linux内核的多个关键组件,包括同步机制、信号处理、内存管理、进程调度、文件系统以及网络系统。这些是Linux内核运行的核心组成部分,对于理解Linux操作...
基于Linux_C实现的网卡抓包程序
10-22
基于Linux——c实现的网卡抓包程序,写大作业必备!代码详实,直接可以交作业!
linux网络包截获,netfilter截获数据包
weixin_29011239的博客
05-09 326
一.nf_register_hook挂钩之截获数据包1.include\linux\netfilter.h查看nf_hookfn函数以及nf_hook_ops结构体的定义,再具体初始化typedef unsigned int nf_hookfn(unsigned int hooknum,struct sk_buff **skb,const struct net_device *in,const s...
使用tcpdump拦截linux网络数据
zhaoyizhilan的博客
03-02 680
使用tcpdump拦截linux服务端网络数据 语法范例: tcpdump -vv -i ens3 '((tcp)&&(host 183.239.240.48)&&(port 3001))' -c 100 -w 12.cap tcpdump -vv -i eth0 '((tcp)&&(src host 10.67.37.26)&...
Linux kernel过滤网络数据包
钱国正的专栏
09-16 4447
原理剖析内核过滤数据包,第一个想到的是iptables,这个东西是用户层的, 深入点就是netfilter了。 netfilter的5个钩子点可以实现这个。 对内核熟悉点的人会知道layer7, 有的使用框架snort,layer7已经不更新,继承者是ipp2p, 这些都可以。还有Libpcap不知道怎么做,目前没有去深入研究过。方案选定我的本意是针对含有特殊字符串的数据包重定向端口,其他的数据包
Linux使用总结之 :tcpdump网卡抓包
运维呆子 的博客
09-13 1579
日常抓包,需要使用root权限发起: tcpdump –w /home/文件路径/文件名 –s 5000 –i 网卡名 host 对端IP and port 某一方端口 tcpdump -w /data/dump.txt -s 5000 -i ens192 host 10.1.1.1 and port 8089 tcpdump -w /tmp/dump.txt -s 5000 -i ens192 host 10.1.1.1 tcpdump -w /tmp/dump.txt -s 5000 -i ens33
Linux】TCP粘包问题
qq_42270373的博客
08-29 298
粘包拆包问题是处于网络比较底层的问题,在数据链路层、网络层以及传输层都有可能发生。我们日常的网络应用开发大都在传输层进行,由于UDP有消息保护边界,不会发生粘包拆包问题,因此粘包拆包问题只发生在TCP协议中。 什么是粘包、拆包? TCP粘包:socket读取时,读到了实际意义上的两个或多个数据包的内容,同时将其作为一个数据包进行处理。 TCP拆包:socket读取时,没有完整地读取一个数据包...
linux下 tcp接受数据不全_Linux下流水线式的TCP中继代理是如何提高吞吐的
weixin_39581945的博客
11-04 144
CDN如何加速动态的内容? 如果答案是每次都回源站,那岂不是违背了 “CDN就是让内容离用户更近” 的承诺了吗?答案确实是每次都回源站。但是另一方面,CDN并非仅仅是让内容离用户更近,更高层面上,CDN代表了一种颠覆性的架构,除了数据离用户的距离上的考量之外,更多地是打碎了TCP对IP路由网络的信任,IP做不好的事情,TCP自己来做。非常具有讽刺意味,加入拥塞控制算法以后的TCP从来都没有优雅地应...
linux系统防火墙拦截网络,使用iptables作为网络防火墙构建安全的网络环境
weixin_39620662的博客
05-04 409
前言一般情况下iptables只作为主机防火墙使用,但是在特殊情况下也可以使用iptables对整个网络进行流量控制和网络安全防护等功能,在本文中,我们使用iptables对三台服务器的安全进行安全防护网络防火墙的优势网络防火墙相比于主机防火墙而言,范围更大,不用对网络内的各主机各自设置防火墙规则就可以保证其安全性,但是必须在网络的进出口才能对出入数据包进行限制实验拓扑图实验环境主机IP地址功用f...
Linux捕获和拦截数据包的方法和思路
weixin_30800807的博客
07-10 2049
libpcap可用于截获网卡上收发的数据包,tcpdump等工具基于该包分析数据; netfilter/iptales可以拦截数据包; ms没有办法拦截tcp连接中的指定数据,只能reset TCP连接; 转载于:https://www.cnblogs.com/freelooper/p/9287163.html...
linux网络抓包命令
06-06
Linux网络抓包命令包括: 1. tcpdump:用于捕获网络数据包并将其显示在终端上。 2. Wireshark:一个功能强大的网络协议分析器,可以捕获和分析网络数据包。 3. tshark:Wireshark的命令行版本,可以在不使用图形...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值