Linux 内核抓包功能实现基础(四) 手动查找邻居缓存填充MAC地址

已于 2024-03-13 16:10:25 修改
阅读量1.3k 收藏 5
点赞数
分类专栏: Linux 内核 文章标签: Linux内核抓包 Linux Network
于 2018-07-28 15:27:24 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fuyuande/article/details/81260788
版权

          之前写了三篇关于内核抓包功能的实现,包括抓包原理、实现以及抓包服务器的实现。基本的功能都已经有了,但是还有些小问题有待解决。今天有空就解决一下。

            开发版本基于内核3.4.39。

           先介绍一下问题背景,抓包框架是基于netfilter的,通过在Pre-Routing和Post-Routing链上分别挂一个钩子函数来对报文处理。抓包基本上需要报文所有的原始数据,包括mac地址、ip地址以及数据层。对于后两者数据本来都在,但是对于mac地址,就不一定啦。所有进来的报文都是带有mac地址的,但是对于本机出去的报文来说,mac地址也是有的,只不过在IP层还看不到,因为我们挂载post-routing链上的钩子仍属于IP层,系统报文在IP层只负责IP层头域的修改,至于mac层,还需要继续往下走。直到查找邻居缓存,找到后就填写mac地址发送出去,找不到的话就发送arp广播同时缓存该报文,一定时间内没收到arp响应或者缓存的报文数量过多,报文就会被丢弃。如果我们要在IP层去填充mac地址的话,就必须手动去查找系统邻居缓存了。至于怎么查,可以直接参考系统TCP/IP协议栈的处理方式。

          我们首先看一下系统是怎么处理mac地址信息的:

       首先,ip_output接收skb后,会先让挂在netfilter post-routing链上的钩子函数处理,我们的抓包钩子也在这里,处理完成后,如果报文还在的话,就传给ip_finish_output处理,这个函数主要就是根据 MTU 判断报文长度是否太长,太长的话就调用ip_fragment函数处理,不管报文是否分片,最终都会调用ip_finish_output2函数。
        而这个ip_finish_output2函数就去获取邻居信息,通过调用dst_get_neighbour_noref得到邻居信息,之后调用neigh_output函数。neigh_output函数就去判断是否存在缓存项,存在的话就调用neigh_hh_output填充mac地址,填完之后就调用发送函数,至此报文发送完成,但是如果不存在缓存项的话,就会先缓存报文并发送arp请求,直到有响应或者超时或者缓存报文过多就把它丢弃。我们来看一下这几个函数:

static inline int ip_finish_output2(struct sk_buff *skb)
{
	struct dst_entry *dst = skb_dst(skb); /* 协议无关的目的缓存相关的数据结构 */
	struct rtable *rt = (struct rtable *)dst; /* 路由缓存相关结构体 */
	struct net_device *dev = dst->dev;
	unsigned int hh_len = LL_RESERVED_SPACE(dev);
	struct neighbour *neigh;

    // 
	if (rt->rt_type == RTN_MULTICAST) {
		IP_UPD_PO_STATS(dev_net(dev), IPSTATS_MIB_OUTMCAST, skb->len);
	} else if (rt->rt_type == RTN_BROADCAST)
		IP_UPD_PO_STATS(dev_net(dev), IPSTATS_MIB_OUTBCAST, skb->len);

	/* Be paranoid, rather than too clever. */
	// 如果首部空间不够大的话,则重新分配
	if (unlikely(skb_headroom(skb) < hh_len && dev->header_ops)) {
		struct sk_buff *skb2;

		skb2 = skb_realloc_headroom(skb, LL_RESERVED_SPACE(dev));
		if (skb2 == NULL) {
			kfree_skb(skb);
			return -ENOMEM;
		}
		if (skb->sk)
			skb_set_owner_w(skb2, skb->sk);
		kfree_skb(skb);
		skb = skb2;
	}

	rcu_read_lock();
        
        //获取邻居信息,获取失败就丢弃报文
	neigh = dst_get_neighbour_noref(dst);
	if (neigh) {	
                //调用邻居层发送接口
		int res = neigh_output(neigh, skb);

		rcu_read_unlock();
		return res;
	}
	rcu_read_unlock();

	if (net_ratelimit())
		printk(KERN_DEBUG "ip_finish_output2: No header cache and no neighbour!\n");
	kfree_skb(skb);
	return -EINVAL;
}
static inline int neigh_output(struct neighbour *n, struct sk_buff *skb)
{
	struct hh_cache *hh = &n->hh;
	if ((n->nud_state & NUD_CONNECTED) && hh->hh_len)
		return neigh_hh_output(hh, skb); //存在缓存则填充并发送
	else
		return n->output(n, skb); //不存在则送至缓存队列
}

     

static inline int neigh_hh_output(struct hh_cache *hh, struct sk_buff *skb)
{
	unsigned seq;
	int hh_len;
        
        //填充mac地址
	do {                
		int hh_alen;

		seq = read_seqbegin(&hh->hh_lock);
		hh_len = hh->hh_len;
		hh_alen = HH_DATA_ALIGN(hh_len);
		memcpy(skb->data - hh_alen, hh->hh_data, hh_alen);
	} while (read_seqretry(&hh->hh_lock, seq));

        //将mac头域压入数据栈中
	skb_push(skb, hh_len);

        //发送函数,报文处理完成
	return dev_queue_xmit(skb);
}

  以上就是内核对网络报文mac地址的处理,可以看到在Netfilter 的Post-Routing链上报文是还没有mac地址的,因此我们这里可以手动去设置,方式就是参考内核的实现,只不过提前处理了。

yyyyyyyuande
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
haxi.zip_linux kernel hash_linux netfilter_linux 内核 抓包_netfilter
09-14
linux内核中使用哈希的例子,利用netfilter抓包然后做成哈希链表
试图对非套接字内容提供操作_Linux内核AF_PACKET原生套接字漏洞(CVE202014386)分析...
weixin_40003451的博客
11-23 218
更多安全资讯和分析文章请关注启明星辰ADLab微信公众号及官方网站(adlab.venustech.com.cn)漏洞背景近日,Openwall社区上公开了一个Linux内核AF_PACKET原生套接字内存破坏漏洞。根据细节描述,该漏洞出现在net/packet/af_packet.c中,由整数溢出导致越界写,可以通过它进行权限提升。该漏洞危害评级为高,编号为CVE-2020-14386...
Linux原始套接字实现分析
m0_74282605的博客
03-01 1061
图中TCP、UDP和ICMP协议的接收处理函数分别为tcp_v4_rcv()、udp_rcv()和icmp_rcv()。对于IP报文,在协议栈的ip_local_deliver_finish()函数中会匹配是否有注册的网络层原始套接字,若匹配上就通过skb_clone()克隆报文并交给相应的原始套接字来处理。对于IP报文,在协议栈的ip_local_deliver_finish()函数中会匹配是否有注册的网络层原始套接字,若匹配上就通过skb_clone()克隆报文并交给相应的原始套接字来处理。
IPv6邻居发现缓存–第1部分
maimang1001的专栏
01-08 1036
请加入我的行列,我们即将探究IPv6邻居发现缓存(Neighbor Discovery Cache )的秘密。 我确信我们会发现,我们的目标是更好地管理IPv6,而不需要不完整的知识或陈旧的文字! 最近,我一直在回顾Jeff Doyle的经典《TCP/IP路由》,它们和我记忆中的一样棒。 如果您有幸结识Jeff,那么他的写作风格就很像他在现实生活中的影响力:平易近人且友好。 与此相关的是,在他的文章中,他对主题进行了彻底而精确的回顾,而没有诉诸于冷冰冰的技术散文,后者更适合他正在为读者解释的实际rfc。
Linux 内核抓包功能实现基础(三) 抓包服务器的实现
fuyuande的博客
07-08 2442
上回博客我们讲到了内核抓包内核端的实现,通过上篇博客的例子我们就能够开始抓包了,整个抓包的拓扑图如下:当开始抓包后,抓包机器将抓到的报文送到服务器上,假设服务器地址是192.168.199.123:8099,如果在抓包服务器上打开wireshark可以看到送过来的报文,如下图这样子:可以看到抓包服务器上收到了报文,但是这样子的报文我们是无法直接拿来分析的,因为实际的报文是封装起来的,需要把数据提取...
IP报文发送
weixin_34272308的博客
07-03 335
原文出处:http://blog.chinaunix.net/uid-23629988-id-371188.htmlhttp://blog.chinaunix.net/uid-23629988-id-439718.htmlhttp://blog.chinaunix.net/uid-23629988-id-1619346.htmlIP报文的发送的入口函数是ip_output,...
tcp/ip 协议栈Linux内核源码分析11 邻居子系统分析二 arp协议的实现处理
fuyuande的博客
05-30 709
内核版本:3.4.39 内核邻居子系统定义了一个基本的框架,使得不同的邻居协议可以共用一套代码。比起其它的内核模块,邻居子系统框架代码还是比较简单易懂的。邻居子系统位于网络层和流量控制子系统中间,它提供给L3向下发送的接口。看下网络层发送函数的部分代码: static inline int ip_finish_output2(struct sk_buff *skb) { /* ...
Linux内核设计与实现》 第一章 读书笔记 Linux内核简介
01-09
Linux内核设计与实现》 第一章 读书笔记 Linux内核简介 面试被怼了Linux内核,于是决定好好看一下这本书。作为经典书籍,Linux内核设计与实现是一本很重要的书籍。在大学本科的课程中已经学习过有关操作系统的内容...
Linux内核中大页的实现与分析
02-03
本文介绍了Linux操作系统中大页的实现。分别从memory层、文件系统层、libhugetlbfs,以及用户如何使用大页等这几个方面进行了分析和介绍。让您更好的了解大页在内核实现机制以及用户使用方法。大页主要是为了用户...
linux下的网络抓包程序实现
12-01
支持tcp、udp、ARP、icmp等协议并带有协议内容分析
Linux内核设计与实现(第三版中文高清带目录)_linux_linux内核_
10-01
linux内核设计说明,Linux内核设计与实现(第三版中文高清带目录)
linux内核设计与实现 第三版_linux内核设计_
10-03
linux内核是非长有意思的东西,它综合了开源社区大量工作者的经验,这些家伙大多是各个公司的大牛,能阅读分析他们的代码,简直是一种荣幸
Linux内核抓包分析并转发,Linux操作系统tcpdump抓包分析详解
weixin_30571837的博客
05-05 827
、输出结果介绍下面我们介绍几种典型的tcpdump命令的输出信息(1) 数据链路层头信息使用命令:#tcpdump --e host ICEICE 是一台装有linux的主机。它的MAC地址是0:90:27:58:AF:1A H219是一台装有Solaris的SUN工作站。它的MAC地址是8:0:20:79:5B:46; 上一条命令的输出结果如下所示:21:50:12.847509 eth0 &...
linux下最全抓包命令使用方式学习和拓展
小杨互联网
09-20 8129
为什么要抓包抓包有什么作用?抓包的好处:1,分析出当前服务器存在的漏洞,接口参数,防盗链,流量工具,ip伪造,参数篡改,钓鱼网站等。抓包的作用:端到端联调,包括不限制语言的参数请求,只要走upd,http协议。万物皆可抓、举个例子抓包的应用场景:网络传输,特殊协议,特殊场景,比如公安的视图库,国标,需要硬件交互的都必不可少(常见的:TCP,UDP,TLS,HTTP,QUIC,HTTP/2 Stream)。我们来看看官网的介绍:(我还是那句话,不要上手就粘,万物皆可粘,这是没错,但是有这自己的理解更胜一筹)
Linux 内核定时器使用 二 高精度定时器 hrtimer 的用例
fuyuande的博客
08-29 8634
之前介绍了timer_list内核定时器,它的精度在毫秒级别,再高一点它就无能为力了,所幸内核提供了高精度定时器 hrtimer。 源文件在linux/kernel/hrtimer.c中。接口简单。下面介绍一下相关接口 1. 定时器定义与绑定超时回调函数 static struct hrtimer timer; /* 设置回调函数 */ timer.function = hrtimer_h...
Unable to handle kernel paging request at virtual address 问题定位
fuyuande的博客
12-11 6423
调试模块的时候出现这个问题,看panic 系统调用堆栈,cpu执行到连接跟踪模块那里,难道是内核模块有问题?不可能,想起之前内核奔溃的教训,问题肯定是出在自己的模块上。又重新详细看日志,看到最后一行有个last unloaded ddos,这是我修改的模块,问题应该还是自己模块问题,反复定位,结果发现是卸载模块的时候没有释放定时器,导致定时器超时引起内核奔溃,以前也遇到过类似调试问题,在模块中启动...
Linux SKB结构体中各个长度字段的含义(len, data_len, headlen, pagelen)
fuyuande的博客
12-24 6075
结构体sk_buff是Linux内核网络子系统的一个基本结构体,关于它的长度有很多定义和操作,非常容易弄混,这里给出一个简单的说明。 下面这幅图是《深入理解Linux网络技术内幕》里面的图,一个skb用于存储一个报文,如果一个报文特别大的话,线性存储区放不下就需要多个skb来存储,这就是下面frag_list的作用,保存连续的skb,但是如果内核支持分散聚集技术的话,并且报文长度刚好又不大于mt...
linux内核中收发包为什么要有缓存队列
最新发布
05-25
Linux内核中收发包需要缓存队列的原因有以下几点: 1. 提高网络吞吐量:在高负载情况下,如果每个数据包都需要立即处理,会导致CPU频繁地处理网络包,影响系统的性能。而缓存队列可以将多个数据包合并成一个批次进行处理,提高了网络吞吐量。 2. 减少锁竞争:如果没有缓存队列,网络包在到达后就会立即被处理,这会导致网络层和传输层的数据结构频繁地加锁和解锁,增加了锁竞争的情况。而缓存队列可以将网络包先存放在队列中,等待合适的时机进行处理,从而减少了锁竞争的情况。 3. 提高响应速度:缓存队列可以将网络包暂存下来,等待处理程序空闲时再处理,这可以提高响应速度,从而降低网络延迟。 总之,缓存队列在Linux内核中扮演着非常重要的角色,可以提高网络吞吐量,减少锁竞争,提高响应速度,从而提高系统的性能。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值