netfilter机制介绍

最新推荐文章于 2024-10-13 22:29:10 发布
最新推荐文章于 2024-10-13 22:29:10 发布
阅读量1.8k 收藏 3
点赞数
文章标签: hook struct linux内核 module null list
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jwf04/article/details/6469430
版权

netfilter机制介绍

说明:本文基于linux内核2.6.29 与IPv6为例介绍。篇幅凌乱,仅供自我学习,转载请标明出处。

netfilter实际上是通过在linux的ip协议栈中的5个地方挂载hook函数,来实现对sk_buffer的截取处理。这些hook的类型主要有以下几种

 enum nf_inet_hooks {
    NF_INET_PRE_ROUTING,
    NF_INET_LOCAL_IN,
    NF_INET_FORWARD,
    NF_INET_LOCAL_OUT,
    NF_INET_POST_ROUTING,
    NF_INET_NUMHOOKS
};

hook函数由一个全局二维链表数组nf_hooks保存,在nf_hooks中每个节点都是一个nf_hook_ops结构,它实际上存储了钩子函数的内容。

struct nf_hook_ops
{
    struct list_head list;                                  //一般可以使用{NULL,NULL}

    /* User fills in from here down. */
    nf_hookfn *hook;                                      //hook函数,hook函数的定义在随后介绍
    struct module *owner;                             //如果是本module可以使用 THIS_MODULE
    u_int8_t pf;                                                 //协议族,如果是ipv6则为PF_INET6
    unsigned int hooknum;                           //hooknum  如NF_IP6_PRE_ROUTING
    /* Hooks are ordered in ascending priority. */
    int priority;                                                   //优先级
};

关于优先级priority,目前Netfilter定义了一下几个优先级:

(取值越小优先级越高,我们可以根据需要对各个优先级加减一个常量得到符合我们需要的优先级。)
NF_IP6_PRI_FIRST = INT_MIN
NF_IP6_PRI_CONNTRACK = -200
NF_IP6_PRI_MANGLE = -150
NF_IP6_PRI_NAT_DST = -100
NF_IP6_PRI_FILTER = 0
NF_IP6_PRI_NAT_SRC = 100
NF_IP6_PRI_LAST = INT_MAX

那么接下来便是大家所关心的hook函数,就是这里的nf_hookfn *hook;  我们暂且称之为钩子函数。

钩子函数的返回值是有特殊规定的,它可以是以下几种:

#define NF_DROP 0
#define NF_ACCEPT 1
#define NF_STOLEN 2
#define NF_QUEUE 3
#define NF_REPEAT 4
#define NF_STOP 5

其含义如下:

1. NF_DROP 0:丢弃此数据报,而不进入此后的处理;
2. NF_ACCEPT 1:接受此数据报,进入下一步的处理;
3. NF_STOLEN 2:表示异常分组;
4. NF_QUEUE 3:排队到用户空间,等待用户处理;
5. NF_REPEAT 4:进入此函数再作处理。

钩子函数的函数指针的类型为nf_hookfn。

它的定义为:

typedef unsigned int nf_hookfn (unsigned int hooknum, struct sk_buff *skb,
                        const struct net_device *in, const struct net_device *out,
                        int (*okfn)(struct sk_buff *) ),所有的这些参数都是由Netfilter传递给我们的处理函数的。

其中okfn是当对应的钩子的注册函数为空 时,Netfilter调用的处理函数,它就是如果我们的处理函数返回Accept时Netfilter调用的处理函数。

IP协议栈中通过宏NF_HOOK来调用各个钩子函数,例如Ip6_input.c中的ipv6_rcv()函数如下:

Code:
  1. int ipv6_rcv(struct sk_buff *skb, struct net_device *dev, struct packet_type *pt, struct net_device *orig_dev)  
  2. {  
  3.     struct ipv6hdr *hdr;  
  4.     u32         pkt_len;  
  5.     struct inet6_dev *idev;  
  6.     struct net *net = dev_net(skb->dev);  
  7.   
  8.     if (skb->pkt_type == PACKET_OTHERHOST) {  
  9.         kfree_skb(skb);  
  10.         return 0;  
  11.     }  
  12.   
  13.     rcu_read_lock();  
  14.   
  15.     idev = __in6_dev_get(skb->dev);  
  16.   
  17.     IP6_INC_STATS_BH(net, idev, IPSTATS_MIB_INRECEIVES);  
  18.   
  19.     if ((skb = skb_share_check(skb, GFP_ATOMIC)) == NULL ||  
  20.         !idev || unlikely(idev->cnf.disable_ipv6)) {  
  21.         IP6_INC_STATS_BH(net, idev, IPSTATS_MIB_INDISCARDS);  
  22.         rcu_read_unlock();  
  23.         goto out;  
  24.     }  
  25.   
  26.     memset(IP6CB(skb), 0, sizeof(struct inet6_skb_parm));  
  27.   
  28.     /* 
  29.      * Store incoming device index. When the packet will 
  30.      * be queued, we cannot refer to skb->dev anymore. 
  31.      * 
  32.      * BTW, when we send a packet for our own local address on a 
  33.      * non-loopback interface (e.g. ethX), it is being delivered 
  34.      * via the loopback interface (lo) here; skb->dev = loopback_dev. 
  35.      * It, however, should be considered as if it is being 
  36.      * arrived via the sending interface (ethX), because of the 
  37.      * nature of scoping architecture. --yoshfuji 
  38.      */  
  39.     IP6CB(skb)->iif = skb->dst ? ip6_dst_idev(skb->dst)->dev->ifindex : dev->ifindex;  
  40.   
  41.     if (unlikely(!pskb_may_pull(skb, sizeof(*hdr))))  
  42.         goto err;  
  43.   
  44.     hdr = ipv6_hdr(skb);  
  45.   
  46.     if (hdr->version != 6)  
  47.         goto err;  
  48.   
  49.     /* 
  50.      * RFC4291 2.5.3 
  51.      * A packet received on an interface with a destination address 
  52.      * of loopback must be dropped. 
  53.      */  
  54.     if (!(dev->flags & IFF_LOOPBACK) &&  
  55.         ipv6_addr_loopback(&hdr->daddr))  
  56.         goto err;  
  57.   
  58.     skb->transport_header = skb->network_header + sizeof(*hdr);  
  59.     IP6CB(skb)->nhoff = offsetof(struct ipv6hdr, nexthdr);  
  60.   
  61.     pkt_len = ntohs(hdr->payload_len);  
  62.   
  63.     /* pkt_len may be zero if Jumbo payload option is present */  
  64.     if (pkt_len || hdr->nexthdr != NEXTHDR_HOP) {  
  65.         if (pkt_len + sizeof(struct ipv6hdr) > skb->len) {  
  66.             IP6_INC_STATS_BH(net,  
  67.                      idev, IPSTATS_MIB_INTRUNCATEDPKTS);  
  68.             goto drop;  
  69.         }  
  70.         if (pskb_trim_rcsum(skb, pkt_len + sizeof(struct ipv6hdr))) {  
  71.             IP6_INC_STATS_BH(net, idev, IPSTATS_MIB_INHDRERRORS);  
  72.             goto drop;  
  73.         }  
  74.         hdr = ipv6_hdr(skb);  
  75.     }  
  76.   
  77.     if (hdr->nexthdr == NEXTHDR_HOP) {  
  78.         if (ipv6_parse_hopopts(skb) < 0) {  
  79.             IP6_INC_STATS_BH(net, idev, IPSTATS_MIB_INHDRERRORS);  
  80.             rcu_read_unlock();  
  81.             return 0;  
  82.         }  
  83.     }  
  84.   
  85.     rcu_read_unlock();  
  86.   
  87.     return NF_HOOK(PF_INET6, NF_INET_PRE_ROUTING, skb, dev, NULL,  
  88.                ip6_rcv_finish);  
  89. err:  
  90.     IP6_INC_STATS_BH(net, idev, IPSTATS_MIB_INHDRERRORS);  
  91. drop:  
  92.     rcu_read_unlock();  
  93.     kfree_skb(skb);  
  94. out:  
  95.     return 0;  
  96. }  

可以看出该函数在最后调用了NF_INET_PRE_ROUTING处的钩子函数,在调用完该处所有的钩子函数之后调用了ip6_rcv_finish()函数。

Code:
  1. inline int ip6_rcv_finish( struct sk_buff *skb)  
  2. {  
  3.     if (skb->dst == NULL)  
  4.         ip6_route_input(skb);  
  5.   
  6.     return dst_input(skb);  
  7. }  

那我们来看看这个宏NF_HOOK的定义吧:

Code:
  1. #ifdef CONFIG_NETFILTER_DEBUG  
  2.   
  3. #define NF_HOOK(pf, hook, skb, indev, outdev, okfn)                       
  4.   
  5.  nf_hook_slow((pf), (hook), (skb), (indev), (outdev), (okfn), INT_MIN)  
  6.   
  7. #define NF_HOOK_THRESH nf_hook_slow  
  8.   
  9. #else  
  10.   
  11. #define NF_HOOK(pf, hook, skb, indev, outdev, okfn)                       
  12.   
  13. (list_empty(&nf_hooks[(pf)][(hook)])                                    
  14.   
  15.  ? (okfn)(skb)                                                         
  16.   
  17.  : nf_hook_slow((pf), (hook), (skb), (indev), (outdev), (okfn), INT_MIN))  
  18.   
  19. #define NF_HOOK_THRESH(pf, hook, skb, indev, outdev, okfn, thresh)         
  20.   
  21. (list_empty(&nf_hooks[(pf)][(hook)])                                    
  22.   
  23.  ? (okfn)(skb)                                                         
  24.   
  25.  : nf_hook_slow((pf), (hook), (skb), (indev), (outdev), (okfn), (thresh)))  
  26.   
  27. #endif  
  28.   
  29.   
  30. /*    如果nf_hooks[PF_INET][NF_IP_FORWARD]所指向的链表为空(即该钩子上没有挂处理函数),则直接调用okfn;否则,则调用net/core/netfilter.c::nf_hook_slow()转入Netfilter的处理。  */  

上述是以我对netfilter的理解的一个自我总结。

 

 

 

 

jwf04
关注
Linux Netfilter实现机制和扩展技术
08-18
2.4.x的内核相对于2.2.x在IP协议栈部分有比较大的改动, Netfilter-iptables更是其一大特色,由于它功能强大,并且与内核完美结合,因此迅速成为Linux平台下进行网络2.4.x的内核相对于2.2.x在IP协议栈部分有比较大的...
netfilter机制分析
08-11
Linux-netfilter机制分析(20090114修改版)
linux netfilter机制分析,Linux netfilter机制应用浅释(zz)
weixin_42122986的博客
05-13 71
#include static unsigned intaaa_account_infos_intercept(unsigned int hooknum,struct sk_buff ** pskb,const struct net_device *in,const struct net_device *out,int(*okfn) (struct sk_buff *)){struct in6_a...
netfilter机制
IT民工的蜕变
04-15 832
本文将描述如何利用Linux网络堆栈的窍门(不一定都是漏洞)来达到一些目的,或者是恶意的,或者是出于其它意图的。文中会就后门通讯对Netfilter钩子进行讨论,并在本地机器上实现将这个传输从基于Libpcap的嗅探器(sniffer)中隐藏。     Netfilter是2.4内核的一个子系统。Netfilter可以通过在内核的网络代码中使用各种钩子来实现数据包过滤,网络地址转换(NAT)和连
Netfilter实现机制分析
08-06 42
1. 前言 Netfilter作为目前进行包过滤,连接跟踪,地址转换等的主要实现框架,了解其内部机制对于我们更好的利用Netfilter进行设 计至关重要,因此本文通过阅读内核源码2.6.21.2,根据自身的分析总结出Netfilter的大致实现机制,由于自身水平有限,且相关的参考资料较 少,因此其中的结论不能保证完全正确,如果在阅读本文的过程中发现了问题欢迎及时与作者联...
linux防火墙的机制,Linux防火墙机制Netfilter/iptables简介-博客
weixin_28811227的博客
05-12 321
Netfilter是什么?NetfilterLinux的第三代防火墙,因其比之前的两种防火墙ipfwadm及ipchains出色而被Linux组织作为默认的防火墙。Netfilter是自由软件,但在各方面均不逊于商业版的防火墙。NetfilterLinux的关系NetfilterLinux是两个相互独立的组织,在Linux 2.4早期的版本,并没有包含Netfilter的功能,到后期的版本,...
Linux HOOK机制与Netfilter HOOK
Flashing-C的博客
07-18 980
在计算机中基本所有的软件程序都可以通过hook方式进行行为拦截,hook方式就是改变原始的执行流。 Linux常见的HOOK方式:1、修改函数指针。2、用户态动态库拦截。①利用环境变量LD_PRELOAD和预装载机制进行HOOK;②利用函数ptrace可实现对已运行的程序进行HOOK;3、内核态系统调用拦截。通过修改全局系统调用表,对系统调用进行劫持;4、堆栈式文件系统拦截。5、LSM。6、Netfilter HOOK
linux防火墙,netfilter机制
aoli_shuai的博客
11-29 782
linux防火墙 selinux 在配制远程连接时是要关闭selinux的。 临时关闭selinux: setenforce 0 永久关闭要编辑配置文件 vim /etc/selinux/config SELINUX=disabled 平时一般关闭selinux 2.iptablesiptables是linux的防火墙机制。在centos6时,是用的netfilter机制,centos7时用的是
netfilter
weixin_38184628的博客
02-19 1026
iptables,ip 说明这个工具工作在 ip 层,tables 说明这个工具的工作方式,通过多个表来工作。iptables 基于 netfilter 来实现,常常被用来做防火墙,通过 iptables 可以对报文进行过滤,修改或者 NAT。iptables 包括的概念比较多,功能很丰富,当然也很复杂,本文中只对一些基本的概念和操作做梳理。
netfilter介绍
xiakewudi的专栏
08-24 4837
一、什么是netfilter?         NetfilterLinux 2.4.x引入的一个子系统,它作为一个通用的、抽象的框架,提供一整套的hook函数的管理机制,使得诸如数据包过滤、网络地址转换(NAT)和基于协议类型的连接跟踪成为了可能。 netfilter的架构就是在整个网络流程的若干位置放置了一些检测点(HOOK),而在每个检测点上登记了一些处理函数进行处理。
Linux Netfilter机制
zhaqiwen的专栏
08-14 966
netfilter框架 Linux内核包含了一个强大的网络子系统,名为netfilter,它可 以为iptables内核防火墙模块提供有状态或无状态的包过滤服务,如NAT、IP伪装等,也可以因高级路由或连接状态管理的需要而修改IP头信息。 netfilter位于Linux网络层和防火墙内核模块之间,如图9-1所示。   (点击查看大图)图9-1  netfil
Linux网络安全讲义Netfilter机制与iptables工具.pdf
09-27
在讨论Linux网络安全时,Netfilter机制和iptables工具扮演着核心角色。NetfilterLinux内核的一部分,负责网络包的处理,包括数据包过滤、NAT(网络地址转换)、以及修改和记录网络数据包信息。iptables则是一个...
图解Redis 03 | List数据类型的原理及应用场景
大厂小码农的博客
10-10 732
List是一个简单的字符串列表,按照元素的插入顺序进行排序。您可以从头部或尾部添加元素到这个列表中。列表的最大长度为2^32 - 1,即支持多达40亿个元素。
List的实现类
WYyyyyyy_1998的博客
10-09 494
使用代码跟ArrayList差不多,替换ArrayList就行。使用代码跟ArrayList差不多,替换ArrayList就行。
集合框架07:LinkedList使用
最新发布
zhangjinajian759的博客
10-13 254
13.14 LinkedList使用_哔哩哔哩_bilibili。2.LinkedList集合的增删改查操作。
JavaSE——集合4:LinkedList、ArrayList与LinkedList的选择
雷神乐乐的博客
10-12 743
JavaSE——集合4:LinkedList、ArrayList与LinkedList的选择
Collection-LinkedList源码解析
令狐_JackieHao的博客
10-11 1146
Java集合框架的一些总结
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值