linux下使用iptables ulog+netlink在内核中抓取特定数据包

最新推荐文章于 2024-05-08 23:34:46 发布
最新推荐文章于 2024-05-08 23:34:46 发布
阅读量1.4w 收藏 4
点赞数
分类专栏: linux网络内核
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/l1902090/article/details/25911877
版权
前言

    iptables是linux下基于Netfilter框架实现的防火墙软件。通过iptables我们可以方便的对内核中流动的数据包进行一些处理。iptables拥有强大的log(数据包记录)功能,可以把按特定规则匹配的ip数据包以log的形式传递到用户层供用户分析,这样我们就可以非常方便的了解内核中都有哪些ip数据包在传递以及这些数据包的内容。
    iptables有三种log记录形式,分别是log、ulog、nflog。log用于将匹配的数据包记录到系统的syslog中去,用户也可以直接通过dmesg命令查看。log命令只记录包头的一些。ulog通过netlink套接字将数据包多播到指定netlink多播组,这样任何感兴趣的进程都可以通过建立netlink套接字来接受内核中的数据包信息。ulog可以将整个数据包拷贝并发送给应用程序,当然也可以指定发送方数据包的字节数。nflog类似于ulog,但是功能更加强大。nflog不仅可以接受来自iptables的数据,还可以向iptables通过netlink套接字发送控制数据。本文重点讲ulog。

一、iptables中的ulog设定

    可以使用--ulog在某个链上添加ulog规则。
    例如: iptables -A INPUT -p TCP --dport 22 -j ULOG --ulog-nlgroup 2
    在input链上把所有目的端口号为22的数据包发送到netlink多播组2中。
    ulog还有以下几个选项:
     --ulog-nlgroup:
最低0.47元/天 解锁文章
wayne_l123
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
如何抓取访问特定URL的HTTP流的数据包
Netfilter
06-26 1万+
工作遇到了一个问题,需要抓取访问特定URL的TCP流的包。这也许不是什么问题,很多人会觉得使用tcpdump抓包,然后用Wireshark来过滤即可,但如果不能那么做呢?如果必须要仅仅抓取特定URL访问的TCP包呢?也许你会说,这又有何难...       我先来告诉你直接的难度吧,间接且更加重要问题的后面再谈。直接的难度就是抓包这个动作发生在网卡层面,特别底层,BPF是无状态的,它能过滤的只能
Linux系统Iptables规则执行顺序详细讲解
03-04
Iptables是采用规则堆栈的方式来进行过滤,当一个封包进入网卡,会先检查Prerouting,然后检查目的IP判断是否需要转送出去,接着就会跳到INPUT或Forward进行过滤,如果封包需转送处理则检查Postrouting,如果是来自本机封包,则检查OUTPUT以及Postrouting。过程如果符合某条规则将会进行处理,处理动作除了ACCEPT、REJECT、DROP、REDIRECT和MASQUERADE以外,还多出 LOG、ULOG等,其某些处理动作不会断过滤程序,某些处理动作则会断同一规则炼的过滤,并依照前述流程继续进行下一个规则炼的过滤,一直到堆栈的规则检查完毕为止。
[嵌入式系统-71]:RT-Thread-组件:日志管理系统ulog,让运行过程可追溯
最新发布
文火冰糖(王文兵)的博客
05-08 1244
同步模式适用于对实时性要求较高且系统资源相对充足的场景,但需要注意避免在关键线程调用可能阻塞较长时间的日志输出函数。异步模式适用于需要保证系统响应速度和稳定性的场景,尤其是在多线程环境。但需要注意合理配置和管理后台的日志输出任务,以避免过多的系统资源占用和潜在的性能问题。在 RT-Thread ulog组件通常支持配置为同步模式或异步模式,具体取决于应用程序的需求和系统的资源情况。开发者可以根据实际情况选择适合的模式,并合理配置相关的参数和选项。设置日志格式。
iptables日志探秘
weixin_34124939的博客
12-30 523
国内私募机构九鼎控股打造APP,来就送 20元现金领取地址:http://jdb.jiudingcapital.com/phone.html内部邀请码:C8E245J (不写邀请码,没有现金送)国内私募机构九鼎控股打造,九鼎投资是在全国股份转让系统挂牌的公众公司,股票代码为430719,为“国PE第一股”,市值超1000亿元。  --------------------------------...
基于netfilter抓包
geshifei的博客
12-11 1409
网络数据包监听系统 背景 本文介绍一种监听网络数据包的方法,基本思想是通过netfilter/iptables在TCP /IP网络层抓取网络数据包,然后将数据压缩、加密后,上传至云端服务器分析。 采集的数据为上行的原始的TCP报文,包括MAC首部、PPP首部(如果是PPPOE连接), IP首部、TCP首部以及部分或全部用户数据。 代码基于linux3.14.10验证...
利用netfilter抓包(二)----------抓包函数的实现
lw_yang的博客
09-29 2460
本篇文章使用netfilter实现抓包并进行简单数据包的解析 eth_hdr, ip_hdr,tcp_hdr分别是用过skb取以太网头部,ip头部,tcp头部 ntohs将网络字节序转换为主机字节序 由于内核没有inet_ntoa函数,所以自己写了个函数将int的ip地址转换为点分十进制格式的ip地址 先转换为主机字节序ntohl(iphdr->daddr),然后将int类型的ip地址转...
iptablesULOG和NFLOG实现分析
eydwyz的专栏
09-07 8659
目录(?)[-] ULOG和NFLOG特点比较NFLOG特点及实现机制ULOG特点及实现机制NFLOG例子程序ULOG例子程序 本文档的Copyleft归wwwlkk所有,使用GPL发布,可以自由拷贝、转载,转载时请保持文档的完整性,严禁用于任何商业用途。 E-mail: wwwlkk@126.com 来源: http://blog.csdn.net/wwwlkk
LINUX使用Iptables作为防火墙研究.pdf
09-06
LINUX使用Iptables作为防火墙研究.pdf
LINUX使用iptables作为防火墙研究 (1).pdf
09-06
LINUX使用iptables作为防火墙研究 (1).pdf
linux服务器下通过iptables+Denyhost抵御暴力破解的配置方法
09-15
主要介绍了linux服务器下通过iptables + Denyhost抵御暴力破解的方法,需要的朋友可以参考下
Linux 用户空间使用Netlink监听uevent
05-21
Linux 用户空间使用Netlink监听uevent,不是原理介绍,而是实战demo
firewall:使用 iptablesLinux 生成防火墙的 bash 脚本集。 基于
06-08
防火墙使用 iptablesLinux 上管理防火墙的脚本。标准用法您只需要运行一个脚本来管理防火墙,但您可以向其传递各种命令。 它们通常应按显示的顺序运行。 请注意,所有命令都需要以 root 权限执行(例如,通过...
Linux 防火墙软件 IPtables使用详解.docx
11-09
Linux 防火墙软件 IPtables使用详解.docx
linux环境下ulog,ulog日志
weixin_31951319的博客
05-09 2577
ulog 日志ulog 简介日志的定义:日志是将软件运行的状态、过程等信息,输出到不同的介质(例如:文件、控制台、显示屏等),并进行显示和保存。为软件调试、维护过程的问题追溯、性能分析、系统监控、故障预警等功能,提供参考依据。可以说,日志的使用,几乎占用的软件生命周期的至少 80% 的时间。日志的重要性:对于操作系统而言,由于其软件的复杂度非常大,单步调试在一些场景下并不适合,所以日志组件在操...
linux netfilter/iptables 架构分析及nelink的使用
飞翔de刺猬
09-29 4100
本文主要介绍,分为三部分: 1.linux netfilter/iptables组织架构,及其如何扩展netfilter模块。 2.linux netlink机制及其使用方式。 3.介绍内核模块的编写方法:内嵌到源码树构建;独立于源码树构建。
嵌入式日志库ulog使用和解析
weixin_45205160的博客
04-19 3084
time(& tt);// 打开文件my_test.txt 这里文件可以跟改为时间 fprintf(fp , "%s [%s]: %s\n" , get_time , // user defined function ulog_level_name(severity) , msg);执行后,文件的内容类似以下,这个格式是按照自己喜好在日志函数自己编写。
LinuxNetlink机制
yangrendong的专栏
06-25 860
Linux用户态和内核态进行通信的方式有很多种,
Linux使用 iptables 进行端口映射 视频地址
05-30
以下是在 Linux使用 iptables 进行端口映射的视频教程: - B站链接:https://www.bilibili.com/video/BV1XJ411n7Nt/ 这个视频详细介绍了如何使用 iptables 进行端口映射,步骤清晰易懂。如果您在 Linux 进行...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值