在用户态删除内核sip为特定值的所有nf_conntrack

已于 2023-09-05 12:01:05 修改
阅读量234 收藏 1
点赞数
文章标签: c++ c语言 开发语言
于 2023-04-11 21:36:44 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_64406986/article/details/127510018
版权 

#include <stdio.h>
#include <stdlib.h>
#include <string.h>
#include <errno.h>
#include <arpa/inet.h>

#include <libnetfilter_conntrack/libnetfilter_conntrack.h>
#include <libnetfilter_conntrack/libnetfilter_conntrack_tcp.h>

struct nfct_handle *cth, *ith;

int nfct_filter(struct nf_conntrack *obj, struct nf_conntrack *ct)
{
    if (!nfct_cmp(obj, ct, NFCT_CMP_ALL | NFCT_CMP_MASK))
        return 1;

    return 0;
}
static int delete_cb(enum nf_conntrack_msg_type type,
             struct nf_conntrack *ct,
             void *data)
{
    int res;
    char buf[1024];
    struct nf_conntrack *obj = data;
    unsigned int op_type = NFCT_O_DEFAULT;
    unsigned int op_flags = 0;

    if (nfct_filter(obj, ct))
        return NFCT_CB_CONTINUE;
    
    res = nfct_query(ith, NFCT_Q_DESTROY, ct);
    if (res < 0)
        printf("Operation failed");

    nfct_snprintf(buf, sizeof(buf), ct, NFCT_T_UNKNOWN, op_type, op_flags);
    printf("%s\n", buf);

    return NFCT_CB_CONTINUE;
}

int main(int argc, char* argv[])
{
    int res = 0;
    int family = AF_INET;
    struct nfct_filter_dump *filter_dump;
    struct nf_conntrack *ct;

    cth = nfct_open(CONNTRACK, 0);
    ith = nfct_open(CONNTRACK, 0);
    if (!cth || !ith)
        printf("Can't open handler");

    ct = nfct_new();
    if (!ct) {
        printf(" failed");
        return 0;
    }

    nfct_set_attr_u8(ct, ATTR_L3PROTO, family);
    nfct_set_attr_u32(ct, ATTR_IPV4_SRC, inet_addr(argv[1]));

    nfct_callback_register(cth, NFCT_T_ALL, delete_cb, ct);

    filter_dump = nfct_filter_dump_create();
    if (filter_dump == NULL)
        printf("filter_dump is null");

    res = nfct_query(cth, NFCT_Q_DUMP_FILTER, filter_dump);
    if (res == -1)
        printf("(%d)(%s)\n", res, strerror(errno));
    else
        printf("(OK)(%d)\n",res);

    nfct_filter_dump_destroy(filter_dump);

    nfct_close(ith);
    nfct_close(cth);
    nfct_destroy(ct);
    return 0;
}

参考:

http://conntrack-tools.netfilter.org/index.html

https://www.nftables.org/projects/libnetfilter_conntrack/doxygen/html/libnetfilter__conntrack_8h_source.html

橘小七
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
linux nf_conntrack 连接跟踪机制
weixin_30597269的博客
05-11 281
PRE_ROUTING和LOCAL_OUT点可以看作是整个netfilter的入口,而POST_ROUTING和LOCAL_IN可以看作是其出口; 报文到本地:PRE_ROUTING----LOCAL_IN---本地进程 需要本机转发的数据包:PRE_ROUTING---FORWARD---POST_ROUTING---外出 从本机发出的数据包:LOCAL_OUT----POST_...
libnetfilter_conntrack-1.0.7.tar.bz2
11-18
认识和熟悉过iptables之后,更加感叹netfilter的磅礴和浩瀚。在netfilter体系中,状跟踪机制(conntrack)是重要的一部分。它是基于Linux系统的stateful防火墙的基础,也是NAT完成对相关包进行转换的手段。本文尝试对conntrack的机制进行分析和理解。 在基于header信息(IP,端口等)进行过滤的包过滤防火墙发展多年之后,对防火墙的需求也再逐渐丰富,stateless防火墙对探测跟踪以及DoS的防护显得力不从心。当然从历史时间来看,包过滤防火墙是符合当时发展需要,效率也更高,对于更高层的应用当时都很少,自然也不需要太关注防护。 conntrack将信息存在内存结构中,包括IP,端口,协议类型,状以及超时时间。 而且conntrack不仅可以对TCP这种有状的会话进行状跟踪,还可以对UDP进行状跟踪。 conntrack本身并不会对包进行过滤,而是提供一种基于状和关系的过滤依据。
Linux下快速解析nf_conntrack
staticnetwind的专栏
07-08 1831
1. 背景 回顾了项目需求是系统的统计tcp连接数; 于是想到了 nf_conntrack 这个Linux内核提供的记录和跟踪连接状的功能; 然后写了个程序解析 /proc/net/nf_conntrack这个映射文件,后来悲剧就发生了,当conntrack表记录变增加到1w以上之后,解析速度急速下降,到了10w规模后,解析耗时几十秒都不能完成,,, 终于后来翻到了netfilter的老巢,发现了解决方法:libnml、libnetfilter_conntrack 2. 使用 核心原理是通过netlink
linux getfattr中文乱码,Linux下快速解析nf_conntrack
weixin_39963080的博客
05-11 252
1. 背景回顾了项目需求是系统的统计tcp连接数;于是想到了 nf_conntrack 这个Linux内核提供的记录和跟踪连接状的功能;然后写了个程序解析 /proc/net/nf_conntrack这个映射文件,后来悲剧就发生了,当conntrack表记录变增加到1w以上之后,解析速度急速下降,到了10w规模后,解析耗时几十秒都不能完成,,,终于后来翻到了netfilter的老巢,发现了解决方...
nefilter
Wait for 的专栏
09-05 2907
这个函数实现很简单,它就是置事件缓存的标志位。 static inline void nf_conntrack_event_cache(enum ip_conntrack_events event, struct nf_conn *ct) {         struct nf_conntrack_ecache *e;         if (nf
内核SIP ALG学习指引和基本实现原理(分析BCM方案实现)
技术人生
09-25 1万+
总结一下内核ALG的学习方法和基本原理,方便以后需要了解这方面的朋友少走弯路。该文档分析基于broadcom5358方案。
nf_conntrack_reasm.rar_网络_Unix_Linux_
08-11
Linux Network driver: IPv6 fragment reassembly for connection tracking.
nf_conntrack_ipv4.rar_Windows编程_Unix_Linux_
08-11
IPv4 support for nf_conntrack.
nf_conntrack_broadcast.rar_Linux/Unix编程_Unix_Linux_
08-11
broadcast connection tracking helper for linux network.
nf_conntrack_tuple_common.rar_The Common
09-21
The protocol-specific manipulable parts of the tuple: always in network order.
kubernetes的master节点由于nat表、nf_conntrack 问题造成dockers启动不了处理
rendongxingzhe的博客
12-24 2263
dockers启动Perhaps iptables or your kernel needs to be upgraded
[sips]搭建opensip:ubuntu+ARM 64位
willis
10-13 1284
1.下载opensips 官网文档 下载openSips的各个版本 openSIPS | Documentation / Compile and Install - 3.1 在官网openSIPS | Main / HomePage能看到哪个是稳定版本,这里下载3.2.2版本 2.编译opensips
nf_conntrack连接跟踪模块
热门推荐
顽石的专栏
10-20 4万+
nf_conntrack连接跟踪模块 在iptables里,包是和被跟踪连接的四种不同状有关的。它们分别是NEW,ESTABLISHED,RELATED和INVALID。后面我们会深入地讨论每一个状。使用iptables的state模块可以匹配操作这几种状,我们能很容易地控制“谁或什么能发起新的会话”。为什么需要这种状跟踪机制呢?比如你的80端口开启,而你的程序被植入反弹式木马,导致
连接跟踪(conntrack):原理、应用及 Linux 内核实现
maimang1001的专栏
05-19 4811
连接跟踪(conntrack):原理、应用及 Linux 内核实现 This post also provides anEnglish version. 摘要 1 引言 1.1 概念 1.2 原理 1.3 设计:Netfilter 1.4 设计:进一步思考 1.5 应用 1.5.1 网络地址转换(NAT) 四层负载均衡(L4LB) 1.5.2 有状防火墙 OpenStack 安全组 1.6 小结 2 Netfilter h..
一个复杂的nf_conntrack实例全景解析
Netfilter
10-28 1万+
本文关注两点,一点是细节,另外一点是概览: 细节:一个完整的关于nf_conntrack和NAT互动的例子 概览:关于人云亦云的讽刺 近期搜集了一些关于iptables,NAT相关的问题,其中最令人觉得麻烦的还是nf_conntrack相关的东西,比如它和NAT的关系,它和state match的关系,它的Helper机制怎么使用等等。  因此决定写一篇随笔来一个情景分析,也是方便自己终有一天遗忘了
FTP 协议 基于 Netfilter Conntrack 的 动端口 开放
And_ZJ的博客
10-15 2460
由于 防火墙的默认策略 应该是DROP,对于像 FTP 这种在被动模式下,需要新开端口建立数据通道的协议而言,防火墙不能够主动的开辟相关的端口,也就在默认DROP情况下,FTP的数据端口不能通信,就会出现能登录成功,但获取不到目录的情况。关于 FTP 的介绍,可参考这篇帖子。 在 Linux 中,Netfilter 自带一个 conntrack 模块,于是就先以 ftp 协议为例研究了一下。实现 ...
linux内核协议栈 netfilter 之连接跟踪子系统核心数据结构 struct nf_conn
11-01 1890
1连接跟踪信息块struct nf_conn 连接跟踪子系统中的每条“连接”就是用struct nf_conn表示,其定义如下: struct nf_conn { /* Usage count in here is 1 for hash table/destruct timer, 1 per skb, plus 1 for any connection(s) we are `master' for */ //连接信息块的引用计数,如注释所列,这些情况会增加引用计数 st..
Netfilter之连接跟踪实现机制初步分析
深海蓝的技术随笔
03-31 1782
原文地址:http://blog.chinaunix.net/uid-22227409-id-2656910.html Netfilter之连接跟踪实现机制初步分析 什么是连接跟踪 连接跟踪(CONNTRACK),顾名思义,就是跟踪并且记录连接状。Linux为每一个经过网络堆栈的数据包,生成一个新的连接记录项(Connection entry)。此后,所有属于此连接的数据包都被唯一地分
连接跟踪SIP协议
redwingz的博客
01-28 3803
ip_conntrack_sip模块用于为SIP协议建立所需的连接跟踪。支持指定最大8个监听端口,多个端口号使用逗号分隔。另外在加载模块时可指定的参数有: sip_timeout 主SIP会话的超时时长,默认3600秒 sip_direct_signalling 仅接受注册服务器发出的呼叫,默认为1 sip_direct_media 仅在交互信令的两端建立媒体流,默认为1 sip_external_media 支持与非交互信令的端点建立媒体流,默认为0 # modprobe
linux 内核中整个nf_conntrack_core.c什么意思
最新发布
07-09
nf_conntrack_core.c是Linux内核中处理网络连接跟踪的核心模块的源代码文件。该文件主要实现了网络连接跟踪子系统的核心功能。 网络连接跟踪是Linux内核中的一个重要功能,用于跟踪网络连接的状和信息。nf_...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值