netfilter例2:改ip报文头部里的ip地址

最新推荐文章于 2023-03-07 14:23:14 发布
最新推荐文章于 2023-03-07 14:23:14 发布
阅读量2.8k 收藏 4
点赞数
分类专栏: Linux 文章标签: Netfilter netfilter example 内核模块
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/newand/article/details/8266012
版权

本例对ip报文的报头源地址做了修改,然后转发。

文件名:change_srcip.c

/*
* this programe is working as plugin of netfilter which will change the source address
* of ipv6 packets.
*/


#include <linux/netfilter.h>
#include <linux/netfilter_ipv6.h>
#include <linux/netfilter_ipv6/ip6_tables.h>
#include <linux/module.h>
#include <linux/moduleparam.h>
#include <linux/kernel.h>
#include <linux/inet.h>
#include <linux/ip.h>
#include <net/ipv6.h>
#include <linux/time.h>

#include <asm/byteorder.h>

MODULE_LICENSE("GPL");
MODULE_AUTHOR("newand");
MODULE_DESCRIPTION("Change the address of ipv6 packet");

#define PRINT(fmt,args...) printk(", " fmt, ##args)


/* IP6 Hooks */
/* After promisc drops#include <asm/byteorder.h>
, checksum checks. */
#define NF_IP6_PRE_ROUTING  0
/* If the packet is destined for this box. */
#define NF_IP6_LOCAL_IN     1
/* If the packet is destined for another interface. */
#define NF_IP6_FORWARD      2
/* Packets coming from a local process. */
#define NF_IP6_LOCAL_OUT        3
/* Packets about to hit the wire. */
#define NF_IP6_POST_ROUTING 4

/*
* Hook deal with the the ipv6 packets, modify ip address
*/
static unsigned int 
ip6_modify_addr(unsigned int hooknum,
				struct sk_buff *skb,
				const struct net_device *in,
				const struct net_device *out,
				int (*okfn)(struct sk_buff*))
{
    struct sk_buff *sk = skb;
	struct ipv6hdr *ip6_hdr = ipv6_hdr(skb);//header

    if(ip6_hdr->version == 6)
    {
        struct in6_addr destip = ip6_hdr->daddr;//destination ip
        //specify the ipv6 address that need block
        if(destip.s6_addr[0] == 0xff && destip.s6_addr[1] == 0x15)
        {
            //if it match the condition then drop it
            ip6_hdr->saddr.s6_addr[1] = 0x02;
            //2001-〉2002.change the source addr from 2001:xxxx...
            //to 2002:xxxx...  
        }
    }
    
    return NF_ACCEPT;      
}

/*Initialize the hook*/
static struct nf_hook_ops nf_out_modify =
{
	.hook = ip6_modify_addr,
	.hooknum = NF_IP6_POST_ROUTING,
	.pf = PF_INET6,
	.priority = NF_IP6_PRI_FIRST,
};

/*Initialize the module*/
static int __init ip6_moaddr_init(void)
{
	int ret;
	ret = nf_register_hook(&nf_out_modify);
	PRINT("IPV6 address modify module init.\n");
	return 0; //success
}

/*Clear the module*/
static void __exit ip6_moaddr_exit(void)
{
	nf_unregister_hook(&nf_out_modify);
	PRINT("IPV6 address modify module exit.\n");
}

module_init(ip6_moaddr_init);
module_exit(ip6_moaddr_exit);

makefile:

#Makefile2.6
obj-m += change_destip.o        # 产生block_packet 模块的目标文件
CURRENT_PATH := $(shell pwd)   #模块所在的当前路径
LINUX_KERNEL := $(shell uname -r)    #Linux内核源代码的当前版本
LINUX_KERNEL_PATH := /usr/src/linux-headers-$(LINUX_KERNEL) #Linux内核源代码的绝对路径
all:
	make -C $(LINUX_KERNEL_PATH) M=$(CURRENT_PATH) modules   #编译模块了
clean:
	make -C $(LINUX_KERNEL_PATH) M=$(CURRENT_PATH) clean    #清理


 


 

newand
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Linux内核动态加载netfilter模块并修数据包源IP地址
某潜水用户的博客
12-25 1603
这次加载netfilter模块比上篇的helloworld能稍微简单一点,但万变不离其宗,一些细节就不赘述,本文引用了这篇文章部分代码。内核是3.10版本。 1.编写http.c文件 #include <linux/netfilter.h> #include <linux/init.h> #include <linux/inet.h> #include <...
基于Netfilter框架, 编写自己的hook函数,修经过hook点的数据包目的地址
xiangminlu的博客
12-07 826
参考连接 http://blog.chinaunix.net/uid-20662820-id-142433.html 修经过钩子的数据包目的地址: 结果图: //linux 内核数据包转发模块 /** myhook_func.c Makefile 编译:make 加载:sudo insmod myhook_func.ko remark=0 dst=192.168.92.129 //re...
利用netfilter进行TCP数据包的源IP地址,修TCP数据包内容。
xinshuai111的博客
05-08 5420
代码是在别个基础上修的,不过还是花了不少时间调试通过。 想实现的功能是,client的IP地址是192.168.1.187,但是server发现跟自己建立链接的是192.169.1.188,实现了IP地址的隐藏。 在server端内核进行数据修,server也无法发现自己的数据被修了。如192.168.1.187的client给192.168.1.111的server发送数据0x11,但是对于server来说,收到的是192.168.1.188的0xFF。 client是windows...
【智能路由器】动态域名(基于netfilter编程的DNS数据伪造)
热门推荐
图像、视频、算法、Linux
12-09 2万+
【智能路由器】系列文章连接 http://blog.csdn.net/u012819339/article/category/5803489本文利用netfilter框架,做了一个在路由器上运行的Linux内核模块,该模块能够拦截指定域名解析的请求数据包,并且伪造对应的DNS应答包,送入网络。模块作用机理在netfilter的框架的prerouting点,挂接我们的钩子函数,在钩子函数实现域名
arptable_filter.rar_hook ip_netfilter_netfilter a_内核HOOK
09-19
Netfilter的内核源代码,可以作为研究ARP,IP的HOOK的前提。
go-netfilter-queue:转到libnetfilter_queue的绑定
05-04
go-netfilter队列 转到libnetfilter_queue的绑定 该库提供对IPTables netfilter队列(NFQUEUE)中的数据包的访问。 libnetfilter_queue库是[Netfilter项目| ]。 子 使用IPTables将所有传出的Ping / ICMP请求定向到...
code_linux.rar_LINUX防火墙_ip过滤_linux 防火墙_netfilter过滤_防火墙过滤
09-23
netfilter防火墙,实现ip过滤,协议过滤,端口过滤
Linux netfilter/iptables知识点详解
01-09
Netfilter是Linux内核中的一个数据包处理模块,它可以提供数据包的过滤、转发、地址转换NAT功能。Iptables是一个工具,可以用来在Netfilter中增加、修、删除数据包处理规则。 Netfilter是位于网卡和内核协议栈之间...
lltj.rar_netfilter_netfilter 流量_site:www.pudn.com_计费 网络
09-24
利用netfilter 流量统计的子,做网络流量计费的同志可能用的上
Linux网络数据包处理Netfilter(hook)
haoyuxuanyuan的博客
03-07 1005
  Netfilter是一个用于Linux操作系统的网络过滤框架,它提供了一种在Linux内核中处理网络数据包的机制。Netfilter允许Linux管理员通过定义一组规则来控制网络数据包的流动,如阻止或允许某些IP地址或端口的数据包通过。这种过滤机制可以用于网络安全、流量控制和网络监控等应用。 Netfilter的核心是iptables,它是一个命令行工具,可用于在Linux系统中配置Netfilter规则。iptables提供了一组命令,使管理员可以定义、修、删除和显示规则集。这些规则集可以被用于控
构造HTTP请求Header实现“伪造来源IP
老张的自言自语
08-27 3853
构造 HTTP请求 Header 实现“伪造来源 IP ”   在阅读本文前,大家要有一个概念,在实现正常的TCP/IP 双方通信情况下,是无法伪造来源 IP 的,也就是说,在 TCP/IP 协议中,可以伪造数据包来源 IP ,但这会让发送出去的数据包有去无回,无法实现正常的通信。这就像我们给对方写信时,如果写出错误的发信人地址,而收信人按信封上的发信人地址回信时,原发信人是无法收到回信...
链路层访问修
多线程fork多进程
03-22 542
首先子中, udpcksum.h包含了两个头文件 ip_var.h/udp_var.h,我是centos5.5的,系统中并无这些头文件。如果自己隐掉,编译时明显就会报struct udpiphdr结构不存在。可在udpcksum.h中增加以下代码: struct ipvolg{     u_char  ih_x1 [9];  //9 bit     u_char  ih_pr;
Linux内核ip转发流程学习(自用)
Athrun_misou的博客
09-10 2054
一:skb数据结构 skb即sk_buffer数据结构,详解见 https://www.cnblogs.com/LiuYanYGZ/p/7566296.html   二:netfilter Netfilter是由Rusty Russell提出的Linux 2.4内核防火墙框架,该框架既简洁又灵活,可实现安全策略应用中的许多功能,如数据包过滤、数据包处理、地址伪装、透明代理、动态网络地址转...
利用netfilter截获、修数据包基础与实现
AFCC_的博客(Web_Dog)
08-21 2893
本着记录自己疯狂过的青春,对netfilter的应用学习做点记录。 0x00前提 双网卡硬件设备作中间件,一个网卡接收向另一网卡转发时进行操作数据包。下文中举eth0为进入,eth1为发出,相对而言。本次开发利用netfilter框架进行完整开发,基本实现对数据包的任意操作。 0x01 什么是netfilter Netfilter是linux2.4.x引入的一个子系统,作为一个通用的、抽象的框...
Linux IP层代码详解
最新发布
06-16
Linux IP层的代码实现主要在`net/ipv4`目录下,下面是一些主要的源代码文件及其功能: 1. `ip_input.c`:IP数据包输入处理,包括IP首部校验、路由选择、分片重组等。 2. `ip_output.c`:IP数据包输出处理,包括路由选择、TTL递减、分片等。 3. `ip_fragment.c`:IP数据包分片处理。 4. `ip_forward.c`:IP数据包转发处理,包括路由选择、ARP解析、TTL递减、分片等。 5. `ip_route.c`:IP路由表管理,包括路由表项的添加、删除、修等操作。 6. `ipmr.c`:IP组播路由处理。 7. `tcp_ipv4.c`:TCP协议的IP层实现,包括TCP数据包输入处理和输出处理。 8. `udp.c`:UDP协议的IP层实现,包括UDP数据包输入处理和输出处理。 9. `icmp.c`:ICMP协议的IP层实现,包括ICMP数据包输入处理和输出处理。 10. `arp.c`:ARP协议的实现,包括ARP请求和应答的发送和接收。 11. `devinet.c`:设备接口的IP层实现,包括设备的IP地址和路由表的管理。 12. `netfilter_ipv4.c`:IP层的Netfilter框架实现,包括数据包的过滤、修等操作。 除了上述文件外,还有一些与IP层相关的文件,如`net/ipv4/inet_hashtable.c`、`net/ipv4/tcp_input.c`、`net/ipv4/udp_impl.h`等。这些文件都是为了支持IP层的实现而存在的。 总的来说,Linux IP层的代码实现非常庞大和复杂,但是非常高效和灵活,支持多种路由协议和高级路由功能,是Linux网络子系统的核心之一。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值