Linux下Netfilter创建自己的Hook,让数据包可以发送到用户层,然后统计节点负载信息

最新推荐文章于 2024-08-21 10:25:22 发布
最新推荐文章于 2024-08-21 10:25:22 发布
阅读量2.6k 收藏 14
点赞数
分类专栏: route 文章标签: netfilter
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/prowc/article/details/81352387
版权

Linux下Netfilter创建自己的Hook函数,让数据包可以发送到用户层,然后统计节点的负载信息

写在最前面,我的linux内核版本是4.4.0-31-generic,版本是Ubuntu 16.04.1 LTS

希望实现的功能如题目所示,该功能实际分为几个步骤

  • 在用户空间编写自己的Hook函数C文件,并将该文件编译成内核模块(后缀为.ko),然后加载到内核中,并测试Hook函数是否起作用
  • 在用户空间编写C文件,接收内核传过来的数据包,统计负载信息,然后回传给内核

一、在用户空间编写自己的Hook函数C文件,编译生成.ko模块,并动态加载到内核中

Makefile内容为:

obj-m := myhook.o
all:
    $(MAKE) -C /lib/modules/$(shell uname -r)/build M=$(PWD) modules
clean:
    $(MAKE) -C /lib/modules/$(shell uname -r)/build M=$(PWD) clean

linux头文件在下面这个目录中可以找到
/usr/src/linux-headers-4.4.0-31-generic(内核版本)/include/
然后如果是

#include <linux/kernel.h>
#include <linux/module.h>
#include <linux/ip.h>
#include <asm/atomic.h>
#include <linux/version.h>
#include <linux/skbuff.h>
#include <linux/netfilter.h>
#include <linux/netfilter_ipv4.h>
#include <linux/moduleparam.h>
#include <linux/netfilter_ipv4/ip_tables.h>
#include <linux/netfilter_bridge.h>

MODULE_LICENSE("GPL");
MODULE_AUTHOR("Wang");
MODULE_DESCRIPTION("Myhook");

static int pktcnt = 0;

//我们自己定义的hook回调函数
static unsigned int myhook_func(unsigned int hooknum, struct sk_buff **skb, const struct net_device *in, const struct net_device *out, int (*okfn)(struct sk_buff *))
{
   const struct iphdr *iph = ip_hdr(skb);
   return NF_QUEUE;
} 
static struct nf_hook_ops nfho = 
{
.hook=myhook_func, //回调函数是myhook_func
.pf=PF_INET,       //协议类型
.hooknum=NF_BR_POST_ROUTING,//挂载点
.priority=NF_IP_PRI_FIRST,//优先级
};
static int __init myhook_init(void)
{
    return nf_register_hook(&nfho);
}
static void __exit myhook_fini(void)
{
    nf_unregister_hook(&nfho);
}
module_init(myhook_init);
module_exit(myhook_fini);

把makefile和myhook.c放在同一目录下,然后make即可,会生成myhook.ko文件。
动态加载内核模块命令为 sudo insmod myhook.ko
动态卸载内核模块命令为 sudo rmmod myhook.ko

在加载这个模块之后,你会发现自己机器无法上网了,这是因为所有的数据包都被排队到了用户空间中,需要在用户空间中进行处理,也就是我们的第二部分需要做的内容。

二、在用户空间编写C文件,接收内核传过来的数据包,统计负载信息,然后回传给内核

之前网络上很多教程说要用ip_queue模块,但实际上这个模块在新版本内核中已经没有了,所以很多程序的头文件
include <linux/netfilter_ipv4/ip_queue.h>
是已经不存在了的,没有办法使用。

所以在新版本内核中,需要用到三个库,下载地址为https://netfilter.org/projects/libnetfilter_queue/
1、libmnl
2、libnfnetlink
3、libnetfilter_queue
下载源代码后,先安装libmnl,然后安装libnfnetlink,再安装libnetfilter_queue,编译时configure, make ,make install (注意make install的时候需要sudo)

libnetfilter_queue的示例代码在libnetfilter_queue-1.0.3/examples/nf-queue和libnetfilter_queue-1.0.3/utils/nfqnl_test下都有

我们测试验证一下功能:
1、动态加载第一步中的内核模块;sudo insmod myhook.ko,把hook挂在post_routing上
2、终端执行ping www.baidu.com命令,命令没反应,发不出去数据包,因为数据包在post_routing处被hook送到用户空间了
3、运行sudo ./nf-queue 0,这里的0表示queue_num是0,目前我仅实现了hook挂在后把数据包传到第0个queue_num上,按道理应该是可以更改queue_num的,需要进一步研究。
4、此时终端会显示nf-queue收到了数据包,并且可以看到payload len,然后将数据包回传给内核,内核可以继续发送
5、关闭nf-queue,此时ping命令无法继续发送数据包

利用payload len我们就可以统计负载信息了

三、用iptables可以不用自己编hook函数挂载,但是挂载点似乎只能在input、output和forward,没有办法挂载在post_routing上

prowc
关注
专栏目录
Linux之安全最佳做法(未完成)
企业实战系列集 ●●● https://ximenjianxue.blog.csdn.net
11-12 2333
一直跟Linux打交道,但是凡事多扰,一直未专门针对系统安全做过针对性总结,基于此,本文将记录总结一些Linux 安全配置过程中的常用实践,最后梳理成为安全最佳实践。
全网最详尽的负载均衡原理图解
2401_84046816的博客
04-19 947
引领完成Docker的安装、部署、管理和扩展,让其经历从测试到生产的整个开发生命周期,深入了解Docker适用于什么场景。并且这本Docker的学习权威指南介绍了其组件的基础知识,然后用Docker构建容器和服务来完成各种任务:利用Docker为新项目建立测试环境,演示如何使用持续集成的工作流集成Docker,如何构建应用程序服务和平台,如何使用Docker的API,如何扩展Docker。
Linux下的网络HOOK实现以及使用方法
03-04
本文讲述一下Linux下的Net的Hook,使用net的Hook可以实现很多很多非常底的功能,比如过滤报文,做防火墙,做代理等等。我们知道Windows下面也有Hook的功能,但是要Hook到Net的底,一般是使用NDIS来实现,但是Linux就提供了如此强大的功能,让我们不得不佩服Linux的伟大。几天的研究让我越来越对Linux的推崇!而且我想 Linux在嵌入式方面的应用会更加广泛!
(十五)洞悉linux下的Netfilter&iptables:开发自己的hook函数【实战】(上)
chenxzhuang的专栏
10-24 615
原文出处:http://blog.chinaunix.net/uid-23069658-id-3243434.html
Linux 内核源码分析---netfilter 框架
最新发布
学习记录
08-21 1185
学习记录
Linux内核构造数据包发送(Netfilter方式)
cxw06023273的博客
11-13 854
转自:http://blog.chinaunix.net/u/33048/showart_2043789.html,作者:Godbach 一、构造数据包简析 这里并不详细介绍如何在内核中构造数据包,下文如有需要会在适当的位置进行分析。这里简单的分析讲一下内核态基于Netfilter框架构造数据包的方式。 内核中可以用到的构造数据包的方式,个人认为可以分为两种。 ...
Linux Netfilter挂载钩子发送简单的UDP报文
weixin_30312563的博客
07-29 322
1、思路 分配空间--->填充udp、ip、ethernet报文头以及发送数据--->发送构造完成的报文 2、需要明白的接口 alloc_skb 分配skb空间 skb_reserve 在skb头部预留(将数据指针与skb尾指针后移) skb_push 向前移动数据头指针(skb_reserve为这个操作预留空间) skb_reset_transport_header...
LVS负载均衡全解析
dyh的博客
06-16 646
  客户通过本地设置dns获得hosts文件,dns解析CDN(需要厂家购买的服务或者自研),CDN进入企业内部的VIP上,一般公司会把VIP强制到路由器上,路由器通过OSPF协议走等价路由(例一致性哈西算法),通过路由协议分发到例如LVS调度节点CDN:Content Delivery Network,即内容分发网络。CDN是构建在现有网络基础之上的智能虚拟网络,依靠部署在各地的边缘服务器,通过中心平台的负载均衡、内容分发、调度等功能模块,使用户就近获取所需内容,降低网络拥塞,提高用户访问响应速度和命中率
k8s 中的 service 如何找到绑定的 Pod 以及如何实现 Pod 负载均衡
m0_56069948的博客
10-17 1524
Service 资源主要用于为 Pod 对象提供一个固定、统一的访问接口及负载均衡的能力。service 是一组具有相同 label pod 集合的抽象,集群内外的各个服务可以通过 service 进行互相通信。
linux内核构造数据包发送,Linux内核构造数据包发送(Netfilter方式)
weixin_33583419的博客
04-30 219
转自:http://blog.chinaunix.net/u/33048/showart_2043789.html,作者:Godbach一、构造数据包简析这里并不详细介绍如何在内核中构造数据包,下文如有需要会在适当的位置进行分析。这里简单的分析讲一下内核态基于Netfilter框架构造数据包的方式。内核中可以用到的构造数据包的方式,个人认为可以分为两种。其一,我们直接用alloc_skb申请一个s...
Linux Netfilte Hook注册
zhgure的博客
07-18 184
int nf_register_hook(struct nf_hook_ops *reg) { struct nf_hook_ops *elem; int err; err = mutex_lock_interruptible(&nf_hook_mutex); if (err < 0) return err; /* 1.根据协议号和hook点确认链表nf_ho...
linux netfilter hook详解
xiangminlu的博客
08-26 151
看到一篇有用的,转载过来,进行学习 https://blog.csdn.net/xsckernel/article/details/8186679
linux netfilter 过滤数据包,Linux网络防火墙Netfilter数据包传输过滤原理
weixin_42356162的博客
05-15 298
Linux网络防火墙Netfilter数据包传输过滤原理保密及网络安全2010年第23卷第5期ElectronicSci &Tech /May 15,2010Linux网络防火墙Netfilter数据包传输过滤原理朱 艳(西安市儿童医院医保合疗办,陕西西安 710003)摘 要 给出了Linux网络防火墙Netfilter在IPV4网络环境下,Netfilter框架挂接点...
学习如何在netfilter上开发一个自定义hook
perddy的专栏
10-31 1313
记录相关网址:     1、Linux netfilter Hacking HOWTO              http://www.netfilter.org/documentation/HOWTO/netfilter-hacking-HOWTO.html#toc3             2、CSDN上一篇参考博文:               A exa
Linux netfilter 学习笔记 之一 HOOK机制的分析与应用
lickylin的专栏
06-19 8126
ddddd
Linux 网络协议栈开发(七)—— Netfilter 概述及其hook
知秋一叶
01-14 3424
Netfilter概述          Netfilter/IPTables是Linux2.4.x之后新一代的Linux防火墙机制,是linux内核的一个子系统。Netfilter采用模块化设计,具有良好的可扩充性。其重要工具模块IPTables从用户态的iptables连接到内核态的Netfilter的架构中,Netfilter与IP协议栈是无缝契合的,并允许使用者对数据报进行过滤、地址转换
Linux netfilter 学习笔记 之二 ip netfilterhook 注册以及执行hook函数的概要分析
lickylin的专栏
06-21 9105
上一节分析了hook机制,本节简单介绍下三防火墙借助hook机制,实现的总体框架   1 三netfilter hook点的注册与注销 我们知道使用iptables,添加规则时需要指定表,在iptables中有filter、nat、mangle三张表,因为我们接下来几节分析的内容也是从这三个table表加上连接跟踪,此处我们也已这四个模块来将,而不是按HOOK点的分类来分析 1.1 f
linux网桥转发自身数据,linux网桥理解之一
weixin_35261213的博客
05-12 982
从功能上说,网桥就是一个智能的HUB,具有地址学习功能。用最普通的话语来说,它就是一个信使,能跟各个网段或者网口(这里,我们把隶属于某个网桥的所有接口叫port或者网桥的接口)通讯。这样说,有N个网口eth0,eth1,eth2。。。ethN组成了个网桥叫br0,这个时候br0就拥有了跟这N个网口直接通讯的能力,而且br0又被独立抽象出来为一个网络设备,它的名字就叫br0.当然,对于每个隶属于br...
Linux内核下数据包处理与用户空间通信:基于Netfilter的包过滤防火墙设计
本篇文章主要探讨了如何在Linux环境下设计和实现一个基于数据包过滤的防火墙,特别关注了在用户空间与内核空间之间的数据交互。文章作者陈昱志,硕士研究生专业为软件工程,由指导教师孟宪福指导,研究了网络安全...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值