Linux 3.13.0 netfilter 学习笔记 之二 IP层netfilter hook点

最新推荐文章于 2023-03-08 16:12:38 发布
最新推荐文章于 2023-03-08 16:12:38 发布
阅读量534 收藏 2
点赞数
分类专栏: netfilter
原文链接:https://blog.csdn.net/lickylin/article/details/33020731
版权

IP层netfilter hook点

三层netfilter hook点的注册与注销

我们知道使用iptables,添加规则时需要指定表,在iptables中有filter、nat、mangle三张表,因为我们接下来几节分析的内容也是从这三个table表加上连接跟踪,此处我们按照这四个模块来分析,而不是按HOOK点的分类来分析

filter机制相关的hook注册

Filter表主要在以下几个hook点上其作用:
NF_IP_LOCAL_IN、NF_IP_FORWARD、NF_IP_LOCAL_OUT
即只在数据包的接收、数据包的发送及数据包的转发时进行过滤,filter表相关的hook点的注册是在iptables filter模块初始化时注册的,定义的hook_ops结构体变量如下:

// Linux 2.6.21
static struct nf_hook_ops ipt_ops[] = {
    {
        .hook = ipt_hook,
        .owner = THIS_MODULE,
        .pf = PF_INET,
        .hooknum = NF_IP_LOCAL_IN,
        .priority = NF_IP_PRI_FILTER,
    },
    {
        .hook = ipt_hook,
        .owner = THIS_MODULE,
        .pf = PF_INET,
        .hooknum = NF_IP_FORWARD,
        .priority = NF_IP_PRI_FILTER,

    },
    {
        .hook = ipt_local_out_hook,
        .owner = THIS_MODULE,
        .pf = PF_INET,
        .hooknum = NF_IP_LOCAL_OUT,
        .priority = NF_IP_PRI_FILTER,
    },
};

// Linux 3.13.0
#define FILTER_VALID_HOOKS ((1 << NF_INET_LOCAL_IN) | \
			    (1 << NF_INET_FORWARD) | \
			    (1 << NF_INET_LOCAL_OUT))

static const struct xt_table packet_filter = {
	.name		= "filter",
	.valid_hooks	= FILTER_VALID_HOOKS,
	.me		= THIS_MODULE,
	.af		= NFPROTO_IPV4,
	.priority	= NF_IP_PRI_FILTER,
};

通过上面的定义我们知道,相应的hook函数分别为ipt_hook、ipt_local_out_hook(关于这两个函数的具体执行过程暂且不分析,后面分析)。
然后通过调用nf_register_hook进行注册,调用nf_unregister_hook进行注销

nat机制相关的hook注册

nat表主要在以下几个hook点上起作用:
NF_IP_PRE_ROUTING、NF_IP_POST_ROUTING、NF_IP_LOCAL_OUT、NF_IP_LOCAL_IN
其中NF_IP_PRE_ROUTING、NF_IP_LOCAL_OUT为目的地址转发,而NF_IP_POST_ROUTING、NF_IP_LOCAL_IN为源地址转换。

static struct nf_hook_ops nf_nat_ipv4_ops[] __read_mostly = {
	/* Before packet filtering, change destination */
	{
		.hook		= nf_nat_ipv4_in,
		.owner		= THIS_MODULE,
		.pf		= NFPROTO_IPV4,
		.hooknum	= NF_INET_PRE_ROUTING,
		.priority	= NF_IP_PRI_NAT_DST,
	},
	/* After packet filtering, change source */
	{
		.hook		= nf_nat_ipv4_out,
		.owner		= THIS_MODULE,
		.pf		= NFPROTO_IPV4,
		.hooknum	= NF_INET_POST_ROUTING,
		.priority	= NF_IP_PRI_NAT_SRC,
	},
	/* Before packet filtering, change destination */
	{
		.hook		= nf_nat_ipv4_local_fn,
		.owner		= THIS_MODULE,
		.pf		= NFPROTO_IPV4,
		.hooknum	= NF_INET_LOCAL_OUT,
		.priority	= NF_IP_PRI_NAT_DST,
	},
	/* After packet filtering, change source */
	{
		.hook		= nf_nat_ipv4_fn,
		.owner		= THIS_MODULE,
		.pf		= NFPROTO_IPV4,
		.hooknum	= NF_INET_LOCAL_IN,
		.priority	= NF_IP_PRI_NAT_SRC,
	},
};

mangle机制相关的hook注册与注销

mangle表主要在NF_IP_PRE_ROUTING、NF_IP_LOCAL_IN、NF_IP_FORWARD、NF_IP_LOCAL_OUT、NF_IP_POST_ROUTING等hook点起作用

#define MANGLE_VALID_HOOKS ((1 << NF_INET_PRE_ROUTING) | \
			    (1 << NF_INET_LOCAL_IN) | \
			    (1 << NF_INET_FORWARD) | \
			    (1 << NF_INET_LOCAL_OUT) | \
			    (1 << NF_INET_POST_ROUTING))

static const struct xt_table packet_mangler = {
	.name		= "mangle",
	.valid_hooks	= MANGLE_VALID_HOOKS,
	.me		= THIS_MODULE,
	.af		= NFPROTO_IPV4,
	.priority	= NF_IP_PRI_MANGLE,
};

连接跟踪模块相关的hook注册与注销

主要定义了以下个nf_hook_ops数组,连接跟踪模块主要在NF_IP_PRE_ROUTING、NF_IP_LOCAL_IN、NF_IP_LOCAL_OUT、NF_IP_POST_ROUTING等hook点起作用,连接跟踪模块是实现nat的基础,也是实现ALG功能的基础。

/* Connection tracking may drop packets, but never alters them, so
   make it the first hook. */
static struct nf_hook_ops ipv4_conntrack_ops[] __read_mostly = {
	{
		.hook		= ipv4_conntrack_in,
		.owner		= THIS_MODULE,
		.pf		= NFPROTO_IPV4,
		.hooknum	= NF_INET_PRE_ROUTING,
		.priority	= NF_IP_PRI_CONNTRACK,
	},
	{
		.hook		= ipv4_conntrack_local,
		.owner		= THIS_MODULE,
		.pf		= NFPROTO_IPV4,
		.hooknum	= NF_INET_LOCAL_OUT,
		.priority	= NF_IP_PRI_CONNTRACK,
	},
	{
		.hook		= ipv4_helper,
		.owner		= THIS_MODULE,
		.pf		= NFPROTO_IPV4,
		.hooknum	= NF_INET_POST_ROUTING,
		.priority	= NF_IP_PRI_CONNTRACK_HELPER,
	},
	{
		.hook		= ipv4_confirm,
		.owner		= THIS_MODULE,
		.pf		= NFPROTO_IPV4,
		.hooknum	= NF_INET_POST_ROUTING,
		.priority	= NF_IP_PRI_CONNTRACK_CONFIRM,
	},
	{
		.hook		= ipv4_helper,
		.owner		= THIS_MODULE,
		.pf		= NFPROTO_IPV4,
		.hooknum	= NF_INET_LOCAL_IN,
		.priority	= NF_IP_PRI_CONNTRACK_HELPER,
	},
	{
		.hook		= ipv4_confirm,
		.owner		= THIS_MODULE,
		.pf		= NFPROTO_IPV4,
		.hooknum	= NF_INET_LOCAL_IN,
		.priority	= NF_IP_PRI_CONNTRACK_CONFIRM,
	},
};

static struct nf_hook_ops ipv4_defrag_ops[] = {
	{
		.hook		= ipv4_conntrack_defrag,
		.owner		= THIS_MODULE,
		.pf		= NFPROTO_IPV4,
		.hooknum	= NF_INET_PRE_ROUTING,
		.priority	= NF_IP_PRI_CONNTRACK_DEFRAG,
	},
	{
		.hook           = ipv4_conntrack_defrag,
		.owner          = THIS_MODULE,
		.pf             = NFPROTO_IPV4,
		.hooknum        = NF_INET_LOCAL_OUT,
		.priority       = NF_IP_PRI_CONNTRACK_DEFRAG,
	},
};

static struct nf_hook_ops ipv4_synproxy_ops[] __read_mostly = {
	{
		.hook		= ipv4_synproxy_hook,
		.owner		= THIS_MODULE,
		.pf		= NFPROTO_IPV4,
		.hooknum	= NF_INET_LOCAL_IN,
		.priority	= NF_IP_PRI_CONNTRACK_CONFIRM - 1,
	},
	{
		.hook		= ipv4_synproxy_hook,
		.owner		= THIS_MODULE,
		.pf		= NFPROTO_IPV4,
		.hooknum	= NF_INET_POST_ROUTING,
		.priority	= NF_IP_PRI_CONNTRACK_CONFIRM - 1,
	},
};

三层netfilter hook点的调用

上面是三层netfilter相关的hook点的注册,下面我们需要知道三层netfilter的hook回调函数是在哪些函数里调用的。我们主要分析ip协议在五个hook点的调用。
上图便是五个hook点调用的地方,对应于代码,我们来分析一下。

PRE_ROUTING

看这个名字,我们知道在这里执行hook回调函数时,数据包还没有经过路由,对于ip报文来说,在ip_rcv函数里,只是对数据包进行了合理性检查,还没有对数据包进行查找路由操作,所以PRE_ROUTING hook点的回调函数的调用,即是在该函数的末尾通过调用函数NF_HOOK实现

	return NF_HOOK(NFPROTO_IPV4, NF_INET_PRE_ROUTING, skb, dev, NULL,
		       ip_rcv_finish);

LOCAL_IN

当进入该hook点之前,数据包已经进行了路由操作,通过对协议栈的流程分析我们知道,在 ip_rcv_finish进行了路由选择后,对于属于本地接收的报文会调用函数ip_local_deliver,那很显然,LOCAL_IN HOOK点的回调函数的调用执行,肯定是在这个函数的末尾执行的了。函数片断如下:

	return NF_HOOK(NFPROTO_IPV4, NF_INET_LOCAL_IN, skb, skb->dev, NULL,
		       ip_local_deliver_finish);

FORWARD

在进行了路由后,对于需要转发的数据,通过调用函数dst_input(skb),间接调用函数 ip_forward进行数据转发操作(关于为何会调用到ip_forward及ip_local_deliver,这是通过建立路由缓存时填充dst_entry指针实现的)。所以该HOOK点的hook回调函数的执行也是在该函数的末尾通过调用NF_HOOK实现的。

	return NF_HOOK(NFPROTO_IPV4, NF_INET_FORWARD, skb, skb->dev,
		       rt->dst.dev, ip_forward_finish);

LOCAL_OUT

对于该hook点,是本地发送数据的hook调用,由于本地发送的数据既可以是UDP数据也可以是TCP数据,亦可以是组播数据。所以LOCAL_OUT hook点的调用函数不止一处。其代码书写如下:

NF_HOOK(NFPROTO_IPV4, NF_INET_LOCAL_OUT, skb, NULL,
		      rt->dst.dev, dst_output);

一般是本地数据找到路由之后,且没有调用skb->dst.out准备将数据包发送出去之前调用NF_HOOK

POST_ROUTING

在函数经过了FORWARD或者OUT节点后,就会通过skb->dst.out,执行到函数ip_output,所以POST_ROUTING hook点的hook回调函数的执行是在该函数的末尾通过调用NF_HOOK_COND实现的。

	return NF_HOOK_COND(NFPROTO_IPV4, NF_INET_POST_ROUTING, skb, NULL, dev,
			    ip_finish_output,
			    !(IPCB(skb)->flags & IPSKB_REROUTED));

以上就是ip层netfilter涉及的hook_ops的注册以及调用,后面我们分析的xt_table表中的规则匹配、连接跟踪、nat操作、mangle操作,均是由上面五个hook点的NF_HOOK函数的调用而触发的。以下章节则侧重于表匹配、连接跟踪、nat转换的实现分析。本节将总的调用起点分析了一下,后面我们将针对每一个模块的实现进行分析。

qq_28808697
关注
专栏目录
Linux 网络协议栈开发(七)—— Netfilter 概述及其hook
知秋一叶
01-14 3403
Netfilter概述          Netfilter/IPTables是Linux2.4.x之后新一代的Linux防火墙机制,是linux内核的一个子系统。Netfilter采用模块化设计,具有良好的可扩充性。其重要工具模块IPTables从用户态的iptables连接到内核态的Netfilter的架构中,NetfilterIP协议栈是无缝契合的,并允许使用者对数据报进行过滤、地址转换
Linux下使用netfilter进行IP包解析
Ckary的博客
06-29 1万+
一.netfilter 最近因为工作的原因,要用到netfilter进行IP包的解析和过滤,所以对netfilter进行了一些了解,目前网上比较容易搜索到的应该是这两篇文章http://alexanderlaw.blog.hexun.com/8960896_d.html,《Linux netfilter 源码解析》, https://www.ibm.com/developerwor
linux网络之netfilter 五个钩子
m0_74282605的博客
03-08 416
三层IPv4数据包的处理过程中,可能经过Netfilter的五个钩子,分别为NF_INET_PRE_ROUTING、NF_INET_LOCAL_IN、NF_INET_FORWARD、NF_INET_LOCAL_OUT、NF_INET_POST_ROUTING,在每个都可以设置一些规则,来对数据包进行匹配检查处理,这些规则的配置、布局和匹配流程。数据包已经被接管,回调函数处理该包,NF不再处理,该回调函数将从此开始对数据包的处理,并且Netfilter应当放弃对该数据包做任何的处理。
linux netfilter IPHOOK
永无止境
04-09 4692
netfilter的架构就是,在网络协议栈上放置一些检测(HOOK),而在检测放置一些处理函数,当数据经过这些检测时触发这些处理函数。 ipv4在IPHOOK有5个: enum nf_inet_hooks { NF_INET_PRE_ROUTING, NF_INET_LOCAL_IN, NF_INET_FORWARD, NF_INET_LOCAL_OUT, NF
netfilterIP
ygd11的专栏
10-14 279
在netfilter中pre_routing设置钩子,打印分片信息: if (skb-&amp;gt;protocol == 0x8) { struct iphdr *ip_header = ip_hdr(skb); if(ip_header != NULL) { printk(&quot;frt_offset=%d &quot;, ((ip_header-&amp;gt;frag_off)));//print all, not ...
linux3.13.0内核溢出漏洞exp,Linux Kernel Pwn 学习笔记(栈溢出)
weixin_42558758的博客
05-06 502
0x01 背景栈溢出是最基本的一个漏洞,学习 pwn 从栈溢出开始学习是比较简单的入门方式。之前也研究过 linux 内核,但因为种种原因不得不放弃。现在跟着安卓版主学习了几天linux内核漏洞,收获了不少知识,开始自己梳理和分享自己的笔记,特此感谢版主老师的教导0x02 内核基本知识Canary: 是防止栈溢出的保护,一般在 ebp-0x8 的位置,学习 linux pwn 的基本知识,不细讲K...
Linux系统设计-linux kernel 3.13.0 研究学习 &
最新发布
01-10
Linux系统在科学计算、数据分析和机器学习等领域也有广泛应用。许多知名的科学计算软件都在Linux上开发和运行,Linux系统在各个领域都有广泛的应用,其强大的功能和灵活性使得它成为许多产品和服务的基础架构。
“360随身WiFi2” linux驱动 MT7601U linux内核版本3.13.0
01-21
压缩包文件"mt7601U-linux-driver-64bit"很可能是包含MT7601U芯片驱动的源代码或者预编译二进制文件,专为64位Linux系统设计。用户或开发者可以解压此文件,按照说明安装驱动,或者对源代码进行进一步的定制和调试,...
mpss-modules:适用于Linux 3.13.0的Intel MPSS模块Ubuntu 14.04
05-11
英特尔MPSS 3.4 for Linux 3.13.0 该存储库包含Intel MPSS 3.4模块。 已修补该源代码以与Linux Kernel 3.13.0一起使用,仅在Ubuntu 14.04上进行了测试,但由于Kernel版本为3.13.0(未在较新的内核版本上进行测试)...
linux-image-3.13.0-53-generic_3.13.0-53.89_amd64.deb
06-15
linux-image-3.13.0-53-generic_3.13.0-53.89_amd64.deb
Linux Netfilter编程源码
12-16
实现linux下防火墙的应用,可以添加相应规则对网络数据包进行相应过滤。
linux内核协议栈 netfilterip netfilter 的 NAT 原理及模块初始化
11-06 1013
目录 1 NAT原理 1.1SNAT 1.2DNAT 2 NAT模块初始化 2.1 nat 表注册iptable_nat_net_init() 2.2target 注册xt_nat_init() 2.3 钩子注册 2.4 L4协议相关的结构注册 1 NAT原理 NAT会修改数据包的ip的源或者目的ip地址。在实际应用中,NAT主要用于实现私有网络访问公共网络的功能。 1.1SNAT 源目的地址转换,即对ip数据包的源ip地址进行转换操作,典型的应用即是网关,网关的la...
一步一步走进Linux HOOK API(一)
热门推荐
LvAppの嵌入式
03-12 1万+
最近我查阅很多参考资料.发现对于讲述Linux HOOK API的资料是很少,让我们这些新人难以去走进Linux HOOK大门.在这里我将全面的讲述Linux HOOK API的全部实现过程,这个过程中我也遇到很多坎坷,所以在这么写下这份教程.让大家都来进入HOOK的神秘世界. 不要认为HOOK API是windows的专利(PS.其实我以前就是这么认为的.哈哈....),其实在Linux中也有
Linux Netfilter实现机制和扩展技术
08-27 2015
Linux Netfilter实现机制和扩展技术内容:1. IP Packet Flowing2. Netfilter Frame3. Netfilter-iptables Extensions4. 案例:用Netfilter实现VPN
一步一步走进Linux HOOK API(三)
LvAppの嵌入式
03-15 6225
一步一步走进Linux HOOK API(三) 经过前两篇的教程,我很郁闷,CSDN的博客发布出来之后,跟我的排版完全不一样了,等这一系列的内容全部完成完成之后,我会发布该系列的全部doc文件,如果觉得本系列还不错的话,欢迎大家下载收藏..谢谢支持~~~ 下面进入正题,今天主要讲述的是ELF 文件的另一个大块叫节头(Section Headers),那么什么叫节头呢.节头里面分散着不同的段,有
Linux基于Netfilterip数据包的抓取、分析
qq_46230392的博客
02-21 693
本文主要引用Netfilter在NF_IP_INET_LOCAL_IN这个hook上对ip数据包进行拆解分析
linux hook 技术
linuxheik的专栏
04-16 1842
#include  #include  #include  #include  #include  #include    #include    #define CLEAR_CR0    asm ("pushl %eax\n\t"             \ "movl %cr0, %eax\n\t"        \ "andl
Netfilter 框架
kobemini的博客
09-18 745
通俗的说,netfilter的架构就是在整个网络流程的若干位置放置了一些检测HOOK),而在每个检测上登记了一些处理函数进行处理(如包过滤,NAT等,还有用户自定义的函数) 1. Netfilter 框架 框架图  钩子定义(注册) kernel/linux/include/linux/netfilter.h enum nf_inet_hooks {
【TCP/IP】【调试】丢包、流不通、错包等问题查证手段系列之三——Netfilter hook函数
码农之家
09-14 484
- 如果仅需判断报文是否经过了某个hook,则采用[【TCP/IP】【调试】丢包、流不通、错包等问题查证手段系列之二——防火墙](https://qxhgd.blog.csdn.net/article/details/119709741)这一节的方式即可,没有必要单独写钩子函数。 - 有时需要查看报文的内容,如需确认报文内容是否正确,或希望匹配特定报文做些动作(如截取dns报文、dhcp报文等),此时,可以考虑使用hook函数的方式。
基于netfilter的HTTP数据包修改内核模块设计
本篇文档详细介绍了如何在基于3.13.0-32-generic内核(适用于Ubuntu 14.04和CentOS 7)的网关服务器上,通过修改内核模块hook_ipv4.ko来实现对经过网关的HTTP数据包进行操作,重是针对TCP连接的序列号(seq)和...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值