Linnux5.0.0下,基于Netlink与NetFilter对本机数据包进行筛选监控

最新推荐文章于 2024-04-28 12:35:10 发布
置顶 最新推荐文章于 2024-04-28 12:35:10 发布
阅读量1.8k 收藏 26
点赞数 3
分类专栏: Linux内核编程
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_40758751/article/details/105117750
版权
本文档介绍了在Linux5.0.0环境下,如何使用Netlink和NetFilter来实现对本机数据包的筛选监控。用户程序发送源地址给内核模块,模块通过NetFilter钩子函数监测匹配的5元组信息,并通过Netlink传递给用户程序,最终保存到文件中。内容包括需求、程序逻辑、开发环境、常见问题及代码示例。
摘要由CSDN通过智能技术生成

Linnux5.0.0下,基于NetlinkNetFilter对本机数据包进行筛选监控

需求:

开发一个Linux lkm + app program,由app program提供需要监控的源IP地址,内核模块根据此IP地址监控本机发送处与该源IP地址相同的所有的packet的5元组,源地址、目标地址、原端口、目标端口、协议,并将相关的信息传给应用程序,应用程序将该信息保存在文件中。

程序逻辑:

​ 通信由用户程序发起,用户程序在开始时发送给内核模块一个源IP地址,之后用户程序将进入监听状态,内核模块将该IP地址以及用户程序的pid存下来作为目标IP地址和目标用户程序。之后用Netfilter中钩子函数判断每一个从本机发出的数据包中的源IP是否与目标IP地址相同,如果相同则钩子程序将数据包中的路由信息保存下来,通过Netlink发送给用户程序。用户程序接收到路由信息后,存在操作系统文件中。

开发/运行环境:

内核版本:Linux5.0.-37

发行版本:Ubuntu 18.04.1

运行日志

在这里插入图片描述

常用命令:

#查看系统日志
cat /var/log/kern.log
#打印系统日志到控制台
tail -f /var/log/kern.log &
#查看内核版本
cat /proc/version
#安装/卸载模块
insmod [mod]
rmmod [mod]

必备知识:

  1. Linux内核模块编程
  2. Netfilter子系统与hook函数编程
  3. struct sk_buff,struct iphdr,struct tcphdr,struct udphdr等网络相关结构体使用
  4. Netlink通讯机制

踩坑集锦:

高内核版本Netfilter hook函数注册:

Linux4.13之前,注册钩子使用的函数为:

nf_register_hook(reg);

高于Linux4.13版本后,注册钩子使用的函数改变成了:

nf_register_net_hook(&init_net, reg);

若希望兼容Linux4.13之前和之后的版本,可以这样写:

#if LINUX_VERSION_CODE >= KERNEL_VERSION(4,13,0)
    nf_register_net_hook(&init_net, reg)
#else
    nf_register_hook(reg)
#endif
高内核版本hook函数原型声明:

早期linux内核中,Netfilterhook函数原型为:

static unsigned int sample( unsigned int hooknum,
							struct sk_buff * skb,
							const struct net_device *in,
							const struct net_device *out,
							int (*okfn) (struct sk_buff *));

但在高版本linux内核(至少4.10以上已改变),Netfilterhook函数原型变成了:

int sample_nf_hookfn(void *priv,
                     struct sk_buff *skb,
                     const struct nf_hook_state *state);
高内核版本创建Netlink处理函数:

在较低版本linux内核(Linux2.6)中,创建Netlink处理函数使用:

//假设nl_data_ready为处理函数
nl_sk = netlink_kernel_create(&init_net,
                              NETLINK_TEST, 
                              1,
                              nl_data_ready, 
                              NULL, 
                              HIS_MODULE);

高版本linux内核(至少3.8.13以上已经改变)中,创建netlink处理函数使用:

struct netlink_kernel_cfg cfg = {
   
    .input = nl_data_ready,//该函数原型可参考内核代码,其他参数默认即可,可参考内核中的调用
};
nl_sk = netlink_kernel_create(&init_net, 
                              NETLINK_TEST, 
                              &cfg);
消息发送后,skb释放问题:

当执行完netlink_unicast函数后skb不需要内核模块去释放,也不能去释放,否则会导致崩溃。因为netlink_unicast函数的返回不能保证用户层已经接受到消息,如果此时内核模块释放skb,会导致用户程序接收到一个已经释放掉的消息,当内核尝试处理此消息时会导致崩溃。内核会处理skb的释放,所以不会出现内存泄露问题, 这里给出了详细解释。

消息封装:

在这里插入图片描述

​ 在封装发送到kernel的消息时,我们需要依次对struct nlmsghdrstruct iovecstruct msghdr进行封装。

​ 内核模块和用户程序之间通讯与正常的使用socket类似,还需要封装源地址和目的地址,但需要注意此处的地址本质上是进程pid,而不是IP地址。

程序代码:

getRoutingInfo.c:

//内核编程需要的头文件
#include <linux/module.h>
#include <linux/kernel.h>
//Netfilter需要的头文件
#include <linux/net.h>
#include <linux/time.h>
#include <linux/init.h>
#include <linux/skbuff.h>
#include <linux/if_vlan.h>
#include <linux/if_ether.h>
#include <linux/netdevice.h>  
#include <linux/netfilter.h>
#include <linux/netfilter_ipv4.h>
#include <net/ip.h>
#include <net/tcp.h>
#include <net/icmp.h>
#include <net/protocol.h>
//netlink需要的头文件
#include <net/sock.h>
#include <net/net_namespace.h>
#include <linux/init.h>
#include <linux/sched.h>
#include <linux/netlink.h>

//NIPQUAD宏便于把数字IP地址输出
#define NIPQUAD(addr) \
((unsigned char *)&addr)[0], \
((unsigned char *)&addr)[1], \
((unsigned char *)&addr)[2], \
((unsigned char *)&addr)[3]

#define NETLINK_TEST 17         //用于自定义协议
#define MAX_PAYLOAD 1024        //最大载荷容量
#define ROUTING_INFO_LEN 100    //单个路由信息的容量

//函数声明
unsigned int kern_inet_addr(char *ip_str);
void kern_inet_ntoa(char *ip_str , unsigned int ip_num);
unsigned
最低0.47元/天 解锁文章
Focus5679
关注
  • 3
    点赞
  • 26
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
Netfilter分析
bingyang_xue的专栏
10-26 580
一、概述1. Netfilter/IPTables框架简介          Netfilter/IPTables是继2.0.x的IPfwadm、2.2.x的IPchains之后,新一代的Linux防火墙制。Netfilter采用模块化设计,具有良好的可扩充性。其重要工具模块IPTables连接到Netfilter的架构中,并允许使用者对数据报进行过滤、地址转换、处理等操作。   
netfilternetlink 结合 dameo程序,kernel3.4.44 直接运行
01-12
netfilter分析ICMP数据包,通过netlink发送给应用层,kernel 3.4.44直接make
Linux: Netfilter 简介
最新发布
JiMoKuangXiangQu的专栏
04-28 1207
Linux,网络,Netfilter
netlink+netfilter实例
chengfangang的专栏
02-26 1600
http://bbs.chinaunix.net/thread-1959009-1-1.html 再次见识了内核的伟大,大半年不碰,忘记的一干二净!!!写netfilter,netlink不得不提的就是九贱和duanjigang了...    Linux 用户态与内核态的交互——netlink 篇         http://bbs.chinaunix.net/viewthread.p
netlink+netfilter
dfz87292的博客
10-24 249
http://blog.chinaunix.net/uid-21768364-id-3618377.html 转载于:https://www.cnblogs.com/oracleloyal/p/5993569.html
netlink
xujuan0815的专栏
07-12 486
netlink是linux中实现内核与用户空间通信的一种方法,数据以类似网络数据包的形式在两者间传输, 这和以前所介绍的/proc,ioctl和setsockopt方式是不同的,另外一个区别是以前这几种方法都是用户 空间程序主动向内核发出请求,相当于客户端,内核相当于一个服务器;而netlink方法则是内核和用 户空间都可以主动向对方发送数据。 netlink现在已经是Linux内核中网络
Linux个人防火墙JAVA版实现(Netfilter+Netlink+Multi-Thre) in 2009
05-27
当时自己搜集的资料 博文链接:https://c-j.iteye.com/blog/364552
基于ARM_Linux的无线视频监控系统的设计与实现
09-20
基于ARM_Linux的无线视频监控系统的设计与实现
基于linnux+phantomjs实现生成图片格式的网页快照
10-24
在代码区看到一个生成站点快照的代码,看了半天才发现,作者仅仅贴出来业务代码,最核心的生成快照图片的代码反而没有给出来。 以前记得google搜索提供站点缩略图,那时候觉得好神奇,但是没有花时间去做深入的调研...
linnux常用命令(一)共3页.pdf.zip
10-30
"linnux常用命令(一)共3页.pdf.zip"这个压缩包文件很可能包含了一份简短的指南,列举了几个基础但实用的Linux命令。虽然我们无法直接查看压缩包里的内容,但根据标题和描述,我们可以推测它可能涵盖了以下一些关键...
linux 下实现对ini文件的读取和写入
09-16
它们以易于阅读的文本格式呈现,通常包含多个节(sections)和键值对(key-value pairs)。在本文中,我们将深入探讨如何在Linux环境下读取和写入ini文件,包括解析文件结构、提取和修改数据。 1. **文件操作基础**...
linux netfilter/iptables 架构分析及nelink的使用
飞翔de刺猬
09-29 4110
本文主要介绍,分为三部分: 1.linux netfilter/iptables组织架构,及其如何扩展netfilter模块。 2.linux netlink制及其使用方式。 3.介绍内核模块的编写方法:内嵌到源码树构建;独立于源码树构建。
Netlink Socket
低调的华丽 专栏
08-17 1万+
Netlink Socket  简介<br />关键字: netlink 简介<br />Netlink 是一种特殊的 socket,它是 Linux 所特有的,类似于 BSD 中的AF_ROUTE 但又远比它的功能强大,目前在最新的 Linux 内核(2.6.14)中使用netlink 进行应用与内核通信的应用很多,包括:路由 daemon(NETLINK_ROUTE),1-wire 子系统(NETLINK_W1),用户态 socket 协议(NETLINK_USERSOCK),防火墙(NETLINK_F
Linux Netlink通信制详解
随便写些什么
03-31 1086
前面有一篇文章其实已经介绍过Netlink方面的知识,还有一个内核和用户空间之间的一个交互例子,这篇文章主要是更细节和基础的知识介绍! Netlink是一种特殊的socket,它是Linux所特有的,由于传送的消息是暂存在socket接收缓存中,并不被接收者立即处理,所以netlink是一种异步通信制。系统调用和ioctl则是同步通信制。 用户空间进程可以通过标准socketAPI来实现消息的发送、接收,在Linux中,有很多用户空间和内核空间的交互都是通过Netlink制完成...
netlink的内核实现原理 - [linux内核]
merry3688的专栏
09-13 1557
版权声明:转载时请以超链接形式标明文章原始出处和作者信息及本声明 http://wanderer-zjhit.blogbus.com/logs/156404697.html 注:      当用户态进程发送数据时,调用sendmsg实现,其调用内核netlink
防火墙应用
weixin_43332972的博客
10-06 1459
firewalld
开发netfilter的一些坑
weixin_34122604的博客
11-27 454
2019独角兽企业重金招聘Python工程师标准>>> ...
内核通信之 Netlink 源码分析和实例分析
黑光技术
07-28 849
前言这几天在看 ipvs 相关代码的时候又遇到了 netlink 的事情,所以这两天花了点时间重新把 netlink 的事情梳理了一下。什么是 netlinklinux 内核一直存在的一...
linux 内核与用户空间通信之netlink使用方法
热门推荐
haomcu的专栏
03-20 4万+
Linux中的进程间通信制源自于Unix平台上的进程通信制。Unix的两大分支AT&T Unix和BSD Unix在进程通信实现制上的各有所不同,前者形成了运行在单个计算上的System V IPC,后者则实现了基于socket的进程间通信制。同时Linux也遵循IEEE制定的Posix IPC标准,在三者的基础之上实现了以下几种主要的IPC制:管道(Pipe)及命名管道(Named
linnux下如何查看已安装软件的列表,以及查看某个软件的版本信息和安装路径
03-23
在Linux下,可以使用以下命令来查看已安装软件的列表: dpkg --list 要查看某个软件的版本信息和安装路径,可以使用以下命令: dpkg --status 软件名称 其中,软件名称是你要查询的软件的名称。这个命令会显示软件的版本信息、安装路径等详细信息。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值