linux拦截raw_socket原始套接字数据包的网络数据拦截方法

最新推荐文章于 2023-10-07 22:47:51 发布
最新推荐文章于 2023-10-07 22:47:51 发布
阅读量2.8k 收藏 24
点赞数 3
分类专栏: linux网络编程 文章标签: linux 网络 socket c语言 内核
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41583666/article/details/103983216
版权

前言

最近一直在寻找能拦截linux原始套接字数据包的方法,煞费苦心,终于功夫不负有心人,找到了一种方法可以实现,将这种方法分享给大家。

一、环境介绍

本次试验是基于CentOS7.6.1810,内核版本为3.10.0.957.el7.x86_64。

二、能够拦截linux网络数据的其他方法

先说一下我做这个试验时寻找的一些方法,也许其他方法也是可以实现的。

1、netfilter框架

这个框架的拦截发生在网络层,如果不考虑原始套接字的情况,是推荐使用这种方法的。这个框架网上的资源挺多的,有兴趣的可以自己去查。

2、iptables 防火墙

这个linux自带的防火墙功能的拦截也是发生在网络层,不能拦截链路层的原始套接字数据包。

3、BPF/eBPF框架

伯克利包过滤器,是一种基于伪汇编的底层数据包过滤器,他可以根据配置的规则过滤数据包,但好像不能对数据包做修改。我也不太清楚这种方法,这里就放一个链接(eBPF用于Linux防火墙数据包过滤https://blog.csdn.net/dog250/article/details/102884567),自己去研究吧。

4、ebtables强制原始套接字数据包通过iptables

这种方法需要网卡的连接方法为桥接模式。这里也只放个链接(http://ebtables.netfilter.org/br_fw_ia/br_fw_ia.html

5、LSM安全模块框架

一种内核挂钩的方法,LSM安全模块是linux内核开发时就事先在内核关键路径上设置了挂钩函数,通过这些函数去进行函数调用执行的权限管理,理论上是可以设置我们的hook函数进行拦截的,但我没有测试成功。

三、ftrace框架

这才是这篇文章的重点,ftrace框架。

1、ftrace框架介绍

看这篇文章吧,他解释的更好。简单来说就是ftrace是hook内核函数的方法,他本身的作用是用于跟踪和调试内核,但后来被用来拦截网络数据包了。
https://www.apriorit.com/dev-blog/546-hooking-linux-functions-2

2、源代码下载

这是githup上找到的,分享给大家,对照源代码去看上一个链接的文章说明,更容易明白。
https://github.com/ilammy/ftrace-hook.git

3、hook网络发送的函数

要想拦截所有网络数据包,就得在“总路口”进行拦截。下图是linux网络发送的部分过程图:
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
再查看内核发现,dev_queue_xmit函数是一个中间函数,所有最佳拦截就是dev_queue_xmit函数。在源代码的基础上加入我们的函数,这样就可以在自己的hook函数中做相应的逻辑处理 了。代码添加如下:

static asmlinkage int (*real_dev_queue_xmit)(struct sk_buff *skb);
static asmlinkage int fh_dev_queue_xmit(struct sk_buff *skb)
{
	long ret;
	pr_info("before fh dev queue xmit\n");
	//这里做逻辑判断,自己的处理函数调用挂载
	ret = real_dev_queue_xmit(skb);
	pr_info("after fh dev queue xmit\n");
	return ret;
}

static struct ftrace_hook demo_hooks[] = {
	//第一条是我们加进去的要hook的函数
	HOOK("dev_queue_xmit", fh_dev_queue_xmit, &real_dev_queue_xmit),
	HOOK("sys_clone",  fh_sys_clone,  &real_sys_clone),
	HOOK("sys_execve", fh_sys_execve, &real_sys_execve),
};
4、编译遇到的问题

如果编译不过,尝试修改图中的宏定义为1。
在这里插入图片描述

5、内核调试

内核调试时是不能直接打印调试信息的,需要用dmesg命令参看内核日志,就可以看到dev_queue_xmit函数被拦截。

lincong_4158
关注
  • 3
    点赞
  • 24
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
易语言-使用 RawSocket 捕获网卡/指定程序/指定端口/指定IP 数据包
06-26
本文章将介绍如何使用RawSocket原始套接字)开发网络嗅探器: 首先我们得了解什么是套接字,这个我就不多说,自己百度,百度百科比我说的好。 那么什么又是原始套接字呢,常用的套接字分为 SOCK_STREAM(流套接字) ...
通过rawsocket实现报文侦听拦截
10-13
1. **打开rawsocket**:在C++中,通常会使用`socket()`函数创建一个套接字,然后通过`bind()`函数绑定到特定的网络接口,以便接收该接口上的所有数据包。 2. **设置套接字选项**:使用`setsockopt()`函数可以设置套...
拦截网络数据包(SOCK_RAW
dege169的专栏
04-19 5135
#include #include #include using namespace std; #pragma comment(lib, "ws2_32.lib") #define BUFFER_SIZE 1024 #define SIO_RCVALL _WSAIOW(IOC_VENDOR,1) typedef struct _TCP //应用层,传输层层 { WORD SrcPort; // 源端口 WORD DstPort; // 目的端口 DWORD SeqNum;
Linux小知识--原始套接字raw socket)之模拟ping
小人物的编程
11-04 4105
利用原始套接字模拟ping
Linux网络编程- 原始套接字Raw Socket
最新发布
青衫客36的博客
10-07 3746
原始套接字Raw Socket)提供了一种机制,允许应用程序直接访问底层传输协议,绕过操作系统提供的传输层接口。这种套接字通常用于实现新的协议或对现有协议进行低级别的操作。以下是对原始套接字的详细介绍:定义与用途:创建:特权:工作方式:用途与限制:注意事项:跨平台的差异:总的来说,原始套接字是一个非常强大的工具,但也需要谨慎使用。正确使用它需要对网络协议有深入的理解,而滥用它可能导致网络问题或被视为恶意活动。创建链路层的原始套接字允许我们直接与链路层设备(例如以太网适配器)交互,从而可以发送和接收链路层帧
raw socket应用笔记
OnlyLove_的博客
03-14 792
AF_INET:能看到网络数据。AF_PACKET:能看到链路层数据。AF_INET + SOCK_STREAM:获取基于TCP协议的应用层数据(不能获取TCP头部信息)。AF_INET + SOCK_DGRAM:获取基于UDP协议的应用层数据(不能获取UDP头部信息)。AF_INET + SOCK_RAW:获取基于IP协议的传输层数据(不能获取IP头部信息),获取IP头部信息需要开启IP_HDRINCL特性。
Linux下网卡接收数据包过滤关闭设置
无知的我
10-11 3655
在设备使用linux操作系统(湖南麒麟)时,当外界通过网络发组播包给该设备对应网卡时,有可能会出现网卡通过socket无法接收网络包的情况。此时在linux下通过tcpdump能够抓到网卡接收到的网络包,只是该网络包未传递给上层应用。出现这种情况时,通常是linux系统下默认对网卡设置了过滤条件,导致底层能收到包,但被上层过滤。可以通过关闭网卡过滤条件进行解决。在/etc/sysctl.conf内。添加后重启系统生效。
Espionage:一款基于Linux网络数据包和流量拦截工具
Jinmindong
04-04 427
Espionage是一款功能强大的网络数据包嗅探器,可拦截通过接口传递的大量数据。该工具允许用户运行常规和详细的流量分析,以显示实时流量,了解数据包流向、协议和标志等。除此之外,Espionage还可以执行ARP欺骗攻击,因此,目标发送的所有数据都会通过攻击者重新定向(中间人攻击)。Espionage是在Python3.8版本环境下编写的,Espionage的当前版本也支持Python3.6环境。
linux下原始socket实现ARP局域网欺骗工具
08-23
Linux环境下,原始套接字raw socket)是一种允许程序员访问网络协议栈底层的机制,可以用来构建自定义的网络协议或实现特定网络功能。在这个案例中,我们讨论的是使用原始套接字来实现ARP(地址解析协议)局域网...
纯C#封包拦截源代码
07-20
在C#编程环境下实现封包拦截,我们需要利用.NET Framework提供的套接字(Socket)类和WinPCap库。WinPCap是Windows平台下广泛使用的底层网络访问库,它可以提供对网络数据包的捕获和发送功能。然而,由于C#原生不...
Network-data-interception.zip_网络编程_Visual_Basic_
08-11
这可以通过实现Raw Socket原始套接字)或者使用第三方库如WinPcap来完成。WinPcap是一个强大的网络数据包捕获和网络分析库,提供了API供开发者调用。 2. **数据包捕获** 使用WinPcap库,我们可以设置过滤规则,...
Raw SocketSocket编程
热门推荐
KZM2008的专栏
03-12 3万+
 1.原始套接字(raw socket)  1.1 原始套接字工作原理与规则         原始套接字是一个特殊的套接字类型,它的创建方式跟TCP/UDP创建方法几乎是一摸一样,例如,通过CODE:[Copy to clipboard]       int sockfd;       sockfd = socktet(AF_INET, SOCK_RAW, IPPROTO_
Linux下Libpcap源码分析和包过滤机制
yaoyepeng的专栏
11-23 3605
  libpcap是unix/linux平台下的网络数据包捕获函数包,大多数网络监控软件都以它为基础。Libpcap可以在绝大多数类unix平台下工作,本文分析了libpcap在linux 下的源代码实现,其中重点是linux的底层包捕获机制和过滤器设置方式,同时也简要的讨论了libpcap使用的包过滤机制 BPF。    网络监控    绝大多数的现代操作系统都提供了对底层网络数据包捕获的机
Linux Raw Socket
lxgwm2008的专栏
06-05 3044
/* 说明 本程序是使用原始套接字编写的简单抓包程序,将网卡设置为混杂模式,可以接收到网络上任意的数据包 可以获取ETHERNET包头/IP包头ARP包头/RARP包头/TCP包头/UDP包头ICMP包头的数据 时间 20111228 邮箱 lxgwm2008@foxmail.com 1、增加filter过滤功能,使用BPF(BSD packet filter)码,类似于tcpdump的过滤机
如何使用WINSOCK Api hook拦截修改socket数据包
令狐少侠
09-09 6660
在Windows网络数据通讯层,通过封包技术在客户端挡截游戏服务器发送来的游戏控制数 据包,分析数据包并修改数据包;同时还可以按照游戏数据包结构创建数据包,再模拟客户端发送给游戏服务器,这个过程其实就是一个封包的过程。 封包的技术是实现第二类游戏外挂的最核心的技术。封包技术涉及的知识很广泛,实现方法也很多,如挡截 WinSock 、挡截 API 函数、挡截消息、 VxD 驱动程序等。在此我们也不
iptable
weixin_33768481的博客
04-23 635
http://qiliuping.blog.163.com/blog/static/1023829320105245337799/ netfilter/iptables全攻略 LINUX 2010-06-24 17:03:37 阅读353 评论0 字号:大中小订阅 内容简介 防火墙的概述 iptables简介 iptables基础 iptables...
使用iptables实现数据包过滤(转)
congjukun0600的博客
08-10 371
使用iptables实现数据包过滤(转)[@more@]  我本来打算写一些iptables 的使用的文章,但是,经过阅读Netfilter 邮件列表以及在其它论坛上的用户问题以后,我决定在编译内核和安装iptables的基础知...
Linux捕获和拦截数据包方法和思路
weixin_30800807的博客
07-10 2048
libpcap可用于截获网卡上收发的数据包,tcpdump等工具基于该包分析数据; netfilter/iptales可以拦截数据包; ms没有办法拦截tcp连接中的指定数据,只能reset TCP连接; 转载于:https://www.cnblogs.com/freelooper/p/9287163.html...
linux下抓数据包
zhao8899的专栏
03-02 1593
linux系统如何抓取数据包进行分析(2009-08-30 23:59:37) linux上有两种比较好的抓包工具:ethereal和tcpdump对于ethereal,有图形界面和字符界面两种方式。到linux系统上执行rpm -qa | grep ethereal-gnome可查看是否安装了图形版本但是如果服务器上没有xwin图形环境,那么就只能用字符界面了命令:tethereal可选
java微信客服接口开发_如何在会话接入之前拦截数据
05-25
在 Java 微信客服接口开发中,如果需要在会话接入之前拦截数据,可以使用拦截器(Interceptor)来实现。 拦截器是一种常见的设计模式,它可以在请求到达目标之前或之后执行一些通用的业务逻辑,比如验证用户权限、记录日志等。在 Spring 框架中,拦截器是通过实现 HandlerInterceptor 接口来定义的。 要拦截微信客服接口的请求,可以创建一个实现了 HandlerInterceptor 接口的拦截器类,然后在 Spring 配置文件中配置该拦截器。下面是一个示例: ```java public class MyInterceptor implements HandlerInterceptor { @Override public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception { // 在会话接入之前拦截数据 // TODO: 实现拦截逻辑 return true; // 放行请求 } // 省略其他方法 } ``` 在上面的代码中,我们实现了 preHandle 方法,该方法会在请求到达目标之前被调用。在该方法中可以实现自定义的拦截逻辑,比如判断请求是否合法、记录请求日志等。如果希望放行该请求,可以返回 true;否则返回 false。 然后,在 Spring 配置文件中配置该拦截器: ```xml <mvc:interceptors> <mvc:interceptor> <mvc:mapping path="/wx/custom/*"/> <bean class="com.example.MyInterceptor" /> </mvc:interceptor> </mvc:interceptors> ``` 在上面的配置中,我们将拦截路径设置为 /wx/custom/*,表示拦截所有以 /wx/custom/ 开头的请求。然后将 MyInterceptor 类作为拦截器类配置到拦截器中即可。 通过上述方式,我们就可以实现在微信客服接口会话接入之前拦截数据的功能。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值