Netfilter ARP日志

最新推荐文章于 2025-03-22 21:30:40 发布
最新推荐文章于 2025-03-22 21:30:40 发布
阅读量780 收藏
点赞数
分类专栏: netfilter防火墙 文章标签: arp netfilter
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sinat_20184565/article/details/122915836
版权

定义ARP协议的日志结构nf_arp_logger,类型为NF_LOG_TYPE_LOG,处理函数为nf_log_arp_packet。目前内核支持的另一日志类型为NF_LOG_TYPE_ULOG。

static struct nf_logger nf_arp_logger __read_mostly = {
    .name       = "nf_log_arp",
    .type       = NF_LOG_TYPE_LOG,
    .logfn      = nf_log_arp_packet,
    .me     = THIS_MODULE,
};

由nf_log_register将以上日志结构添加到全局loggers数组中。对于各个命名空间,由nf_log_set将其添加到命名空间独立的nf_loggers数组中。

static int __net_init nf_log_arp_net_init(struct net *net)
{   
    return nf_log_set(net, NFPROTO_ARP, &nf_arp_logger);
}
static struct pernet_operations nf_log_arp_net_ops = {
    .init = nf_log_arp_net_init,
    .exit = nf_log_arp_net_exit,
};

static int __init nf_log_arp_init(void)
{
    int ret;

    ret = register_pernet_subsys(&nf_log_arp_net_ops);
    if (ret < 0)
        return ret;

    ret = nf_log_register(NFPROTO_ARP, &nf_arp_logger);

日志处理

默认的日志类型、级别和标志位NF_LOG_DEFAULT_MASK(0xf)。

static const struct nf_loginfo default_loginfo = {
    .type   = NF_LOG_TYPE_LOG,
    .u = {
        .log = {
            .level    = LOGLEVEL_NOTICE,
            .logflags = NF_LOG_DEFAULT_MASK,
        },
    },
};

默认情况下,仅记录init_net命名空间的日志信息,要记录其它的命名空间日志,需打开nf_log_all_netns开关。

# sysctl -a | grep nf_log_all_netns
net.netfilter.nf_log_all_netns = 0
#
# sysctl net.netfilter.nf_log_all_netns=1
net.netfilter.nf_log_all_netns = 1

日志处理函数中,首先分配日志缓存结构nf_log_buf。之后,打印报文的入接口和出接口信息,以及ARP协议的信息。最后,在nf_log_buf_close函数中打印缓存中的信息,释放分配的日志缓存。

static void nf_log_arp_packet(struct net *net, u_int8_t pf,
                  unsigned int hooknum, const struct sk_buff *skb,
                  const struct net_device *in,
                  const struct net_device *out,
                  const struct nf_loginfo *loginfo,
                  const char *prefix)
{
    struct nf_log_buf *m;

    /* FIXME: Disabled from containers until syslog ns is supported */
    if (!net_eq(net, &init_net) && !sysctl_nf_log_all_netns)
        return;

    m = nf_log_buf_open();

    if (!loginfo)
        loginfo = &default_loginfo;

    nf_log_dump_packet_common(m, pf, hooknum, skb, in, out, loginfo, prefix);
    dump_arp_packet(m, loginfo, skb, 0);

    nf_log_buf_close(m);

对于ARP协议,如果报文长度小于ARP协议的头部的长度,说明报文被截断。如果设置了NF_LOG_MACDECODE,记录报文的源和目的MAC地址,以及VLAN信息和协议。

static void dump_arp_packet(struct nf_log_buf *m,
                const struct nf_loginfo *info,
                const struct sk_buff *skb, unsigned int nhoff)
{
    const struct arppayload *ap;
    struct arppayload _arpp;
    const struct arphdr *ah;
    struct arphdr _arph;

    ah = skb_header_pointer(skb, 0, sizeof(_arph), &_arph);
    if (ah == NULL) {
        nf_log_buf_add(m, "TRUNCATED");
        return;
    }

    if (info->type == NF_LOG_TYPE_LOG)
        logflags = info->u.log.logflags;
    else
        logflags = NF_LOG_DEFAULT_MASK;

    if (logflags & NF_LOG_MACDECODE) {
        nf_log_buf_add(m, "MACSRC=%pM MACDST=%pM ",
                   eth_hdr(skb)->h_source, eth_hdr(skb)->h_dest);
        nf_log_dump_vlan(m, skb);
        nf_log_buf_add(m, "MACPROTO=%04x ", ntohs(eth_hdr(skb)->h_proto));
    }

记录硬件地址类型(如Ethernet=1),协议地址类型(如IPv4=0x800)和操作码(如Request=1)。如果硬件地址类型等于Ethernet,并且硬件地址长度等于6,协议地址类型等于4,记录ARP协议的载荷信息。

ARP载荷信息包括发送者(sender)的MAC地址和IP地址,以及目标(target)的MAC地址和IP地址。

    nf_log_buf_add(m, "ARP HTYPE=%d PTYPE=0x%04x OPCODE=%d",
               ntohs(ah->ar_hrd), ntohs(ah->ar_pro), ntohs(ah->ar_op));

    /* If it's for Ethernet and the lengths are OK, then log the ARP payload.
     */
    if (ah->ar_hrd != htons(ARPHRD_ETHER) ||
        ah->ar_hln != ETH_ALEN ||
        ah->ar_pln != sizeof(__be32))
        return;

    ap = skb_header_pointer(skb, sizeof(_arph), sizeof(_arpp), &_arpp);
    if (ap == NULL) {
        nf_log_buf_add(m, " INCOMPLETE [%zu bytes]", skb->len - sizeof(_arph));
        return;
    }
    nf_log_buf_add(m, " MACSRC=%pM IPSRC=%pI4 MACDST=%pM IPDST=%pI4",
               ap->mac_src, ap->ip_src, ap->mac_dst, ap->ip_dst);

ARP日志显示

加载模块,将ARP协议(NFPROTO_ARP=3)的logger设置为nf_log_arp。

# modprobe nf_log_arp
#
# sysctl net.netfilter.nf_log.3=nf_log_arp
net.netfilter.nf_log.3 = nf_log_arp

加载的模块:

$ lsmod | grep arp        
nf_log_arp             16384  0
nf_log_common          16384  2 nf_log_ipv4,nf_log_arp

nftables规则配置如下:

# nft add table arp raw
# nft add chain arp raw input { type filter hook input priority 0 \; }
# nft add rule arp raw input log
#
# nft list table arp raw        
table arp raw {
        chain input {
                type filter hook input priority filter; policy accept;
                log
        }
}

查看/var/log/kern.log,其中记录的ARP报文日志,如下:

# tail -f /var/log/kern.log
Feb 13 14:39:42 advanced kernel: [ 8232.798264] IN=ens33 OUT= ARP HTYPE=1 PTYPE=0x0800 OPCODE=1 MACSRC=54:a7:03:16:55:c2 IPSRC=192.168.3.123 MACDST=00:00:00:00:00:00 IPDST=192.168.3.36
Feb 13 14:39:42 advanced kernel: [ 8232.801235] IN=ens33 OUT= ARP HTYPE=1 PTYPE=0x0800 OPCODE=1 MACSRC=54:a7:03:16:55:c2 IPSRC=192.168.3.123 MACDST=00:00:00:00:00:00 IPDST=192.168.3.1

内核版本 5.10

nftables 日志解决方案实践
云原生实验室
07-14 2046
nftables 重要规则进行日志记录,并配置日志切割、nftables 规则固定到文件,保证重启不丢失。最后更新时间:2021/7/13根据官方 wiki 中Logging traffi...
Squid代理服务器(透明代理服务配置、日志分析、反向代理、日志分析、ACL访问控制)
.銀河狙擊手的博客
02-22 2706
一.Squid 服务基础 Squid 是 Linux 系 统 中 最 常 用 的 一 款 开 源 代 理 服 务 软 件 ,可以很好地实现 HTTP 和 FTP,以及 DNS 查询、SSL 等应 用的缓存代理,功能十分强大。 官 方 网 站 为: http://www.squid-cache.org/ ①缓存代理概述 作为应用层的代理服务软件,Squid 主要提供缓存加速、应用层过滤控制的功能。 (1)代理的工作机制 当客户机通过代理来请求 Web 页面时,指定的代理服务器会先检查自己的缓存:
对Linux下netfilter/iptables中log日志格式探讨.pdf
09-06
对Linux下netfilter/iptables中log日志格式探讨.pdf
使用netfilter框架处理ARP报文
fuyuande的博客
03-31 2910
内核开发交流群 745510310 欢迎加入学习利用netfilter的框架实现对arp报文的处理,这里只是打印arp报文信息,更多的处理可以在此基础上实现。arp 首部封装格式:内核版本 :,不同版本内核头文件可能不一样带来编译出错问题,可以参考这篇博客https://blog.csdn.net/fuyuande/article/details/79429441 更新一下内核。源码如下:/* ...
iptables和netfilter内部报文处理
最新发布
m0_74186706的博客
03-22 1280
nat 表:实现地址转换,用于共享上网、端口转发。mangle 表:修改数据包元数据或打标记,支持高级网络管理。filter 表:核心过滤功能,控制流量进出。raw 表:优化性能,豁免连接追踪。netfilter是防火墙真正的安全框架,netfilter位于内核空间。iptables其实为一个命令行工具,位于用户空间。netfilter功能(NAT、数据包内容修改、数据包过滤的防火墙功能)。
linux arp信息目录,Linux日志也揭示ARP消息
weixin_34684705的博客
05-01 256
Linux日志也揭示ARP消息(2011-08-15 06:27:34)标签:杂谈Linux日志也揭示ARP消息FreeBSD 当网络有ARP诱骗时会在consol可能用dmesg 能够看到:arp: x.x.x.xmoved from 00:09:7b:14:4c:00 to 00:0c:76:6e:f8:9f onfxp0arp:x.x.x.x moved from 00:0c:76:6e:f...
[netfilter]--arp的主要流程
n1wer的专栏
03-16 645
本文主要简单介绍arp的收包流程,以及钩子点的使用. arp的收包主要有两个流程, 1,arp_rcv,主要收包到本地,涉及到的钩子点NF_ARP_IN,NF_ARP_OUT, 2,通过桥接转发,__br_forward最后遍历hook函数,如果是arp包,找到br_nf_forward_arp, 2.1,br_nf_forward_arp,遍历NFPROTO_ARP,NF_ARP_FORWARD找到对应hook 注册 NFPROTO_ARP,NF_ARP_IN钩子arp_hook的堆栈情..
Squid传统代理,透明模式,ACl访问控制,日志分析,反向代理
勤能补拙,知行合一
02-21 450
文章目录Squid代理服务器安装Squid服务一,构建传统代理服务器二,构建透明代理服务器三,ACL访问控制四,squid日志分析五,squid反向代理 Squid代理服务器 Squid 主要提供缓存加速、应用层过滤控制的功能 (1)代理的工作机制 代替客户机向网站请求数据,从而可以隐藏用户的真实IP地址。 将获得的网页数据(静态 Web 元素)保存到缓存中并发送给客户机,以便下次请求相同的数据时快速响应 (2)Squid代理的类型 传统代理:适用于Internet,需在客户机指定代理服务器的地址和端口
快速入门Squid代理模式、acl控制、sarg日志、反向代理
weixin_49228079的博客
11-15 516
目录 一、缓存代理概述 1.1、Web代理的工作机制 1.2、代理的基本类型 1.3、使用代理的优势 二、传统代理的搭建 摘要 一、缓存代理概述 二、squid主要组成部分 1、安装依赖环境 3.1、传统代理 3.1.1、Squid服务器配置 3.1.2、Web服务器配置 3.1.3、客户机测试 3.1.4、查看日志文件,看访问的IP 3.1.5、再网页上进行代理配置并测试 3.1.6、查看日志文件,看访问的IP 3.2、透明代理 3.2.1、Squid服务器配置..
Squid传统、透明代理服务配置、日志分析、反向代理、ACL访问控制(图文详解)
愿你成为自己喜欢的模样,不抱怨,不将就,有自由,有光芒!
02-23 5056
文章目录一、Squid 代理服务器二、安装 Squid 服务1、编译安装 Squid2、修改 Squid 的配置文件3、Squid 的运行控制4、创建 Squid 服务脚本三、构建传统代理服务器环境配置四、构建透明代理服务器环境配置六、ACL访问控制七、Squid 日志分析1、Squid 反向代理 一、Squid 代理服务器 Squid 主要提供缓存加速、应用层过滤控制的功能。 代理的工作机制 1、代替客户机向网站请求数据,从而可以隐藏用户的真实IP地址。 2、将获得的网页数据(静态 Web 元素)保存到
Netfilter例子,内核模块查询和修改ARP
文石_2009的博客
05-25 322
内核模块查询和修改ARP
过滤或者拦截ARP包的方法
philarlar的专栏
08-05 5444
没想到除了iptables还有个arptables,网上的资料
Netfilter例子,在内核中捕捉ARP请求并更新内核ARP
文石_2009的博客
05-25 581
【代码】Netfilter例子,在内核中捕捉ARP请求并更新内核ARP表。
学习日志8.5--ARP攻击与防范
m0_62560069的博客
08-05 1321
中间者通过ARP的查询可以知道PC2的IP地址和MAC地址,知道R2的IP地址和MAC地址,攻击者可以发送ARP的欺骗直接告诉PC2,说我是你的网关我的IP是192.168.100.199、MAC地址是54-58-98-6D-4E-F6(变成了攻击者的MAC地址),你有事可以找我。命令:[PC-102]display arp,查看PC102中ARP表记录的信息​​​​​​​在PC101上的ARP表记录的192.168.11.199的MAC地址是4aa2,和PC101-WG接口的MAC地址相符合。
NF_ARP_IN、NF_ARP_ OUT和 NF_ARP _FORWARD
tycoon的专栏
11-05 1222
#include #include #include #include #include #include #include #include #include #include #include #include #include #include #include #include #include #incl
Netfilter 网桥日志
redwingz的博客
02-28 776
定义网桥的日志结构nf_bridge_logger,类型为NF_LOG_TYPE_LOG,处理函数为nf_log_bridge_packet。目前内核支持的另一日志类型为NF_LOG_TYPE_ULOG。 static struct nf_logger nf_bridge_logger __read_mostly = { .name = "nf_log_bridge", .type = NF_LOG_TYPE_LOG, .logfn = nf_log
Netfilter IPv4日志
redwingz的博客
01-21 1588
定义IPv协议的日志结构nf_ip_logger,类型为NF_LOG_TYPE_LOG,处理函数为nf_log_ip_packet。目前内核支持的另一日志类型为NF_LOG_TYPE_ULOG。 static struct nf_logger nf_ip_logger __read_mostly = { .name = "nf_log_ipv4", .type = NF_LOG_TYPE_LOG, .logfn = nf_log_ip_packet,
通过局域网中间人攻击学网络 第三篇 netfilter之内核篇
分享各种技术
04-12 761
通过局域网中间人攻击学网络 第三篇 netfilter框架之内核篇 在第二篇中,我们讲到可以用ARP欺骗的形式将局域网内某个主机的流量转发到我们的机器上,那我们如何对该流量进行拦截修改呢?在Linux下,我们可以 使用netfilter框架来实现对ip数据拦截修改; 什么是netfilterNetfilter是Linux 2.4.x引入的一个子系统,它作为一个通用的、抽象的框架,提供一...
keepalived地址没有漂回
03-08
### Keepalived 主备切换后地址未漂移回解决方案 当遇到 Keepalived 主备切换过程中虚拟 IP (VIP) 地址未能成功漂移回到原主节点的情况时,可以考虑以下几个方面进行排查和修复。 #### 1. 检查 VRRP 协议状态同步情况 VRRP 是实现高可用性的核心机制,在 Keepalived 中用于监控 Master 和 Backup 节点之间的通信状况。如果网络连接不稳定或存在延迟,则可能导致 VIP 不会自动迁移至新的 Master 节点上[^3]。因此建议先确认两台服务器间的连通性和响应时间是否正常,并查看日志文件 `/var/log/messages` 或者 `/var/log/syslog` 来获取更多关于 VRRP 的调试信息。 #### 2. 审核配置文件设置 确保 `keepalived.conf` 文件中的参数定义合理有效。特别是对于优先级 (`priority`)、抢占模式(`preempt`)以及通告间隔(`advert_int`)等选项要仔细校验其数值设定是否恰当。另外还需要注意检查是否有其他不合理的规则影响到了正常的 failover 流程[^1]: ```bash global_defs { router_id LVS_DEVEL } vrrp_instance VI_1 { state MASTER interface eth0 virtual_router_id 51 priority 100 advert_int 1 authentication { auth_type PASS auth_pass 12345678 } unicast_peer { 192.168.1.2 } notify_master "/usr/local/bin/vip.sh" } ``` 上述示例展示了如何指定通知脚本路径以便于执行额外操作(如添加/删除路由表项),这有助于提高故障恢复的成功率。 #### 3. 排除内核参数干扰因素 有时 Linux 内核层面的一些安全特性也会阻碍 VIP 的顺利转移。比如 ARP 缓存刷新频率过低就容易造成客户端无法及时更新目标 MAC 地址从而继续访问旧网卡接口;还有就是 netfilter/ipvs 模块加载顺序不当也会影响服务稳定性。针对这些问题可以通过调整 sysctl 参数来进行优化处理: ```bash net.ipv4.ip_nonlocal_bind=1 net.ipv4.conf.all.arp_ignore=1 net.ipv4.conf.all.arp_announce=2 ``` 以上命令允许绑定本地不存在的IP地址并控制ARP请求的行为方式以减少不必要的冲突发生概率。 #### 4. 实施测试验证措施 最后一步是在生产环境中模拟一次完整的failover过程来检验所做修改的效果。具体做法是从当前正在工作的Master节点主动触发停机事件观察Backup能否迅速接管业务流量并且待前者恢复正常运作后再看VIP是否会按预期返回给它。期间密切监视系统资源消耗水平变化趋势防止因负载过高引发次生灾害。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值