Netfilter NF_HOOK执行流程分析 内核kprobe机制中的Jprobe机制 drop_watch hook_inspector

最新推荐文章于 2024-05-20 09:34:33 发布
最新推荐文章于 2024-05-20 09:34:33 发布
阅读量1.6k 收藏 1
点赞数
分类专栏: NetFilter
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tycoon1988/article/details/41114239
版权
原理是通过内 核kprobe机制中的Jprobe机制,hook内核的kfree_skb函数,再进入kfree_skb之前,查看skb的目的地址是否是我们需要,需要就打印出前三栈帧。
内核释放skb有kfree_skb和consume_skb, 根据内核本身设计, kfree_skb属于异常丢包,consume_skb属于正常丢包,所以这里只Hook了kfree_skb
skb保存dev就两个地方, skb->dev, skb->iif
hook_inspector, 看netfilter hook链中注册的函数及执行顺序;
drop_watch, 查看 dip>丢包的栈帧

利用Linux 我们可以实现复杂的防火墙机制,大家防火墙路由器,得易于Linux 强大的内核,这些实现都变得非常简单,通过简单的几条iptables命令就可以定制我们的防火墙功能。那么Linux内核是如何完成对包的处理,流程又是怎么样呢?

一 首先看一下netfilter的整体架构

netfilter的具体实现,以NF_IP_PREROUTING为例

二 NF_HOOK的实现原理

    在网卡收到包之后交由ip层处理的时候,就交给了ip_recv函数

int ip_rcv(struct sk_buff *skb, struct net_device *dev, struct packet_type *pt, struct net_device *orig_dev)

{

    在做了基本的头校验等工作后,就到了我们的重点NF_HOOK钩子函数,此时还未作路由等路处理

    return NF_HOOK(NFPROTO_IPV4, NF_INET_PRE_ROUTING, skb, dev, NULL,

         ip_rcv_finish);

    在做完PRE_ROUTING的筛选后,会执行ip_recv_finish函数,继续执行路由等处理,如果是本地的就会交给更高层的协议进行处理,如果不是交由本地的就执行FORWARD

}

通过NF_HOOK的宏定义可以看到,NF_HOOK主要是调用nf_hook_slow,那么,nf_hook_slow主要做了哪些东西呢?

nf_hook_slow(pf, hook, skb, indev, outdev, okfn, thresh)

{

最低0.47元/天 解锁文章
tycoon1988
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
网络诊断工具dropwatch
06-23
网络诊断工具dropwatch,在UBUNTU16.04上编译,已经通过测试
Netfilter NF_HOOK执行流程分析
VMA_LMA的专栏
04-16 1444
利用Linux我们可以实现复杂的防火墙机制,大家防火墙路由器,得易于Linux强大的内核,这些实现都变得非常简单,通过简单的几条iptables命令就可以定制我们的防火墙功能。那么Linux内核是如何完成对包的处理,流程又是怎么样呢? 一 首先看一下netfilter的整体架构 NF_HOOK执行流程分析一"> netfilter的具体实现,以NF_IP_PREROUTING为例 二 NF
探索网络问题的新工具:DropWatch
最新发布
gitblog_00042的博客
05-20 352
探索网络问题的新工具:DropWatch 项目地址:https://gitcode.com/nhorman/dropwatch 项目介绍 在IT世界,尤其是在服务器管理和软件开发领域,诊断网络问题是必不可少的任务之一。DropWatch 是一个由开发者Norman Horman创建的开源项目,旨在帮助我们更有效地定位Linux网络栈的丢包问题。通过集成功能,提供清晰的信息和高性能的监测,Dro...
Netfilter之连接跟踪的执行流程分析
瑞风轻拂
12-26 1327
一、连接跟踪的预备知识     连接跟踪的概念及作用,这里都不做介绍了。下面先说一下连接跟踪在Netfilter起效的hook点以及对应的hook函数。 [Copy to clipboard] [ - ] CODE: /* Connection tracking may drop packets, but never alters them, so    make it the f
drop_watch:监视linux丢弃UDP数据包的原因和位置
02-03
drop_watch:监视linux丢弃UDP数据包的原因和位置
Linux内核调试技术——jprobe使用与实现(六)
Linux知识积累
06-23 848
Linux内核调试技术——kprobe使用与实现(一)Linux内核调试技术——kprobe使用与实现(二)Linux内核调试技术——kprobe使用与实现(三)Linu...
arptable_filter.rar_hook ip_netfilter_netfilter a_内核HOOK
09-19
Netfilter内核源代码,可以作为研究ARP,IP的HOOK的前提。
haxi.zip_linux kernel hash_linux netfilter_linux 内核 抓包_netfilter
09-14
linux内核使用哈希的例子,利用netfilter抓包然后做成哈希链表
Netfilter_实现机制分析
11-13
Netfilter_实现机制分析Netfilter_实现机制分析Netfilter_实现机制分析Netfilter_实现机制分析Netfilter_实现机制分析Netfilter_实现机制分析Netfilter_实现机制分析
xt_NFQUEUE.rar_netfilter queue_netlink_nfqueue
09-19
linux iptables module for using new netfilter netlink queue
lltj.rar_netfilter_netfilter 流量_site:www.pudn.com_计费 网络
09-24
利用netfilter 流量统计的例子,做网络流量计费的同志可能用的上
dropwatch:丢包分析 源代码
04-26
Dropwatch is a project I am tinkering with to improve the visibility developers and sysadmins have into the Linux networking stack. Specifically I am aiming to improve our ability to detect and understand packets that get dropped within the stack.
dropwatch:丢包分析
04-26
Dropwatch is a project I am tinkering with to improve the visibility developers and sysadmins have into the Linux networking stack. Specifically I am aiming to improve our ability to detect and understand packets that get dropped within the stack.
Linux内核网络丢包查看工具dropwatch的安装和使用
金荣的个人技术博客
08-11 5566
本文将安装并使用dropwatch工具,来收集并查看Linux内核网络丢包的数量和位置。 安装 sudo apt-get install -y libnl-3-dev libnl-genl-3-dev binutils-dev libreadline6-dev git clone https://github.com/pavel-odintsov/drop_watch.git 进入/drop_watch/src目录后执行make: 使用 dropwatch安装完成后使用以下命令运行: sudo
drop_monitor + dropwatch定位Linux网络丢包
iampisfan的专栏
04-08 4742
linux协议栈提供了一个trace kfree_skb的驱动drop_monitor,通过register_trace_kfree_skb注册trace回调,这样在kfree_skb的时候将丢包的地址传给drop_monitor,drop_monitor再将丢包的地址通过netlink传给应用程序dropwatch。操作篇1、将kernel的drop_monitor.c编译成模块ko; 2、系
nf_hook_slow函数
weixin_34413103的博客
03-18 899
为什么80%的码农都做不了架构师?>>> ...
通过dropwatch定位系统内核丢包
热门推荐
onwer3的专栏
02-01 1万+
网工面对业务反馈数据心内部2台Server之间丢包,首先会查端到端之间所有链路有无拥塞、端口CRC问题;确认没有异常后,会开始怀疑是Server本身丢包,但我们知道,物理服务器一般会查下物理网卡有无丢包,但一般网卡丢包的可能性很小,但如果包是丢在内核网络层怎么办呢?通过抓包分析会因为场景的不同,数据的多少造成分析困难重重。Linux从2.6.30开始支持Netwo
linux内核协议栈 netfilterhook 机制概述
10-29 4519
1 netfilter介绍 Linuxnetfilter就是借助一整套的hook函数的管理机制,实现数据包在三层以上的过滤、地址转换(SNAT、DNAT)、基于协议的连接跟踪。我们所说的内核的netfilter,应该包括二层数据的filter操作,以及对三层及三层以上数据的filter等操作。 只不过二层的filter实现与三层及三层也上的filter实现有所不同。其二层的filter与应用层程序ebtables结合使用,而三层及以上的filter结合iptables使用。但是二层filter与...
Linux Netfilter NF_HOOK解析
zhgure的博客
07-18 4758
NF_HOOK实际是转成NF_HOOK_THRESH宏函数调用。 注意,thresh表示只执行优先级大于thresh的注册的hook回调。 NF_HOOK原型: #define NF_HOOK(pf, hook, skb, indev, outdev, okfn) \ NF_HOOK_THRESH(pf, hook, skb, indev, outdev, okfn, INT_MIN) ...
nf_register_net_hooknf_register_hook的区别
05-05
`nf_register_net_hook` 和 `nf_register_hook` 都是Linux内核用于注册netfilter钩子函数的函数,但是它们的作用范围不同。 `nf_register_net_hook` 用于注册网络命名空间的netfilter钩子函数,而 `nf_register...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值