linux网络包截获,netfilter截获数据包

最新推荐文章于 2022-07-18 19:51:23 发布
最新推荐文章于 2022-07-18 19:51:23 发布
阅读量328 收藏
点赞数
文章标签: linux网络包截获

一.nf_register_hook挂钩之截获数据包

1.include\linux\netfilter.h

查看nf_hookfn函数以及nf_hook_ops结构体的定义,再具体初始化

typedef unsigned int nf_hookfn(unsigned int hooknum,

struct sk_buff **skb,

const struct net_device *in,

const struct net_device *out,

int (*okfn)(struct sk_buff *));

struct nf_hook_ops

{

struct list_head list;

/* User fills in from here down. */

nf_hookfn *hook;

struct module *owner;

int pf;

int hooknum;

/* Hooks are ordered in ascending priority. */

int priority;

};

static struct nf_hook_ops os_attack_ops;

os_attack_ops.hook = os_attack_detect;

os_attack_ops.hooknum = NF_IP_LOCAL_IN;//linux/netfilter_ipv4.h>

os_attack_ops.pf = PF_INET;

os_attack_ops.priority = NF_IP_PRI_FIRST;//linux/netfilter_ipv4.h>

ret = nf_register_hook(&os_attack_ops);

if (ret < 0) {

printk("os_attack:can't register post_proto hook!\n");

return ret;

}

其实一般版本的变化重要就是nf_hookfn的变化....

2. 主要linux/ip.h

linux/tcp.h

linux/udp.h

linux/if_ether.h

也可以看下对应版本的ipt_LOG.c基本包含了所有的东东

ipt_ULOG.c还用到了netlink

TCP层获取相关偏移的函数

static inline struct tcphdr *tcp_hdr(const struct sk_buff *skb)

获得sk_buff结构中TCP头的指针

static inline unsigned int tcp_hdrlen(const struct sk_buff *skb)

这个函数用来获得TCP头的长度

static inline unsigned int tcp_optlen(const struct sk_buff *skb)

获取tcp option的长度

IP相关的函数

static inline struct iphdr *ip_hdr(const struct sk_buff *skb)

该函数获得ip头

static inline struct iphdr *ipip_hdr(const struct sk_buff *skb)

该函数获得ipip头,实际上偏移已经跑到了传输层的开始

net/ip.h还有个ip_hdrlen

3、MAC相关函数

static inline struct ebt_802_3_hdr *ebt_802_3_hdr(const struct sk_buff *skb)

{

return (struct ebt_802_3_hdr *)skb_mac_header(skb);

}

获取802.3MAC头指针。

static inline struct ethhdr *eth_hdr(const struct sk_buff *skb)

{

return (struct ethhdr *)skb_mac_header(skb);

}

获取以太网MAC头指针。以太网头指针结构体:

struct ethhdr {

unsigned char    h_dest[ETH_ALEN];    /* destination eth addr    */

unsigned char    h_source[ETH_ALEN];    /* source ether addr    */

__be16        h_proto;        /* packet type ID field    */

} __attribute__((packed));

内核中网络地址转化为字符串形式的IP地址的宏定义:

#define NIPQUAD(addr) \

((unsigned char *)&addr)[0], \

((unsigned char *)&addr)[1], \

((unsigned char *)&addr)[2], \

((unsigned char *)&addr)[3]

#define NIPQUAD_FMT "%u.%u.%u.%u"

char *print_mac(char *buf, const u8 *addr)

{

sprintf(buf, MAC_FMT,

addr[0], addr[1], addr[2], addr[3], addr[4], addr[5]);

return buf;

}

rar.gif

文件:

netlink+netfilter.rar

大小:

3KB

下载:

CYDYSY
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Linux设备驱动网络设备驱动
04-14 3736
1.概述Linux系统多用于服务器上,Linux非常牢固的支持网络。在Linux,网络分为两个层,分别是网络堆栈协议支持层,以及接收和发送网络协议的设备驱动程序层。网络堆栈是硬件中独立出来的部分,主要用来支持TCP/IP等多种协议,而网络设备驱动层是连接网络堆栈协议层和网络硬件的中间层。网络设备驱动程序的主要功能是:(1)模块加载或内核启动相关的初始化处理(2)清除模块时的处理(3)网络设备的检索和探测(4)网络设备的初始化和注册(5)打开或关闭网络设备(6)发送网络数据(7)接收网络数据(8)中断处理(在
利用netfilter截获数据包基础知识及实现
AFCC_的博客(Web_Dog)
06-07 4420
本着记录自己疯狂过的青春,对netfilter的应用学习做点记录。0x00前提双网卡硬件设备作中间件,一个网卡接收向另一网卡转发时进行操作数据包。下文中举例eth0为进入,eth1为发出,相对而言。本次开发利用netfilter框架进行完整开发,基本实现对数据包的任意操作。0x01 什么是netfilterNetfilterlinux2.4.x引入的一个子系统,作为一个通用的、抽象的框架,提供了...
Linux网络截包不完全整理
fatshaw的专栏
05-29 2116
网络截包是一项很有意思的课题,可以有数据过滤,防火墙,流量控制,报文篡改等诸多应用,按照内核分层架构将一些截包方法不完全整理如下,欢迎补充。1、 L1层驱动截包法    在驱动中下手应该可以说是最贴近底层的,网卡驱动中总有rx接收和xmit发送函数,参数总是sk_buffer,在这里修改很黄很暴力,而且几乎不需要什么linux内核的知识。    xmit函数调用时的参数sk_buf
数据包截获修改工具MonPack
08-20
数据包截取修改很好用的工具MonPack自带发送功能
截获数据包的几种方式
热门推荐
myslq的博客
01-09 1万+
在实际应用中需要服务端调用libpcap模拟接收TCP连接而不实际进行accept,会存在客户端发了SYN请求,TCP协议栈直接回复了RST导致客户端直接关闭了连接的情况。(一开始是准备使用TCPreplay进行TCP数据重放的,后面发现TCPreplay中的TCPliveplay只是对PF_PACKET类型的数据包进行简单的send(),不过可以基于它提供的框架完成TCP、IP校验和的计算) l...
基于linux的netfilter处理数据包的过程分析,基于Netfilter网络数据包分析
weixin_34324082的博客
05-12 388
前面的几篇文章我已经对Netfilter的大概的机制作了比较详细的介绍,这篇文章我就说一下如何分析网络数据包。我刚刚写了一个程序,程序的功能很简单,就是提取出网络数据包的源地址和改所使用的网络协议,大家可以看看源代码:#define __KERNEL__#define MODULE#include #include #include #include #include #include #inc...
Linux网络防火墙Netfilter数据包传输过滤原理.pdf
09-06
Linux网络防火墙Netfilter数据包传输过滤原理.pdf
深入Linux网络核心堆栈 netfilter详解.doc
最新发布
11-29
深入Linux网络核心堆栈 netfilter详解.doc
yuandaima.rar_过滤_网络数据包
09-19
标题“yuandaima.rar”指的是一个压缩文件,其中含了有关“过滤”和“网络数据包”的相关信息。这个文件可能含源代码,这通常意味着它提供了实现或解析网络数据包过滤技术的具体程序。让我们深入探讨这两个...
_Linux网络安全架构Netfilter的分析和探讨.pdf
03-12
_Linux网络安全架构Netfilter的分析和探讨 _Linux网络安全架构Netfilter的分析和探讨
手把手教你捕获数据包
howard的技术之路
07-04 915
经常看到论坛有人问起关于数据包截获、分析等问题,幸好本人也对此略有所知,也写过很多的sniffer,所以就想写一系列的文章来详细深入的探讨关于数据包的知识。 我希望通过这一系列的文章,能使得关于数据包的知识得以普及,所以这系列的每一篇文章我都会有由浅入深的解释、详细的分析、以及编码步骤,另外附上带有详细注释的源码(为了照顾大多数朋友,我提供的都是MFC的源码)。 不过由于也是初学者,疏漏
使用netfilter框架处理ARP报文
fuyuande的博客
03-31 2692
内核开发交流群 745510310 欢迎加入学习利用netfilter的框架实现对arp报文的处理,这里只是打印arp报文信息,更多的处理可以在此基础上实现。arp 首部封装格式:内核版本 :,不同版本内核头文件可能不一样带来编译出错问题,可以参考这篇博客https://blog.csdn.net/fuyuande/article/details/79429441 更新一下内核。源码如下:/* ...
linux收发内核进程名称,Linux内核IP Queue机制的分析(一)——用户态接收数据包...
weixin_33936111的博客
04-30 213
序笔者将会通过括本文在内的三篇文章,对IP Queue机制从用户态的应用到内核态的模块程序设计进行分析。三篇文章的题目分别是:Linux内核IP Queue机制的分析(一)­——用户态接收数据包Linux内核IP Queue机制的分析(二)­——用户态处理并回传数据包Linux内核IP Queue机制的分析(三)­——内核态ip_queue代码分析笔者希望通过这三篇文章,能够给不熟悉或者对IP ...
基于netfilter实现对http报文过滤,并并窃取http报文的用户名和密码
m0_63334846的博客
04-28 1843
攻击主机 192.168.163.132 Ubuntu20.04(5.13.0-39-generic) 受害主机 192.168.163.135 Ubuntu16.04(4.15.0-112-generic) Netfilter是从Linux 2.4开始引入内核的一个子系统,架构就是在整个网络流程的若干位置放置了一些检测点(HOOK),而在每个检测点上登记了一些处理函数进行处理(如过滤,NAT等,以及可以是 用户自定义的功能)。 NF_INET_PRE_ROUT
IP数据包格式netinet/ip.h
csdn_kou的博客
08-15 8319
转载地址https://www.cnblogs.com/embedded-linux/p/4986449.html 头文件netinet/ip.h中定义ip: struct ip { #if __BYTE_ORDER == __LITTLE_ENDIAN unsigned int ip_hl:4; /* header length */ unsigned int ip_v:4; /* ...
skb结构和相关操作函数
fengcai_ke的博客
07-18 3952
skb操作函数
利用netfilter截获、修改数据包基础与实现
AFCC_的博客(Web_Dog)
08-21 3194
本着记录自己疯狂过的青春,对netfilter的应用学习做点记录。 0x00前提 双网卡硬件设备作中间件,一个网卡接收向另一网卡转发时进行操作数据包。下文中举例eth0为进入,eth1为发出,相对而言。本次开发利用netfilter框架进行完整开发,基本实现对数据包的任意操作。 0x01 什么是netfilter Netfilterlinux2.4.x引入的一个子系统,作为一个通用的、抽象的框...
linux skb 结构和相关操作函数分析
魏言华的博客
09-06 6455
sk_buff是Linux网络中最核心的结构体,它用来管理和控制接收或发送数据包的信息。各层协议都依赖于sk_buff而存在。内核中sk_buff结构体在各层协议之间传输不是用拷贝sk_buff结构体,而是通过增加协议头和移动指针来操作的。如果是从L4传输到L2,则是通过往sk_buff结构体中增加该层协议头来操作;如果是从L2到L4,则是通过移动sk_buff结构体中的data指针来实现,不会删除各层协议头。这样做是为了提高CPU的工作效率。 1.skb_buff关键结构成员 struct sk_b
netfilter 子系统实现tcp断链
xuwaiwai的博客
06-10 507
netfiler的优势不仅含防火墙的实现,还括各种报文的处理工作(如报文的加密,统计等)。可以方便地利用netfilter提供的接口实现内核态的报文处理。在netfilter中可以解析报文,同时根据阻断规则做匹配,将符合阻断的报文直接DROP,但是在tcp的会话中,这样并不优雅,tcp是可靠传输,如果是直接drop掉某一个报文,则发送端会一直重发,所以在tcp的协议中需要向发送端发送一个fin或者是rst的报文,用来断来链接。下面是我测试使用的代码。...
Linux内核网络钩子Netfilter深度探索:隐藏通信与过滤
NetfilterLinux 2.4内核的一部分,允许执行数据包过滤、NAT和网络连接跟踪等功能,通过内核网络代码的不同hook点实现。文章主要讨论IPv4的hook,尽管Netfilter支持IPv4、IPv6和DECnet。作者提供了一个简单的内核...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值