问题记录: 在内核模块中拦截报文并保存到文件

最新推荐文章于 2024-07-06 17:48:49 发布
最新推荐文章于 2024-07-06 17:48:49 发布
阅读量1k 收藏 4
点赞数
分类专栏: linux 其他 文章标签: linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_40407199/article/details/116106764
版权

Release log:

2021-04-24 六: 完成初版

原文地址

背景介绍

最近在跟进一个网络相关的问题,需要查看经过 __netif_receive_skb 的报文是否有异常。如果打印所有的包,由于打印太多会影响性能,并且打印的内容也不会太详细。所以决定,把监听到的报文全部保存到 pcap 文件中,然后通过 wireshark 查看
这里对需要用到的知识做一个整理

知识点分析

  1. 怎么在内核模块中读写文件
  2. pcap 的文件格式是怎样的

怎么在内核中读写文件

一段简单的实例代码如下:

// main.c
#include <linux/module.h>	// 包含了对模块的结构定义以及模块的版本控制
#include <linux/kernel.h>	// 包含常用的内核函数
#include <linux/fs.h>

MODULE_LICENSE("Dual BSD/GPL");

static int __init skb2pcap_init(void)
{
	struct file *fp = filp_open("/tmp/kernel_rw", O_CREAT | O_WRONLY | O_TRUNC, 0644);
	const char *wstr = "write from kernel";
	int len = 0;
	mm_segment_t old_fs;

	if (IS_ERR(fp)) 
	{
		printk("[%s] open file failed\n", __func__);
		return -1;
	}

	old_fs = get_fs();
	/* 改变 kernel 对内存地址检查的处理方式, 如果此处被抢占是否会有风险 */
	set_fs(KERNEL_DS);
	len = vfs_write(fp, wstr, strlen(wstr), &fp->f_pos);
	set_fs(old_fs);
	filp_close(fp, NULL);

	printk("[%s] write len: %d\n", __func__, len);
    return 0;
}

static void __exit skb2pcap_exit(void)
{
	struct file *fp = filp_open("/tmp/kernel_rw", O_RDONLY, 0);
	int len = 0;
	char buf[128] = {0};
	mm_segment_t old_fs;

	if (IS_ERR(fp))
	{
		printk("[%s] open file failed\n", __func__);
		return;
	}

	old_fs = get_fs();
	set_fs(KERNEL_DS);
	len = vfs_read(fp, buf, sizeof(buf) - 1, &fp->f_pos);
	set_fs(old_fs);
	filp_close(fp, NULL);

	printk("[%s] get str[%d]: %s\n", __func__, len, buf);
}

module_init(skb2pcap_init);
module_exit(skb2pcap_exit);

# Makefile
# 如果已定义 KERNELRELEASE,则说明是从内核构造系统调用的,因此可利用其内建语句
ifneq ($(KERNELRELEASE), )
	obj-m := skb2pcap.o
	skb2pcap-objs := main.o
# 否则,是直接从命令行调用的,这时要用内核构造系统
else
	KERNELDIR ?= /lib/modules/$(shell uname -r)/build
	PWD := $(shell pwd)

default:
	$(MAKE) -C $(KERNELDIR) M=$(PWD) modules

clean:
	$(MAKE) -C $(KERNELDIR) M=$(PWD) clean
	# rm -f *.o *.cmd .*.cmd *.mod modules.order *.mod.c
endif

需要注意,vfs_read 和 vfs_write 原型中,buffer 指针是用 __user 修饰的,如果直接使用内核地址作为参数会返回失败。所以在使用前需要调用 set_fs 改变 kernel 对内存地址的检查方式

遇到问题

insmode 的时候提示错误

$ sudo insmod ./skb2pcap.ko 
insmod: ERROR: could not insert module ./skb2pcap.ko: Operation not permitted

使用 dmesg 查看,发现如下提示

Lockdown: insmod: unsigned module loading is restricted; see man kernel_lockdown.7

解决办法: 重启电脑,在 BIOS 中关闭 secure boot 功能,保存并重启。这个时候 insmod 就没问题了

但 insmode 时会发现,终端没有 printk 内容输出。其实输出内容可以在 dmesg 中看到

pcap 的文件格式是怎样的

pcap 文件的总体结构是: 文件头–数据包头1–数据包1–数据包头2–数据包2…

其中文件头的格式如下:

struct pcap_file_header {
	uint32_t magic;			// 为 0xa1b2c3d4 或者 0xd4c3b2a1,用来识别字节顺序,前者为大端模式,后者为小端模式
	uint16_t version_major;	// 主版本号,一般为 0x0200
	uint16_t version_minor;	// 次版本号,一般为 0x0400
	uint32_t thiszone;		// GMT 和本地时间的差值,单位秒。一般为零
	uint32_t sigfigs;		// 时间戳的精度,一般为全零
	uint32_t snaplen;		// 设置所抓获的数据包的最大长度,如果所有数据包都要抓获,将该值设置为65535
	uint32_t linktype;		// 链路类型
};
/* 链路类型对应关系如下
   0  					BSD loopback devices, except for later OpenBSD
   1  					Ethernet, and Linux loopback devices
   6  					802.5  Token Ring
   7  					ARCnet
   8  					SLIP
   9  					PPP
   10 					FDDI
   100					LLC/SNAP-encapsulated  ATM 
   101					"raw IP", with no link
   102					BSD/OS  SLIP
   103					BSD/OS  PPP
   104					Cisco  HDLC
   105					802.11
   108					later OpenBSD loopback devices (with the AF_value in network byte order)
   113					special  Linux  "cooked"  capture
   114					LocalTalk
   */

数据包头的格式如下:

struct pcap_pkt_header {
	uint32_t ts_s;			// 时间戳高位,精确到秒,从 GMT 开始记
	uint32_t ts_ms;			// 时间戳低位,精确到毫秒
	uint32_t caplen;		// 抓获到数据帧的长度
	uint32_t len;			// 离线数据长度,网路中实际数据帧的长度,一般不大于Caplen,多数情况下和Caplen值一样
};

一段简单的解析 pcap 报文的代码如下:

int main(int argc, char *argv[])
{
	int fd = -1;
	struct pcap_file_header fhdr = {0};
	struct pcap_pkt_header phdr = {0};
	uint8_t databuf[2048] = {0};
	int datalen = 0;

	if (2 != argc)
	{
		printf("usage: %s pcap_file_name\n", argv[0]);
		return 0;
	}

	if ((fd = open(argv[1], O_RDONLY)) < 0)
	{
		printf("open %s failed: %s\n", argv[1], strerror(errno));
		goto leave;
	}

	if (sizeof(fhdr) != read(fd, &fhdr, sizeof(fhdr)))
	{
		printf("read file failed: %s\n", strerror(errno));
		goto leave;
	}

	printf("file header info: magic(0x%08x), major_version(0x%04x), "
			"minor_version(0x%04x), thiszone(0x%08x), sigfigs(0x%08x), "
			"snaplen(0x%08x), linktype(0x%08x)\n", 
			fhdr.magic, fhdr.version_major, fhdr.version_minor, 
			fhdr.thiszone, fhdr.sigfigs, fhdr.snaplen, fhdr.linktype);

	while (sizeof(phdr) == read(fd, &phdr, sizeof(phdr)))
	{
		int i = 0;

		datalen = read(fd, databuf, phdr.caplen);
		if (phdr.caplen != datalen)
		{
			printf("read data len err(%d - %d): %s\n", phdr.caplen, datalen, strerror(errno));
			break;
		}

		printf("packet header info: ts_s(%d), ts_ms(%d), caplen(%d), len(%d):", 
				phdr.ts_s, phdr.ts_ms, phdr.caplen, phdr.len);

		for (i = 0; i < phdr.caplen; i ++)
		{
			if (0 == i % 16) printf("\n");
			else if (0 == i % 8) printf(" ");

			printf("%02x ", databuf[i]);
		}
		printf("\n");
	}

leave:
	if (fd >= 0) close(fd);

	return 0;
}
wax5798
关注
专栏目录
AUTOSAR汽车电子嵌入式编程精讲300篇-电池管理系统 CAN 通信模块的设计与应用(
getusushu的博客
06-14 113
缓存区的作用是在报文进行处理时,保证还没有被处理的报文不会被后面的报文给覆盖,成对报文的过滤后,需要对发送或者接收到的报文进行管理,在发送时,将报文进行打。变量在进行调试时可以直观的反应数据的变化情况。的报文,当网络层的数据传送给应用层时,如果应用层接收到的是控制命令,则还需。力电池的相关参数,此时充电机会闭合充电继电器,然后将充电的状态信息封装在报文。总线规格的确定与终端电阻的大小的定义需要在物理层完成,确保总线上数据传输的。节点的初始化操作包括节点波特率的选择,相应输入输出引脚的配置,回环模式的。
linux不能加载驱动模块的解决
qq_32783703的博客
12-20 5508
这个周又开始看scull了,希望能在内核层面上做一些有趣的事情 本来不想发这个csdn,但是还是坚持写下来记录下排查问题的过程吧 今天make模块成功后,突然出现了 ERROR: could not insert module main.ko: Operation not permitted 天啊 这到底是什么原因,权限不足吗?自己 sudo make sudo insmod main.ko 发现还是这个问题,于是自己 sudo dmesg -c Linux dmesg命令用于显示开机信息。 kerne
linux 保存内核打印文件位置,linux - 内核打印输出到哪里去? - Ubuntu问答
weixin_39789399的博客
04-28 585
问题描述我正在调试Linux(特别是ubuntu服务器9.04)的驱动程序,并且代码有几个printf语句。在哪里可以查看这些语句的输出?EDIT1:我想做的是使用proc file-system写入内核。打印代码是static int proc_fractel_config_write(struct file *file, const char *argbuf, unsigned long c...
驱动学习-环境搭建
linxuew的博客
07-06 305
准备系统接触linux驱动驱动和kernel,刚开始主要熟悉linxu驱动框架,不涉及相关硬件(后续可能会学习ARM或RISC-V)。此时该公钥永久添加到MOK,后续可以使用该密钥签名kernel模块在ubuntu主机上调试。行定义了 MOK 主要可识别的名称,因此请在其输入想要的任何内容。以上,insmod失败是由于hello.ko没有签名,被拒绝加载。make后生成hello.ko,使用insmod导入,出现错误。,在提示时输入之前与此请求关联的密码,并确认注册。
把内核的信息打印到文件
Embeded system Development
06-14 1340
1.   #include #include #include #include #include #include #include #include #include #define MY_FILE "/root/LogFile"char buf[128];struct file *
使用bpf_printk,会将字符串输出到文件/sys/kernel/debug/tracing/trace_pipe
IT架构师
01-29 1898
使用bpf_printk,会将字符串输出到文件/sys/kernel/debug/tracing/trace_pipe /sys/kernel/debug/tracing/trace_pipe
如何将内核数据打印到文件
u012769691的博客
07-02 2187
1:内核里 将一段DMA内存里的数据打印到/tmp/LogFile,用hexdump打开这个文件就可以看到这段内存里的数据了。 DMA操作的是物理地址,往文件里写数据,需要的是数据的虚拟地址。还好,分配DMA内存的时候,已经将DMA内存的物理地址对应了虚拟地址。下面是分配的音频DMA buff,在播放音乐时,buff里的值是不停更新的。 int * tmp;   389        
linux 保存内核打印文件位置,何把内核的信息打印到文件的方法
weixin_33250594的博客
04-28 608
#include #define MY_FILE "/root/LogFile"char buf[128];struct file *file = NULL;static int __init init(void){mm_segment_t old_fs;printk("Hello, I'm the module that intends to write messages to file.\n"...
linux内核拦截修改报文,Netfilter内核模块拦截数据包并记录它们
weixin_29170089的博客
05-01 773
首先,该模块仅丢弃传入的数据包.原因是以下行:nfho.hooknum = NF_IP_PRE_ROUTING;.关于您的问题:我不明白什么是“基于侦察数据包”,但您可以从数据包提取所有数据并在内核日志显示它们.例如:#include #include #include #include #include #include static struct nf_hook_ops nfho; ...
网桥转发LACP报文的方法(不用重新编译内核!)
echoecho的博客
05-18 1443
网桥转发LACP报文的方法 编译并替换内核的bridge模块 测试LACP报文能否被网桥转发 参考资料 在《Linux 网桥支持LACP 报文透传的解决方法》一文提到LACP协议使用的MAC地址01:80:c2:00:00:02是IEEE 802.1D定义的“MAC桥接过滤MAC组地址”,也就是说这些地址(01:80:c2:00:00:xx)是不会被网桥转发的。 可以使用echo ${group_fwd_mask} > /sys/class/net/br0/bridge/group_fwd_
Linux 防火墙如何通过mac地址拦截pppoe报文
最新发布
09-07
Linux的防火墙主要是通过netfilter框架来实现的,它是在Linux内核处理网络包的一个组件。对于使用mac地址拦截PPP over Ethernet (PPPoE)报文,这通常涉及到使用iptables工具,因为netfilter提供了这个接口。 ...
tcpdump与wireshark组合拦截分析端口数据
Realoyou的博客
08-07 692
tcpdump简介 用简单的话来定义tcpdump,就是:dump the traffic on a network,根据使用者的定义对网络上的数据包进行截获的包分析工具。 tcpdump可以将网络传送的数据包的“头”完全截获下来提供分析。它支持针对网络层、协议、主机、网络或端口的过滤,并提供and、or、not等逻辑语句来帮助你去掉无用的信息。 实用命令实例 默认启动,普通情况下,直接...
放开linux内核打印,设备驱动程序调试printk讲解和使用,打印到proc虚拟文件
weixin_36146811的博客
05-02 537
u-boot参数 console = ttySAC0UBOOT传入console=ttySAC0 console=tty1__setup("console=", console_setup);console_setupadd_preferred_console(name, idx, options);add_preferred_consolec = &console_cmdline[i];...
Linux内核调试技术之printk
Aspiresky的专栏
12-14 1777
printk是Linux内核提供的打印函数,类似于用户态的printf,一个较大的差别在于printk支持多种日志级别,从而允许printk根据消息的等级选择性进行打印。printk打印的日志通常会显示在控制台上或者输出到日志文件(一般为/var/log/messages)
驱动开发1 概念、内核模块编程、内核消息打印函数printk函数的使用、内核模块传参、内核导出符号
Smallxu_的博客
10-19 253
【代码】驱动day1 概念、内核模块编程、内核消息打印函数printk函数的使用、内核模块传参、内核导出符号。
linux内核 printk,Linux下使用printk()的方法
weixin_39761822的博客
05-03 272
如果你有了解过Linux内核,那么你应该对printk函数有了一定的了解,那么对于没接触过printk函数的朋友来说,printk()究竟要如何使用呢?下面小编通过一个例子来讲解printk()的使用,以便大家有更深入的了解。实例:新建hello.c#include 《linux/kernel.h》#include 《linux/module.h》int init_module(void){pri...
Linux 驱动开发笔记(二)
qq_45061393的博客
07-08 725
Linux最简单的驱动,编写,装载卸载全过程
The Linux Kernel Module Programming Guide
Linux 内核,驱动, Android系统开发, MAC/Android APP开发
02-09 1160
 The Linux Kernel Module Programming GuidePeter Jay SalzmanMichael BurianOri PomerantzCopyright © 2001 Peter Jay Salzman The Linux Kernel Module Programming Guide is a free book; you
ubuntu20.04安装全志sunxi-livesuite烧录工具
guanchen8022的博客
06-05 381
Q1: make[2]: *** 没有规则可制作目标“arch/x86/entry/syscalls/syscall_32.tbl”,由“arch/x86/include/generated/uapi/asm/unistd_32.h” 需求。A2: 重启电脑,在 BIOS 关闭 secure boot 功能保存并重启。A1: 修改Makefile的SUBDIRS字符为M就可以编译通过的到ko文件。Q2: insmode 的时候提示错误。使用 dmesg 查看发现如下提示。
免费开源:Linux内核模块编程实战指南
6. **错误处理与调试**:学习如何在模块处理错误情况,并利用内核调试工具进行调试。 7. **安全性与权限**:了解模块安全性和权限控制,确保模块在执行时不会对系统造成潜在威胁。 8. **模块编译与打包**:掌握...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值