Netfilter——Netfilter中的HOOK机制

最新推荐文章于 2024-04-30 17:15:06 发布
最新推荐文章于 2024-04-30 17:15:06 发布
阅读量8.9k 收藏 26
点赞数 5
文章标签: 防火墙 内核 网络 Netfilter
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/windeal3203/article/details/51204911
版权

  Netfilter 是 Linux网络内核协议栈提供了报文过滤(防火墙)框架,HOOK机制是Netfilter的核心。

一、如何在协议栈中调用钩子函数

  在协议栈中相应位置嵌入Netfilter的函数NF_HOOK,来拦截报文送到Netfilter中进行处理。
 

协议栈中的五条内置链

我们知道Linux网络内核内置了5条链PREROUTING、INPUT、FORWARD、OUTPUT、POSTROUTING, 其实就是在内核的五个位置嵌入了NF_HOOK函数,然后通过NF_HOOK进入Netfilter框架处理。我们以PREROUTING为例,看下插入NF_HOOK的五个位置。
  网卡驱动接收到报文,经过二层处理后,会调用net_receive_skb传递给具体的协议处理函数, 对于IPv4来说,这里的协议处理函数指的就是ip_rcv了。而我们PREROUTING链的NF_HOOK函数正是在ip_rcv中嵌入的。

/*
   *  Main IP Receive routine.
   *  主要功能:对IP头部合法性进行严格检查,然后把具体功能交给ip_rcv_finish。
   */    
  int ip_rcv(struct sk_buff *skb, struct net_device *dev, struct packet_type *pt, struct net_device *orig_dev)
  {           
            ......
        /* 进入Netfilter处理,处理完后如果报文还要继续往下传递,则进入ip_rcv_finish函数处理 */
      return NF_HOOK(PF_INET, NF_INET_PRE_ROUTING, skb, dev, NULL,
                 ip_rcv_finish);
            ......
 }
其他几条链的嵌入位置分别如下:

+ PREROUTING: ip_rcv
+ INPUT:ip_local_deliver
+ FORWARDip_forward
+ OUTPUT:raw_send_hdrinc
+ POSTROUTING:ip_mc_outputip_mc_output

二、NF_HOOK 钩子函数

(一)、nf_hook 钩子函数的存储

  钩子函数存储在全局二维数组nf_hooks中。
struct list_head nf_hooks[NFPROTO_NUMPROTO][NF_MAX_HOOKS] __read_mostly;
从nf_hooks的定义我们可以看出,该结构体每一个成员都是一个struct list_head对象。
NFPROTO_NUMPROTO有一下取值

enum {
    NFPROTO_UNSPEC =  0, 
    NFPROTO_IPV4   =  2, 
    NFPROTO_ARP    =  3, 
    NFPROTO_BRIDGE =  7, 
    NFPROTO_IPV6   = 10,
    NFPROTO_DECNET = 12,
    NFPROTO_NUMPROTO,
};

NF_MAX_HOOKS有以下取值

enum nf_inet_hooks {
    NF_INET_PRE_ROUTING,
    NF_INET_LOCAL_IN,
    NF_INET_FORWARD,
    NF_INET_LOCAL_OUT,
    NF_INET_POST_ROUTING,
    NF_INET_NUMHOOKS
};

这里写图片描述
关于全局二维数组的成员,即各个链表的head节点struct nf_hook_ops形式如下:

struct nf_hook_ops
{
    struct list_head list; //该成员将会把这个结构添加在nf_hooks数组引导的队列头中。

    /* User fills in from here down. */
    nf_hookfn *hook;        //钩子处理函数:用于判断报文是否需要经过本钩子到检测过滤等
    struct module *owner;   //可以使用动态加载的内核模块
    u_int8_t pf;            //协议族
    unsigned int hooknum;   //钩子点

    /* Hooks are ordered in ascending priority. */
    int priority;//这里不是一个先来先服务队列,而是一个优先级队列。
};

该结构体的第二个成员nf_hookfn *hook;其实就是对应一个钩子处理函数。关于nf_hookfn的定义如下:

//Netfilter 钩子函数
//return:   NF_DROP,NF_ACCEPT...
typedef unsigned int nf_hookfn(unsigned int hooknum,                                                                                                                                                
                   struct sk_buff *skb,
                   const struct net_device *in,
                   const struct net_device *out,
                   int (*okfn)(struct sk_buff *));

(二) 钩子函数的注册

int nf_register_hook(struct nf_hook_ops *reg)
{ 
    struct nf_hook_ops *elem;
    int err;

//使用互斥锁nf_hook_mutex来保护二维数组下的hook_ops链表
    err = mutex_lock_interruptible(&nf_hook_mutex);
    if (err < 0)
        return err;
    //比较优先级,注册钩子 按照hook_op的优先级来把hook_op注册到全局二维数组中去
    list_for_each_entry(elem, &nf_hooks[reg->pf][reg->hooknum], list) {
        if (reg->priority < elem->priority)
            break;
    }
    list_add_rcu(&reg->list, elem->list.prev);
    mutex_unlock(&nf_hook_mutex);
    return 0;
} 
EXPORT_SYMBOL(nf_register_hook);

(二)、 NF_HOOK调用过程

#define NF_HOOK_THRESH(pf, hook, skb, indev, outdev, okfn, thresh)         \
({int __ret;                                       \
if ((__ret=nf_hook_thresh(pf, hook, (skb), indev, outdev, okfn, thresh, 1)) == 1)\
    __ret = (okfn)(skb);                               \
__ret;})

#define NF_HOOK_COND(pf, hook, skb, indev, outdev, okfn, cond)             \
({int __ret;                                       \
if ((__ret=nf_hook_thresh(pf, hook, (skb), indev, outdev, okfn, INT_MIN, cond)) == 1)\
    __ret = (okfn)(skb);                               \
__ret;})

//拦截报文,Netfilter通过在协议栈的相应位置嵌入NF_HOOK来拦截报文
#define NF_HOOK(pf, hook, skb, indev, outdev, okfn) \
    NF_HOOK_THRESH(pf, hook, skb, indev, outdev, okfn, INT_MIN)  //*important

  钩子函数最后会调用(okfn)(skb), 即经过Netfilter处理后,如果报文没有被丢弃,应该交付给okfn指向的函数处理。
  NF_HOOK函数的核心在于nf_hook_thresh,我们看下它的实现。

/**    
 *  nf_hook_thresh - call a netfilter hook
 *  
 *  Returns 1 if the hook has allowed the packet to pass.  The function
 *  okfn must be invoked by the caller in this case.  Any other return
 *  value indicates the packet has been consumed by the hook.
 */    
static inline int nf_hook_thresh(u_int8_t pf, unsigned int hook, //pf:协议族   hook:协议定义到hook点
                 struct sk_buff *skb,       //报文
                 struct net_device *indev,  //入接口
                 struct net_device *outdev, //出接口
                 int (*okfn)(struct sk_buff *), int thresh, //netfilter处理完成后来处理报文的函数
                 int cond)
{
    if (!cond)
        return 1; //直接跳过netfilter处理
#ifndef CONFIG_NETFILTER_DEBUG
    if (list_empty(&nf_hooks[pf][hook]))
        return 1;
#endif
    return nf_hook_slow(pf, hook, skb, indev, outdev, okfn, thresh); //netfilter 处理
}  

/* Returns 1 if okfn() needs to be executed by the caller,
 * -EPERM for NF_DROP, 0 otherwise. */
int nf_hook_slow(u_int8_t pf, unsigned int hook, struct sk_buff *skb,
         struct net_device *indev,
         struct net_device *outdev,
         int (*okfn)(struct sk_buff *), 
         int hook_thresh)
{  
    struct list_head *elem;
    unsigned int verdict;
    int ret = 0;

    /* We may already have this, but read-locks nest anyway */
    rcu_read_lock();

    elem = &nf_hooks[pf][hook]; //找到hook点的处理函数的链表
next_hook:
    verdict = nf_iterate(&nf_hooks[pf][hook], skb, hook, indev,
                 outdev, &elem, okfn, hook_thresh); //进入钩子处理
    if (verdict == NF_ACCEPT || verdict == NF_STOP) { //NF_STOP也可以导致一个报文被接收,这就是某些钩子在中间直接放行了报文,之后的钩子将没有机会进行检测。
        ret = 1;
    } else if (verdict == NF_DROP) { //drop
        kfree_skb(skb);
        ret = -EPERM;
    } else if ((verdict & NF_VERDICT_MASK) == NF_QUEUE) {
        /*这里比较少见,大致看了一下,好像是实现用户态防火墙的一种方法。
         * 可能使用之前说过的netlink机制将这个报文发送到用户态的侦听套接口,
         * 从而让用户态程序对这个报文进行全面检测,如果检测通过,再发送到内核
         * 的netlink套接口中,对应的netlink协议簇为*/
        /* 如果返回值是要把报文存入用户自定义的队列中(TARGET QUEUE和 NFQUEUE
         * 使用),把verdict字段分成了两个部分,前一部分来定义返回值为入队操作,
         * 后半部分给出入队的队列号*/
        if (!nf_queue(skb, elem, pf, hook, indev, outdev, okfn,
                  verdict >> NF_VERDICT_BITS))
            goto next_hook;
    }
    rcu_read_unlock();
    return ret;
}  
EXPORT_SYMBOL(nf_hook_slow);

这里会获取对应的个规则链elem = &nf_hooks[pf][hook];,然后遍历调用注册的钩子函数,

verdict = nf_iterate(&nf_hooks[pf][hook], skb, hook, indev,
                 outdev, &elem, okfn, hook_thresh); //进入钩子处理
轮子学长
关注
  • 5
    点赞
  • 26
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
linux内核netfilter模块HOOKs点的注册及调用
04-19
详细介绍了linux下防火墙之netfilter模块的hooks注册、调用、测试等情况。
Hook技术--⑥Netfilter
一些个人笔记,写的不好,海涵
10-31 175
Netfilter/IPTables是Linux2.4.x之后新一代的Linux防火墙机制,是一套融入到linux内核网络协议栈的框架,是linux内核的一个子系统。Netfilter采用模块化设计,具有良好的可扩充性。其重要工具模块IPTables从用户态的iptables连接到内核态的Netfilter的架构,在报文流经的关键位置处,基于不同协议(ipv4/ipv6)的hook方式,使用hook列表对应的钩子函数匹配处理,以实现过滤、修改报文、跟踪等功能;
网桥调用IP层netfilterHOOK函数
redwingz的博客
05-24 6785
Linux的网桥属于二层转发设备,可利用ebtables工具根据数据包的ethernet头等信息,配置规则,如下,将目的MAC地址为00:01:02:03:04:05的数据包,转发到目的MAC地址为00:06:07:08:09:0a的主机上:ebtables -t nat -A PREROUTING -d 00:01:02:03:04:05 -j dnat --to-destination 00...
Netfilter简介
railzen的博客
02-26 842
Netfilter是由Rusty Russell提出的自Linux 2.4添加的内核防火墙框架,该框架既简洁又灵活,可实现安全策略应用的许多功能,如数据包过滤、数据包处理、地址伪装、透明代理、动态网络地址转换(Network Address Translation,NAT),以及基于用户及媒体访问控制(Media Access Control,MAC)地址的过滤和基于状态的过滤、包速率限制等。
Linux防火墙内核Netfilter和Iptables的分析
06-02
文章在 Linux 相关源码的基础上对 Linux 内核防火墙框架 Netfilter/Iptables 进行了研究, 并利用HOOK 函数, 实现了对 Land 和 Winnuke 攻击的检测。
netfilter详解
09-11
本文讨论模块编写者如何利用Netfilter hook来实现任意目的以及如何将将网络通信在基于Libpcap的应用程序隐藏。虽然Linux 2.4支持对IPv4、IPv6以及DECnet的hook
netfilter hook 注册,调用示例
08-17
Linux4.x内核编程实战——netfilter hook 注册,调用示例.nf_hook_ops,nf_register_net_hook, nf_unregister_net_hook 使用
【博客600】将iptables流量转到用户态进行特殊化处理
qq_43684922的博客
01-29 1031
当我们需要将iptables匹配到的流量送到用户态来进行特殊化处理。
linux内核协议栈 netfilterhook 机制概述
10-29 4141
1 netfilter介绍 Linuxnetfilter就是借助一整套的hook函数的管理机制,实现数据包在三层以上的过滤、地址转换(SNAT、DNAT)、基于协议的连接跟踪。我们所说的内核的netfilter,应该包括二层数据的filter操作,以及对三层及三层以上数据的filter等操作。 只不过二层的filter实现与三层及三层也上的filter实现有所不同。其二层的filter与应用层程序ebtables结合使用,而三层及以上的filter结合iptables使用。但是二层filter与...
Linux3.13.0 netfilter 学习笔记 之一 HOOK机制
qq_28808697的博客
04-18 2097
netfilter介绍 Linux netfilter就是借助一整套的 hook 函数的管理机制,实现数据包在三层以上的过滤、地址转换(SNAT、DNAT)、基于协议的连接跟踪。我们所说的内核的netfilter,应该包括二层数据的filter操作,以及对三层及三层以上数据的filter等操作。 只不过二层的filter实现与三层及三层也上的filter实现有所不同。其二层的filter与应用层程序ebtables结合使用,而三层及以上的filter结合iptables使用。但是二层filter与三层fi
【博客587】ipvs hook点在netfilter的位置以及优先级
qq_43684922的博客
01-15 1506
根据定义,ipvs挂载在LOCAL_IN、FORWORD和LOCAL_OUT的hook点上了,根据优先级,我们得到以下结论:1、INPUT:ipvs的hook会在Filter TABLE 后执行,然后转到NAT TABLE2、OUTPUT:ipvs的hook会在NAT TABLE ,然后转到Filter TABLE3、FORWARD:ipvs的hookFilter TABLE后执行,然后结束整个FORWARD,包往POSTROUTING走。
Netfilter框架-完全解析.doc
02-25
对netfilter的框架进行完全解析,详解各个钩子等信息。Netfilter是Linux 2.4.x引入的一个子系统,它作为一个通用的、抽象的框架,提供一整套的hook函数的管理机制,使得诸如数据包过滤、网络地址转换(NAT)和基于协议类型的连接跟踪成为了可能。
论文研究-Netfilter框架下提高IP访问的安全性 .pdf
08-16
Netfilter框架下提高IP访问的安全性,张伟,,Netfilter Hook是为了保证IP访问安全性在Linxu2.4以后的版本提供的,作为Netfilter体系结构的提供的接口,为Linux内核不同位置上的数据�
netfilter测试实例程序
04-28
基于Linux的netfilter框架做的网络过滤测试程序,在五个hook选取了2个作为测试钩子点。仅供参考
Linux netfilter 学习笔记
02-24
本文档主要为本人博客里的《Linux netfilter学习笔记》的集合,本文主要包括《ip 层netfilterhook 注册以及执行hook函数的概要分析》、《ip层netfilter的table、rule、match、target结构分析》、《 ip层netfilter的table注册及规则的添加》、《ip层netfilter的table规则的匹配检查》、《ip层netfilterfilter表的创建及其hook函数分析》、《ip层netfilter的连接跟踪模块的概念及相关的数据结构分析》、《 ip层netfilter的连接跟踪模块初始化》、《ip层netfilter的连接跟踪模块代码分析》、《ip层netfilter的连接跟踪模块 学习小结》、《ip层netfilter的NAT模块初始化以及NAT原理》、《ip层netfilter的NAT模块代码分析》等内容
NetFilter详解
03-07
本文将向你展示,Linux的网络堆栈的一些怪异行为(并不一定是弱点)如何被用于邪恶的或者是其它形形色色的目的。在这里将要讨论的是将表面上看起来合法的Netfilter hook用于后门的通信,以及一种使特定的网络通信在运行于本机的基于Libpcap的嗅探器消声匿迹的技术。 Netfilter是Linux 2.4内核的一个子系统,Netfiler使得诸如数据包过滤、网络地址转换(NAT)以及网络连接跟踪等技巧成为可能,这些功能仅通过使用内核网络代码提供的各式各样的hook既可以完成。这些hook位于内核代码,要么是静态链接的,要么是以动态加载的模块的形式存在。可以为指定的网络事件注册相应的回调函数,数据包的接收就是这样一个例子。
arptable_filter.rar_hook ip_netfilter_netfilter a_内核HOOK
09-19
Netfilter内核源代码,可以作为研究ARP,IP的HOOK的前提。
netfilterhook流程图
11-12
绝对自己总结的,详细介绍了hook的流程,其包括调用的一些函数。
FR-TSN4206获得“时间敏感网络产业链名录计划”测试认证证书,TSN交换机助力智能工业发展
最新发布
fiberroad的博客
04-30 331
TSN技术,即时间敏感网络技术,已成为智能工业、自动驾驶等领域的核心。它通过时钟同步、数据调度等功能,确保低延迟、高可靠性的数据传输。为推动TSN技术在我国的发展,工业互联网产业联盟联合多家单位启动了“时间敏感网络产业链名录计划”。光路科技的FR-TSN4206交换机成功通过该计划认证
liunx netfilter 编程
05-22
Linux Netfilter是Linux内核的一个框架,用于对数据包进行过滤、转发、修改等操作。Netfilter可以在内核通过一个叫做iptables的工具进行配置和管理。 Netfilter提供了很多钩子函数,可以让我们在数据包经过某个网络层协议时对其进行处理。当数据包经过某个协议时,内核会调用相应的钩子函数,我们可以在这些钩子函数编写代码,来对数据包进行处理。 如果你想要编写一个Netfilter模块,可以按照以下步骤进行: 1. 编写模块代码 模块代码需要定义一个结构体,其包含钩子函数和相关的数据结构。这个结构体需要注册到Netfilter框架,以便内核在需要时调用。 2. 编译模块 使用编译器将代码编译成模块格式,然后使用insmod命令将模块插入内核。 3. 配置iptables规则 使用iptables工具配置规则,将数据包传递给我们的模块进行处理。 4. 测试模块 使用网络工具测试模块是否正常工作,以及是否符合预期。 下面是一个简单的Netfilter模块示例: ``` #include <linux/module.h> #include <linux/kernel.h> #include <linux/netfilter.h> #include <linux/netfilter_ipv4.h> static struct nf_hook_ops nfho; // Netfilter 钩子结构体 // 钩子函数 unsigned int hook_func(void *priv, struct sk_buff *skb, const struct nf_hook_state *state) { // 在这里编写处理代码 return NF_ACCEPT; // 返回值表示下一步操作 } int init_module() { nfho.hook = hook_func; // 设置钩子函数 nfho.hooknum = NF_INET_PRE_ROUTING; // 设置钩子位置 nfho.pf = PF_INET; // 设置协议族 nfho.priority = NF_IP_PRI_FIRST; // 设置优先级 nf_register_hook(&nfho); // 注册钩子 return 0; } void cleanup_module() { nf_unregister_hook(&nfho); // 注销钩子 } MODULE_LICENSE("GPL"); ``` 在这个示例,我们定义了一个钩子函数hook_func,它会在数据包经过PRE_ROUTING钩子时被调用。在钩子函数,我们可以对数据包进行处理,并返回一个值表示下一步操作。 我们将钩子函数注册到nfho结构体,并使用nf_register_hook函数将其注册到Netfilter框架。在模块加载时,init_module函数会被调用,模块卸载时,cleanup_module函数会被调用。 这只是一个简单的示例,实际的Netfilter模块可能需要更多的功能和处理逻辑。如果你想深入了解Netfilter的编程,可以参考Linux内核源码的相关代码和文档。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值