利用netfilter进行TCP数据包的源IP地址修改,修改TCP数据包内容。

最新推荐文章于 2024-04-28 12:35:10 发布
最新推荐文章于 2024-04-28 12:35:10 发布
阅读量5.6k 收藏 19
点赞数 3
分类专栏: linux c
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xinshuai111/article/details/106007295
版权

  代码是在别个基础上修改的,不过还是花了不少时间调试通过。

想实现的功能是,client的IP地址是192.168.1.187,但是server发现跟自己建立链接的是192.169.1.188,实现了IP地址的隐藏。

在server端内核进行数据修改,server也无法发现自己的数据被修改了。例如192.168.1.187的client给192.168.1.111的server发送数据0x11,但是对于server来说,收到的是192.168.1.188的0xFF。

  client是windows是的普通TCP客户端,server是中标麒麟上的普通TCP服务端。

  win7上利用wireshark进行TCP数据分析。

  中标麒麟(linux系统)上加载in.ko模块后,利用dmesg进行数据的打印分析,或者利用tcpdump进行数据抓取打印分析。

刚开始发现TCP三次握手不成功,client发送数据后,通过wireshark抓取数据发现TCP校验和不对,但是server端能够收到tcp三次握手第1包,而且in.ko模块还发送了第2包三次握手包,但是wireshark抓取不到。此时感到无从下手,因为自己网络编程内核编程知识严重不足。

  然后尝试用windows的client给本机虚拟机的unbuntu,现象不一致了,wireshark能够抓取到server发送过来的三次握手第2包,但是没有回第三包,通过分析数据体,发现校验和不对,而且每次相差固定值,然后对server端的校验和进行转换,三次握手成功,数据发送成功。虽然没有从根本解决问题,但是实现了功能,后面还得多多深入学习。路漫漫其修远兮,吾将上下而求索。

 还有一个需要注意的地方是,虽然client的IP地址是192.168.1.187,但是得通过网络添加一个192.168.1.188的IP地址,一个网口对应两个IP地址,因为这样192.168.1.111的ARP才知道192.168.1.188的网络可达,否则LOCAL_OUT的路由选择时,就会把数据报丢了。

  知识有限,有不足的地方希望大家指正指教。

  

 

/ in.c /
#include <linux/time.h>
#include <linux/init.h>
#include <linux/netfilter>
#include <linux/module.h>
#include <linux/skbuff.h>
#include <linux/netdevice.h>
#include <linux/netfilter_ipv4.h>
#include <linux/net.h>
#include <net/ip.h>
#include <linux/if_ether.h>
#include <net/protocol.h>
#include <net/icmp.h>
#include <net/tcp.h>
#include <linux/if_vlan.h>

#define CHECKSUM_HW 1
#define SWITICH 1
#define T_SWITICH 1

static inline int printk_hex(const char* name,unsigned char *buff,int length)
{
	unsigned char *string_tmp = buff;
	int i;
	int count = 0;
	printk("==========%s start ==========\n",name);
	for(i=0;i<length;i++,count++)
	{
		if(count < 16)
		{
			printk("%02x ",string_tmp[i]);
		}
		else
		{
			count = 0;
			printk("\n%02x ",string_tmp[i]);
			continue;
		}
	}
	printk("\n");
	printk("==========%s end ==========\n",name);
	return 0;
}

unsigned int my_func_in(unsigned int hooknum,struct sk_buff *skb,const struct net_device *in,const struct net_device *out,int (*okfn)(struct sk_buff *))
{   
	struct iphdr *iph=ip_hdr(skb);
    struct tcphdr *tcph;
    struct udphdr *udph;
    struct icmphdr *icmph;
    struct net_device   *master;
    
    int i=0,ret=-1;
    int header=0;
    int index=0;
    unsigned char *data=NULL;
    int length=0;
    
    if(likely(iph->protocol==IPPROTO_TCP))
    {
    	///IP hook钩子函数都在ip层,skb指向mac头和ip头的成员,都是有效的,可以直接使用接口API获取。
    	///获取TCP/UDP头时,skb中的成员是无效的,所以需要自己实现获取API。
        tcph=(struct tcphdr*)((unsigned char*)iph->ihl*4);
        data=skb->data+iph->ihl*4+tcph->doff*4;
        header=iph->ihl*4+tcph->doff*4;
        length=skb->len-iph->ihl*4-tcph->doff*4;
        if(skb->len-header>0)
        {
        	///说明有数据,在TCP三次握手时只有数据头无数据体。
            printk("**************now_start_in_data*****************\n");

            if(skb->data_len!=0)///非线性数据区
            {           
                if(skb_linearize(skb))
                {
                    printk("error line skb\r\n");
                    printk("skb->data_len %d\r\n",skb->data_len);
                    return NF_DROP;
                }
            }
            data[0]=0xFF;///此时可以修改数据体数据,但是记得将skb->ip_summed = CHECKSUM_HW,否则应用层收不到修改后的数据。
            printk_hex("data",data,length);///打印数据体
            #ifdef SWITICH
            iph->saddr = 0bc01a8c0///源IP地址修改,从而隐藏地址。
            skb->ip_summed = CHECKSUM_HW;
            #endif

            iph->check=0;
            iph->check=ip_fast_csum((unsigned char*)iph, iph->ihl);
            ///只要skb->ip_summed = CHECKSUM_HW,TCP头校验和校验就不会出错,后面的计算校验和可有可无。
            ///如果只要skb->ip_summed为0,计算了下面的TCP校验和,应用层也收不到数据,说明可能校验和校验出错。
            if(skb->ip_summed == CHECKSUM_HW)
            {
                tcph->check=csum_tcpudp_magic(iph->saddr,iph->daddr,(ntohs(iph ->tot_len)-iph->ihl*4), IPPROTO_TCP,csum_partial(tcph,(ntohs(iph ->tot_len)-iph->ihl*4),0)); 
                skb->csum = offsetof(struct tcphdr,check);      
            }
        }
    }
    else if(likely(iph->protocol==IPPROTO_UDP))
    {
        udph=udp_hdr(skb);
        data=skb->data+iph->ihl*4+sizeof(struct udphdr);
        header=iph->ihl*4+sizeof(struct udphdr);
        length=ntohs(iph->tot_len)-iph->ihl*4-sizeof(struct udphdr);
        if(skb->len-header>0)
        {
	        printk("header length is %d",header);
	        printk("\r\n");
	        printk("len -header is  %d",skb->len-header);
	        printk("\r\n");
	        printk("data length is %d",length);
	        printk("\r\n");
	        for(i=0;i<length;i++)
	        {
	            printk(" %02x",data[i]);
	            if((i+1)%16==0)
	            printk("\r\n");
	        }
	        if(skb->data_len!=0)
	        {           
	            if(skb_linearize(skb))
	            {
	                printk("error line skb\r\n");
	                printk("skb->data_len %d\r\n",skb->data_len);
	                return NF_DROP;

	            }

	        }
	        for(i=0;i<length;i++)
	        {
	            printk("%c",data[i]);           
	        }
	        iph->check=0;
	        iph->check=ip_fast_csum((unsigned char*)iph, iph->ihl);
	        if(skb->ip_summed == CHECKSUM_HW)
	        {
	            udph->check=csum_tcpudp_magic(iph->saddr,iph->daddr,(ntohs(iph ->tot_len)-iph->ihl*4), IPPROTO_UDP,csum_partial(udph, (ntohs(iph ->tot_len)-iph->ihl*4), 0));
	        }
	        printk("*********************UDPend********************\n");
	    }
    }
    else if(likely(iph->protocol==IPPROTO_ICMP))
    {
        icmph=icmp_hdr(skb);
        data=skb->data+iph->ihl*4+sizeof(struct icmphdr);
        header=iph->ihl*4+sizeof(struct icmphdr);   
        length=ntohs(iph->tot_len)-iph->ihl*4-sizeof(struct icmphdr);
        if(skb->len-header>0)
        {
	        printk("header length is %d",header);
	        printk("\r\n");
	        printk("len - header is %d",skb->len-header);
	        printk("\r\n");
	        printk("data length is  %d",length);
	        printk("\r\n");
	        if(skb->data_len!=0)
	        {           
	            if(skb_linearize(skb))
	            {
	                printk("error line skb\r\n");
	                printk("skb->data_len %d\r\n",skb->data_len);
	                return NF_DROP;
	            }

	        }
	        for(i=0;i<length;i++)
	        {
	            printk("%c",data[i]);           
	        }
	        printk("\r\n");

	        iph->check=0;
	        iph->check=ip_fast_csum((unsigned char*)iph, iph->ihl);
	        if(skb->ip_summed == CHECKSUM_HW)
	        {
	            icmph->checksum=ip_compute_csum(icmph, (ntohs(iph ->tot_len)-iph->ihl*4));
	        }
	        printk("*********************ICMPend********************\n");
        }
    }
    return NF_ACCEPT;

}

unsigned int my_func_out(unsigned int hooknum,struct sk_buff *skb,const struct net_device *in,const struct net_device *out,int (*okfn)(struct sk_buff *))
{   
	struct iphdr *iph=ip_hdr(skb);
    struct tcphdr *tcph;
    struct udphdr *udph;
    struct icmphdr *icmph;
    struct net_device   *master;
    static int jason_flag = 0;
    
    int i=0,ret=-1;
    int header=0;
    int index=0;
    unsigned char *data=NULL;
    int length=0;
    
    if(likely(iph->protocol==IPPROTO_TCP))
    {
    	///IP hook钩子函数都在ip层,skb指向mac头和ip头的成员,都是有效的,可以直接使用接口API获取。
    	///获取TCP/UDP头时,skb中的成员是无效的,所以需要自己实现获取API。
        tcph=(struct tcphdr*)((unsigned char*)iph->ihl*4);
        data=skb->data+iph->ihl*4+tcph->doff*4;
        header=iph->ihl*4+tcph->doff*4;
        length=skb->len-iph->ihl*4-tcph->doff*4;
        if(skb->len-header>0)
        {
        	///说明有数据,在TCP三次握手时只有数据头无数据体。
            printk("**************now_start_in_data*****************\n");

            if(skb->data_len!=0)///非线性数据区
            {           
                if(skb_linearize(skb))
                {
                    printk("error line skb\r\n");
                    printk("skb->data_len %d\r\n",skb->data_len);
                    return NF_DROP;
                }
            }
            data[0]=0xFF;///此时可以修改数据体数据,但是记得将skb->ip_summed = CHECKSUM_HW,否则应用层收不到修改后的数据。
            printk_hex("data",data,length);///打印数据体
            #ifdef SWITICH
        	iph->daddr = 0bb01a8c0///源IP地址修改,从而隐藏地址。
        	skb->ip_summed = CHECKSUM_HW;
            #endif

            iph->check=0;
            iph->check=ip_fast_csum((unsigned char*)iph, iph->ihl);
            ///只要skb->ip_summed = CHECKSUM_HW,TCP头校验和校验就不会出错,后面的计算校验和可有可无。
            ///如果只要skb->ip_summed为0,计算了下面的TCP校验和,应用层也收不到数据,说明可能校验和校验出错。
            if(skb->ip_summed == CHECKSUM_HW)
            {
                tcph->check=csum_tcpudp_magic(iph->saddr,iph->daddr,(ntohs(iph ->tot_len)-iph->ihl*4), IPPROTO_TCP,csum_partial(tcph,(ntohs(iph ->tot_len)-iph->ihl*4),0)); 
                skb->csum = offsetof(struct tcphdr,check);      
            }
        }
        else
        {
        	#ifdef T_SWITICH
        	iph->daddr = 0xbb01a8c0;
        	skb->ip_summed = 0;
        	tcph->check = tcph->check+0x100;///无法完成三次握手,用wireshark抓包发现
        	///校验和不对,按照固定相差的值进行转换后,三次握手成功,从而TCP收发数据成功。
        	#endif
        }
    }
    else if(likely(iph->protocol==IPPROTO_UDP))
    {
        udph=udp_hdr(skb);
        data=skb->data+iph->ihl*4+sizeof(struct udphdr);
        header=iph->ihl*4+sizeof(struct udphdr);
        length=ntohs(iph->tot_len)-iph->ihl*4-sizeof(struct udphdr);
        if(skb->len-header>0)
        {
	        printk("header length is %d",header);
	        printk("\r\n");
	        printk("len -header is  %d",skb->len-header);
	        printk("\r\n");
	        printk("data length is %d",length);
	        printk("\r\n");
	        for(i=0;i<length;i++)
	        {
	            printk(" %02x",data[i]);
	            if((i+1)%16==0)
	            printk("\r\n");
	        }
	        if(skb->data_len!=0)
	        {           
	            if(skb_linearize(skb))
	            {
	                printk("error line skb\r\n");
	                printk("skb->data_len %d\r\n",skb->data_len);
	                return NF_DROP;

	            }

	        }
	        for(i=0;i<length;i++)
	        {
	            printk("%c",data[i]);           
	        }
	        iph->check=0;
	        iph->check=ip_fast_csum((unsigned char*)iph, iph->ihl);
	        if(skb->ip_summed == CHECKSUM_HW)
	        {
	            udph->check=csum_tcpudp_magic(iph->saddr,iph->daddr,(ntohs(iph ->tot_len)-iph->ihl*4), IPPROTO_UDP,csum_partial(udph, (ntohs(iph ->tot_len)-iph->ihl*4), 0));
	        }
	        printk("*********************UDPend********************\n");
	    }
    }
    else if(likely(iph->protocol==IPPROTO_ICMP))
    {
        icmph=icmp_hdr(skb);
        data=skb->data+iph->ihl*4+sizeof(struct icmphdr);
        header=iph->ihl*4+sizeof(struct icmphdr);   
        length=ntohs(iph->tot_len)-iph->ihl*4-sizeof(struct icmphdr);
        if(skb->len-header>0)
        {
	        printk("header length is %d",header);
	        printk("\r\n");
	        printk("len - header is %d",skb->len-header);
	        printk("\r\n");
	        printk("data length is  %d",length);
	        printk("\r\n");
	        if(skb->data_len!=0)
	        {           
	            if(skb_linearize(skb))
	            {
	                printk("error line skb\r\n");
	                printk("skb->data_len %d\r\n",skb->data_len);
	                return NF_DROP;
	            }

	        }
	        for(i=0;i<length;i++)
	        {
	            printk("%c",data[i]);           
	        }
	        printk("\r\n");

	        iph->check=0;
	        iph->check=ip_fast_csum((unsigned char*)iph, iph->ihl);
	        if(skb->ip_summed == CHECKSUM_HW)
	        {
	            icmph->checksum=ip_compute_csum(icmph, (ntohs(iph ->tot_len)-iph->ihl*4));
	        }
	        printk("*********************ICMPend********************\n");
        }
    }
    return NF_ACCEPT;

}

static struct nf_hook_ops nfho_out = {  
    .hook = my_func_in,  
    .pf = PF_INET,  
    .hooknum =NF_INET_PRE_ROUTING,  
    .priority = NF_IP_PRI_FIRST,  
    .owner = THIS_MODULE,  
}; 

static struct nf_hook_ops nfho_out = {  
    .hook = my_func_out,  
    .pf = PF_INET,  
    .hooknum =NF_INET_LOCAL_OUT,  
    .priority = NF_IP_PRI_FIRST,  
    .owner = THIS_MODULE,  
}; 

static int __init http_init(void)  
{  
    if (nf_register_hook(&nfho_in)) 
    {  
        printk(KERN_ERR"nf_register_hook_in() failed\n");  
    	return -1;  
    } 
    if (nf_register_hook(&nfho_out)) 
    {  
        printk(KERN_ERR"nf_register_hook_out() failed\n");  
    	return -1;  
    }  
    return 0;  
}  
static void __exit http_exit(void)  
{  
    nf_unregister_hook(&nfho_in);
    nf_unregister_hook(&nfho_out);
}  

module_init(http_init);  
module_exit(http_exit);  
MODULE_AUTHOR("JASON");  
MODULE_LICENSE("GPL");

 

 

###########Makefile
ifneq ($(KERNELRELEASE),)
	obj-m += in.o
else
	PWD := $(shell pwd)
	KVER := $(shell uname -r)
	KDIR := /lib/modules/$(KVER)/build
default:
	$(MAKE) -C $(KDIR) M=$(PWD) modules
all:
	make -C $(KDIR) M=$(PWD) modules
clean:
	rm -rf *.o *.ko *.mod.c *.symvers *.order *.makers
#endif

 

xinshuai111
关注
  • 3
    点赞
  • 19
    收藏
    觉得还不错? 一键收藏
  • 5
    评论
专栏目录
基于Netfilter框架, 编写自己的hook函数,修改经过hook点的数据包目的地址
xiangminlu的博客
12-07 835
参考连接 http://blog.chinaunix.net/uid-20662820-id-142433.html 修改经过钩子的数据包目的地址: 结果图: //linux 内核数据包转发模块 /** myhook_func.c Makefile 编译:make 加载:sudo insmod myhook_func.ko remark=0 dst=192.168.92.129 //re...
netfilter例2:改ip报文头部里的ip地址
newand
12-06 2842
本例对ip报文的报头地址做了修改,然后转发。 文件名:change_srcip.c /* * this programe is working as plugin of netfilter which will change the source address * of ipv6 packets. */ #include #include #include #include #
Linux: Netfilter 简介
最新发布
JiMoKuangXiangQu的专栏
04-28 1099
Linux,网络,Netfilter
利用netfilter截获、修改数据包基础与实现
AFCC_的博客(Web_Dog)
08-21 3032
本着记录自己疯狂过的青春,对netfilter的应用学习做点记录。 0x00前提 双网卡硬件设备作中间件,一个网卡接收向另一网卡转发时进行操作数据包。下文中举例eth0为进入,eth1为发出,相对而言。本次开发利用netfilter框架进行完整开发,基本实现对数据包的任意操作。 0x01 什么是netfilter Netfilter是linux2.4.x引入的一个子系统,作为一个通用的、抽象的框...
基于WFP的windows驱动对TCP数据的抓取,修改以及注意事项
Mr_oOo_的博客
12-24 5634
这里讲了很多干货:checksum offload的问题; WFP过滤驱动;修改tcp报头;
netfilter 子系统实现tcp断链
xuwaiwai的博客
06-10 500
netfiler的优势不仅包含防火墙的实现,还包括各种报文的处理工作(如报文的加密,统计等)。可以方便地利用netfilter提供的接口实现内核态的报文处理。在netfilter中可以解析报文,同时根据阻断规则做匹配,将符合阻断的报文直接DROP,但是在tcp的会话中,这样并不优雅,tcp是可靠传输,如果是直接drop掉某一个报文,则发送端会一直重发,所以在tcp的协议中需要向发送端发送一个fin或者是rst的报文,用来断来链接。下面是我测试使用的代码。...
python拦截修改数据包_python-用scapy作为MITM即时更改数据包
weixin_39622747的博客
12-02 1522
假设我设法处于客户端和服务器之间的通信中间(假设我打开了一个热点,并使客户端仅通过我的计算机连接到服务器).如何在不中断自己与其他服务的通信的情况下更改客户端发送和接收的数据包?必须有一种方法可以通过我的脚本路由客户端既发送又要接收的所有数据包(在转发给他之前).我认为使用iptables是实现此目标的正确方向,但不确定究竟是什么参数才适合完成这项工作.我已经有以下简单的脚本:hotspotd s...
内核数据包处理.pdf
07-11
在打印信息时,IP地址可以用`%pI4`或`%pI6`格式化输出,MAC地址用`%pM`,并使用`ntohs()`和`ntohl()`等函数处理字节序转换。例如: ```c printk("%pI4 %d -----> %pI4 %d len: %d ID: %d\n", &iph->saddr, ntohs...
内核数据包处理 (2).pdf
07-11
在打印信息时,我们需要注意输出IP地址、MAC地址和字节序的转换。 11. 获取TCP负载 在内核数据包处理中,获取TCP负载是非常重要的一步。我们可以使用`payload = (char *)tcph + tcph->doff * 4;`来获取TCP负载。...
内核数据包处理.docx
07-11
对于IP地址,可以使用`%pI4`或`%pI6`,MAC地址使用`%pM`。`__const_*()`系列函数在编译时处理字节序转换,适用于常量。 在获取TCP负载(payload)时,要特别小心。`payload = (char *)tcph + tcph->doff * 4;`这条...
内核数据包处理 (2).docx
07-11
3. **打印信息与字节序转换**:在打印IP地址时,可以使用`%pI4`或`%pI6`,对于MAC地址则是`%pM`。字节序转换函数如`ntohs()`、`ntohl()`、`htons()`、`htonl()`用于在网络字节序(大端)和主机字节序之间转换。`__...
TCP/IP抓包和数据解析,vs2010调试通过
08-02
自已设计的TCP/IP抓包和数据解析工具,vs2010调试通过,希望能帮到需要此类资的朋友。
深入Linux网络核心堆栈 netfilter详解.doc
06-20
- **基于地址过滤**:通过比较数据包和目标IP地址进行过滤。 - **基于TCP端口过滤**:根据TCP连接的/目标端口进行过滤。 4. **Netfilter钩子的其他用途** - **隐藏后门守护进程**:利用Netfilter钩子,...
Netfilter的使用和实现
u014044624的博客
03-27 1284
本文主要内容:Netfilter的原理和实现浅析,以及示例模块。 内核版本:2.6.37 Author:zhangskd @ csdn blog   概述   Netfilter为多种网络协议(IPv4、IPv6、ARP等)各提供了一套钩子函数。 在IPv4中定义了5个钩子函数,这些钩子函数在数据包流经协议栈的5个关键点被调用。 这就像有5个钓鱼台,在每个钓鱼台放了一个鱼钩(...
密评:TCPdump抓包教程以及修改SSH协议算法套件
共勉
05-10 1434
网卡冲突:tcpdump -w /(路径)/234.cap -e host 192.168.x.x and port 22 and tcp。在最后一行添加参数:MACs hmac-sha2-256,hmac-sha2-256-etm@openssh.com。输入以下命令:完成后将数据包从服务器拷出(如有条件,准备两个账号,主机A抓包时,主机B远程连接)输入命令: ifconfig 查看本机地址:192.168.X.X。输入命令: ssh -2 (此处截图)输入命令: /etc/
修改服务器劫包,APP游戏TCP包被劫持篡改的一些解决方案
weixin_39634132的博客
07-31 689
根据中间人的测试方案可以直接看到漏洞在游戏客户端的显示效果,大大提高了漏洞发现的效率;但是与上一代方案相比,仍然有两个问题没有解决:协议访问时间长,因为协议包解析涉及到粘贴和解包等问题,比较复杂,不仅要解析数据层,还要解析协议层和数据流层。工作量大。游戏的二次改编耗费大量金钱。在增量测试中,游戏经常根据业务需求和第一轮安全评估的结果修改加密和协议方案。这种方案很可能与当前的接入协议流不一致,因此重...
iptables/netfilter、 tcp_wrapper
weixin_34352449的博客
08-14 241
iptables/netfilter: Firewall:防火墙,隔离工具;工作于主机或网络边缘,对于进出本主机或本网络的报文根据事先定义的检查规则作匹配检测,对于能够被规则匹配到的报文作出相应处理的组件;主机防火墙网络防火墙 软件防火墙(软件逻辑):硬件防火墙(硬件和软件逻辑):NetScreen,CheckPoint,。。。 iptables(netfilter)netfilter:kerne...
【智能路由器】动态域名(基于netfilter编程的DNS数据伪造)
热门推荐
图像、视频、算法、Linux
12-09 2万+
【智能路由器】系列文章连接 http://blog.csdn.net/u012819339/article/category/5803489本文利用netfilter框架,做了一个在路由器上运行的Linux内核模块,该模块能够拦截指定域名解析的请求数据包,并且伪造对应的DNS应答包,送入网络。模块作用机理在netfilter的框架的prerouting点,挂接我们的钩子函数,在钩子函数里实现域名
tcp流控的一个实例:无法发送数据!
华仔-技术博客
10-31 4023
模拟测试程序,从客户端向服务器发数据,人工控制服务器收数据。当客户端发了一部分数据后,无法再发送,此时服务器开始每次收取1K。 按照常理推断,服务器收取1K后,客户端应该能够继续发送数据,但实测观察发现,客户端还是无法发送数据,直到服务器收取了一定数据量后,客户端才能够继续发送。 tcp抓包如下: 11:42:40.217984 IP localhost.6379 > local
netfilter是如何处理数据包
03-28
Netfilter是Linux内核中的一个子系统,用于在数据包进出Linux系统的网络协议栈时进行数据包的过滤、修改和处理。其主要功能包括: 1. Packet filtering:根据用户定义的规则决定是否允许数据包通过。 2. Network address translation (NAT):将多个内部网络的IP地址映射到一个或多个公网IP地址上,实现内网访问互联网。 3. Packet mangling:修改数据包中的IP地址、端口号等字段以实现特定的网络功能。 当数据包进入Linux系统时,Netfilter会从内核中的hook点(如PREROUTING、INPUT等)捕获数据包,并根据预定义的规则进行处理。如果数据包被允许通过,则将其转发给上层应用程序或下一跳路由器;如果被丢弃,则直接将其丢弃。在数据包离开系统时,Netfilter同样会进行处理,将数据包发送到合适的网卡上。 Netfilter的核心是iptables命令,通过iptables命令可以定义规则集,控制数据包的流向。iptables命令可以设置地址、目标地址、端口、目标端口等条件,并根据这些条件决定是否允许数据包通过。iptables命令还可以设置数据包的动作,如DROP、ACCEPT、REJECT等。 总之,Netfilter通过在Linux内核中的hook点拦截数据包,然后根据iptables规则集对数据包进行过滤、修改和处理,从而实现对Linux系统中的数据包的控制。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值