netfilter 子系统实现tcp断链

最新推荐文章于 2022-07-18 19:51:23 发布
最新推荐文章于 2022-07-18 19:51:23 发布
阅读量505 收藏 2
点赞数
分类专栏: # netfilter linux 内核 文章标签: linux 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xuwaiwai/article/details/125215588
版权

netfiler的优势不仅包含防火墙的实现,还包括各种报文的处理工作(如报文的加密,统计等)。可以方便地利用netfilter提供的接口实现内核态的报文处理。

在netfilter中可以解析报文,同时根据阻断规则做匹配,将符合阻断的报文直接DROP,但是在tcp的会话中,这样并不优雅,tcp是可靠传输,如果是直接drop掉某一个报文,则发送端会一直重发,所以在tcp的协议中需要向发送端发送一个fin或者是rst的报文,用来断来链接。下面是我测试使用的代码。

#include <linux/module.h>
#include <linux/kernel.h>
#include <linux/udp.h>
#include <linux/ip.h>
#include <linux/init.h>
#include <linux/skbuff.h>
#include <linux/netfilter.h>
#include <linux/netfilter_ipv4.h>
#include <linux/etherdevice.h>
#include <linux/if_ether.h>
#include <linux/if_packet.h>
#include <linux/inet.h>
#include <linux/types.h>
#include <linux/string.h>

#include <net/checksum.h>
#include <net/tcp.h>
#include <net/netfilter/nf_conntrack.h>

//模块声明 
//GPL, Dual BSD/GPL, Dual MPL/GPL, Proprietary
//内核可以识别上述四种许可方式,没有采用上面的则被假定为私有的,内核加载这种私有模块会被“污染”
MODULE_LICENSE("GPL");

#define NIPQUAD(addr)          \
        ((uint8_t *)&addr)[0], \
        ((uint8_t *)&addr)[1], \
        ((uint8_t *)&addr)[2], \
        ((uint8_t *)&addr)[3], \
        addr

#define MAC_FFF(mac)          \
        ((uint8_t *)&mac)[0], \
        ((uint8_t *)&mac)[1], \
        ((uint8_t *)&mac)[2], \
        ((uint8_t *)&mac)[3], \
        ((uint8_t *)&mac)[4], \
        ((uint8_t *)&mac)[5]

#define BLOKEN_IP (1107077312) //  断链的IP (192.168.252.65 网络字节序)

const char* client_break_msg = "C_break"; //检查payload 前面的字符

static uint32_t ipv4_hook_in_func(const struct nf_hook_ops *ops, struct sk_buff *skb, const struct net_device *in, const struct net_device *out, int (*okfn)(struct sk_buff *))
{    
    //struct SKernelMsgIpV4Stats _ipv4Stats;
    struct ethhdr *eth_header = (struct ethhdr *)skb_mac_header(skb); //eth_hdr
    struct iphdr *ip_header = (struct iphdr *)skb_network_header(skb); //ip_hdr
    struct tcphdr *tcp_header = NULL;
    unsigned int nip_hdr_len;
    unsigned int ntcp_hdr_len;
    struct net_device * send_dev = NULL;
    int i=0;
    uint16_t nt_header=0;
    unsigned char *payload=NULL;
    uint16_t payload_len=0;
    int is_bloken = 0;

    struct sk_buff *fack_skb = NULL;
    struct ethhdr *fack_eth_header = NULL; //eth_hdr
    struct iphdr *fack_ip_header = NULL; //ip_hdr
    struct tcphdr *fack_tcp_header = NULL;

    if (NULL == skb || NULL == eth_header || NULL == ip_header)
    {
        return NF_ACCEPT;
    }

    //tcp协议
    if(likely(ip_header->protocol==IPPROTO_TCP))
    {
        tcp_header = (struct tcphdr *)skb_transport_header(skb); //tcp_hdr
        if (NULL == tcp_header)
        {
            return NF_ACCEPT;
        }
        
        //判断 包中ip是不是符合需要 断链的IP
        if (BLOKEN_IP == ip_header->saddr || BLOKEN_IP == ip_header->daddr)
        {
            printk(KERN_DEBUG "ipv4_hook_func. %02x:%02x:%02x:%02x:%02x:%02x_%u.%u.%u.%u(%u):%u->%02x:%02x:%02x:%02x:%02x:%02x_%u.%u.%u.%u(%u):%u. seq:%u ack:%u \n"
                , MAC_FFF(eth_header->h_source), NIPQUAD(ip_header->saddr), ntohs(tcp_header->source)
                , MAC_FFF(eth_header->h_dest), NIPQUAD(ip_header->daddr), ntohs(tcp_header->dest), tcp_header->seq, tcp_header->ack_seq);
            is_bloken
            nip_hdr_len = ip_header->ihl << 2; //IP头长度
            ntcp_hdr_len = tcp_header->doff << 2; //tcp头长度
            nt_header = nip_hdr_len + ntcp_hdr_len;
            payload = skb->data + nt_header;
            payload_len = skb->len - nt_header;

            if(payload_len > 0)
            {
                printk("tcp segment msg: "); 
                for(i=0;i<payload_len;i++)
                {
                    printk("%c", payload[i]);
                }
                printk("\r\n");
            }
            
            //检查payload中 从第一个字符开始是否符合
            if(payload_len >= strlen(client_break_msg))
            {
                is_bloken = 1;
                for(i=0; i < strlen(client_break_msg); i++)
                {
                    if(payload[i] != client_break_msg[i])
                    {
                        is_bloken = 0;
                        break;
                    }       
                }
            }
            
            //符号断链
            if(is_bloken)
            {
                printk("block.......\r\n");
                if(skb->data_len!=0)
                {           
                    if(skb_linearize(skb))
                    {
                        printk("error line skb\r\n");
                        printk("skb->data_len %d\r\n",skb->data_len);
                        return NF_DROP;
                    }
                }

                //获取包出去的网卡
                send_dev = dev_get_by_name(&init_net, "eth0");
                //send_dev = dev_get_by_name(&init_net, skb->dev->name);
                if(send_dev == NULL)
                {
                    printk("%s\n\n", "dev_get_by_name return NULL");
                    return NF_DROP;
                }

                //分配一个sk_buff 这个包发送给源端,包含了tcp的fin或事rst,用来断链,这个包不需要payload数据
                fack_skb = alloc_skb(LL_RESERVED_SPACE (send_dev) + sizeof (struct iphdr) + sizeof (struct tcphdr), GFP_ATOMIC);
                if(NULL == fack_skb)
                {
                    printk("skb_copy error\n\n");
                    return NF_DROP;
                }

                fack_skb->pkt_type = PACKET_OTHERHOST;
                fack_skb->protocol = skb->protocol;// __constant_htons(ETH_P_IP);
                fack_skb->ip_summed = CHECKSUM_NONE;
                fack_skb->priority = 0;

                //skb_reset_mac_header, skb_reset_network_header, skb_reset_transport_header
                //skb_mac_header, skb_network_header, skb_transport_header
                //skb_put、skb_push、skb_pull、skb_reserve
                
                //fack_skb是一个新的 sk_buff,可以将data和tail都置到末尾,然后自顶向下填充数据
                //data tail 全部置到末尾
                skb_reserve (fack_skb, LL_RESERVED_SPACE (send_dev) + sizeof (struct iphdr) + sizeof (struct tcphdr));

                //tcp data前移,此时data开始位置为tcphdr开始位置
                skb_push(fack_skb, sizeof (struct tcphdr));
                skb_reset_transport_header(fack_skb);
                {
                    fack_tcp_header = (struct tcphdr *) skb_transport_header(fack_skb);
                    memset (fack_tcp_header, 0, sizeof (struct tcphdr));
                    fack_tcp_header->source = tcp_header->dest; //用原包的目的port填充
                    fack_tcp_header->dest = tcp_header->source; //用原包的源port填充
                    fack_tcp_header->seq = tcp_header->ack_seq; //用原包的ack填充
                    fack_tcp_header->ack_seq = htonl(ntohl(tcp_header->seq) + payload_len); //这个需要确认收到的原包,注意字节序
                    fack_tcp_header->doff = sizeof(struct tcphdr)>>2;
                    fack_tcp_header->psh = 0;
                    fack_tcp_header->rst = 1; //这里将rst置为1,用于断链
                    fack_tcp_header->fin = 0;
                    fack_tcp_header->syn = 0;
                    fack_tcp_header->ack = 1;
                    fack_tcp_header->window = __constant_htons (5840);
                    fack_tcp_header->check = 0;
                }

                //ip data前移
                skb_push(fack_skb, sizeof (struct iphdr));
                skb_reset_network_header(fack_skb);
                {
                    fack_ip_header = (struct iphdr*) skb_network_header(fack_skb);
                    memset (fack_ip_header, 0, sizeof (struct iphdr));
                    fack_ip_header->version = ip_header->version;
                    fack_ip_header->ihl = sizeof(struct iphdr)>>2;
                    fack_ip_header->frag_off = 0x40;
                    fack_ip_header->protocol = ip_header->protocol;
                    fack_ip_header->tos = 0;
                    fack_ip_header->daddr = ip_header->saddr;
                    fack_ip_header->saddr = ip_header->daddr;
                    fack_ip_header->ttl = 0x40;
                    fack_ip_header->tot_len = __constant_htons(fack_skb->len);
                    fack_ip_header->check = 0;
                    fack_ip_header->check=ip_fast_csum((unsigned char*)fack_ip_header, fack_ip_header->ihl); //ip层的校验和
                }

                //校验和
                fack_skb->csum = 0;
                //fack_skb->csum = csum_partial(fack_tcp_header, sizeof(struct tcphdr), 0);
                fack_skb->csum = skb_checksum (fack_skb, sizeof(struct iphdr), sizeof(struct tcphdr), 0);
                fack_tcp_header->check = csum_tcpudp_magic (fack_ip_header->saddr, fack_ip_header->daddr, 
                                             sizeof(struct tcphdr), fack_ip_header->protocol, fack_skb->csum);
                
                //mac层
                skb_push(fack_skb, ETH_HLEN);
                skb_reset_mac_header(fack_skb);
                if(skb_mac_header_was_set(skb))
                {
                    fack_eth_header = (struct ethhdr *)skb_mac_header(fack_skb); //eth_hdr
                    memcpy(fack_eth_header->h_dest, eth_header->h_source, ETH_ALEN);
                    memcpy(fack_eth_header->h_source, eth_header->h_dest, ETH_ALEN);
                }
                fack_eth_header->h_proto = eth_header->h_proto;

                fack_skb->dev = send_dev;

                dev_hold(fack_skb->dev);
                printk("%s\n", "dev_hold ok");

                if (dev_queue_xmit(fack_skb) < 0)
                {
                    printk("dev_queue_xmit() error\n");
                    dev_put(fack_skb->dev);
                    kfree_skb(fack_skb);
                    return NF_DROP;
                }
                printk(KERN_DEBUG "ipv4_hook_func_sour. %02x:%02x:%02x:%02x:%02x:%02x_%u.%u.%u.%u(%u):%u->%02x:%02x:%02x:%02x:%02x:%02x_%u.%u.%u.%u(%u):%u seq:%u ack:%u. \n\n"
                , MAC_FFF(fack_eth_header->h_source), NIPQUAD(fack_ip_header->saddr), ntohs(fack_tcp_header->source)
                , MAC_FFF(fack_eth_header->h_dest), NIPQUAD(fack_ip_header->daddr), ntohs(fack_tcp_header->dest), fack_tcp_header->seq, fack_tcp_header->ack_seq);

            }
        }
    }
    
    return NF_ACCEPT;
}

static struct nf_hook_ops ipv4_nfin = {
    .hook = ipv4_hook_in_func,
    .hooknum = NF_INET_PRE_ROUTING,
    .pf = PF_INET,
    .priority = NF_IP_PRI_CONNTRACK - 1, // NF_IP_PRI_CONNTRACK
};

//子模块初始化回调函数
static int __init init_nf(void)
{
    int ret = 0;
    if(0 != nf_register_hook(&ipv4_nfin))
    {
        printk(KERN_ERR "nf_register_hook(&ipv4_nfin) error");
        ret = -1;
    }

    printk(KERN_INFO "Register netfilter module succ.\n");
    
    return 0;
}

//子模块销毁回调函数
static void __exit exit_nf(void)
{
    nf_unregister_hook(&ipv4_nfin);
    printk(KERN_INFO "Unregister netfilter module succ.\n");
}


module_init(init_nf);
module_exit(exit_nf);

MODULE_AUTHOR("xuwaiwai"); //作者描述
MODULE_DESCRIPTION("TCP broken chain test demo");//模块用途的简短描述
MODULE_VERSION("0.0.1");//模块的版本号
MODULE_ALLAS("broken ipv4");//模块的别名

例子中直接新分配了一个 skb_buff, 然后在此结构中填充依次L4,L3,L2的数据并发送。

关于编译可以参考:netfilter模块编译和运行

凡是过往,即为序章  

杜兰特的小号
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
利用netfilter进行TCP数据包的源IP地址修改,修改TCP数据包内容。
xinshuai111的博客
05-08 5738
代码是在别个基础上修改的,不过还是花了不少时间调试通过。 想实现的功能是,client的IP地址是192.168.1.187,但是server发现跟自己建立链接的是192.169.1.188,实现了IP地址的隐藏。 在server端内核进行数据修改,server也无法发现自己的数据被修改了。例如192.168.1.187的client给192.168.1.111的server发送数据0x11,但是对于server来说,收到的是192.168.1.188的0xFF。 client是windows...
基于netfiltertcp网络包的过滤与…
caoshunxin01的专栏
02-23 2809
基于netfiltertcp网络包的过滤与修改(修正版) 转自http://hi.baidu.com/widebright/item/0c6c94b44e749c9619469784 一直对公司封掉mp3文件的下载耿耿于怀,上次写的那个netfilter驱动还是有点问题,修改后的后续tcp网络包的序号还是有问题。最近有空,仔细看了下内核里面的代码,结合别人你的代码研究一下。更正如下,改正
Linux Netfilter介绍
weixin_42915431的博客
12-31 7284
netfilter 框架由最著名的 Linux 内核开发人员之一 Rusty Russell 于 1998 年创立,作为对 ipchains(Linux 2.2.x)和 ipfwadm(Linux 2.0.x)的旧实现的改进。netfilter 子系统提供了一个框架,你可以在网络堆栈中的数据包遍历过程中的各个点(netfilter hooks)注册回调并对数据包执行各种操作,比如更改地址或端口、丢弃数据包、日志记录等。
linux netfilter 忽略网址,如何使用linux netfilter / iptables在某种条件下立即在两端重置TCP连接?...
weixin_33072399的博客
05-25 121
亲爱的Serverfault社区,我有以下问题:如果在数据包数据中遇到某个字符串,我需要立即在两个网络端重置(开)tcp连接.我无法控制双方的应用程序,只能使用linux iptables(或类似的工具)来进行连接中止.我的第一个想法是使用以下iptables规则来实现我想要的:/usr/sbin/iptables -A INPUT -p tcp --dport 1234 -m string -...
skb结构和相关操作函数
fengcai_ke的博客
07-18 3911
skb操作函数
tcp连接跟踪安装包自取
最新发布
03-04
在Linux系统中,TCP连接跟踪由内核的Netfilter模块实现,尤其是其conntrack子模块。Netfilter是Linux内核中的一个框架,允许对进出的数据包进行过滤和修改。conntrack则负责跟踪网络连接的状态,为防火墙规则提供上...
深入Linux网络核心堆栈 netfilter详解.doc
06-20
Netfilter是Linux 2.4内核中一个重要的子系统,它提供了一套灵活的框架,允许开发者在数据包通过内核网络堆栈时对其进行处理,如包过滤、网络地址转换(NAT)、会话跟踪等。Netfilter的钩子(hook)机制允许在特定的...
linux内核IMQ源码实现分析.pdf
10-27
Linux内核中的IMQ(Input Modification Queue)是一种用于网络流量控制和入口流量整形的技术。...然而,由于其涉及内核编程,对开发者的要求较高,需要深入理解Linux内核的网络子系统和中处理机制。
Centos7的Firewalld防火墙基础命令详解
01-10
Linux系统的防火墙体系基于内核共存:firewalld、iptables、ebtables,默认使用firewalld来管理netfilter子系统netfilter:指的是Linux内核中实现包过滤防火墙的内部结构,不以程序或文件的形式存在,属于“内核...
xt_rateest.rar_V2
09-23
在深入分析xt_rateest的具体工作原理之前,需要了解Linux内核的网络子系统Netfilter的工作流程。Netfilter提供了五个挂载点(hook points):PREROUTING、INPUT、FORWARD、OUTPUT和POSTROUTING,这些挂载点可以在...
linux skb 结构和相关操作函数分析
魏言华的博客
09-06 6269
sk_buff是Linux网络中最核心的结构体,它用来管理和控制接收或发送数据包的信息。各层协议都依赖于sk_buff而存在。内核中sk_buff结构体在各层协议之间传输不是用拷贝sk_buff结构体,而是通过增加协议头和移动指针来操作的。如果是从L4传输到L2,则是通过往sk_buff结构体中增加该层协议头来操作;如果是从L2到L4,则是通过移动sk_buff结构体中的data指针来实现,不会删除各层协议头。这样做是为了提高CPU的工作效率。 1.skb_buff关键结构成员 struct sk_b
linux 网络协议栈变化,ZZ Linux网络协议栈学习
weixin_35615495的博客
05-10 250
最近学习linux内核网络协议栈,把数据包接收流程大致理了一下,前面也看了瀚海书香兄的总结,感觉总结的比我精炼,抓住了主干,是一目了然的那种我的这篇本来是自己看得,因此把我自己学习中一些遇到的问题写了出来,可能其他人会觉得废话比较多,呵呵另外,因为我看的书Understanding Linux Network Internal只讲了ip层及以下,因此L4层的流程是我自己在代码中找的,不保证100%...
【Linux4.1.12源码分析】二层报文发送之报文GSO分段(MAC层)
one_clouder的专栏
10-09 2235
报文GSO分段的入口函数是skb_gso_segment函数,是在validate_xmit_skb函数中被调用。 1、skb_gso_segment函数 static inline struct sk_buff *skb_gso_segment(struct sk_buff *skb, netdev_features_t features) { return __skb_gso_segme
Linux 在指定的报文中插入VLAN头部然后分片发送(QINQ)
oria2006的专栏
01-26 2850
产品需要支持QINQ,所以需要在二层为接收到的报文插入VLAN头部,然后再转发出去//如果只扩展VLAN_HLEN 会导致发送时的 skb_push空间不够 if (skb_cow_head(skb, VLAN_HLEN + VLAN_HLEN + ETH_HLEN) < 0) { return skb; } struct vlan_ethhdr *veth; skb_push(skb,
linux udp端口大数据包,Linux协议栈中UDP数据报从网卡到用户空间流程总结
weixin_35955120的博客
05-02 279
NAPI驱动流程:中发生-->确定中原因是数据接收完毕(中原因也可能是发送完毕,DMA完毕,甚至是中通道上的其他设备中)-->通过netif_rx_schedule将驱动自己的napi结构加入softnet_data的poll_list链表,禁用网卡中,并发出软中-->中返回时触发软中net_rx_action,从softnet_data的poll_list上取...
linux网络包截获,netfilter截获数据包
weixin_29011239的博客
05-09 326
一.nf_register_hook挂钩之截获数据包1.include\linux\netfilter.h查看nf_hookfn函数以及nf_hook_ops结构体的定义,再具体初始化typedef unsigned int nf_hookfn(unsigned int hooknum,struct sk_buff **skb,const struct net_device *in,const s...
sk_buff结构分析
11-21 817
转自:http://www.cnblogs.com/iceocean/articles/1594160.html   前言: 以下是根据《深入理解Linux网络技术内幕》对sk_buff的相关总结,由于是刚刚看这本书(太厚了),不免在前期出现错误,随着对此书的深入我会在修改前面的错误,也希望各位牛人给予指点。帮助我成长。 sk_buff分析: sk_buff是Linux网络代码中最重要的
在任意位置Reset掉任意的TCP连接
Netfilter
11-07 8370
漫漫长夜又要降临…黑夜里,我不敢点灯,复明日,阳光下,我不敢睁眼。 这篇文章完全来自于我在解决另一个问题是一个突然的想法。所以并没有什么前因后果。 我本来是想模拟一个TCP接收端对收到数据包的确认,采用了Scapy这个简单的工具,然而折腾了大半天没有顺利搞定。其实我是不怎么懂Python的,折腾了大半天之后,竟然对Python产生了兴趣,正好旁边有人碰到了TCP连接被莫名Reset掉的案例,借这个...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值