linux内核编程--4netfiter钩子函数

Linux user & kernel 专栏收录该内容
11 篇文章 0 订阅

1. 背景

京东金融资深C/C++开发工程师 岗位被面试到,本来在《深入linux内核架构》一书中见过,但由于整本书看的不是很懂,也没实验,当时吱吱唔唔的回答了,答案不是很理想。后来也就没有了后来······

2. 概述

netfilter是自2.4内核的一个数据包过滤框架。可以过滤数据包,网络地址和端口转换(nat和napt技术),以及其他操作数据包的功能。主要工作原理是在内核模块注册回调函数(hook函数)到内核,内核执行到相关点时会触发这个回调函数,然后根据回调函数里的逻辑,对包含网络协议栈的sk_buff结构进行操作(丢失、修改等)。

iptables的内核模块就是使用的netfilter。

3. 相关API与数据结构

int nf_register_hook(struct nf_hook_ops *reg);		 --------------注册钩子函数
void nf_unregister_hook(struct nf_hook_ops *reg);	 ----------去注册钩子函数
struct nf_hook_ops {							 ----------钩子点结构体
	struct list_head 	list;	 /* 标准链表—由于链接所有钩子点 */

	/* User fills in from here down. */
	nf_hookfn		*hook;	/* 钩子函数回调指针 */
	struct net_device	*dev;    /* 网络设备指针 */
	void			*priv;		/* 私有数据----在钩子回调函数中使用 */
	u_int8_t		pf;				/* 协议族 */
	unsigned int		hooknum;		/* hook点   */
	/* Hooks are ordered in ascending priority. */
	int			priority;			/* 优先级 */
};

其他API请参考文件:<linux/netfilter.h>

4. 原理

4.1 内核hook点

linux网络协议栈中有5个hook点,其报文处理流程如下:


对应内核源码<linux/netfilter_bridge.h>:


/* Bridge Hooks */
/* After promisc drops, checksum checks. */------网卡混杂丢包和校验和检查之后(所有进入协议栈的数据包都会经过PRE_ROUTING)
#define NF_BR_PRE_ROUTING	0				
/* If the packet is destined for this box. */------经过路由判决,确定发往本机
#define NF_BR_LOCAL_IN		1
/* If the packet is destined for another interface. */--------经过路由判决,不是发往本机,需要从其他接口转发出去
#define NF_BR_FORWARD		2
/* Packets coming from a local process. */--------由本机外发出去的报文路径
#define NF_BR_LOCAL_OUT		3			
/* Packets about to hit the wire. */--------所有数据包离开本机前的路径
#define NF_BR_POST_ROUTING	4

/* Not really a hook, but used for the ebtables broute table */-------非hook点,用于其他目的
#define NF_BR_BROUTING		5
#define NF_BR_NUMHOOKS		6

4.2 内核支持的钩子协议

源码:

enum {
	NFPROTO_UNSPEC =  0,
	NFPROTO_INET   =  1,        
	NFPROTO_IPV4   =  2,
	NFPROTO_ARP    =  3,
	NFPROTO_NETDEV =  5,
	NFPROTO_BRIDGE =  7,
	NFPROTO_IPV6   = 10,
	NFPROTO_DECNET = 12,
	NFPROTO_NUMPROTO,
};

4.3 钩子函数注册/去注册

源码:

int nf_register_hook(struct nf_hook_ops *reg)  ----------------注册钩子函数
{
	struct net *net, *last;
	int ret;

	rtnl_lock();
	for_each_net(net) {                        -------------------遍历所有网络命名空间(虚拟化技术)
		ret = nf_register_net_hook(net, reg);        ---------注册钩子函数
		if (ret && ret != -ENOENT)
			goto rollback;
	}
	list_add_tail(&reg->list, &nf_hook_list);
	rtnl_unlock();

	return 0;
rollback:
	last = net;
	for_each_net(net) {
		if (net == last)
			break;
		nf_unregister_net_hook(net, reg);
	}
	rtnl_unlock();
	return ret;
}
int nf_register_net_hook(struct net *net, const struct nf_hook_ops *reg)
{
	struct list_head *hook_list;
	struct nf_hook_entry *entry;
	struct nf_hook_ops *elem;

	entry = kmalloc(sizeof(*entry), GFP_KERNEL);
	if (!entry)
		return -ENOMEM;

	entry->orig_ops	= reg;
	entry->ops	= *reg;

	hook_list = nf_find_hook_list(net, reg);     -------内部根据钩子节点协议和钩子点找到二维数组对应的链表头
	if (!hook_list) {
		kfree(entry);
		return -ENOENT;
	}

	mutex_lock(&nf_hook_mutex);
	list_for_each_entry(elem, hook_list, list) {        -------------按照优先级插入到链表
		if (reg->priority < elem->priority)
			break;
	}
	list_add_rcu(&entry->ops.list, elem->list.prev);
	mutex_unlock(&nf_hook_mutex);
#ifdef CONFIG_NETFILTER_INGRESS
	if (reg->pf == NFPROTO_NETDEV && reg->hooknum == NF_NETDEV_INGRESS)
		net_inc_ingress_queue();
#endif
#ifdef HAVE_JUMP_LABEL
	static_key_slow_inc(&nf_hooks_needed[reg->pf][reg->hooknum]);
#endif
	return 0;
}

原理:

1.  内核将遍历网络命名空间链,为每个net命名空间挂接钩子节点。那我们疑问:每个命名空间的钩子点在内核中是怎么组织的呢?查看源码后我们知道struct net结构中有专门挂接netfilter钩子结构的成员struct netns_nf nf;

struct net {
…
#ifdef CONFIG_NETFILTER
	struct netns_nf		nf;		---------netfilter结构
…
};
struct netns_nf {
        ...
	struct list_head hooks[NFPROTO_NUMPROTO][NF_MAX_HOOKS];  -----------二维数组钩子链表
};

函数nf_find_hook_list就是根据我们将要挂接的钩子节点找对其对应的挂接位置,其结构图如下:



即:内核将每个协议的所有5个钩子组成二维数组链,每次要挂接一个钩子节点,则根据协议/钩子类型找到对应的挂接链,然后根据优先级(优先级值越小,优先级越高)将钩子节点插入链表中,完成挂接。

4.4 钩子回调函数

原型:

typedef unsigned int nf_hookfn(void *priv,struct sk_buff *skb,const struct nf_hook_state *state);

每监控到一条数据包,就会调用一次回调函数,数据包信息存储在sk_buff结构中,参考sk_buff相关介绍。这个函数的返回值决定了函数结束后此数据包的走向,有如下几种返回值:

/* Responses from hook functions. */

#define NF_DROP 0       ----丢弃,释放sk_buff结构

#define NF_ACCEPT 1     ----继续正常传输数据报(按照5个钩子点正常传输)

#define NF_STOLEN 2    ----模块接管该数据报,告诉Netfilter“忘掉”该数据报。该回调函数将从此开始对数据包的处理,并且Netfilter应当放弃对该数据包做任何的处理。但是,这并不意味着该数据包的资源已经被释放。这个数据包以及它独自的sk_buff数据结构仍然有效,只是回调函数从Netfilter获取了该数据包的所有权。

#define NF_QUEUE 3       ----对该数据报进行排队(通常用于将数据报给用户空间的进程进行处理)

#define NF_REPEAT 4      ----再次调用该回调函数,应当谨慎使用这个值,以免造成死循环

#define NF_STOP 5      ----终止hook链处理,不会释放sk_buff数据

5 测试

我们开发一个模块程序,用于监控内核收到的特定的ICMP报文(可以由其他主机ping而产生),每匹配到一个报文,则用printk打印一条信息,然后用dmesg查看。

源码(非完整模块代码,不清楚如何编译成模块请阅读笔者之前的文章):

/* IP地址转字符串 */
STATIC void IP2Str(char *ipaddr, int size, uint32_t ip)  
{  
    snprintf(ipaddr, size, "%d.%d.%d.%d", ( ip >> 24 ) & 0xff  
                                        , ( ip >> 16 ) & 0xff  
                                        , ( ip >> 8 ) & 0xff  
                                        , ip & 0xff);
    return;
} 

/* 钩子回调函数 */
STATIC UINT myHookCallBack(void *priv, struct sk_buff *skb, const struct nf_hook_state *state)
{
    struct iphdr *pstIpHdr = NULL;
    CHAR szIpstr[BUF_LEN_20] = {0,};

    if (unlikely(NULL == skb))
    {
        return NF_ACCEPT;
    }
    pstIpHdr = ip_hdr(skb);
    if (unlikely(NULL == pstIpHdr))
    {
        return NF_ACCEPT;
    }
    if (pstIpHdr->protocol != IPPROTO_ICMP)
    {
        return NF_ACCEPT;
    }
    /* 网络序转主机序,然后转成字符串 */
    IP2Str(szIpstr, sizeof(szIpstr), ntohl(pstIpHdr->saddr));
    if (0 == strcmp(szIpstr, "192.168.1.7"))   /* 字符串比较 */
    {
        printk(KERN_INFO "Recv icmp packet from 192.168.1.7\n");   /* printk打印 */
    }
    
    return NF_ACCEPT;
}
struct nf_hook_ops g_stMyNfHook = 
{
    .hook = myHookCallBack,
    .pf = NFPROTO_IPV4,
    .hooknum = NF_BR_PRE_ROUTING,
    .priority = NF_IP_PRI_FIRST,
};
STATIC VOID hello_NfHook_Init(VOID)
{   
    INT iRet;
    iRet = nf_register_hook(&g_stMyNfHook);    /* 注册 */
    if (0 != iRet)
    {
        printk(KERN_WARNING "nf_register_hook failed\n");
        return;
    }
    return;
}
STATIC VOID hello_NfHook_Fini(VOID)
{
    nf_unregister_hook(&g_stMyNfHook);   /* 去注册 */
    return;
}

测试结果:(linux内核版本: 4.4.0-21)

说明:笔者模拟公司办公环境搭建有两台电脑   linux(192.168.1.6)  ------ windows(192.168.1.7)  ,用windows ping linux主机,有如下结果。-----结果表明,钩子函数测试完全正确。

参考:

http://blog.csdn.net/wuruixn/article/details/7957368

http://blog.csdn.net/stone8761/article/details/72821733

  • 2
    点赞
  • 0
    评论
  • 22
    收藏
  • 打赏
    打赏
  • 扫一扫,分享海报

©️2022 CSDN 皮肤主题:技术工厂 设计师:CSDN官方博客 返回首页

打赏作者

那个少年

你的鼓励将是我创作的最大动力

¥2 ¥4 ¥6 ¥10 ¥20
输入1-500的整数
余额支付 (余额:-- )
扫码支付
扫码支付:¥2
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、C币套餐、付费专栏及课程。

余额充值