有一些是不可见字符的,16进制能对上就是行了,是要提取http 头部的内容吗?可以根据关键字以及http头部格式的特点进行截取,
好像http头部的字段都是\r\n来隔开的吧,16进制就是0d 0a了,你自己抓包看看特点就好截取了
本帖最后由 Godbach 于 2016-05-05 11:11 编辑
回复 20# philarlala
嗯,对的。最开始最好打印 16 进制,或者按照 char %c 打印。
回复 18# yywx1314
把你的完整代码贴出来吧。QQ 讨论没有论坛参与的人多。
全部代码如下
int i;
struct sk_buff *sk = NULL;
sk = skb_copy(skb, GFP_ATOMIC);
struct iphdr *iph = ip_hdr(sk);//获取ip头指针
struct tcphdr *tcph;//tcp头指针
char * payload = NULL;
tcph = (struct tcphdr *)((u_int32_t *)iph + iph->ihl);;//获取tcp开始位置
if (iph->protocol == IPPROTO_TCP)//截获的是TCP类型的包
{
int daddr = iph->daddr;
int dport = tcph->dest;
int port = ntohs(dport);
if (likely(port != 80)) {
//return NF_ACCEPT; //忽略不是远程 80 端口的包
pr_warn("非80端口%d\n", port);
}else {
pr_warn("我是80端口 %d\n", port);
if (0 != skb_linearize(skb)) {
return NF_ACCEPT;
}
unsigned char *tcp_appdata = (unsigned char *) tcph + (tcph->doff << 2);
for(i=0;i<sizeof(tcp_appdata);i++){
pr_warn("%02x", *(tcp_appdata + i));//这里打印出来的全是00,也不知道问题出在哪
}
if(0 == strncmp(tcp_appdata, "GET", 3)) {
pr_warn("tcp_appdata数据 %s\n", "GET浏览");
}
}
}
philarlala 发表于 2016-05-05 10:43 static/image/common/back.gif
有一些是不可见字符的,16进制能对上就是行了,是要提取http 头部的内容吗?可以根据关键字以及http头部格式 ...
是的,我需要提取http 头部的内容
回复 25# yywx1314
pr_warn("我是80端口 %d\n", port);
if (0 != skb_linearize(skb)) {
return NF_ACCEPT;
}
红色的代码先去掉吧。
unsigned char *tcp_appdata = (unsigned char *) tcph + (tcph->doff << 2);
for(i=0;i<sizeof(tcp_appdata);i++){
pr_warn("%02x", *(tcp_appdata + i));//这里打印出来的全是00,也不知道问题出在哪
}
这个地方不能用 sizeof 的。要计算一下 tcp payload 的长度。
话说你对 ip 和 tcp header 中一些关于长度的字段了解吗。还有 skb 的结构,你了解多少。
sizeof(tcp_appdata)获取到的是指针的长度,不是指针指向的字符串的长度,一般用strlen 回复 25# yywx1314
回复 28# philarlala
更合适的做法是,ip_total_len - ip_hdr_len - tcp_hdr_len 来计算 payload。不要假设 payload 一定是 string。
嗯嗯,有可能payload 中有\0,strlen获取就不完整了回复 29# Godbach