Chinaunix

标题: netfilter模块问题 [打印本页]
作者: ubuntuer    时间: 2008-12-20 14:05
标题: netfilter模块问题
大致需求是要写个内核模块,截获通过内核的包,就是skb结构,然后分析这个结构,然后决定这个包是drop还是accept或者其它处理....
这个是在2.6.18上测试通过的
#include <linux/module.h>
#include <linux/kernel.h>
#include <linux/netfilter.h>
#include <linux/skbuff.h>
#include <linux/ip.h>
#include <linux/netdevice.h>
#include <linux/if_ether.h>
#include <linux/if_packet.h>
#include <net/tcp.h>
#include <linux/netfilter_ipv4.h>

static struct nf_hook_ops nfho;

unsigned int
hook_func (unsigned int hooknum,
&nbsp;&nbsp;&nbsp;&nbsp;   struct sk_buff **skb,
&nbsp;&nbsp;&nbsp;&nbsp;   const struct net_device *in,
&nbsp;&nbsp;&nbsp;&nbsp;   const struct net_device *out, int (*okfn) (struct sk_buff *))
{
&nbsp;&nbsp;struct iphdr *iph = (*skb)->nh.iph;
&nbsp;&nbsp;uint32_t iphlen = iph->ihl << 2;
&nbsp;&nbsp;struct tcphdr *tcph = NULL;
&nbsp;&nbsp;
&nbsp;&nbsp;if(!(*skb)) return NF_ACCEPT;
&nbsp;&nbsp;if(!((*skb)->nh.iph)) return NF_ACCEPT;
&nbsp;&nbsp;switch (iph->protocol)
&nbsp;&nbsp;&nbsp;&nbsp;{
&nbsp;&nbsp;&nbsp;&nbsp;case IPPROTO_TCP:
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;printk ("It's a TCP PACKET\n");
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;tcph = (struct tcphdr*)((uint8_t*)iph + iphlen);
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;break;
&nbsp;&nbsp;&nbsp;&nbsp;case IPPROTO_ICMP:
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;break;
&nbsp;&nbsp;&nbsp;&nbsp;case IPPROTO_UDP:
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;printk ("It's a UDP PACKET\n");
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;break;
&nbsp;&nbsp;&nbsp;&nbsp;}
&nbsp;&nbsp;&nbsp;&nbsp;tcph = (struct tcphdr *)((*skb)->nh.iph+((*skb)->nh.iph->ihl));
&nbsp;&nbsp;&nbsp;&nbsp;
&nbsp;&nbsp;&nbsp;&nbsp;printk ("s_port=%d,d_port=%d!",(int)tcph->source,(int)tcph->dest);
&nbsp;&nbsp;&nbsp;&nbsp;printk ("urg=%d",(int)tcph->urg);
&nbsp;&nbsp;return NF_ACCEPT;
}

int
init_module ()
{

&nbsp;&nbsp;nfho.hook = hook_func;
&nbsp;&nbsp;nfho.hooknum = NF_IP_LOCAL_OUT;
&nbsp;&nbsp;nfho.pf = PF_INET;
&nbsp;&nbsp;nfho.priority = NF_IP_PRI_FIRST;
&nbsp;&nbsp;nf_register_hook (&nfho);

&nbsp;&nbsp;return 0;
}

void
cleanup_module ()
{
&nbsp;&nbsp;nf_unregister_hook (&nfho);
}



现在就是要在2.6.26核上写个大致的程序的...我自己现在是在target上写的,貌似错的比较离谱...
难道不是写target????
作者: dreamice    时间: 2008-12-20 14:05
标题: 回复 #1 ubuntuer 的帖子
你写target没错,target就是实现对一个包的策略的。
但你首先要搞明白一个问题:如何让一个target工作?
作者: emmoblin    时间: 2008-12-20 17:10
我问一下:
2.6.18上测试通过了,在2.6.26上就不行了吗?
最多可能就是头文件变变的事吧。改动不应该那么大啊。
作者: Godbach    时间: 2008-12-21 12:15
LZ要分请什么是target啊。你的这个程序相当于在内核态处理完了数据包。不需要在用户空间的什么程序了。当然,程序本身还有问题

BTW,这个程序和内核版的有个程序怎么一样啊,呵呵
作者: dreamice    时间: 2008-12-21 15:05
原帖由 emmoblin 于 2008-12-20 17:10 发表
我问一下:
2.6.18上测试通过了,在2.6.26上就不行了吗?
最多可能就是头文件变变的事吧。改动不应该那么大啊。


改动可能很大
作者: ubuntuer    时间: 2008-12-22 14:22
#include <linux/module.h>
#include <linux/kernel.h>
#include <linux/netfilter.h>
#include <linux/skbuff.h>
#include <linux/ip.h>
#include <linux/netdevice.h>
#include <linux/if_ether.h>
#include <linux/if_packet.h>
#include <net/tcp.h>
#include <linux/netfilter_ipv4.h>

unsigned int
winnuke_local_in_func (unsigned int hooknum,
&nbsp;&nbsp;&nbsp;&nbsp;   struct sk_buff *skb,
&nbsp;&nbsp;&nbsp;&nbsp;   const struct net_device *in,
&nbsp;&nbsp;&nbsp;&nbsp;   const struct net_device *out,
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;int (*okfn) (struct sk_buff *))
{
&nbsp;&nbsp;struct iphdr *iph ;
&nbsp;&nbsp;struct tcphdr *tcph ;
&nbsp;&nbsp;struct tcphdr _otcph ;
&nbsp;&nbsp;
&nbsp;&nbsp;iph = ip_hdr (skb);
&nbsp;&nbsp;switch (iph->protocol)
&nbsp;&nbsp;&nbsp;&nbsp;{
&nbsp;&nbsp;&nbsp;&nbsp;case IPPROTO_TCP:
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;printk ("It's a TCP PACKET\n");
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;tcph = skb_header_pointer(skb,ip_hdrlen(skb),sizeof(_otcph),&_otcph);
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;break;
&nbsp;&nbsp;&nbsp;&nbsp;case IPPROTO_ICMP:
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;return NF_ACCEPT;
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;break;
&nbsp;&nbsp;&nbsp;&nbsp;case IPPROTO_UDP:
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;return NF_ACCEPT;
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;break;
&nbsp;&nbsp;&nbsp;&nbsp;default:
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;return NF_ACCEPT;
&nbsp;&nbsp;&nbsp;&nbsp;}
&nbsp;&nbsp;&nbsp;&nbsp;
&nbsp;&nbsp;&nbsp;&nbsp;printk ("s_port=%d,d_port=%d!",(int)tcph->source,(int)tcph->dest);
&nbsp;&nbsp;&nbsp;&nbsp;printk ("urg=%d",(int)tcph->urg);
&nbsp;&nbsp;return NF_ACCEPT;
}

static struct nf_hook_ops winnuke_ops[] __read_mostly = {
&nbsp;&nbsp;&nbsp;&nbsp;{
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;.hook   = winnuke_local_in_func,
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;.owner  = THIS_MODULE,
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;.pf     = PF_INET,
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;.hooknum    = NF_INET_LOCAL_IN,
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;.priority   = NF_IP_PRI_FIRST,
&nbsp;&nbsp;&nbsp;&nbsp;},
};

static int __init winnuke_init(void)
{
&nbsp;&nbsp;int ret;

&nbsp;&nbsp;printk("ins winnuke module\n");
&nbsp;&nbsp;ret = nf_register_hook (winnuke_ops);
&nbsp;&nbsp;if(ret < 0)
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;return ret;
&nbsp;&nbsp;return 0;
}

static void __exit winnuke_fini(void)
{
&nbsp;&nbsp;&nbsp;&nbsp;printk("rm winnuke module\n");
&nbsp;&nbsp;&nbsp;&nbsp;nf_unregister_hook (winnuke_ops);
}

module_init(winnuke_init);
module_exit(winnuke_fini);
作者: dreamice    时间: 2008-12-23 09:51
把你的思路整理一下,总结出来吧
作者: Godbach    时间: 2008-12-23 10:35
看来他这个程序是要做判断是否有WinNuke攻击呢。
作者: dreamice    时间: 2008-12-23 11:08
标题: 回复 #8 Godbach 的帖子
不清楚,感觉他这个目的性都不是很明确
作者: Godbach    时间: 2008-12-23 11:34
原帖由 dreamice 于 2008-12-23 11:08 发表
不清楚,感觉他这个目的性都不是很明确


看代码:
module_init(winnuke_init);
module_exit(winnuke_fini);

一般的TCP包中目的端口为137,138,139的会被视为Winnuke攻击
作者: dreamice    时间: 2008-12-23 12:42
原帖由 Godbach 于 2008-12-23 11:34 发表


看代码:

一般的TCP包中目的端口为137,138,139的会被视为Winnuke攻击


嗯,看来是这个。不知道它是做路由还是保护本机,保护本机的话,用得着这么复杂的去做么
作者: Godbach    时间: 2008-12-23 13:07
原帖由 dreamice 于 2008-12-23 12:42 发表


嗯,看来是这个。不知道它是做路由还是保护本机,保护本机的话,用得着这么复杂的去做么


恩。本机的话直接使用iptables规则封几个端口就可以了吧
作者: dreamice    时间: 2008-12-23 13:20
原帖由 Godbach 于 2008-12-23 13:07 发表


恩。本机的话直接使用iptables规则封几个端口就可以了吧

可能只是一个实验性的,搞着玩的吧
作者: fly6    时间: 2009-02-11 14:24
可以用扩展target,也可以直接hook



欢迎光临 Chinaunix (http://bbs.chinaunix.net/) Powered by Discuz! X3.2